БОС 2 / Основные лабы / Болтушкин Л.С., группа 712-2, лабораторная 8

Министерство науки и высшего образования Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

АУДИТ СОБЫТИЙ БЕЗОПАСНОСТИ ОПЕРАЦИОННОЙ СИСТЕМЫ

Отчет по лабораторной работе №8

по дисциплине «Безопасность операционных систем»

Вариант №3

Студент гр. 712-2 ___________ Л.С. Болтушкин __________

Руководитель Преподаватель кафедры КИБЭВС

_______ __________ С.А. Пашкевич

__________

Томск 2024

Введение

Целью данной лабораторной работы является ознакомление с интерфейсом управления подсистемой аудита безопасности и параметрами политики аудита на примере Windows 10.

1 ХОД РАБОТЫ

1.1 Политика аудита. Аудит входа/выхода пользователя

Первым делом необходимо включить оба типа аудита входа в систему в параметре «Локальные параметры безопасности» (рисунок 1.1).

Рисунок 1.1 – Аудит событий входа в систему

Также была совершена проверка записи аудита после неудачного и удачного ввода пароля под учетной записью «Администратор» через управление компьютером (рисунок 1.2 и 1.3).

Рисунок 1.2 – Аудит успеха

Рисунок 1.3 – Аудит отказа

1.2 Аудит событий, связанных с администрированием

Для проверки аудита событий, связанных с администрированием необходимо изменить пароль пользователю «user» и создать нового пользователя «user1». После чего были проверены аудиты данных событий (рисунки 1.4 – 1.6).

Рисунок 1.4 – Попытка сброса пароля

Рисунок 1.5 – Изменение учетной записи

Рисунок 1.6 – Создание учетной записи

Для проверки аудита изменения политики, необходимо предоставить пользователю «user» право «Архивирование файлов и каталогов» (рисунки 1.7 и 1.8).

Рисунок 1.7 – Предоставление прав

Рисунок 1.8 – Запись аудита о присвоении прав пользователя

Также было удалено право «Локальный вход в систему» у учетной записи «Гость» (рисунок 1.9).

Рисунок 1.9 – Запись аудита об удалении прав пользователя

Для проверки аудита использования привилегий, необходимо изменить системное время, завершить сеанс пользователя и войти под учетной записью заново. Проверки данных аудитов представлены на рисунках 1.10 – 1.12.

Рисунок 1.10 – Аудит об изменении системного времени

Рисунок 1.11 – Аудит о выходе из учетной записи

Рисунок 1.12 – Аудит о входе в учетную запись

1.3 Аудит событий, связанных с работой операционной системы

Для проверки аудита системных событий необходимо очистить журнал аудита, который находится справа в панели управления (рисунок 1.13).

Рисунок 1.13 – Запись аудита об очистке журнала событий

1.4 Аудит доступа пользователя к ресурсам

Необходимо включить аудит успеха для принтера для параметра «Управление документами», что представлено на рисунке 1.14.

Рисунок 1.14 – Параметры аудита доступа к принтеру

Далее должна быть совершена попытка напечатать документ, чтобы проверить аудит данного события, но отправить документ на очередь печати, к сожалению, не получилось.

1.5 Управление журналом аудита

Войдя по учетной записи «user» и попытавшись открыть журнал аудита, выпадет ошибка, представленная на рисунке 1.15.

Рисунок 1.15 – Ошибка доступа к журналу аудита

После того как пользователь «user» добавлен в перечень учетных записей параметра «Управление аудитом и журналом безопасности», то данная ошибка пропадет (рисунок 1.16).

Рисунок 1.16 – Добавление пользователя в перечень учетных записей

Далее рассматриваются возможности фильтрации для журнала, а именно был выставлен фильтр для пользователя «user» на вход и выход из системы (рисунок 1.17).

Рисунок 1.17 – Настройка фильтра

Далее были рассмотрены возможности установки максимального размера журнала и действия в случае его переполнения и включается параметр «Аудит: немедленное отключение системы», если невозможно внести в журнал записи об аудите безопасности (рисунки 1.18 и 1.19).

Рисунок 1.18 – Свойства журнала

Рисунок 1.19 – Настройка действия при переполнении журнала безопасности

Теперь, когда будет переполнение журнала безопасности, то будет происходить перезагрузка системы и на главной странице входа будет сообщение «Журнал безопасности данной системы переполнен. Вход в систему разрешен только администраторам».

2 ВЫПОЛНЕНИЕ ИНДИВИДУАЛЬНОГО ЗАДАНИЯ

Согласно варианту №3, представленный на рисунке 2.1, необходимо определить по журналу аудита виновника события.

Рисунок 2.1 – Индивидуальное задание

Данное событие подходит под журнал №3 (рисунок 2.2), поскольку там совершались частые входы и смены пароля, а последними действиями от учетной записи «Администратор» было выставлено «Присвоение специальных прав для нового сеанса входа». Виновником данной проблемы был некий Василий.

Рисунок 2.2 – Журнал по индивидуальному заданию

Заключение

В ходе выполнения данной лабораторной работы был изучен интерфейс управления подсистемой аудита безопасности и параметры политики аудита в операционной системе Windows 10.