Управление журналами событий Windows.

В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах.

Для открытия журнала событий Windows выполним следующее:

«Пуск» → «Панель управления» → в классическом режиме панели управления выберем пункт «Администрирование» → пункт «Просмотр событий» (Рисунок 37).

Рисунок 37 — Журнал событий Windows.

В поле «Максимальный размер журнала (КБ)» установим требуемое значение. Значение будет округлено до ближайшего числа, кратного 64 КБ, так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ (Рисунок 38).

Рисунок 37 — Свойства журнала «Приложение».

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов:

Зададим максимальный размер журнала 1024 КБ (Рисунок 39).

Рисунок 39 — Установка максимального размера журнала.

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

В настраиваемом журнале событий будет много записей, потому что может быть как много пользователей, так и множество приложений, - установим вариант (старее 5 дней) переписывать события при необходимости

Рисунок 40 — Настройка по достижении максимального размера журнала.

ВЫВОД

В ходе выполнения лабораторной работы по настройке локальных политик безопасности на АРМ были изучены основные принципы работы локальных политик безопасности в операционной системе Windows, различные настройки политик безопасности, такие как установка сложных паролей, блокировка учетной записи при неудачных попытках входа, ограничение доступа к файлам и папкам, запрет на запуск определенных программ и т.д., выполнены практические задания по настройке политик безопасности на автоматизированном рабочем месте, проанализированы возможные риски безопасности и способы защиты информации от несанкционированного доступа, определены основные преимущества и недостатки использования локальных политик безопасности на автоматизированном рабочем месте.

В результате выполнения лабораторной работы были приобретены навыки в эффективном использовании локальных политик безопасности для защиты информации на АРМ от несанкционированного доступа.

Санкт-Петербург

2023