Ћекции.ќрг


ѕоиск:




 атегории:

јстрономи€
Ѕиологи€
√еографи€
ƒругие €зыки
»нтернет
»нформатика
»стори€
 ультура
Ћитература
Ћогика
ћатематика
ћедицина
ћеханика
ќхрана труда
ѕедагогика
ѕолитика
ѕраво
ѕсихологи€
–елиги€
–иторика
—оциологи€
—порт
—троительство
“ехнологи€
“ранспорт
‘изика
‘илософи€
‘инансы
’ими€
Ёкологи€
Ёкономика
Ёлектроника

 

 

 

 


јудит событий безопасности




Ћабораторна€ работа

јудит событий безопасности в Windows 2000/XP

÷ель работы:

  1. Ќаучитьс€ активизировать запись событий безопасности в системе Windows 2000/XP.
  2. Ќаучитьс€ включать в запись событий безопасности дополнительные событи€, определенные в системе Windows 2000/XP.
  3. Ќаучитьс€ настраивать свойства журнала безопасности и создавать архивные копии
  4. Ќаучитьс€ настраивать различные политики безопасности дл€ отдельных пользователей и групп.
  5. Ќаучитьс€ пользоватьс€ оснасткой Group Policy и настраивать групповые политики безопасности.
  6. Ќаучитьс€ создавать и сохран€ть шаблоны безопасности.

¬водна€ информаци€

јудит событий безопасности

ќ— Windows регистрирует событи€, св€занные с угрозой безопасности, в журнале безопасности Security log, одном из трех журналов, которые можно просматривать в окне приложени€ Event Viewer.

¬ отличие от других журналов, отображаемых утилитой Event Viewer, журнал безопасности по умолчанию недоступен в Windows 2000/XP Professional. «апись событий не производитс€ до тех пор, пока вы не включите систему аудита безопасности.

 

јктивизаци€ аудита безопасности

  1. ¬ панели управлени€ открыть Administrative Tools/Local Security Policy (јдминимтрирование /Ћокальна€ политика безопасности).
  2. ¬ дереве панели выбрать Local Policies/Audit Policy (Ћокальные политики /ѕолитика јудита).
  3. ƒважды щелкнуть мышью на каждой политике, дл€ которой следует включить аудит безопасности, а затем установить флажки Success (”спех) или Failure (—бой), или оба сразу.

 

—писок событий, дл€ которых можно активизировать аудит:

јнглийское название –усский перевод
Audit account logon events јудит входа в систему
Audit account management јудит управлени€ учетными запис€ми
Audit directory service access јудит доступа к службам каталогов
Audit logon events јудит событий входа в систему
Audit object access јудит доступа к объектам
Audit policy change јудит изменени€ политики
Audit privilege use јудит использовани€ привилегий
Audit process tracking јудит отслеживани€ процессов
Audit system events јудит системных событий

 

ƒополнительные политики аудита безопасности

—истема Windows 2000/XP позвол€ет указать дополнительные событи€, вли€ющие на аудит безопасности, но не включенные в папку Audit Policy. Ёти дополнительные событи€ определены в папке Local Policies/Security Options (Ћокальные политики /ѕараметры безопасности).

 

«амечание. »збегайте аудита, если он не нужен! јудит безопасности отнимает много времени и ресурсов. ≈сли он включен, система регистрирует записи событий дл€ каждой проверки действий системы.

 

ѕросмотр свойств записи журнала безопасности

¬ыбрав в журнале (открытом через Event Viewer, ѕросмотр событий) событие безопасности, вызовите щелчком правой кнопки мыши контекстное меню, в нем выберите строку Properties. ќткроетс€ диалоговое окно с подробным описанием свойств зарегистрированного событи€.

 

”становка размера и времени существовани€ файла журнала

ѕо умолчанию каждый файл журнала имеет максимальный размер 512  б. ≈го можно уменьшить или увеличить на величину, кратную 64  б. ќднако общий размер вех файлов журналов не должен превышать 512 ћб.

¬рем€, в течение которого записываютс€ событи€ в каждом журнале, по умолчанию равно 7 дн€м.

„тобы изменить максимальный размер файла журнала или минимальную длительность событий, нужно выбрать его в списке журналов, вызвать правой кнопкой мыши контекстное меню и выбрать строку Properties.

 

»сключение потерь сведений о событи€х безопасности

ѕо умолчанию при заполнении журнала безопасности Windows удал€ет старые записи и на их место записывает новые. ≈сли необходимо, чтобы записанные событи€ никогда не удал€лись автоматически, нужно установить соответствующее свойство журнала безопасности. ќднако нужно понимать, что это радикальное решение: компьютер будет прекращать работу в случае переполнени€ журнала безопасности, если в этот момент работает пользователь, не €вл€ющийс€ администратором (обратите внимание, что если вы зарегистрировались как администратор, просто прекратитс€ прирост журнала безопасности).

ƒл€ исключени€ потерь сведений о событи€х безопасности нужно:

  1. ¬ окне Event Viewer (ѕросмотр событий) выбрать Security (Ѕезопасность), вызвать правой кнопкой мыши контекстное меню и выбрать строку Properties.
  2. Ќа закладке General установить флажок Do not Overwrite Events.
  3. ¬ окне Local Security Settings открыть Security Settings\Local Policies\Security Options.
  4. ƒважды щелкните на опции Audit: Shut Down System Immediately If Unable To Log Security Audit. ¬ыберите Enabled и щелкните OK.
  5. ѕерегрузите компьютер.

 

јрхивирование файлов журнала

„тобы сделать архивную копию журнала, щелкните на нем правой кнопкой мыши и выберите команду Save Log File As. ¬озможны три формата архивных файлов:

Ј evt Ц собственный формат журнала, создающий его точную копию

Ј txt Ц текст, разделенный знаками табул€ции

Ј csv Ц текст, разделенный зап€тыми

 

 

ќграничение доступа к журналам приложений и к системному журналу

ѕо умолчанию журнал приложений и системный журнал могут просматриватьс€ членами группы Everyone, в которую включены все пользователи компьютера. ћожно запретить доступ пользователей-гостей к этим журналам, создав в ветв€х системного реестра





ѕоделитьс€ с друзь€ми:


ƒата добавлени€: 2015-05-05; ћы поможем в написании ваших работ!; просмотров: 1201 | Ќарушение авторских прав


ѕоиск на сайте:

Ћучшие изречени€:

Ћибо вы управл€ете вашим днем, либо день управл€ет вами. © ƒжим –он
==> читать все изречени€...

540 - | 448 -


© 2015-2023 lektsii.org -  онтакты - ѕоследнее добавление

√ен: 0.009 с.