Контрольные вопросы.

1. Что понимается под правами и разрешениями в Windows 2000?

2. Что понимается под группой пользователей в Windows 2000?

3. Перечислите предопределенные стандартные группы пользователей Windows 2000.

Пример оформления отчета

ЗАНЯТИЕ №

НАЗВАНИЕ ЗАНЯТИЯ

ВЫПОЛНИЛ: ст. гр. ….. ФИО

ВАРИАНТ № …

ЦЕЛЬ ЗАНЯТИЯ

1. Группе _____________ доступны следующие права_____________

Группе _____________ недоступны следующие права____________

2. Пользователю User1 доступны следующие права ________________

Пользователю User1 недоступны следующие права_______________

Пользователю User2 доступны следующие права ________________

Пользователю User2 недоступны следующие права_______________

3. Заполненная Табл. 3.

4. ЗАПОЛНЕННАЯ ТАБЛ. 4.

15. Управление подсистемой аудита в ос windows 2000

Цель занятия – познакомиться на практике с управлением подсистемы аудита в ОС Windows 2000.

Теоретический материал

Одной из важнейших задач администрирования операционной системы является постоянный аудит безопасности.

Под аудитом безопасностив ОС понимают постоянное отслеживание событий, связанных с нарушением безопасности, контроль, наблюдение за ними, в целях своевременного обнаружения нарушений политики безопасности, а также попыток взлома.

Правильно построенный аудит позволяет не только выявлять нарушения безопасности, но также обнаруживать действия, являющиеся начальным этапом взлома, с целью своевременной корректировки политики безопасности, принятия контрмер.

ОС Windows NT и 2000 включают в себя стандартные системы регистрации событий и аудита, которые позволяют подробно регистрировать доступ к объектам любого типа (файлы, каталоги, принтеры и т.д.). Можно установить как аудит одного действия, так и последовательности действий.

Монитор безопасности ОС (Security Reference Monitor) отвечает за генерирование событий аудита, основываясь на системных списках прав доступа и правилах аудита. События аудита передаются в журнал событий (EventLog), который записывает их в файлы журналов аудита. Эта операция называетсяжурналированием событий.

Журналирование событий

Существует 5 типов событий

Информационное событие (Information)– не указывает на ошибку.

Предупредающее событие (Warning) – зафиксированное событие, не требующее немедленной реакции со стороны администратора, но способное привести впоследствии к более серьезному состоянию (например, событие, говорящее о том, что на жестком диске остается мало места).

Ошибка (Error)– зафиксированное событие, указывающее на ошибку, имеющую серьезное влияние на подсистему либо приложение (например, приложение отказывается запускаться).

Успешный аудит (Audit Success) – событие указывает на успешную проверку безопасности (например, пользователь пытается обратиться к файлу, доступ к которому ему разрешен).

Неудачный аудит(Audit Failure) – событие указывает на неудачу при проверке безопасности (например, пользователь не может зарегистрироваться в системе, зафиксирован отказ в доступе пользователя к файлу).

Существует 3 основных типа журналов событийв Windows 2000.

Журнал приложений(Application Log)– журнал, в который приложения записывают свои сообщения о событиях.

Системный журнал (System Log)– содержит события от компонентов ОС. Приложения не имеют права записывать сюда свою информацию.

Журнал безопасности (Security Log)– содержит информацию, необходимую для проведения аудита безопасности.

Настройка политики аудита

Правила аудита в ОС Windows 2000 определяют, аудит каких событий необходим. В Windows 2000 политика аудита настраивается во вкладке ПОЛИТИКА АУДИТА. Для ее вызова необходимо войти ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРОВАНИЕ -> ЛОКАЛЬНАЯ ПОЛИТИКА БЕЗОПАСНОСТИ -> ЛОКАЛЬНЫЕ ПОЛИТИКИ -> ПОЛИТИКА АУДИТА. По умолчанию, аудит для всех событий выключен. Для изменения политики аудита необходимо дважды щелкнуть по соответствующей записи

Данные события аудита являются общими для всей ОС в целом.

Аудит доступа к файлам и объектам

Аудит доступа к файлам и объектам определяет политику аудита для отдельно взятых объектов доступа. Для разрешения аудита безопасности таких объектов, как файл или принтер, необходимо сначала разрешить аудит этих событий в политике аудита ОС, а затем настроить аудит конкретных объектов доступа.

Для того чтобы настроить аудит для некоторого объекта (например, каталога), необходимо выбрать объект в меню СВОЙСТВА, выбрать раздел БЕЗОПАСНОСТЬ, щелкнуть по кнопке ДОПОЛНИТЕЛЬНО и выбрать раздел АУДИТ.

С помощью кнопки ДОБАВИТЬ необходимо указать то, результаты каких операций для каких субъектов, должны протоколироваться в журнале безопасности для данного объекта.

Для просмотра журналов безопасности необходимо использовать функцию ОС ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРОВАНИЕ -> ПРОСМОТР СОБЫТИЙ, после чего выбрать требуемый журнал.