Права и группы пользователей
| Группа | Предопределенные права |
| Администраторы | Доступ к компьютеру из сети Настройка квот памяти для процесса Разрешение входа в систему через службу терминалов Архивирование файлов и каталогов Обход перекрестной проверки Изменение системного времени Создание файла подкачки Отладка программ Принудительное удаленное завершение Увеличение приоритета диспечеризации Загрузка и выгрузка драйверов устройств Локальный вход в систему Управление аудитом и журналом безопасности Изменение параметров среды оборудования Запуск операций по обслуживанию тома Профилирование одного процесса Профилирование загруженности системы Извлечение компьютера из стыковочного узла Восстановление файлов и каталогов Завершение работы системы Овладение файлами или иными объектами |
| Операторы архива | Доступ к компьютеру из сети Архивация файлов и каталогов Обход перекрестной проверки Локальный вход в систему Восстановление файлов и каталогов Завершение работы системы |
| Все | Доступ к компьютеру из сети Обход перекрестной проверки |
| Гость (учетная запись) | Отклонить локальный вход Отказ в доступе к компьютеру из сети Локальный вход в систему |
Продолжение таблицы 1.2
| Опытные пользователи | Доступ к компьютеру из сети Обход перекрестной проверки Изменение системного времени Локальный вход в систему Профилирование одного процесса Извлечение компьютера из стыковочного узла Завершение работы системы |
| Пользователи удаленного рабочего стола | Разрешение входа в систему через службу терминалов |
| Пользователи | Доступ к компьютеру из сети Обход перекрестной проверки Локальный вход в систему Извлечение компьютера из стыковочного узла Завершение работы системы |
| Не присвоены ни одной группе | Добавление рабочих станций к домену Закрепление страниц в памяти Запретить вход в систему через службу терминалов Отказ во входе в качестве пакетного задания Отказ во входе в качестве службы Работа в режиме операционной системы Разрешение доверия к учетным записям при делегировании Синхронизация данных службы каталогов Создание маркерного объекта Создание постоянных объектов совместного использования |
Аудит доступа к службе каталогов
Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля имя клиента, домен клиента, код входа клиента. В поле «Свойства» показывается какое свойство изменено.
Аудит изменений политики
К данной категории относят следующие события:
- добавление привилегии к учетной записи пользователя (608);
- удаление привилегии от учетной записи пользователя (609);
- установление новых доверительных отношений (610);
- удаление доверительных отношений (611);
- изменение информации о доверенном домене (620);
- изменение политики аудита (612);
- изменение политики Kerberos (617);
- изменение политики восстановления файлов, зашифрованных с помощью EFS(618);
- изменение политики безопасности IP (615,616) (рис. 1.6).
Рис. 1.6. Свойства события аудита изменений политики
Аудит системных событий
В данную категорию входят следующие события:
- перезапуск операционной системы (512);
- завершение работы операционной системы (513);
- загрузка пакета проверки подлинности (514);
- регистрация процесса проверки подлинности пользователя при входе в систему (515);
- очистка журнала безопасности (517);
- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).
Аудит отслеживания процессов
Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.
В этой категории можно выделить следующие основные события:
- создание процесса – 592;
- завершение процесса - 593.
Найдя пару событий 592 и 593 с одинаковым кодом процесса, можно определить общее время работы того или иного приложения, которое указывается в поле имени файла образа. В поле имени пользователя хранится информация о том, кто запустил приложение. По поля кода входа можно отыскать соответствующее событие регистрации с кодом 528 и выяснить все подробности о сеансе, в котором запускалось приложение. Для идентификации процесса, запустившего новый процесс, можно использовать поле кода создателя процесса. Достаточно найти предыдущее событие с кодом 592 с этим же кодом процесса.
Порядок выполнения работы
1. Познакомьтесь с программой просмотра событий. Познакомьтесь с различными видами журналов, их структурой. Приведите отрывки журналов в отчете, дайте интерпретацию отдельных записей журналов.
2. Познакомьтесь с возможностями настройки журналов, параметрами фильтрации записей. Сохраните журнал в текстовом виде и экспортируйте его в Excel.
3. Ознакомьтесь с аудитом доступа к объектам. Установите определенные права аудита на созданный Вами каталог и вложенные в него файлы. Приведите их в вашем отчете. Произведите операции с этими файлами, приведите их в отчете и проанализируйте события появляющиеся в журнале безопасности.
4. Включите аудит входов в систему и событий входа в систему, исследуйте события, отнесенные к данной категории аудита, дайте интерпретацию информации, выдаваемой для отдельных событий. Проведите анализ связи отдельных событий, сделайте выводы по результатам анализа.
5. Исследуйте аудит управления учетными записями.
6. Исследуйте аудит использования привилегий.
7. Исследуйте аудит изменения политик.
8. Познакомьтесь с аудитом системных событий
9. Исследуйте возможности аудита процессов.
Требования к отчету
Отчет должен оформляться в электронном виде на листах формата А4 в соответствие с требованиями преподавателя и содержать задание, краткие необходимые теоретические сведения, полученные по каждому пункту задания результаты и выводы.
Результаты исследования отдельных категорий аудита должны включать описание, как проводились исследования, примеры различных событий данной категории, интерпретацию информации, выдаваемой для отдельных событий, анализ связи отдельных событий, полученные результаты и сделанные результаты и выводы.
_________________________________________________________
Контрольные вопросы
1. Назовите журналы, используемые в Windows 2000/XP.
2. Что отражается в журналах Windows 2000/XP?
3. Какие категории пользователей имеют возможность доступа к журналам Windows 2000/XP?
4. Где находятся журналы Windows 2000/XP?
5. В каком виде хранится информация в журналах. Как можно ее просмотреть?
6. Как сохранить журнал в текстовом виде?
7. Каков размер журналов? Как его можно изменить?
8. Какие возможны случаи при переполнении журнала?
9. По каким критериям может осуществляться фильтрация событий в журнале?
10.Что такое SACL?
11.Как происходит обработка ACL в SACL?
12.Как производится включение и настройка аудита в Windows 2000/XP?
13.Какие категории событий могут отслеживаться в Windows 2000/XP?
14.Как производится настройка аудита обращений к файлам?
15.Какие события, связанные с обращением к файлам могут отслеживаться?
16.Какая информация приводится в журналах?
17.Прокомментируйте записи в журнале безопасности, соответствующие входу в систему.
18.Прокомментируйте записи в журнале безопасности, соответствующие аудиту управления учетными записями.
19.Прокомментируйте записи в журнале безопасности, соответствующие изменению политики.
20.Прокомментируйте записи в журнале безопасности, соответствующие использованию привилегий.
21.Дайте интерпретацию проанализированных вами записей в журнале безопасности, связанных с созданием процессов.
22.Дайте интерпретацию проанализированных вами записей в журнале безопасности, соответствующих обращению к файлам.
23.Как можно определить вид входа пользователя в систему?
24.Какую информацию можно получить из полей код дескриптора, код процесса, код входа?
25.Почему в событиях может записываться информация о двух пользователях?
26.В каких категориях событий не предусмотрен аудит неудачи?
27.Производится ли в Windows 2000/ХР аудит резервного копирования?
28.Какие специальные привилегии не отслеживаются в журнале?
29.Какие типы событий необходимо включить для отслеживания изменения файлов, просмотра владельца и ACL, изменения прав доступа?
30.Какие виды доступа к файлам и папкам могут отслеживаться в Windows 2000/XP?
31.Как можно определить время работы пользователя с определенным приложением или файлом данных?
32.Какие типы учетных записей используются в Windows XP? Какие права предоставляет каждый тип?
ЛАБОРАТОРНАЯ РАБОТА №3.