3.1. Настройка политики аудита.
С помощью командной строки
Утилита командной строки AuditPol.exe позволяет настраивать параметры политики аудита и управлять ими из командной строки с повышенными правами доступа. Некоторые команды:
вывести доступные категории аудита: AuditPol.exe /list /subcategory:*;
включить аудит успешных событий доступа к объектам файловой системы: AuditPol.exe /set /subcategory:"File System" /success:enable;
вывести настройки категории аудита: AuditPol.exe /get /category:"Object Access".
Рис. 9. Просмотр политик аудита в командной строке.
3.2. Анализ событий в Журнале безопасности.
В Windows 11 события, связанные с безопасностью, анализируются в «Журнале безопасности» (Журнале защиты) приложения «Безопасность Windows». Этот журнал содержит список действий, которые антивирусная программа Microsoft Defender выполнила от имени пользователя, потенциально нежелательных приложений, которые были удалены, и основных служб, которые отключены.
Доступ к журналу:
В приложении «Безопасность Windows» выбрать «Журнал защиты».
События отображаются в виде карточек, требующие внимания задаются цветом: красный указывает на серьёзный элемент, жёлтый — на элемент, который не является срочным, но следует проверить.
Структура
В журнале безопасности хранятся, например:
Оповещения о вредоносных программах — «Обнаружена угроза», «Угроза помещена в карантин».
Блокировка потенциально нежелательных приложений — например, событие блокировки SmartScreen для Microsoft Edge.
Уведомление об отключении важной службы — например, SmartScreen для Microsoft Edge.
Важно: журнал защиты хранит события только в течение двух недель, после чего они исчезают из списка.
Методы анализа
Для анализа событий в журнале безопасности можно использовать:
Фильтрацию событий по критериям, таким как уровень критичности, источник или ключевые слова. Например, можно выбрать, когда произошло событие, или выбрать сервис или приложение, которое его создало.
Просмотр подробностей о конкретном событии — для этого нужно щёлкнуть на нём, в нижней части окна появится информация о выбранном событии.
Создание пользовательского представления для проверки определённой категории и уровня журналов — для этого нужно нажать инструмент «Создать пользовательское представление» на правой панели и следовать указаниям мастера.
Очистка
В интерфейсе «Безопасность Windows» для Windows 11 отсутствует кнопка «Очистить журнал», поэтому удалить историю журнала защитника невозможно. Однако есть другие способы очистки:
Удаление файлов журнала — они находятся в папке C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service. Попытка удаления этих файлов через «Проводник» может оказаться неудачной.
Автоматическая очистка — в PowerShell (Терминале Windows) можно настроить автоматическое удаление записей из журнала защиты через определённый промежуток времени.
Рис. 10. Демонстрация событий в Журнале безопасности.
3.3. Выявление сигнатурных событий (попытки несанкционированного доступа).
В Windows 11 для выявления сигнатурных событий (попыток несанкционированного доступа) используются встроенные функции безопасности и инструменты анализа журналов событий. Эти методы помогают обнаруживать подозрительную активность, например, удалённый доступ, попытки доступа к файлам со стороны не имеющих на это прав учётных записей пользователей.
Настройка
Активировать функции безопасности. Например:
Политики блокировки учётных записей — устраняют атаки методом подбора, например, попытки получить доступ через протокол удалённого рабочего стола (RDP). По умолчанию политика порогового значения блокировки учётной записи — 10 неудачных попыток входа, длительность блокировки — 10 минут.
Включить аудит событий системного уровня — например, при попытке получить доступ к объектам файловой системы. Это позволяет отслеживать действия для объектов, которые являются конфиденциальными или ценными, и понимать потенциальную атаку.
Настроить контроль доступа — использовать списки (ACL) и списки SACL, которые описывают разрешения для определённого объекта и предоставляют способ аудита событий системного уровня.
Анализ
Использовать журналы событий — они регистрируют события, связанные с безопасностью, включая попытки несанкционированного доступа. Например, в журнале безопасности (Windows Event Log: Security) регистрируются события входа в систему (4624 — успешный вход, 4625 — неудачная попытка входа) и события доступа к файлам (4656 — запрос дескриптора объекта, 4663 — попытка доступа к объекту).
Использовать методы анализа логов — например, временной анализ (хронология событий, аномальная активность), статистический анализ (частота событий, топ-пользователи, топ-процессы).
Анализировать цепочку событий (Event Chain Analysis) — восстанавливать полную картину атаки через анализ связанных событий.
Средства
Встроенное средство просмотра событий Windows — регистрирует системную активность, включая попытки несанкционированного доступа. В разделе «Windows Logs → Security» регистрируются события входа в систему и действия, связанные с безопасностью.
Автоматизированные инструменты для анализа логов — например, PowerShell-скрипты, которые ищут подозрительные события.
Специализированные инструменты — например, системы обнаружения попыток несанкционированного доступа (Intrusion Detection System, IDS), которые анализируют сетевые пакеты с использованием сигнатурного метода.
Вывод.
1. Эффективность встроенных средств защиты Windows 11
Проведенное исследование показывает, что ОС Windows 11 обладает развитым арсеналом встроенных средств информационной безопасности, которые при грамотной настройке позволяют создать эффективную систему защиты:
Многоуровневая система разграничения доступа обеспечивает гибкое управление правами пользователей как на уровне файловой системы (NTFS permissions), так и на уровне сетевых ресурсов (share permissions)
Интегрированные механизмы аудита предоставляют возможности для мониторинга и анализа событий безопасности в реальном времени
Шифрующая файловая система (EFS) является надежным средством защиты конфиденциальных данных от несанкционированного доступа
2. Анализ реализованных мер защиты
2.1. Управление учетными записями и аутентификация
Политика паролей показала свою эффективность - система надежно отвергает простые и короткие пароли, вынуждая пользователей создавать сложные комбинации
Политика блокировки учетных записей успешно предотвращает атаки перебором паролей, автоматически блокируя учетные записи после заданного количества неудачных попыток
Групповая политика значительно упрощает управление правами доступа для категорий пользователей, снижая вероятность ошибок при индивидуальной настройке
2.2. Разграничение доступа к ресурсам
Комбинирование NTFS и общих разрешений создает дополнительный барьер для несанкционированного доступа
Наследование разрешений упрощает администрирование, но требует внимательности при настройке сложных структур каталогов
Запрещающие разрешения имеют приоритет над разрешающими, что необходимо учитывать при проектировании политик доступа
2.3. Механизмы аудита и мониторинга
Журнал безопасности содержит детальную информацию о всех значимых событиях, связанных с безопасностью
Сигнатурные события (многократные неудачные попытки входа, доступ к защищенным ресурсам) четко идентифицируются и позволяют своевременно реагировать на потенциальные угрозы
Настройка аудита требует баланса между полнотой регистрации и производительностью системы
3. Выявленные ограничения и уязвимости
Несмотря на мощные средства защиты, обнаружены некоторые ограничения:
Зависимость от человеческого фактора - сложные политики паролей могут приводить к записи паролей на бумажных носителях
Сложность администрирования при большом количестве пользователей и ресурсов требует высокой квалификации администратора
Ограничения EFS - невозможность шифрования системных файлов и риск потери данных при повреждении сертификатов
Уязвимость к офлайн-атакам - физический доступ к оборудованию может компрометировать некоторые механизмы защиты
4. Практические рекомендации по внедрению
На основе проведенного исследования сформулированы следующие рекомендации для практического применения:
4.1. Организационные меры:
Регулярное обучение пользователей основам информационной безопасности
Четкое разграничение обязанностей и зон ответственности
Периодический пересмотр и актуализация политик безопасности
4.2. Технические меры:
Обязательное использование сложных паролей длиной не менее 8 символов
Регулярный аудит журналов безопасности с акцентом на сигнатурные события
Шифрование конфиденциальных данных средствами EFS
Своевременное применение обновлений безопасности
4.3. Административные меры:
Реализация принципа минимальных привилегий
Регулярное резервное копирование критически важных данных
Мониторинг и анализ событий безопасности в реальном времени
5. Перспективы развития системы защиты
Для повышения уровня безопасности рекомендуется рассмотреть возможность:
Внедрения многофакторной аутентификации
Использования специализированных средств обнаружения вторжений
Реализации централизованного управления политиками безопасности
Внедрения систем предотвращения утечек данных (DLP)
6. Общий итог
Проведенная лабораторная работа показывает, что ОС Windows 11 предоставляет достаточный набор средств для построения эффективной системы защиты информации. Ключевым фактором успешного применения этих средств является комплексный подход, сочетающий технические меры защиты с организационными процедурами и постоянным мониторингом.
Наиболее значимые результаты:
Доказана эффективность комбинированного использования различных механизмов защиты
Выявлена важность регулярного аудита и анализа событий безопасности
Подтверждена необходимость сбалансированного подхода к настройке политик безопасности
Полученные практические навыки могут быть успешно применены при администрировании корпоративных информационных систем и обеспечении их безопасности.