2 семестр / Лабораторные работы / БОС2 Лабораторная работа 8
.pdf
Была открыта запись категории «Изменение политики» с кодом 4719 (рисунок 1.15).
Рисунок 1.15 – Запись категории «Изменение политики» с кодом 4719
Был включен тип событий «Успех» для «Аудита использования привилегий» (рисунок 1.16).
Рисунок 1.16 – Свойства аудита использования привилегий
11
Было изменено системное время (рисунок 1.17), после чего был произведен повторный вход в учетную запись «admin».
Рисунок 1.17 – Изменение системного времени
Была открыта запись категории «Использование прав» с кодом 4673 (рисунок 1.18).
Рисунок 1.18 – Запись категории «Использование прав» с кодом 4673
12
1.4 Аудит событий, связанных с работой операционной системы
Для «Аудита системных событий» был включен тип событий «Успех»
(рисунок 1.19).
Рисунок 1.19 – Свойства аудита системных событий
Журнал аудита был очищен (рисунок 1.20), после чего система была перезагружена.
Рисунок 1.20 – Запись категории «Очистка журнала» с кодом 1102 13
Была открыта запись категории «Системное событие» с кодом 4616 (рисунок 1.21).
Рисунок 1.21 – Запись категории «Системное событие» с кодом 4616
Для «Аудита отслеживания процессов» был включен тип событий «Успех» (рисунок 1.22).
Рисунок 1.22 – Свойства аудита отслеживания процессов
14
Было запущено и закрыто приложение «Total Commander», после чего были открыты записи категории «Подробное отслеживание» с кодом 4688 и 4689 (рисунок 1.23).
Рисунок 1.23 – Записи категории «Подробное отслеживание» с кодом 4688 и 4689
1.5 Аудит доступа пользователей к ресурсам
Для параметра «Аудит доступа к объектам» были включены типы событий «Успех» и «Отказ» (рисунок 1.24).
Рисунок 1.24 – Свойства аудита доступа к объектам
15
Был создан новый текстовый файл на Рабочем столе, после чего во вкладке «Аудит» созданного файла был включен тип событий «Успех» на тип доступа «Изменение разрешений» для пользователя «admin» и тип событий «Отказ» на все типы доступа для пользователя «user» (рисунок 1.25).
Рисунок 1.25 – Изменение настроек аудита для файла
Во вкладке «Безопасность» свойств созданного файла был запрещен пользователю «user» доступ на «Запись» (рисунок 1.26).
Рисунок 1.26 – Запрет доступа на «Запись» для пользователя «user» 16
Была открыта запись категории «Доступ к объекту» с кодом 4663 (рисунок 1.27).
Рисунок 1.27 – Запись категории «Доступ к объекту» с кодом 4663
С учетной записи «user» была произведена попытка удаления файла и изменения разрешений на доступ. С учетной записи «admin» была открыта запись журнала «Безопасность» категории «Доступ к объекту» с кодом 4662 (рисунок 1.28).
Рисунок 1.28 – Запись категории «Доступ к объекту» с кодом 4662 17
Были открыты свойства принтера «Microsoft Print to PDF», для типа доступа «Управление документами» принтера «Microsoft Print to PDF» для пользователя «admin» был включен тип аудита «Успех» (рисунок 1.29).
Рисунок 1.29 – Свойства принтера «Microsoft Print to PDF» и настройка аудита
Была произведена попытка печати текстового документа, была открыта запись категории «Доступ к объекту» с кодом 4663 (рисунок 1.30).
Рисунок 1.30 – Запись категории «Доступ к объекту» с кодом 4663 18
1.6Управление журналом аудита
Сучетной записи «user» была произведена попытка открытия журнала аудита (рисунок 1.31).
Рисунок 1.31 – Невозможность открытия журнала без прав администратора
С учетной записи «admin» была открыта оснастка «Локальная политика безопасности», в которой пользователь «user» был добавлен в перечень учётных записей параметра «Управление аудитом и журналом безопасности»
(рисунок 1.32).
Рисунок 1.32 – Добавление пользователя в перечень учётных записей
19
С учетной записи «user» были проверены права для работы с журналом аудита (рисунок 1.33).
Рисунок 1.33 – Полученный доступ к журналу аудита
С учетной записи «admin» В меню журнала аудита был выбран «Вид» – «Фильтр», фильтр был настроен (рисунок 1.34).
Рисунок 1.34 – Настройка фильтра
20
