Задание 10. Возможности оснасток, предназначенных для диагностики, мониторинга, настройки и оптимизации
В широком смысле аудитом называется регистрация каких-либо действий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего аудиту, является неудачная попытка доступа к системе.
Наиболее общими типами событий, подлежащих аудиту в ОС, являются:
· доступ к таким объектам, как файлы и папки;
· управление учетными записями пользователей и групп;
· вход пользователей в систему и выход из нее.
Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий аудита, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно администратор может создать политику аудита, удовлетворяющую всем требованиям организации.
К числу категорий событий, предназначенных для контроля, относятся:
· аудит событий входа в систему;
· аудит управления учетными записями;
· аудит доступа к службе каталогов;
· аудит входа в систему;
· аудит доступа к объектам;
· аудит изменения политики;
· аудит использования привилегий;
· аудит отслеживания процессов и системных событий.
В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию).
Кроме того, с целью уменьшения риска угроз системной безопасности в целом администратор должен предпринять следующие базовые шаги, направленные на обеспечение аудита в системе. Основные события аудита и угрозы безопасности, отображаемые при помощи этого события, сведены в табл. 20.
Таблица 20.Основные события аудита в ОС Windows XP
| № п.п. | Событие аудита | Потенциальная угроза |
| Аудит отказов входа/выхода. | Случайный взлом пароля | |
| Аудит успехов входа/выхода. | Вход с украденным паролем | |
| Аудит успехов использования привилегий, управления пользователями и группами, изменений политик безопасности, перезагрузки, выключения и системных событий. | Неправильное использование привилегий | |
| Аудит успехов и отказов событий доступа к файлам и объектам. Аудит успехов и отказов диспетчера файлов в доступе подозрительным пользователям или группам к важным файлам для чтения и записи. | Неправильный доступ к важным файлам | |
| Аудит успехов и отказов событий доступа к принтерам и объектам. Аудит успехов и отказов диспетчера печати в доступе подозрительным пользователям или группам к принтерам. | Неправильный доступ к принтерам | |
| Аудит успехов и отказов доступа для записи к программным файлам с расширениями .exe и .dll. Аудит успехов и отказов для отслеживания процессов в системе при запуске подозрительных программ. | Эпидемия вирусов |
Формирование политики аудита объектов в системе осуществляется посредством оснастки «Групповая политика»; в частности, с ее помощью устанавливается и настраиваются параметры политики аудита.
Содержание задания
1. Откройте консоль администрирования и создайте в оснастке новые задачи «Сведения о системе», «Диагностика DirectX» и «Диспетчер задач», вызовите соответствующие системные модули (указанные в задании 34) для выполнения задач диагностирования и мониторинга ОС Windows XP. Убедитесь в работоспособности этих задач.
2. Локально добавьте на открытую консоль администрирования системную оснастку «Групповая политика».
3. В дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита» для настройки локальных политик аудита.
4. Настройте политики аудита. Для этого в области сведений дважды щелкните на политике аудита, для которой необходимо изменить параметры аудита и установите один или оба флажка («успех» или «отказ») для успешных или неуспешных системных событий, которые необходимо регистрировать. Повторите действия указанные в текущем пункте секции для других политик аудита в случае необходимости.
5. Настройте аудит файлов и папок. Для этого измените параметры «успех» или «отказ» категории событий «Аудит доступа к объектам». Укажите файлы или папки для аудита, выполнив следующие действия:
· на вкладке «Безопасность» команды «Свойства» файла или папки нажмите кнопку «Дополнительно»,
· на вкладке «Аудит» нажмите кнопку «Добавить»,
· в диалоговом окне «Выбор: пользователь, компьютер или группа» выберите имя пользователя или группы, для действий которых требуется производить аудит файлов и папок, и нажмите кнопку OK для подтверждения выбора;
· в появившемся диалоговом окне «Элемент аудита» в группе «Доступ» установите флажки «успех», «отказ» или оба эти флажка одновременно напротив действий, для которых требуется провести аудит,
· выберите из выпадающего меню «Применить:» опцию «Для этой папки и ее подпапок» (или любую другую опцию на Ваш выбор), а затем нажмите кнопку OK и Примерить для подтверждения ввода.
Если указанные выше действия выполнить не удалось по причине отсутствия вкладки «Безопасность» в «Свойствах» объекта, выполните следующее:
· в дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация пользователя | Административные шаблоны | Компоненты Windows | Проводник»;
· в области сведений дважды щелкните на «Удалить вкладку «Безопасность», измените системный параметр на «Отключено» на одноименной вкладке и подтвердите выбор, кликнув OK;
· выберите команду Панель управления в меню Пуск, откройте компонент «Свойства папки» на панели управления, дважды щелкнув по нему мышью, и на вкладке «Вид» в группе «Дополнительные параметры | Файлы и папки» снимите флажок «Использовать простой общий доступ к файлам (рекомендуется)».
6. Не закрывая консоль администрирования ММС, сохраните ее.
При выполнении заданий секции используйте следующие инструкции:
· перенесите последовательность выполняемых действий по каждому из пунктов 1-5 в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),
· сделайте вывод о проделанной работе и запишите его в отчет.