Файловый архив студентов. Файловый архив студентов.
1326 вузов, 5437 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БІКС 2015_1 / 9 LEC wINDOWS.doc
Скачиваний:
74
Добавлен:
12.02.2016
Размер:
1.05 Mб
Скачать
►Содержание►

13.4. Аудит

Реєстрація подій у Windows здійснюється шляхом виклику функцій ядра ОС, що додають записи у файли з розширенням .evt, розміщені в каталозі \WINNT\ system32\config [107, 108]. Є три журнали реєстрації подій ~ системний, при­кладного ПЗ та безпеки. Події аудита генерує диспетчер об'єктів за результатами перевірки прав доступу. Для цього він використовує список аудита SACL, який визначає для кожного об'єкта, що саме буде реєструватися за спроби отримати доступ тим чи іяшйм суб'єктом. Події аудита можуть генерувати також Win32-функції, доступні прикладним програмам.

3 аудитом пов'язані дві функції привілеїв: seSecurityPrivilege і seAudit-Priviiege. Використовуючи першу, процес керує файлом журналу безпеки та переглядає і змінює SACL об'єктів, а за допомогою другої він генерує запис аудита у цьому журналі..

Рішення про аудит подій безпеки конкретного типу приймається відповідно до політики аудита локальної системи. Політика аудита є частиною політики без­пеки (Local Security Policy), яку підтримує підсистема Lsass улокальяш cMCmt. Під час ініціалізації системи та після змінення політики Lsass надсилає SRM повідомлення, що інформує його про поточну політику аудита. Lsass відповідає за отримання від SRM записів, що генеруються на основі подій аудита, а також за їхредагування та передавання реєстратору подій (Event Logger).

< SRM надсилає записи аудита до Lsass через свое LPC-з'єднання, після чого Event Logger додає їх до журналу безпеки. Крім залисів аудита, шо передає SRM,

Lsass i SAM генерують власні записи аудита, які Lsass пересилає безпосередньо Event Logger. На рис. 13.4 зображено схему системи аудита.

Записи аудита, що підлягають пересиланню LSA, ставляться у чергу в міру їх надходження — вони не перелаються пакетами. Пересилання цих записів може здійснюватись у два способи. Якщо запис аудита невеликий (менший за LPC-повідомлення максимального розміру), він надсилається як LPC-повідомлення та копіюється з простору адрес SRM у простір адрес процесу Lsass. Якщо ж запис аудита великий, SRM робить його доступним для Lsass через спільну пам'ять та передає Lsass вказівник на нього у LPC-повідомленні.

У Windows 2000/ХР адміністратори можуть переглядати журнали реєстрації через Control Panel (у російській локалізації — Панель управления). Списки ауди­та об'єктів задають у діалоговому вікні Auditing (у російській локалізації — Парамег-рьі аудита), яке можна відкрити за допомогою Windows Explorer (Properties ► Security ► Advanced ► AudMog (Свойства ► Безопасность > Дополнительно ► Параметри аудита)). Політику аудита задають окремо — за допомогою спеціального оснащення, до­ступного через стартове меню або Control Panel (Administrative tasks ► Local secu-rrty po|icy (Администрирование ► Локальная политика безопасности)).

13.5. Аналіз причин уразливостей системи Wlndows

Система безпеки Windows є досить досконалою. На всіх рівнях цієї операційної системи, починаючи з fi архітектури, впроваджено засоби, покликані забезпечувати захист не лише самої системи, але й інформації, яка під її керуванням об­робляється.

Слід чітко розмежовувати операційні системи Windows сімейства NT та інші (незахищені) операційні системи компанії Майкрософт (MS-DOS, Windows З.х, 95/98/МЕ). Фактично, в них немає нічого спільного, крім торговельної марки Windows. Наразі Майкрософт не підтримує застарілі версії ОС, які не належать до сімейства NT.

Необхідно визнати, що на початку використання Windows NT в Інтернеті було виявлено багато помилок і вад захисту, які поступово виправлялися в сервісних пакетах (Service Pack) [15,60], яких для Windows NT 4.0 було випущено аж шість Windows NT 5, відома як Windows 2000, виявилася більш досконалою. Що сто­сується клієнтської системи Windows XP SP2 і серверної Windows 2003 Server то до організації їх безпеки принципових зауважень немає.

Зауважте, що легкість використання Windows є оманливою. Система має інтуїтивно зрозумілий інтерфейс настроювання політики безпеки, але насправді її адміністрування досить складне, позаяк вимагає від системного адміністратор: неабияких знань.

Узагальнимо причини вразливості Windows і наведемо класифікацію, запропоновану в [15] (рис. 13.5).

Таку класифікацію застосовують не лише до Windows, а й до інших ОС.

Соседние файлы в папке БІКС 2015_1
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности