Мониторинг и аудит систем в ОС Windows

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ  ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

ИМ. А.Н. ТУПОЛЕВА

ФАКУЛЬТЕТ ТЕХНИЧЕСКОЙ  КИБЕРНЕТИКИ И ИНФОРМАТИКИ

 

КАФЕДРА СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

 

 

 

 

 

 

МЕТОДИЧЕСКИЕ  УКАЗАНИЯ

К ВЫПОЛНЕНИЮ ЛАБОРАТОРНОЙ РАБОТЫ № 7

ПО ДИСЦИПЛИНЕ

«Администрирование  безопасности и поддержка  
корпоративных информационных систем»

 

на тему

«Мониторинг и аудит систем в ОС Windows»

 

 

 

 

 

 

 

 

 

 

 

 

Составители:

 

доцент кафедры СИБ

Аникин И.В.

 

ассистент кафедры СИБ

Гильмуллин Т.М.

Горев А.Ю.

 

 

 

 

 

Казань, 2008

Лабораторная работа № 7 
Мониторинг и аудит систем в ОС Windows

Цель

Познакомиться на практике с организацией подсистемы аудита в Windows.

Программно-аппаратные средства

 

Компьютерная лаборатория с  ЛВС, ОС Windows Server 2003.

Теоретический материал

ОБЩИЕ СВЕДЕНИЯ

Администратор обязан проводить регулярный аудит безопасности ОС, вести мониторинг за всеми системами ОС на каждом компьютере в КИС. Аудит безопасности в операционных системах – это постоянное отслеживание событий, связанных с нарушением безопасности, контроль, наблюдение за ними, в целях своевременного обнаружения нарушений политики безопасности, а также попыток взлома. Правильно организованный аудит безопасности позволяет не только выявить нарушения безопасности, но также обнаруживать действия, являющиеся начальным этапом взлома, с целью своевременной корректировки политики безопасности в организации, принятию контрмер.

ОС Windows включает в себя стандартные системы регистрации событий и аудита, которые позволяют подробно регистрировать доступ к объектам любого типа (файлы, каталоги, принтеры и т.д.). Можно установить как аудит одного действия, так и нескольких действий.

Монитор безопасности ОС (Security Reference Monitor) отвечает за генерацию отчета по аудиту, основываясь на системных списках прав доступа и правилах аудита. Отчет по аудиту передается в журнал событий (Event Log), который записывает события в файлы журналов. Эта операция называется журналированием событий.

Существует 5 типов событий в Windows:

1. Информационное событие (Information) – не указывает на ошибку, а служит только для информирования о некотором действии.
2. Предупреждающее событие (Warning) – зафиксированное событие, не требующее немедленной реакции со стороны администратора, но способное привести в последствие к более серьезному состоянию. Это, например, событие «На жестком диске остается мало места».
3. Ошибка (Error) – зафиксированное событие, указывающее на ошибку, имеющую серьезное влияние на подсистему либо приложение. Например, приложение отказывается запускаться.
4. Успешный аудит (Audit Success) – событие, указывающее на успешную проверку безопасности. Например, пользователь пытался обратиться к файлу и доступ был ему разрешен.
5. Неудачный аудит (Audit Failure) – событие, указывающее на неудачную проверку безопасности. Например, пользователь не прошел регистрацию в системе, зафиксирован отказ в доступе пользователя к файлу.

Существует 3 основных типа журналов событий в Windows:

1. Журнал приложений (Application Log) – журнал, в который приложения записывают свои сообщения о событиях.
2. Системный журнал (System Log) – содержит события от компонентов операционной системы. Приложения не имеют права записывать сюда свою информацию.
3. Журнал безопасности (Security Log) – содержит информацию, необходимую для проведения аудита безопасности.

НАСТРОЙКА ПОЛИТИКИ АУДИТА

Политика аудита в Windows определяет, аудит каких событий необходим. Она настраивается на вкладке «Политика аудита» (Audit Policy) в оснастке «Локальные параметры безопасности» (Local Security Policy), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Локальная политика безопасности» («Control Panel» – «Administrative Tools» – «Local Security Policy»), или набрав команду: secpol.msc. По-умолчанию, аудит для всех событий выключен. Для изменения политики необходимо дважды щелкнуть по соответствующей записи (см. Рис. 1).

Рис. 1. Настройка политики аудита

Аудит доступа к файлам и иным объектам определяет политику аудита для отдельно взятых объектов доступа. Для разрешения аудита таких объектов, как файл или принтер, необходимо сначала разрешить аудит этих событий в правилах аудита, а затем настроить аудит конкретных объектов доступа. Аудит файловых систем настраивается для каждого объекта.

Для того чтобы  настроить аудит некоторого объекта (например, каталога), необходимо выбрать данный объект, затем в его контекстном меню «Свойства» выбрать вкладку «Безопасность», щелкнуть по кнопке «Дополнительно» и выбрать раздел «Аудит» (см. Рис. 2).

Рис. 2. Параметры аудита объекта до внесения изменений

С помощью кнопки «Добавить» возможно указание того, какие операции (успех  либо отказ) для каких субъектов, должны протоколироваться для данного объекта (см. Рис. 3).

Рис. 3. Параметры аудита объекта после внесения изменений

Если вкладка «Безопасность» в  свойстве объекта отсутствует, убедитесь, что используется файловая система  NTFS и снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».

Для просмотра журналов безопасности можно воспользоваться оснасткой «Просмотр событий» (Event Viewer), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Просмотр событий» (Control Panel» – «Administrative Tools» – «Event Viewer»), или набрав команду: eventvwr.msc. В оснастке нужно выбрать требуемый журнал (см. Рис. 4).

Рис. 4. Просмотр событий в журнале безопасности Windows

Примечание

Более подробно о мониторинге и  аудите систем в Windows Server 2003 см. файл-приложение к данной лабораторной работе (каталог \FOR_READING\, раздел «Типовые задачи администрирования»):

Microsoft_Windows_Server_2003_Наиболее_полное_руководство_2004.chm

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что понимается под аудитом безопасности в ОС?
2. Для чего необходим аудит безопасности в ОС?
3. Что такое монитор безопасности ОС?
4. Перечислите типы событий, которые могут регистрироваться в журналах ОС Windows и кратко охарактеризуйте их.
5. Перечислите 3 типа журналов событий в Windows.
6. Как задать политику аудита для доступа субъекта к объекту в Windows?

ЗАДАНИЕ НА ЛАБОРАТОРНУЮ РАБОТУ № 7

Название работы

Мониторинг и аудит систем в  ОС Windows.

Задание (не забудьте оформить отчет)

Примечание

Убедитесь, что используется файловая система NTFS и в ОС Windows отличной от Windows Server 2003 снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».

1. Изучить возможности системы аудита в Windows (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).
2. Зарегистрироваться в ОС как «Администратор» с учетной записью ZOS.
3. Завести в системе нового пользователя User1 и отнести его к группе «Пользователи».
4. Настроить общую политику аудита (secpol.msc) следующим образом:

Действие	Успех	Отказ
Аудит входа в систему	Да	Да
Аудит доступа к объектам	Нет	Да
Аудит доступа к службе каталогов	Нет	Да
Аудит изменения политики	Да	Да
Аудит использования  привилегий	Нет	Да
Аудит отслеживания процессов	Нет	Нет
Аудит системных событий	Нет	Нет
Аудит событий входа  в систему	Нет	Нет
Аудит управления учетными записями	Да	Да

Прокомментировать каждую из настроенных политик – какие действия будут протоколироваться в журнале безопасности, а какие нет?

5. Создать на диске с файловой системой NTFS каталог «For User1» и установить для него следующие права доступа:

• для администраторов (всех) – полные права;

• для пользователя User1 – вывод списка содержимого папки, чтение.

6. Для каталога «For User1» установить следующие параметры аудита:

• фиксировать успех выполнения операции «Содержание папки/Чтение данных» для пользователя User1;
• отказ в записи любых данных и удалении любых данных для User1;
• успех «Обзор папок/Выполнение файлов» для User1;
• успех в удалении любых данных из каталога для всех администраторов.

7. Очистить все журналы безопасности (через их контекстное меню).

8. Перезагрузить систему и попытаться войти под учетной записью user1, введя вначале несколько раз неправильный пароль, а затем – правильный.
9. Войдя в систему под учетной записью User1, попытаться открыть каталог «For User1», скопировать туда какой-либо файл. Был ли разрешен доступ? Внести результат попытки в отчет.
10. Войти в систему под учетной записью администратора и просмотреть события в журнале безопасности.
11. Сколько отказов в действиях и сколько подтверждений было зафиксировано в журнале? На какие события? Внесите события и их результаты в отчет.
12. Скопировать в каталог «For User1» некоторый файл. Войти в систему под учетной записью User1 и попытаться удалить его. Внесите результат попытки в отчет.
13. Под учетной записью администратора заново изучить журнал безопасности. Какие новые события зафиксировались в журнале? Внести в отчет.
14. Просмотреть свойства журнала безопасности. Каков его текущий размер? Каков максимальный размер журнала? Когда он создан? Через сколько дней стираются старые события? Внести эти данные в отчет.
15. По каким атрибутам можно поставить фильтр в журнале безопасности?
16. Открыть записи журнала и просмотреть их более подробные описания.
17. Внести в отчет ответы на контрольные вопросы к данной лабораторной работе.

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №  7

Название работы

Мониторинг и аудит систем в  ОС Windows.

Цель

Познакомиться на практике с организацией подсистемы аудита в Windows.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Отчет

1. При входе в систему под учетной записью User1, попытка открыть каталог «For User1» (удалась/не удалась): ___________________________________,

скопировать туда какой-либо файл: (удалось/не удалось): __________________.

2. Войдя в систему под учетной записью администратора и просмотрев журнал событий аудита, были зафиксированы следующие события и их результаты: _______________________________________________________________

____________________________________________________________________

____________________________________________________________________.

3. При входе в систему под учетной записью User1, после копирования в каталог «For User1» некоторого файла, попытка удалить его (удалась/не удалась): _____________________________________________________.
4. Войдя в систему под учетной записью администратора и просмотрев заново журнал событий аудита, были зафиксированы следующие новые события и их результаты: _____________________________________________________

____________________________________________________________________

____________________________________________________________________.

5. Текущий размер журнала безопасности: ___________________________.
6. Максимальный размер журнала:  _________________________________.
7. Журнал создан:  _______________________________________________.
8. Старые события стираются через: ________________________________.
9. Фильтр в журнале можно поставить на следующие атрибуты:

____________________________________________________________________

____________________________________________________________________.

10. Ответы на контрольные вопросы:

____________________________________________________________________

____________________________________________________________________.