Включение аудита доступа пользователей к файлам
Папкам и принтерам
Информационные записи системного аудита заносятся в журнал событий "Безопасность". Для включения системного аудита выполните следующие действия:
1. В меню "Пуск" выберите пункт "Панель управления", щелкните по ссылке "Производительность и обслуживание" и откройте группу программ "Администрирование".
2. Откройте элемент "Локальная политика безопасности".
3. Разверните элемент "Локальные политики".
4. Выберите папку "Политика аудита".
5. Двойным щелчком мыши откройте параметр "Аудит доступа к объектам".
6. Для отслеживания удачных попыток доступа к файлам, папкам и принтерам установите флажок "Успех".
7. Для отслеживания неудачных попыток доступа к файлам, папкам и принтерам установите флажок "Отказ".
8. Для отслеживания всех попыток доступа к объектам аудита установите оба флажка.
9. Нажмите кнопку "ОК".
Категории событий, регистрируемых системой
Безопасности.
Аудит входа в систему (Audit loon events)
Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528 (рис. 1.5).
Рис. 1.5. Свойства события
Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована.
Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.
Тип входа показывает, как пользователь вошел в систему:
- 2 - интерактивный вход с консоли, например, с помощью монитора и клавиатуры;
- 3 - сетевой вход , пользователь подключился по сети , к диску этого ПК или как-либо еще использует сетевой ресурс;
- 4- заданию на выполнение командного файла при использовании планировщика задач независимых компаний;
- 5 - фиксируется при запуске службы с указанием конкретной учетной записи пользователя;
- 7- разблокирование рабочей станции;
- 8 –сетевая регистрация незашифрованным паролем;
- 9 –ролевая (impersonated) регистрация.
В Windows NT событие 528 применялось для регистрации события любого типа. С Windows 2000 при подключении к диску на сервере, соединении с реестром сервера и выполнении других операций с использованием сетевой регистрации в журнал регистрируется новое событие ID 540. Это позволяет отделить сетевую регистрацию от других типов регистрации.
В событиях 540 следует обратить внимание на поле Пользователь. Обычная пользовательская учетная запись свидетельствует, что пользователь зарегистрировался в системе через сеть; на эти события следует обратить внимание. Запись SYSTEM, указывающая, что одна системная служба устанавливает соединение с другой службой на той же машине. Имя компьютера с символом $ означает, что системная служба на удаленной машине устанавливает связь с системными службами на данном компьютере. Например, рабочая станция Windows 2000 Professional немедленно после запуска связывается с контроллером DC, чтобы получить информацию из AD и обратиться к другим доменным службам.
В поле «Домен» события 528, 540 указывается NetBios имя домена, в котором расположена учетная запись пользователя. При регистрации с помощью локальной учетной записи в локальной базе SAM (диспетчер учетных записей), в имени «Домен» содержится имя NetBIOS компьютера.
С помощью полей «Процесс входа» и «Пакет проверки» события ID 540 можно определить используемый протокол аутентификации Windows 2000 (NTLM или Kerberos).
Фиксируются также все неудачные попытки входа в систему. Событие 529 соответствует указанию неверного имени пользователя или пароля.
Если учетная запись пользователя недоступна или заблокирована, то записывается событие с номером соответственно 531 или 539. Событие номер 530 указывает, что пользователь пытался войти в систему в недозволенное ему время или день недели. Если учетная запись пользователя просрочена или устарел пароль, то фиксируется соответственно событие 532 или 535. Если пользователь ограничен входом лишь на некоторые рабочие станции, а он пытается войти с другого компьютера, то запишется событие номер 533.
Можно ограничить права пользователя на выполнение определенных типов входа в различные системы. Если пользователь, которому запрещен доступ к какому-то компьютеру по сети, все же пытается обратиться к его ресурсу или реестру, то он получит отказ, а в журнал безопасности запишется событие с номером 534. Такое же событие будет зафиксировано при попытке пользователя войти в систему с консоли, если это ему запрещено. При попытке запустить службу с использованием учетной записи пользователя, не имеющей права на запуск служб (права «Вход в качестве службы»), также будет зафиксировано событие номер 534. Кроме того, событие 534 запишется и при попытке запуска задания с исполнением командного файла от имени учетной записи без права «Вход в качестве пакетного задания».
При всех других отказах в аутентификации фиксируется событие с номером 537 - отказ по неизвестной причине. Тип входа фиксируется при всех попытках входа в систему, независимо от их результата. События категории «Аудит входа в систему» регистрируются в локальном журнале безопасности рабочей станции.
Аудит событий входа в систему (Audit account logon events)
Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
При использовании протокола аутентификации Kerberos Событие с ID 672 позволяет контролировать первичные подключения к домену, а событие с ID 673 контролирует доступ к сетевым службам. При вводе при аутентификации неправильного пароля контроллер домена записывает в журнал событие с ID 675 (ошибка предварительной аутентификации) с кодом ошибки 24. В сообщении указывается не только имя пользователя и имя домена, но и IP-адрес станции, с которой осуществлялась попытка несанкционированного доступа. Событие с ID 675 записывается еще и в том случае, если пользователь зарегистрировался на станции с одним именем, а затем пытался подключиться к серверу с другим.
При неправильном имени пользователя регистрируется событие с ID 676 с кодом ошибки 6. Код ошибки 12 указывает на попытку регистрации в неразрешенное время. Код ошибки 23 означает, что срок действия пароля пользователя истек. Код ошибки 18 указывает на завершения срока действия учетной записи или запрета администратора.
Событие 677 регистрируется, когда запрос на получение билета доступа к службе не удовлетворен.
При использовании протокола NTLM , когда контроллер домена успешно аутентифицировал пользователя, в журнал записывается событие с ID 680. В событии с ID 680 указывается имя пользователя и имя станции, откуда поступил запрос на подключение. Если аутентификация NTLM по каким-то причинам не может быть выполнена, то контроллер записывает в журнал событие с ID 681.
Аудит доступа к объектам
На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия, и идентифицировать пользователей, ответственных за эти действия.
Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
ACL (Access Control List) – список контроля доступа, применяются администраторами для управления группами (добавления и удаления пользователей и разрешений).
В Windows XP Professional имеется два вида ACL.
· Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.
· System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.
Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.
В свойствах файла или папки необходимо выбрать вкладку «Безопасность», нажать кнопку «Дополнительно» и выбрать лист «Аудит».
Для настройки аудита для нового пользователя или группы нажмите кнопку «Добавить». Выберите имя нужного пользователя или группы. В окне «Элемент аудита» можно указать необходимые параметры аудита. В поле «Применить» укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе «Доступ» укажите, какие события следует отслеживать: окончившиеся успехом или отказом или оба типа событий. Флажок «Применить этот аудит к объектам и контейнерам только в пределах данного контейнера» определяет, распространяются ли введенные вами настройки аудита на файлы и папки вниз по дереву каталогов файловой системы.
Для отключения аудита файла или папки в окне «Дополнительные параметры безопасности» выберите нужную запись и нажмите кнопку «Удалить». Если она недоступна, то настройки аудита наследуются от родительской папки. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку «Изменить».
Имеются взаимодополняющих друг друга событий - событие «Открытие объекта (560)» фиксирует открытие объекта, а событие «Закрытие дескриптора» (562) - его закрытие.
Аудит использования привилегий
Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом). Поле привилегии показывает условное обозначение использованной привилегии. Использование привилегий на регистрацию отражается категорией аудита входа в систему. Windows 2000/XP также не заносит в журнал информацию об использовании привилегий архивирования и восстановления файлов и каталогов и восстановления файлов и каталогов, вызываемых так часто, что они быстро переполнили бы журнал безопасности.
Аудит управления учетными записями
Позволяет определить какая учетная запись была изменена, добавлена или удалена и кем именно. Но какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись.
Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена в журнале на контроллере домена. В событии указывается учетная запись, с которой производилась операция, ее домен, код записи (Account ID), используемый для связи с кодом SID. По имени исполнителя можно определить пользователя, производившего действие с учетной записью. Его код входа позволяет встроить данное событие в цепочку других действий в данном сеансе.
Если пользователь изменил свой пароль, записывается событие 627, при этом отмечается, успешно или нет завершена данная операция. Это зависит от права пользователя на смену пароля и от политики формирования паролей в домене. При смене пароля администратором записывается событие 628.
При нескольких безуспешных попытках войти в систему учетная запись домена блокируется и записывает событие 644.
Любая учетная запись в Windows XP принадлежит к одному из четырех предопределенных типов:
1. Администраторы компьютера. Группа Администраторы, по умолчанию содержащая учетную запись Администратор и все учетные записи, создаваемые в процессе установки Windows XP, имеет наивысший уровень доступа ко всем ресурсам системы. Администраторы компьютера могут:
- создавать, изменять и удалять учетные записи и группы;
- устанавливать программы;
- устанавливать общий доступ к папкам;
- назначать разрешения;
- обращаться ко всем файлам;
- становиться владельцами файлов;
- выделять права другим учетным записям и самим себе;
- устанавливать и удалять устройства;
- входить в систему в защищенном режиме.
2. Ограниченные учетные записи. Представители группы Пользователей считаются ограниченными в правах. По умолчанию учетные записи такого типа имеют право:
- изменять пароль, изображение и соответствующий паспорт .NET для своей учетной записи;
- пользоваться установленными на компьютере программами;
- просматривать разрешения (если отключен простой общий доступ к файлам);
- создавать, изменять и удалять файлы в своих папках документов;
- просматривать файлы в общих папках документов.
3. Гости. К этому типу относятся учетные записи, принадлежащие к группе Гости. По умолчанию привилегии гостей совпадают с привилегиями ограниченных учетных записей. Пользователь, вошедший под учетной записью Гость (но не под другой учетной записью, принадлежащей к группе Гости), не может установить пароль для своей учетной записи.
4. Неизвестные. Тип записей, не принадлежащий к группам Администраторов, Пользователей или Гостей, считается неизвестным. Поскольку создаваемые с помощью окна Учетные записи пользователей, открывающегося из Панели управления, учетные записи автоматически добавляются в группы Администраторов или Пользователей, с записью неизвестного типа вы можете столкнуться только в том случае, если вы обновили одну из предыдущих версий Windows на своем компьютере. Запись такого типа может возникнуть и в том случае, если для ее создания вы воспользовались консолью Локальные пользователи и группы.
Такие средства, предоставляемые Windows XP, как профили пользователей и групповая политика, позволяют вам настраивать систему за пользователей, а также устанавливать ограничения, не дающие пользователям испортить настройку системы.
Профиль пользователя содержит все настройки и файлы рабочей среды пользователя. Сюда входят персональные значения параметров реестра для всех объектов, начиная с указателей мыши и заканчивая параметрами Microsoft Word, а также файлы данного пользователя, получаемые в процессе работы с Microsoft Internet Explorer, документы (в папке Мои документы и вложенных папках) и ярлыки для объектов сетевого окружения.
Windows XP Professional поддерживает три типа профилей:
1. Локальные профили пользователей. Windows создает локальный профиль пользователя, когда этот пользователь входит в систему впервые. Если пользователь вносит изменения в свой профиль, они затрагивают только тот компьютер, на котором эти изменения производятся.
2. Перемещаемые профили пользователей. Перемещаемые профили пользователей хранятся на сетевом сервере, откуда и загружаются, когда пользователь входит в систему на одном из компьютеров сети. Windows создает локальную копию профиля в момент первого входа пользователя в систему. Если пользователь вносит в свой профиль изменения, они добавляются в копию профиля, находящуюся на сервере при выходе пользователя из системы. Когда пользователь входит в систему в следующий раз, он получает возможность работать с обновленным профилем, за какой бы компьютер он ни сел.
3. Обязательные профили пользователей. Обязательный профиль – это такой профиль, который позволено изменять только администраторам. Как и перемещаемый профиль, обязательный профиль хранится на сетевом сервере и копируется на рабочую станцию при входе данного пользователя в систему, но, в отличие от перемещаемого профиля, копия обязательного профиля на сервере не обновляется при выходе пользователя из системы. Это делает обязательные профили полезными не только для отдельных пользователей, которых вы хотите жестко ограничить, но и для множества других пользователей, которым вы хотите обеспечить единую рабочую среду. Множество пользователей может работать с обязательным профилем, не мешая друг другу. Пользователи, которым администратор назначил обязательный профиль, вправе изменять его параметры в процессе работы (если им не запрещают это политики), но копия на сервере остается неизменной. Хотя копия профиля остается на локальном компьютере и после выхода пользователя вместе со сделанными им изменениями, при следующем входе в систему Windows восстанавливает этот профиль по оригинальной его копии.
В таблице 1.2 приведены основные права, предоставляемые встроенным группам пользователей.
Таблица 1.2