Практикум. Аудит событий в локальной системе.

Задание

Выполняется в парах.

1. Активизируйте службу аудита событий в локальной системе.

2. Настройте службу аудита таким образом, чтобы отслеживать все изменения в системе, в том числе операции над папками и файлами.

3. В папки, предназначенные для общего доступа, скопируйте по 3 файла различного типа.

4. Попросите вашего напарника произвести действия с данными папками и файлами (изменить, добавить, удалить), в том числе скопировать свои файлы, изменить ваши файлы, удалить один из ваших файлов. Напарник должен выполнять эти действия под учетной записью, отличной от вашей.

5. Выполните подключение к удаленному рабочему столу напарника и создайте там произвольный текстовый файл, а после этого попросите его удаленно подключиться к вашему рабочему столу и сделать тоже самое.

6. Попарно выполните подключение к компьютерам друг друга через VPN.

7. Запустите оснастку Просмотр событий (Event Viewer) и проанализируйте, события, произошедшие с момента включения компьютера.

8. Выясните, какие события, требуют внимания администратора.

9. Проанализируйте сообщения системных журналов.

10. Проанализируйте журнал аудита на предмет выявления действий, выполненных другим пользователем (напарником).

11. В журнале «Безопасность» создайте настраиваемое представление (Create Custom View) и Фильтр текущего журнала (Filter Current Log) чтобы отображались только события, изменения файла или папки за последние 2 часа.

12. В любом из журналов по вашему выбору (кроме журнала «Безопасность») создайте настраиваемое представление по произвольному критерию на ваш выбор.

13. В любом из журналов по вашему выбору (кроме журнала «Безопасность» и журнала, использованного в предыдущем пункте) создайте Фильтр текущего журнала по произвольному критерию на ваш выбор.

14. Отключите службу аудита событий в локальной системе.

Методические указания по выполнению задания Просмотр событий системы, приложений и служб

В системах Windows событием называется любое значительное изменение в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Эти события и другие, которые не требуют немедленных действий от пользователя, регистрируются в многочисленных системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы.

Оснастка Просмотр событий (Event Viewer), используемая для просмотра системных журналов, представляет собой информационный центр, в котором собраны все сведения о том, что происходило в системе. Дизайн оснастки (капитально модернизированной еще в Windows Vista) позволяет видеть много обобщающей и статистической информации, а в некоторых случаях, наоборот, сразу выбирать критически важные события.

Оснастка запускается из программной группы Администрирование

(Administrative Tools) меню Пуск (Start), она также входит в состав оснастки

Управление компьютером (Computer Management).

Непосредственно после запуска оснастки в центральной части ее окна представлена статистика (сводка) по всем журналам (число ошибок за 24 часа и 7 дней, предупреждений и т. д.). Папка Настраиваемые представления | События управления (Custom Views | Administrative Events) содержит только те события, которые требуют внимания администратора — ошибки и предупреждения. Такое решение позволяет не отвлекаться на просмотр менее значительной информации. Здесь же размещаются созданные пользователем представления журналов для наиболее важных служб или процессов.

В правой части окна оснастки находится типичная для консоли управления Microsoft Management Console 3.0 панель Действия (Actions), на которой располагаются команды, имеющиеся для объекта, выбранного с помощью курсора на других панелях оснастки. Эту панель можно быстро включать и убирать с помощью соответствующей кнопки на панели инструментов.

С помощью оснастки Просмотр событий (Event Viewer) можно просматривать журналы различных типов.

В группе Журналы Windows (Windows Logs) располагаются традиционные системные журналы:

Приложение (Application) — фиксирует события, зарегистрированные приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений;

Безопасность (Security) — содержит записи, связанные с системой безопасности, например, сообщения аудита попыток доступа в систему или обращений к ресурсам. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. Типы регистрируемых в журнале событий определяются администратором. Для просмотра журнала необходимо иметь права администратора; В системах Windows 7 по умолчанию отслеживаются многие события, связанные с безопасностью, и сведения заносятся в журнал безопасности (да-

же если аудит событий и не включен).

Настройка (Setup) — используется для сообщений, касающихся уста-

новки и обновлений системы, ее компонентов и приложений;

Система (System) — содержит записи о событиях, которые регистриру

ются системными компонентами Windows 7. Например, в системный журнал записываются такие события, как сбой при загрузке драйвера или других системных компонентов при запуске системы. Список типов событий, которые заносятся в системный журнал, строго определен;

Перенаправленные события (Forwarded Events) — события, получен-

ные по запросу с других компьютеров.

В группе Журналы приложений и служб (Application and Services Logs) находятся специальные журналы, с которыми работают компоненты системы (например, Internet Explorer или Windows Media Center). Кроме этого, в папке Microsoft | Windows имеются многочисленные журналы, в которые заносятся события отдельных компонентов, служб и подсистем. С их помощью можно быстро получить всю информацию о работе различных системных программ, например, многочисленных компонентов диагностики, средств архивации или планировщика заданий (Task Schedular).