В журнале безопасности (security log) хранится информация о событиях, которые отслеживаются политикой аудита, например неудачные и успешные попытки регистрации в системе.
Windows XP Professional регистрирует события в журнале безопасности того компьютера, на котором событие произошло. Эти события можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Чтобы просмотреть журнал безопасности удаленного компьютера, откройте консоль ММС и выберите просмотр событий удаленного компьютера.
При первом запуске утилиты Просмотр событий (Event Viewer) автоматически отображаются все события, зарегистрированные в выбранном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных событий применяют команду Найти (Find).
Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр (Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.
В таблице 4.5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.
Управление журналами аудита
Сравнивая данные журналов, записанные в разное время, можно выявлять закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их расширение. Кроме того, в журналах фиксируются попытки неавторизованного использования ресурсов. Windows XP Professional позволяет изменять размер файлов журнала и задавать действия системы при переполнении журнала.
Параметры для фильтрации и поиска событий.
Таблица 4.5
Параметр | Описание |
Типы событий (Event Types) | Типы событий для просмотра |
Источник события (Event Source) | Программа или драйвер компонента, вызвавший событие |
Категория (Category) | Тип события, например попытка входа, выхода или системное событие |
Код события (Event ID) | Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий |
Пользователь (User) | Имя учетной записи пользователя |
Компьютер (Computer) | Имя компьютера |
«С» и «До» (From and To) | Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)] |
Восстановить значения по умолчанию (Restore Defaults) | Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию |
Описание (Description) | Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find) |
Направление поиска (Search Direction) | Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find) |
Найти далее (Find Next) | Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска |
Параметры каждого журнала аудита можно настраивать в отдельности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Действие (Action) щелкните пункт Свойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журнала аудита настраиваются следующие параметры:
• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер журнала составляет 512 кбайт;
• действия Windows XP Professional при достижении файлом журнала предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 4.6.
Архивация журналов
Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 4.7.
Варианты обработки заполненных файлов журнала аудита.
Таблица 4.6
Параметр | Описание |
Удалять старые события по необходимости (Overwrite Events As Needed) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания |
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7) |
He удалять события (Do Not Overwrite Events) | Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности |
Действия для архивации, очистки или просмотра файла журнала.
Таблица 4.7
Действие | Выполните |
Сохранить журнал в архиве | Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла |
Очистить журнал | Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен |
Просмотреть архивированный журнал | Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала |
ЛАБОРАТОРНЫЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ
Первое лабораторное задание
Планирование и настройка политики аудита ресурсов и событий
Планирование политики аудита
Для планирования политики аудита компьютера прежде всего нужно ответить на несколько вопросов.
• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида событий?
Принимая решение, руководствуйтесь правилами, описанными далее.
• Необходимо регистрировать неудачные попытки доступа к компьютеру.
• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.
• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.
• Необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера.
• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.
• Необходимо вести учет процедур резервного копирования для предотвращения хищения данных.
• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.
Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.
Регистрируемое действие | Успех | Отказ |
События входа в систему | ||
Управление учетными записями | ||
Доступ к службе каталогов | ||
Вход в систему | ||
Доступ к объектам | ||
Изменение системной политики | ||
Использование привилегий | ||
Отслеживание процесса | ||
Системные события |
Настройка политики аудита
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле Открыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните Добавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкните кнопку Добавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкните Закрыть (Close).
Заметьте, что в окне Добавить/удалить оснастку (Add/Remove Snap-In) отображается элемент Политика «Локальный компьютер» (Local Computer Policy) несмотря на то, что вы выбрали оснастку Групповая политика (Group Policy). Дело в том, что для локального компьютера Групповая политика (Group Policy) означает то же самое, что и Политика «Локальный компьютер» (Local Computer Policy).
8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкните кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Settings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой панели окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 4.1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства (Properties), появится окно Свойства: аудит входа в систему (Audit Account Logon Events Properties), как показано на рис. 4.2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.
Событие | Успех | Отказ |
События входа в систему | ||
Управление учетными записями | X | |
Доступ к службе каталогов | ||
Вход в систему | X | |
Доступ к объектам | X | X |
Изменение политики | X | |
Использование привилегий | X | |
Отслеживание процесса | X | X |
Системные события |
14. Закройте консоль ММС и сохраните локальную групповую политику.
15. Перезапустите компьютер, чтобы изменения немедленно вступили в силу.
Рис. 4.1. События, для которых можно включить аудит в Windows XP Professional
Рис. 4.2. Окно Свойства: аудит событий входа в систему
Совет: команда gpupdate позволяет обновлять параметры как локальной групповой политики, так и политики для объектов Active Directory, включая параметры безопасности. Чтобы обновить параметры на локальном компьютере, войдите в режим командной строки, наберите gpupdate и нажмите Enter. Для получения более полного описания команды gpupdate в меню Пуск (Start) щелкните Справка и поддержка (Help And Support) и используйте поиск для нахождения строки gpupdate.
4.2. Второе лабораторное задание
Настройка аудита объектов Windows XP Professional
Настройка аудита файлов
1. Войдите в систему с использованием любой учетной записи, входящей в группу Администраторы (Administrators).
2. С помощью Проводника (Windows Explorer) создайте папку с именем Audit в корне системного диска (например, C:\Audit).
3. В папке Audit создайте текстовый файл с именем AUDIT (например, C:\Audit\Audit).
4. Щелкните правой клавишей мыши на файле AUDIT и выберите Свойства (Properties).
5. В диалоговом окне Свойства (Properties) выберите вкладку Безопасность (Security) и щелкните кнопку Дополнительно (Advanced).
Совет: Если в диалоговом окне Свойства (Properties) нет вкладки Безопасность (Security), выясните, находятся ли выбранные файлы и папки в разделе, отформатированном как NTFS? Если компьютер не входит в домен, выключен ли простой общий доступ к файлам (Simple File Sharing)? Для выключения простого общего доступа к файлам щелкните Пуск (Start), щелкните правой кнопкой мыши Мой компьютер (My Computer), затем щелкните пункт меню Проводник (Explore). В меню Сервис (Tools) выберите пункт Свойства папки (Folder Options). На вкладке Вид (View) снимите флажок Использовать простой общий доступ к файлам (Рекомендуется) [Simple File Sharing (Recommended)] и щелкните ОК.
6. В диалоговом окне Дополнительные параметры безопасности для AUDIT выберите вкладку Аудит (Auditing).
7. Щелкните кнопку Добавить (Add).
8. В диалоговом окне Выбор: пользователь или группа (Select User Or Group), в поле Имя (Name), укажите Все (Everyone) и щелкните ОК.
9. В диалоговом окне Элемент аудита для Audit.txt (Audit Entry For Audit.txt) установите флажки Успех (Successful) и Отказ (Failed) для каждого из следующих событий (рис. 4.4.):
• Создание файлов/Запись данных (Create Files/Write Data);
• Удаление (Delete);
• Смена разрешений (Change Permissions);
• Смена владельца (Take Ownership).
Рис. 4.4. События, аудит которых возможен для папок и файлов
10. Щелкните ОК. Windows XP Professional отобразит группу Все (Everyone) в диалоговом окне Дополнительные параметры безопасности для audit.txt (Advanced Security Settings For).
11. Для подтверждения изменений щелкните кнопку ОК.
Настройка аудита принтера
1. Щелкните Пуск (Start), затем — Панель управления (Control Panel), далее щелкните категорию Принтеры и другое оборудование (Printers And Other Hardware) и значок Принтеры и факсы (Printers And Faxes).
2. В окне Принтеры (Printers) щелкните правой кнопкой мыши значок принтера HPColorLaserJet 4500 PS, затем щелкните пункт меню Свойства (Properties).
3. На вкладке Безопасность (Security) щелкните кнопку Дополнительно (Advanced).
4. В диалоговом окне Дополнительные параметры безопасности для HPColorLaserJet 4500 PS, на вкладке Аудит (Auditing), щелкните кнопку Добавить.
5. В диалоговом окне Выбор: пользователь или группа (Select User Or Group), в поле Имя (Name), укажите Все (Everyone) и щелкните ОК.
6. В диалоговом окне Элемент аудита для HPColorLaserJet 4500 PS (Auditing Entry For HP Color LaserJet 4500 PS) установите флажок Успех (Successful) для всех типов событий (рис.4.5.).
Рис. 4.5. События, аудит которых возможен для принтеров
7. Щелкните ОК. Windows XP Professional отобразит группу Все (Everyone) в диалоговом окне Управление доступом для HPColorLaserJet 4500 PS (Access Control Settings For HP Color LaserJet 4500 PS).
8. Для подтверждения изменений щелкните ОК.
9. Закройте окно Свойства HPColorLaserJet 4500 PS (HP Color LaserJet 4500 PS Properties), щелкнув ОК.
10. Закройте окно Принтеры и факсы (Printers And Faxes).
Проверка правильности параметров политики аудита для файла AUDIT
1. Щелкните Пуск (Start), Панель управления (Control Panel), затем — Учетные записи пользователей (User Accounts).
2. Убедитесь, что учетная запись User2 существует и является ограниченной (Limited).
3. Создайте пароль User2 для учетной записи User2.
4. Закройте все окна и выйдите из системы.
5. Зарегистрируйтесь в системе под именем User2, используя пароль.
6. Откройте Проводник (Windows Explorer), затем откройте файл C:\Audit\Audit. В открывшемся окне программы Блокнот (Notepad) появится пустой файл AUDIT.
7. Введите следующий текст: «Этот файл изменен пользователем User2».
8. Попытайтесь сохранить файл. Удалось ли вам сохранить файл? Почему?
9. Закройте файл, не сохраняя его, и завершите работу с системой.
4.3. Третье лабораторное задание