Аудит. Аудит ресурсов и событий системы защиты
Скачать 1.44 Mb.
|
Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Тамбовский государственный технический университет» Кафедра «Информационные системы и защита информации» О Т Ч Е Т о лабораторной работе № 1 на тему «Аудит ресурсов и событий системы защиты» Выполнил: студент гр. СИБ171 Хомутова Т.А. Проверил: доцент Дерябин А.С. _________ «___»________2021 г. (Подпись) Тамбов 2021 Цель работы: получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows. 1 лабораторное задание. Настройка политики аудита. 1. Войдем в систему под любой учетной записью, входящей в группу Администраторы (Administrators). 2. Щелкнем Пуск (Start), Выполнить (Run), в поле Открыть (Open) наберем mmc и щелкнем ОК. 3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкнем Добавить или удалить оснастку (Add/Remove Snap-In). 4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкнем кнопку Добавить (Add). 5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберием в списке оснастку Групповая политика (Group Policy) и щелкнем кнопку Добавить (Add). 6. Убедимся, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкнем кнопку Готово (Finish). 7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкнем Закрыть (Close). 8. В окне Добавить/удалить оснастку (Add/RemoveSnap-In) щелкнем кнопку Закрыть (Close). 9. В дереве консоли дважды щелкнем элемент Политика «Локальный компьютер» (LocalComputerPolicy). 10. Дважды щелкнем элемент Конфигурация компьютера (ComputerConfiguration), затем дважды щелкнем элемент Конфигурация Windows (WindowsSettings). 11. Дважды щелкнем элемент Параметры безопасности (SecuritySettings), затем дважды щелкнем на элементе Локальные политики (LocalPolicies). 12. Щелкнем элемент Политика аудита (AuditPolicy). В правой панели окна Политика «Локальный компьютер» (LocalComputerPolicy) отобразятся текущие параметры политики аудита как показано на рис. 1. Рисунок 1 – Параметры политики аудита 13. Чтобы настроить политику аудита, в списке укажем Аудит входа в систему (AuditLogonEvents) и в меню Действие (Action) щелкнем пункт Свойства (Properties), появится окно Свойства: аудит входа в систему (AuditAccountLogonEventsProperties), как показано на рис. 2. Или в правой части окна дважды щелкнем каждый тип события и установим флажок Успех (AuditSuccessfulAttempts) или Отказ (AuditFailedAttempts) согласно рекомендациям приведенной в методичке таблицы. Рисунок 2 – Свойства параметра аудит входа в систему Рисунок 3 – Измененные параметры политики безопасности 2 лабораторное задание. Настройка аудита объектов Windows XP Professional. 1. Войдем в систему с использованием любой учетной записи, входящей в группу Администраторы (Administrators). 2. С помощью Проводника (WindowsExplorer) создадим папку с именем Audit в корне системного диска. 3. В папке Audit создадим текстовый файл с именем AUDIT. Рисунок 4 – Созданный текстовый файл 4. Щелкнем правой клавишей мыши на файле AUDIT и выберем Свойства (Properties). 5. В диалоговом окне Свойства (Properties) выберем вкладку Безопасность (Security) и щелкните кнопку Дополнительно (Advanced). 6. В диалоговом окне Дополнительные параметры безопасности для AUDIT выберем вкладку Аудит (Auditing). 7. Щелкнем кнопку Добавить (Add). 8. В диалоговом окне Выбор: пользователь или группа (SelectUserOrGroup), в поле Имя (Name), укажем Все (Everyone) и щелкните ОК. Рисунок 5 – Ввод имени выбираемых объектов 9. В диалоговом окне Элемент аудита для Audit.txt (AuditEntryForAudit.txt) установим флажки Успех (Successful) и Отказ (Failed) для каждого из следующих событий: • Создание файлов/Запись данных (CreateFiles/WriteData); • Удаление (Delete); • Смена разрешений (ChangePermissions); • Смена владельца (TakeOwnership). Рисунок 6 – Установка флажков для заданных событий 10. Щелкнем ОК. WindowsXPProfessional отобразит группу Все (Everyone) в диалоговом окне Дополнительные параметры безопасности для audit.txt (AdvancedSecuritySettingsFor). 11. Для подтверждения изменений щелкнем кнопку ОК. Проверка правильности параметров политики аудита для файла AUDIT 1. Щелкнем Пуск (Start), Панель управления (ControlPanel), затем — Учетные записи пользователей (UserAccounts). 2. Убедимся, что учетная запись User2 существует и является ограниченной (Limited). 3. Создадим пароль для учетной записи User2. 4. Закроем все окна и выйдите из системы. 5. Зарегистрируемся в системе под именем User2, используя пароль. 6. Откроем Проводник (WindowsExplorer), затем откроем файл C:\Audit\Audit. В открывшемся окне программы Блокнот (Notepad) появится пустой файл AUDIT. 7. Введем следующий текст: «Этот файл изменен пользователем User2». 8. Попытаемся сохранить файл. Система выдаст следующее предупреждающее окно: Рисунок 7 – Ошибка сохранения изменений файла 9. Закроем файл, не сохраняя его, и завершим работу с системой. 3 лабораторное задание. Просмотр журнала безопасности компьютера и отбора событий1. Войдем в систему под любой учетной записью, входящей в группу Администраторы (Administrators). 2. Щелкнем Пуск (Start), Панель управления (ControlPanel), категорию Производительность и обслуживание (PerformanceAndMaintenance) и Администрирование (AdministrativeTools), затем дважды щелкнм ярлык Просмотр событий (EventViewer). 3. В дереве консоли щелкнем журнал приложений (ApplicationLog) и просмотрим его содержимое. Просмотрим описание нескольких событий, дважды щелкнув соответствующие записи. 4. В дереве консоли щелкнем системный журнал (SystemLog) и просмотрим его содержимое. Просмотрим описание нескольких событий, дважды щелкнув каждую из соответствующих записей. Рисунок 8 – Просмотр событий журнала безопасности 5. В дереве консоли щелкнем журнал безопасности (SecurityLog) и просмотрим его содержимое. Просмотрим описания всех событий категории Отказ (Failure), дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:\Audit\Audit. Рисунок 9 – Попытка изменения файла пользователем User2 6. В меню Вид (View) выберем пункт Фильтр (Filter). Рисунок 10 – Вкладка «Фильтр» Настройка размера и содержимого файла журнала1. В дереве консоли выберем элемент Система (System). 2. В меню Действие (Action) щелкнем пункт Свойства (Properties). 3. В диалоговом окне свойств журнала выберем Затирать старые события по необходимости (OverwriteEventsAsNeeded). 4. В поле Максимальный размер журнала (MaximumLogSize) изменим максимальный размер журнала на 2048 кбайт и щелкнем ОК. Теперь WindowsXPProfessionalбудет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости. Рисунок 11 – Свойства журнала безопасности 5. Закроем окно Просмотр событий (EventViewer) и окно Администрирование (AdministrativeTools). Вывод: в ходе выполнения лабораторной работы получены навыки создания политики аудита и управления аудитом ресурсов и событий защищенной операционной системы, была осуществлена настройка политики аудита, настройка аудита файлов, просмотр журнала безопасности и отбор конкретных событий в операционной системе WindowsXP. |