Аудит ресурсов и событий

Название	Аудит ресурсов и событий
Дата	30.03.2023
Размер	258.99 Kb.
Формат файла
Имя файла	5.pdf
Тип	Практическая работа #1025125

Халелова Е.Н.
Практическая работа № 5
Тема: «Аудит ресурсов и событий»
Цель:
1. получить навыки по планированию аудита, определив какие события необходимо отслеживать;
2. научиться настраивать аудит для файлов, папок и принтеров;
3. научиться использовать оснастку
Просмотр событий для выполнения различных заданий, связанных с просмотром журнала аудита и содержимым файлов журнала безопасности, а также для поиска определенных событий в файлах журналов.
Теоретическая часть:
Аудит позволяет проследить как действия пользователей, так и действия Windows, называемые событиями (events). С помощью аудита можно заставить Windows регистрировать события в журнале безопасности.
Журнал безопасности(security log) поддерживает запись успешных и безуспешных попыток входа в систему и событий, связанных с cсозданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующую информацию:
 выполненное действие;
 имя пользователя, выполнившего действие;
 успех или неудачу события, и указание, когда оно произошло.
Политика
аудита
(audit policy) определяет типы событий безопасности, которые Windows записывает в журнал безопасности на каждом компьютере. Журнал безопасности позволяет проследить события выборочно.
Windows записывает событие в журнал безопасности на том компьютере, где оно произошло: например, каждый раз, когда кто-то пытается войти в систему, и это не удается.
Можно определить политику аудита для компьютера, чтобы:
 отследить успех и неудачу событий, таких как попытки входа пользователей, попытки определенного пользователя прочитать какой-либо файл, изменения учетной записи пользователя или членства в группах, изменения параметров безопасности;
 устранить или свести к минимуму риск несанкционированного использования ресурсов.
Для просмотра событий, записанных
Windows в журнале безопасности, используется оснастка Event Viewer (Просмотр событий).
Можно также архивировать журналы для отслеживания загрузки принтеров, открытия файлов, попыток несанкционированного использования ресурсов и др.
Планировать политику аудита — значит определиться, какие события нужно отслеживать, и на каких компьютерах следует конфигурировать аудит.

Халелова Е.Н.
Можно отслеживать следующие типы событий:
 доступ к файлам и папкам;
 вход и выход из системы;
 выключение и перезагрузку компьютера;
 изменение учетных записей пользователей и групп;
 попытки изменять объекты в Active Directory (только в том случае, если компьютер с Windows входит в домен).
Отслеживание неудачных событий может предупредить о возможных, нарушениях безопасности. Например, если отмечено сразу несколько неудачных попыток входа в систему под определенной учетной записью пользователя, особенно, если это происходит в нерабочее время, то можно сделать вывод, что в систему пытается проникнуть злоумышленник.
Существуют следующие основные направления политики аудита.
 Определитесь,
нужно
ли
отслеживать
тенденции
использования системы. Если да, то планируйте архивировать журналы событий. Это позволит, например, просмотреть, как используются системные ресурсы, и запланировать своевременное их расширение.
 Чаще просматривайте журналы безопасности. Вы должны составить расписание и регулярно следовать ему.
 Формируйте эффективную и хорошо управляемую политику
аудита. Всегда ведите аудит использования конфиденциальных данных.
Одновременно, отслеживайте только те события, которые дадут вам нужную информацию о сети. Это сведет к минимуму использование компьютерных ресурсов и облегчит поиск нужной информации. Тотальный аудит отрицательно отразится на производительности системы.
 Отслеживайте доступ к ресурсам участников группы Everyone
(Все), а не только Users (Пользователи). Это гарантирует, что вы проверите каждого, кто может подключиться к сети, а не только пользователей, для которых созданы учетные записи в домене.
Настройка политики аудита
Сначала надо выбрать типы наблюдаемых событий. Для каждого наблюдаемого события укажите, какие попытки нужно отслеживать — успешные или неудачные. Эти параметры задают в окне Local Security
Settings (Локальная политика безопасности), которое открывается выбором пункта
Local
Security
Policy в меню
Administrative
Tools
(Администрирование).
Аудит доступа к файлам и папкам
Если вам необходимо контролировать нарушения безопасности, вы можете назначить аудит для файлов и папок в разделах NTFS. Для этого следует сначала определить политику аудита для доступа к объектам, включающим файлы и папки. Затем нужно активизировать аудит для конкретных файлов и папок и определить, какие типы доступа каких пользователей или групп отслеживать. Действуйте следующим образом.

Халелова Е.Н.
1. На вкладке Security (Безопасность) окна свойств файла или папки щелкните кнопку Advanced (Дополнительно).
2. На вкладке Auditing (Аудит) щелкните кнопку Add (Добавить), выберите учетные записи пользователей, для которых надо контролировать доступ к файлам или папкам, и щелкните ОК.
3. В окне Audit Entry (Элемент аудита) пометьте флажок Successful
(Успех) или Failed (Отказ) для событий, которые хотите отслеживать
Щелкните ОК, чтобы вернуться в окно Access Control 'Settings.
По умолчанию все изменения аудита, которые вы вносите в родительскую папку, применяются также ко всем дочерним папкам и всем файлам в родительских и дочерних папках.
4. Чтобы не допустить применение изменений, сделанных в родительской папке, к выбранным дочерним файлу или папке, сбросьте флажок Allow Inheritable Auditing Entries From Parent To Propagate To This
Object (Переносить наследуемый от родительского объекта аудит на этот объект).
6. Щелкните ОК.
Аудит доступа к принтерам
Для наблюдения доступа к принтерам, настройте политику аудита для доступа к объектам, включающим принтеры. Затем активизируйте аудит для конкретных принтеров и определите, какие типы доступа нужно отслеживать и какие пользователи будут иметь такой доступ. После выбора принтера повторите те же самые шаги, что и для настройки аудита файлов и папок.
Назначьте аудит для принтера следующим образом.
1. В окне свойств принтера перейдите на вкладку Security
(Безопасность) и щелкните кнопку Advanced (Дополнительно).
2. На вкладке Auditing (Аудит) .щелкните кнопку Add (Добавить), выберите соответствующих пользователей или группы, для которых вы хотите проверять доступ к принтеру, затем щелкните ОК.
3. В списке Apply Onto (Применять) окна Auditing Entry (Элемент аудита) выберите, где применяются параметры аудита.
4. В списке Access (Доступ) пометьте флажком Successful (Успех) или
Failed (Отказ) события, которые хотите отслеживать.
Использование оснастки Просмотр событий
Event Viewer используется для просмотра информации, содержащейся в журналах Windows. По умолчанию имеется три журнала доступных для просмотра
Журналы, поддерживаемые Windows
Application log (Приложение) Содержит ошибки, предупреждения или информационные сообщения, связанные с работой некоторых программ, например, базы данных или электронной почты. Какие события будут отслеживаться, определяет разработчик программы.

Халелова Е.Н.
Security log (Безопасность) Содержит информацию об успехе или неудаче отслеживаемых действий. Сюда записываются события согласно вашей политики аудита.
System log (Система) Содержит ошибки, предупреждения и информационные сообщения, генерируемые Windows.
Просмотр журналов безопасности
Журнал безопасности содержит информацию о событиях, которые отслеживаются политикой аудита, например, успешные и неудачные попытки входа в систему. Вы можете просмотреть журнал безопасности следующим образом.
1. Раскройте меню
Start\Programs\Administrative
Tools
(Пуск\Программы\Администрирование) и щелкните значок Event Viewer
(Просмотр событий).
2. В дереве консоли выберите Security Log (Безопасность).
На правой панели окна Event Viewer появятся записи журнала и сводная информация для каждой из них. Успешные события помечены значком ключа, а неудачные — значком замка. Прочая информация включает дату и время, когда произошло событие, категорию события и учетную запись пользователя, вызвавшего событие.
Категория указывает тип события: например, доступ к объекту, управление учетными записями, доступ к службе каталогов или события входа.
Для просмотра дополнительной информации щелкните интересующее вас событие и в меню Action (Действие) выберите команду Properties
(Свойства).
Windows записывает событие в журнал безопасности на компьютере, где произошло событие. Вы можете просмотреть эти события с любого компьютера, если имеете права администратора для этого компьютера. Для просмотра журнала безопасности на удаленном компьютере запустите ММС и создайте специальную консоль, куда добавьте оснастку Event Viewer
(Просмотр событий), ссылающуюся на удаленный компьютер.
Поиск событий
Когда вы впервые запускаете Event Viewer (Просмотр событий), автоматически отображаются все события, записанные в выбранном журнале. Для изменения появляющихся в журнале событий задействуйте команду Filter (Фильтр). Вы также можете вести поиск выбранных событий, используя команду Find (Поиск).
Для сортировки или поиска событий запустите Event Viewer и выберите в меню View (Вид) команду Filter (Фильтр) или Find (Поиск).
Управление журналами аудита
Вы можете отследить тенденции использования Windows путем архивирования журналов событий и сравнения журналов за разные периоды.

Халелова Е.Н.
Это поможет планировать и контролировать использование ресурсов. Windows позволяет регулировать размер журналов и определять действия, предпринимаемые после заполнения журнала.
Вы можете конфигурировать свойства каждого индивидуального журнала аудита. Для этого откройте окно свойств журнала в Event Viewer.
Используйте окно свойств для каждого типа журнала аудита, чтобы контролировать:
 размер журнала, который может варьироваться от 64 Кб до 4 194 240
Кб (4 Гб); по умолчанию он равен 512 Кб;
 действия, которые предпринимает Windows, когда журнал заполняется, путем изменения значений параметров
Архивирование журналов безопасности
Позволяет вести хронику событий, связанных с безопасностью.
Многие организации практикуют хранение архивов журналов в течение определенного периода времени для отслеживания информации, связанной с безопасностью.
Практическая часть:
Задание 1
Спланируйте политику аудита для вашего компьютера. Затем
активизируйте аудит конкретных событий. Назначьте аудит файла и
принтера. Просмотрите файл журнала безопасности и задайте параметры
в окне Event Viewer (Просмотр событий) для перезаписи журнала событий
после его заполнения.
Спланируете политику аудита для вашего компьютера. Вы должны определить следующее:
 какие типы событий отслеживать;
 отслеживать успех события, неудачу, или и то, и другое.
Действуйте следующим образом:
 записывайте неудачные попытки регистрации в системе;
 записывайте попытки несанкционированного доступа к файлам из вашей БД;
 отслеживайте использование цветного принтера;
 отслеживайте все попытки вмешательства в аппаратное обеспечение компьютера;
 храните запись действий, выполняемых администратором для отслеживания неразрешенных изменений;
 отслеживайте процедуры резервного копирования для предотвращения кражи данных;
 отслеживайте неразрешенный доступ к важным объектам Active
Directory.
Запишите ваши решения в следующую таблицу.

Халелова Е.Н.
Таблица 6- планирование политики аудита
Отслеживаемое
действие
Успешное
Неудачное
Вход в систему
Управление учетными записями
Доступ к службе каталогов
События входа в систему
Доступ к объектам
Изменение политики
Использование привилегий
Отслеживание процессов
Системные события
Активизируйте аудит для выбранных событий.
1. Войдите в систему как администратор.
2. Раскройте меню
Start\Programs\Administrative
Tools
(Пуск\Программы\Администрирование) и щелкните ярлык Local Security
Policy (Локальная политика безопасности).
3. В дереве консоли окна Local Security Settings (Параметр локальной политики безопасности) дважды щелкните Local Policies (Локальные политики), а затем — Audit Policy (Политика аудита).
4. Дважды щелкните каждый тип события, затем пометьте флажок
Success (Успех) или Failure (Отказ) для настройки, как показано в следующей таблице.
Таблица 7-настройка политик аудита
Событие
Отслеживать
успешные
попытки
Отслеживать
неудачные
попытки
Вход в систему
Управление учетными записями
Доступ к службе каталогов
События входа в систему


Халелова Е.Н.
Доступ к объектам


Изменение политик
Использование привилегий
Отслеживание процессов
Системные события


5. Закройте окно Local Security Settings.
6. Перезагрузите компьютер.
Задание 2: Назначение аудита файлов
Включите аудит для текстового файла.
1. В Windows Explorer (Проводник) создайте текстовый файл с именем
Audit в корневой папке системного диска (например, C:\Audit).
2. Щелкните созданный файл правой кнопкой мыши и выберите в контекстном меню команду Properties (Свойства).
3. В окне свойств перейдите на вкладку Security (Безопасность) и щелкните кнопку Advanced (Дополнительно).
4. В окне Access Control Settings (Параметры управления доступом) перейдите на вкладку Auditing (Аудит).
5. Щелкните кнопку Add (Добавить).
6. В окне Select User, Computer, Or Group (Выбор: Пользователи,
Компьютеры или Группы) дважды щелкните Everyone (Все) в списке учетных записей пользователей и групп.
7. В окне Audit Entry For Audit (Элемент аудита для Audit) пометьте флажки Successful (Успех) и Failed (Отказ) для каждого из следующих событий:
 Create Files/Write Data (Создание файлов/Запись данных);
 Delete (Удаление);
 Change Permissions (Смена разрешений);
 Take Ownership (Смена владельца).
8. Щелкните ОК. Группа Everyone(Все) появится в окне Access Control
Settings.
9. Щелкните OK, чтобы применить изменения.
Задание 3: измените разрешения NTFS для файла
1. В окне свойств измените разрешения NTFS для файла, чтобы группа Everyone(Все) имела только право Read (Чтение). Удалите все другие разрешения для предотвращения передачи наследуемых разрешений.
2. Щелкните ОК, чтобы закрыть окно свойств, затем закройте окно
Windows Explorer (Проводник).
Задание 4: настройте аудит принтера

Халелова Е.Н.
1. Раскройте меню Start\Settings (Пуск\Настройка) и щелкните значок
Printers (Принтеры).
2. В окне Printers раскройте окно свойств принтера, например, HP
LaserJet 5Si
3. На вкладке Security (Безопасность) щелкните кнопку Advanced
(Дополнительно).
4. В окне Access Control Settings For HP LaserJet 5Si на вкладке
Auditing щелкните кнопку Add.
5. В окне Select User, Computer, Or Group дважды щелкните в списке группу Everyone.
6. В окне Audit Entry For HP LaserJet 5Si (Элемент аудита для HP
LaserJet5Si) пометьте флажок Successful (Успех) для всех типов доступа.
Щелкните ОК.
Группа Everyone (Все) появится в окне Access Control Settings For HP j
LaserJet 5Si.
8. Щелкните OK, чтобы применить изменения.
9. Щелкните ОК, чтобы закрыть окно свойств HP LaserJet 5Si.
10.Закройте окно Printers (Принтеры).
Задание 5: просмотр журнала безопасности
Просмотрите журнал безопасности вашего компьютера. Затем
воспользуйтесь окном Event Viewer (Просмотр событий) для сортировки
событий и поиска возможных нарушений безопасности.
Просмотрите журнал безопасности вашего компьютера
1. Раскройте меню
Start\Programs\Administrative
Tools
(Пуск\Программы\Администрирование) и щелкните ярлык Event Viewer.
2. В дереве консоли щелкните каждый из трех журналов и просмотрите их содержимое. По мере просмотра журналов дважды щелкните одно или два события для просмотра описания.
Задание 6: управление журналом безопасности
Настройте параметры окна Event Viewer для перезаписи событий
после заполнения журнала. Увеличьте размер журнала безопасности до
2048 Кб.
Задайте размер и параметры очистки файла журнала
1. Проверьте, что в дереве консоли выбран журнал Security Log
(Безопасность).
2. В меню Action (Действие) выберите команду Properties (Свойства).
3. В окне свойств журнала безопасности щелкните строку Overwrite
Events As Needed (Затирать старые события по необходимости).
4. В окне Maximum Log Size (Максимальный размер журнала) измените максимальный размер журнала на 2048 (Кб) и щелкните ОК.
Теперь Windows 2000 увеличит размер журнала до 2048 Кб и будет заменять старые события новыми по мере необходимости.
5. Закройте окно Event Viewer.

Халелова Е.Н.
Контрольные вопросы:
1.
Какие задачи нужно выполнить для аудита доступа к файлу?
2.
Кто вправе назначить аудит для компьютера?
3.
Как при просмотре журнала безопасности определить, успешно событие или нет?
4.
Что произойдет, когда журнал заполнится, если выбрать параметр «Не затирать события» в окне свойств журнала аудита?