Аудит событий безопасности

Лабораторная работа

Аудит событий безопасности в Windows 2000/XP

Цель работы:

1. Научиться активизировать запись событий безопасности в системе Windows 2000/XP.
2. Научиться включать в запись событий безопасности дополнительные события, определенные в системе Windows 2000/XP.
3. Научиться настраивать свойства журнала безопасности и создавать архивные копии
4. Научиться настраивать различные политики безопасности для отдельных пользователей и групп.
5. Научиться пользоваться оснасткой Group Policy и настраивать групповые политики безопасности.
6. Научиться создавать и сохранять шаблоны безопасности.

Вводная информация

Аудит событий безопасности

ОС Windows регистрирует события, связанные с угрозой безопасности, в журнале безопасности Security log, одном из трех журналов, которые можно просматривать в окне приложения Event Viewer.

В отличие от других журналов, отображаемых утилитой Event Viewer, журнал безопасности по умолчанию недоступен в Windows 2000/XP Professional. Запись событий не производится до тех пор, пока вы не включите систему аудита безопасности.

 

Активизация аудита безопасности

1. В панели управления открыть Administrative Tools/Local Security Policy (Админимтрирование /Локальная политика безопасности).
2. В дереве панели выбрать Local Policies/Audit Policy (Локальные политики /Политика Аудита).
3. Дважды щелкнуть мышью на каждой политике, для которой следует включить аудит безопасности, а затем установить флажки Success (Успех) или Failure (Сбой), или оба сразу.

 

Список событий, для которых можно активизировать аудит:

Английское название	Русский перевод
Audit account logon events	Аудит входа в систему
Audit account management	Аудит управления учетными записями
Audit directory service access	Аудит доступа к службам каталогов
Audit logon events	Аудит событий входа в систему
Audit object access	Аудит доступа к объектам
Audit policy change	Аудит изменения политики
Audit privilege use	Аудит использования привилегий
Audit process tracking	Аудит отслеживания процессов
Audit system events	Аудит системных событий

 

Дополнительные политики аудита безопасности

Система Windows 2000/XP позволяет указать дополнительные события, влияющие на аудит безопасности, но не включенные в папку Audit Policy. Эти дополнительные события определены в папке Local Policies/Security Options (Локальные политики /Параметры безопасности).

 

Замечание. Избегайте аудита, если он не нужен! Аудит безопасности отнимает много времени и ресурсов. Если он включен, система регистрирует записи событий для каждой проверки действий системы.

 

Просмотр свойств записи журнала безопасности

Выбрав в журнале (открытом через Event Viewer, Просмотр событий) событие безопасности, вызовите щелчком правой кнопки мыши контекстное меню, в нем выберите строку Properties. Откроется диалоговое окно с подробным описанием свойств зарегистрированного события.

 

Установка размера и времени существования файла журнала

По умолчанию каждый файл журнала имеет максимальный размер 512 Кб. Его можно уменьшить или увеличить на величину, кратную 64 Кб. Однако общий размер вех файлов журналов не должен превышать 512 Мб.

Время, в течение которого записываются события в каждом журнале, по умолчанию равно 7 дням.

Чтобы изменить максимальный размер файла журнала или минимальную длительность событий, нужно выбрать его в списке журналов, вызвать правой кнопкой мыши контекстное меню и выбрать строку Properties.

 

Исключение потерь сведений о событиях безопасности

По умолчанию при заполнении журнала безопасности Windows удаляет старые записи и на их место записывает новые. Если необходимо, чтобы записанные события никогда не удалялись автоматически, нужно установить соответствующее свойство журнала безопасности. Однако нужно понимать, что это радикальное решение: компьютер будет прекращать работу в случае переполнения журнала безопасности, если в этот момент работает пользователь, не являющийся администратором (обратите внимание, что если вы зарегистрировались как администратор, просто прекратится прирост журнала безопасности).

Для исключения потерь сведений о событиях безопасности нужно:

1. В окне Event Viewer (Просмотр событий) выбрать Security (Безопасность), вызвать правой кнопкой мыши контекстное меню и выбрать строку Properties.
2. На закладке General установить флажок Do not Overwrite Events.
3. В окне Local Security Settings открыть Security Settings\Local Policies\Security Options.
4. Дважды щелкните на опции Audit: Shut Down System Immediately If Unable To Log Security Audit. Выберите Enabled и щелкните OK.
5. Перегрузите компьютер.

 

Архивирование файлов журнала

Чтобы сделать архивную копию журнала, щелкните на нем правой кнопкой мыши и выберите команду Save Log File As. Возможны три формата архивных файлов:

· evt – собственный формат журнала, создающий его точную копию

· txt – текст, разделенный знаками табуляции

· csv – текст, разделенный запятыми

 

 

Ограничение доступа к журналам приложений и к системному журналу

По умолчанию журнал приложений и системный журнал могут просматриваться членами группы Everyone, в которую включены все пользователи компьютера. Можно запретить доступ пользователей-гостей к этим журналам, создав в ветвях системного реестра