МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
ИМ. А.Н. ТУПОЛЕВА
ФАКУЛЬТЕТ ТЕХНИЧЕСКОЙ КИБЕРНЕТИКИ И ИНФОРМАТИКИ
КАФЕДРА СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
К ВЫПОЛНЕНИЮ ЛАБОРАТОРНОЙ РАБОТЫ № 7
ПО ДИСЦИПЛИНЕ
«Администрирование безопасности и поддержка корпоративных информационных систем»
на тему
«Мониторинг и аудит систем в ОС Windows»
Составители:
доцент кафедры СИБ
Аникин И.В.
ассистент кафедры СИБ
Гильмуллин Т.М.
Горев А.Ю.
Казань, 2008
Лабораторная работа № 7 Мониторинг и аудит систем в ос Windows
Цель
Познакомиться на практике с организацией подсистемы аудита в Windows.
Программно-аппаратные средства
Компьютерная лаборатория с ЛВС, ОС Windows Server 2003.
Теоретический материал
Общие сведения
Администратор обязан проводить регулярный аудит безопасности ОС, вести мониторинг за всеми системами ОС на каждом компьютере в КИС. Аудит безопасности в операционных системах – это постоянное отслеживание событий, связанных с нарушением безопасности, контроль, наблюдение за ними, в целях своевременного обнаружения нарушений политики безопасности, а также попыток взлома. Правильно организованный аудит безопасности позволяет не только выявить нарушения безопасности, но также обнаруживать действия, являющиеся начальным этапом взлома, с целью своевременной корректировки политики безопасности в организации, принятию контрмер.
ОС Windows включает в себя стандартные системы регистрации событий и аудита, которые позволяют подробно регистрировать доступ к объектам любого типа (файлы, каталоги, принтеры и т.д.). Можно установить как аудит одного действия, так и нескольких действий.
Монитор безопасности ОС (Security Reference Monitor) отвечает за генерацию отчета по аудиту, основываясь на системных списках прав доступа и правилах аудита. Отчет по аудиту передается в журнал событий (Event Log), который записывает события в файлы журналов. Эта операция называется журналированием событий.
Существует 5 типов событий в Windows:
-
Информационное событие (Information) – не указывает на ошибку, а служит только для информирования о некотором действии.
-
Предупреждающее событие (Warning) – зафиксированное событие, не требующее немедленной реакции со стороны администратора, но способное привести в последствие к более серьезному состоянию. Это, например, событие «На жестком диске остается мало места».
-
Ошибка (Error) – зафиксированное событие, указывающее на ошибку, имеющую серьезное влияние на подсистему либо приложение. Например, приложение отказывается запускаться.
-
Успешный аудит (Audit Success) – событие, указывающее на успешную проверку безопасности. Например, пользователь пытался обратиться к файлу и доступ был ему разрешен.
-
Неудачный аудит (Audit Failure) – событие, указывающее на неудачную проверку безопасности. Например, пользователь не прошел регистрацию в системе, зафиксирован отказ в доступе пользователя к файлу.
Существует 3 основных типа журналов событий в Windows:
-
Журнал приложений (Application Log) – журнал, в который приложения записывают свои сообщения о событиях.
-
Системный журнал (System Log) – содержит события от компонентов операционной системы. Приложения не имеют права записывать сюда свою информацию.
-
Журнал безопасности (Security Log) – содержит информацию, необходимую для проведения аудита безопасности.
Настройка политики аудита
Политика аудита в Windows определяет, аудит каких событий необходим. Она настраивается на вкладке «Политика аудита» (Audit Policy) в оснастке «Локальные параметры безопасности» (Local Security Policy), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Локальная политика безопасности» («Control Panel» – «Administrative Tools» – «Local Security Policy»), или набрав команду: secpol.msc. По-умолчанию, аудит для всех событий выключен. Для изменения политики необходимо дважды щелкнуть по соответствующей записи (см. Рис. 1).
Рис. 1. Настройка политики аудита
Аудит доступа к файлам и иным объектам определяет политику аудита для отдельно взятых объектов доступа. Для разрешения аудита таких объектов, как файл или принтер, необходимо сначала разрешить аудит этих событий в правилах аудита, а затем настроить аудит конкретных объектов доступа. Аудит файловых систем настраивается для каждого объекта.
Для того чтобы настроить аудит некоторого объекта (например, каталога), необходимо выбрать данный объект, затем в его контекстном меню «Свойства» выбрать вкладку «Безопасность», щелкнуть по кнопке «Дополнительно» и выбрать раздел «Аудит» (см. Рис. 2).
Рис. 2. Параметры аудита объекта до внесения изменений
С помощью кнопки «Добавить» возможно указание того, какие операции (успех либо отказ) для каких субъектов, должны протоколироваться для данного объекта (см. Рис. 3).
Рис. 3. Параметры аудита объекта после внесения изменений
Если вкладка «Безопасность» в свойстве объекта отсутствует, убедитесь, что используется файловая система NTFS и снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».
Для просмотра журналов безопасности можно воспользоваться оснасткой «Просмотр событий» (Event Viewer), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Просмотр событий» (Control Panel» – «Administrative Tools» – «Event Viewer»), или набрав команду: eventvwr.msc. В оснастке нужно выбрать требуемый журнал (см. Рис. 4).
Рис. 4. Просмотр событий в журнале безопасности Windows
Примечание
Более подробно о мониторинге и аудите систем в Windows Server 2003 см. файл-приложение к данной лабораторной работе (каталог \FOR_READING\, раздел «Типовые задачи администрирования»):
Microsoft_Windows_Server_2003_Наиболее_полное_руководство_2004.chm