Главная страница

Аудит. Аудит ресурсов и событий системы защиты


Скачать 1.44 Mb.
НазваниеАудит ресурсов и событий системы защиты
АнкорАудит
Дата29.04.2022
Размер1.44 Mb.
Формат файлаdocx
Имя файлаAudit_1.docx
ТипДокументы
#505173

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Тамбовский государственный технический университет»




Кафедра «Информационные системы

и защита информации»


О Т Ч Е Т

о лабораторной работе № 1 на тему

«Аудит ресурсов и событий системы защиты»


Выполнил: студент гр. СИБ171

Хомутова Т.А.

Проверил: доцент Дерябин А.С.

_________ «___»________2021 г.

(Подпись)

Тамбов 2021

Цель работы: получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows.

1 лабораторное задание.

Настройка политики аудита.

1. Войдем в систему под любой учетной записью, входящей в группу Администраторы (Administrators).

2. Щелкнем Пуск (Start), Выполнить (Run), в поле Открыть (Open) наберем mmc и щелкнем ОК.

3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкнем Добавить или удалить оснастку (Add/Remove Snap-In).

4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкнем кнопку Добавить (Add).

5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберием в списке оснастку Групповая политика (Group Policy) и щелкнем кнопку Добавить (Add).

6. Убедимся, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкнем кнопку Готово (Finish).

7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкнем Закрыть (Close).

8. В окне Добавить/удалить оснастку (Add/RemoveSnap-In) щелкнем кнопку Закрыть (Close).

9. В дереве консоли дважды щелкнем элемент Политика «Локаль­ный компьютер» (LocalComputerPolicy).

10. Дважды щелкнем элемент Конфигурация компьютера (ComputerConfiguration), затем дважды щелкнем элемент Конфигурация Windows (WindowsSettings).

11. Дважды щелкнем элемент Параметры безопасности (SecuritySet­tings), затем дважды щелкнем на элементе Локальные политики (LocalPolicies).

12. Щелкнем элемент Политика аудита (AuditPolicy). В правой пане­ли окна Политика «Локальный компьютер» (LocalComputerPolicy) отобразятся текущие параметры политики аудита как показано на рис. 1.



Рисунок 1 – Параметры политики аудита

13. Чтобы настроить политику аудита, в списке укажем Аудит входа в систему (AuditLogonEvents) и в меню Действие (Action) щелкнем пункт Свойства (Pro­perties), появится окно Свойства: аудит входа в систему (AuditAccountLogonEventsProperties), как показано на рис. 2. Или в правой части окна дважды щелкнем каждый тип события и установим флажок Успех (AuditSuccessfulAttempts) или Отказ (AuditFailedAttempts) согласно ре­комендациям приведенной в методичке таблицы.



Рисунок 2 – Свойства параметра аудит входа в систему



Рисунок 3 – Измененные параметры политики безопасности

2 лабораторное задание.

Настройка аудита объектов Windows XP Professional.

1. Войдем в систему с использованием любой учетной записи, входящей в группу Администраторы (Administrators).

2. С помощью Проводника (WindowsExplorer) создадим папку с име­нем Audit в корне системного диска.

3. В папке Audit создадим текстовый файл с именем AUDIT.



Рисунок 4 – Созданный текстовый файл

4. Щелкнем правой клавишей мыши на файле AUDIT и выберем Свойства (Properties).

5. В диалоговом окне Свойства (Properties) выберем вкладку Безо­пасность (Security) и щелкните кнопку Дополнительно (Advanced).

6. В диалоговом окне Дополнительные параметры безопасности для AUDIT выберем вкладку Аудит (Auditing).

7. Щелкнем кнопку Добавить (Add).

8. В диалоговом окне Выбор: пользователь или группа (SelectUserOrGroup), в поле Имя (Name), укажем Все (Everyone) и щелкните ОК.



Рисунок 5 – Ввод имени выбираемых объектов

9. В диалоговом окне Элемент аудита для Audit.txt (AuditEntryForAudit.txt) установим флажки Успех (Successful) и Отказ (Failed) для каждого из следующих событий:

Создание файлов/Запись данных (CreateFiles/WriteData);

Удаление (Delete);

Смена разрешений (ChangePermissions);

Смена владельца (TakeOwnership).



Рисунок 6 – Установка флажков для заданных событий

10. Щелкнем ОК. WindowsXPProfessional отобразит группу Все (Eve­ryone) в диалоговом окне Дополнительные параметры безопасности для audit.txt (AdvancedSecuritySettingsFor).

11. Для подтверждения изменений щелкнем кнопку ОК.

Проверка правильности параметров политики аудита для файла AUDIT

1. Щелкнем Пуск (Start), Панель управления (ControlPanel), затем — Учетные записи пользователей (UserAccounts).

2. Убедимся, что учетная запись User2 существует и является огра­ниченной (Limited).

3. Создадим пароль для учетной записи User2.

4. Закроем все окна и выйдите из системы.

5. Зарегистрируемся в системе под именем User2, используя пароль.

6. Откроем Проводник (WindowsExplorer), затем откроем файл C:\Audit\Audit. В открывшемся окне программы Блокнот (Note­pad) появится пустой файл AUDIT.

7. Введем следующий текст: «Этот файл изменен пользователем User2».

8. Попытаемся сохранить файл. Система выдаст следующее предупреждающее окно:



Рисунок 7 – Ошибка сохранения изменений файла

9. Закроем файл, не сохраняя его, и завершим работу с системой.

3 лабораторное задание.

Просмотр журнала безопасности компьютера и отбора событий


1. Войдем в систему под любой учетной запи­сью, входящей в группу Администраторы (Administrators).

2. Щелкнем Пуск (Start), Панель управления (ControlPanel), катего­рию Производительность и обслуживание (PerformanceAndMain­tenance) и Администрирование (AdministrativeTools), затем дважды щелкнм ярлык Просмотр событий (EventViewer).

3. В дереве консоли щелкнем журнал приложений (ApplicationLog) и просмотрим его содержимое. Просмотрим описание несколь­ких событий, дважды щелкнув соответствующие записи.

4. В дереве консоли щелкнем системный журнал (SystemLog) и про­смотрим его содержимое. Просмотрим описание нескольких со­бытий, дважды щелкнув каждую из соответствующих записей.



Рисунок 8 – Просмотр событий журнала безопасности

5. В дереве консоли щелкнем журнал безопасности (SecurityLog) и просмотрим его содержимое. Просмотрим описания всех собы­тий категории Отказ (Failure), дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:\Audit\Audit.



Рисунок 9 – Попытка изменения файла пользователем User2

6. В меню Вид (View) выберем пункт Фильтр (Filter).



Рисунок 10 – Вкладка «Фильтр»

Настройка размера и содержимого файла журнала


1. В дереве консоли выберем элемент Система (System).

2. В меню Действие (Action) щелкнем пункт Свойства (Properties).

3. В диалоговом окне свойств журнала выберем Затирать старые со­бытия по необходимости (OverwriteEventsAsNeeded).

4. В поле Максимальный размер журнала (MaximumLogSize) изме­ним максимальный размер журнала на 2048 кбайт и щелкнем ОК. Теперь WindowsXPProfessionalбудет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.



Рисунок 11 – Свойства журнала безопасности

5. Закроем окно Просмотр событий (EventViewer) и окно Админист­рирование (AdministrativeTools).

Вывод: в ходе выполнения лабораторной работы получены навыки создания политики аудита и управления аудитом ресурсов и событий защищенной операционной системы, была осуществлена настройка политики аудита, настройка аудита файлов, просмотр журнала безопасности и отбор конкретных событий в операционной системе WindowsXP.


написать администратору сайта