Просмотр журнала безопасности

В журнале безопасности (security log) хранится информация о собы­тиях, которые отслеживаются политикой аудита, например неудач­ные и успешные попытки регистрации в системе.
Windows XP Professional регистрирует события в журнале безопас­ности того компьютера, на котором событие произошло. Эти собы­тия можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Что­бы просмотреть журнал безопасности удаленного компьютера, от­кройте консоль ММС и выберите просмотр событий удаленного ком­пьютера.
При первом запуске утилиты Просмотр событий (Event Viewer) авто­матически отображаются все события, зарегистрированные в выбран­ном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных собы­тий применяют команду Найти (Find).
Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр (Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.
В таблице 4.5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.

Управление журналами аудита

Сравнивая данные журналов, записанные в разное время, можно вы­являть закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их рас­ширение. Кроме того, в журналах фиксируются попытки неавтори­зованного использования ресурсов. Windows XP Professional позволя­ет изменять размер файлов журнала и задавать действия системы при переполнении журнала.

Параметры для фильтрации и поиска событий.

Таблица 4.5

Параметр	Описание
Типы событий (Event Types)	Типы событий для просмотра
Источник события (Event Source)	Программа или драйвер компонента, вызвавший событие
Категория (Category)	Тип события, например попытка входа, выхода или системное событие
Код события (Event ID)	Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий
Пользователь (User)	Имя учетной записи пользователя
Компьютер (Computer)	Имя компьютера
«С» и «До» (From and To)	Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)]
Восстановить значения по умолчанию (Restore Defaults)	Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию
Описание (Description)	Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find)
Направление поиска (Search Direction)	Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find)
Найти далее (Find Next)	Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска

Параметры каждого журнала аудита можно настраивать в отдель­ности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Дей­ствие (Action) щелкните пункт Свойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журна­ла аудита настраиваются следующие параметры:
• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер жур­нала составляет 512 кбайт;
• действия Windows XP Professional при достижении файлом журна­ла предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 4.6.

Архивация журналов

Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохра­нять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный жур­нал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 4.7.

Варианты обработки заполненных файлов журнала аудита.

Таблица 4.6

Параметр	Описание
Удалять старые события по необходимости (Overwrite Events As Needed)	Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days)	Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7)
He удалять события (Do Not Overwrite Events)	Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности

Действия для архивации, очистки или просмотра файла журнала.

Таблица 4.7

Действие	Выполните
Сохранить журнал в архиве	Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла
Очистить журнал	Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен
Просмотреть архиви­рованный журнал	Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала

ЛАБОРАТОРНЫЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ

Первое лабораторное задание

Планирование и настройка политики аудита ресурсов и событий

Планирование политики аудита

Для планирования политики аудита компьютера прежде всего нужно ответить на несколько вопросов.
• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида со­бытий?
Принимая решение, руководствуйтесь правилами, описанными далее.
• Необходимо регистрировать неудачные попытки доступа к ком­пьютеру.
• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.
• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.
• Необходимо следить, не пытается ли кто-либо изменить аппарат­ную конфигурацию компьютера.
• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.
• Необходимо вести учет процедур резервного копирования для пре­дотвращения хищения данных.
• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.
Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.

Регистрируемое действие	Успех	Отказ
События входа в систему
Управление учетными записями
Доступ к службе каталогов
Вход в систему
Доступ к объектам
Изменение системной политики
Использование привилегий
Отслеживание процесса
Системные события

Настройка политики аудита

1. Войдите в систему под любой учетной запи­сью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле От­крыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните До­бавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щел­кните кнопку Добавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Stan­dalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Stan­dalone Snap-In) щелкните Закрыть (Close).

Заметьте, что в окне Добавить/удалить оснастку (Add/Remove Snap-In) отображается элемент Политика «Локальный компьютер» (Local Computer Policy) несмотря на то, что вы выбрали оснастку Груп­повая политика (Group Policy). Дело в том, что для локального ком­пьютера Групповая политика (Group Policy) означает то же самое, что и Политика «Локальный компьютер» (Local Computer Policy).

8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкни­те кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локаль­ный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Set­tings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой пане­ли окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 4.1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства (Pro­perties), появится окно Свойства: аудит входа в систему (Audit Account Logon Events Properties), как показано на рис. 4.2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.

Событие	Успех	Отказ
События входа в систему
Управление учетными записями	X
Доступ к службе каталогов
Вход в систему		X
Доступ к объектам	X	X
Изменение политики	X
Использование привилегий	X
Отслеживание процесса	X	X
Системные события

14. Закройте консоль ММС и сохраните локальную групповую поли­тику.
15. Перезапустите компьютер, чтобы изменения немедленно вступи­ли в силу.

Рис. 4.1. События, для которых можно включить аудит в Windows XP Professional

 

Рис. 4.2. Окно Свойства: аудит событий входа в систему

 

Совет: команда gpupdate позволяет обновлять параметры как локаль­ной групповой политики, так и политики для объектов Active Directory, включая параметры безопасности. Чтобы обновить параметры на ло­кальном компьютере, войдите в режим командной строки, наберите gpupdate и нажмите Enter. Для получения более полного описания ко­манды gpupdate в меню Пуск (Start) щелкните Справка и поддержка (Help And Support) и используйте поиск для нахождения строки gpupdate.

4.2. Второе лабораторное задание
Настройка аудита объектов Windows XP Professional

Настройка аудита файлов

1. Войдите в систему с использованием любой учетной записи, входящей в группу Администраторы (Administrators).
2. С помощью Проводника (Windows Explorer) создайте папку с име­нем Audit в корне системного диска (например, C:\Audit).
3. В папке Audit создайте текстовый файл с именем AUDIT (напри­мер, C:\Audit\Audit).
4. Щелкните правой клавишей мыши на файле AUDIT и выберите Свойства (Properties).
5. В диалоговом окне Свойства (Properties) выберите вкладку Безо­пасность (Security) и щелкните кнопку Дополнительно (Advanced).

Совет: Если в диалоговом окне Свойства (Properties) нет вкладки Бе­зопасность (Security), выясните, находятся ли выбранные файлы и пап­ки в разделе, отформатированном как NTFS? Если компьютер не вхо­дит в домен, выключен ли простой общий доступ к файлам (Simple File Sharing)? Для выключения простого общего доступа к файлам щелкни­те Пуск (Start), щелкните правой кнопкой мыши Мой компьютер (My Computer), затем щелкните пункт меню Проводник (Explore). В меню Сервис (Tools) выберите пункт Свойства папки (Folder Options). На вкладке Вид (View) снимите флажок Использовать простой общий доступ к файлам (Рекомендуется) [Simple File Sharing (Recommended)] и щелкните ОК.

6. В диалоговом окне Дополнительные параметры безопасности для AUDIT выберите вкладку Аудит (Auditing).
7. Щелкните кнопку Добавить (Add).
8. В диалоговом окне Выбор: пользователь или группа (Select User Or Group), в поле Имя (Name), укажите Все (Everyone) и щелкните ОК.
9. В диалоговом окне Элемент аудита для Audit.txt (Audit Entry For Audit.txt) установите флажки Успех (Successful) и Отказ (Failed) для каждого из следующих событий (рис. 4.4.):
• Создание файлов/Запись данных (Create Files/Write Data);
• Удаление (Delete);
• Смена разрешений (Change Permissions);
• Смена владельца (Take Ownership).

Рис. 4.4. События, аудит которых возможен для папок и файлов

10. Щелкните ОК. Windows XP Professional отобразит группу Все (Eve­ryone) в диалоговом окне Дополнительные параметры безопасности для audit.txt (Advanced Security Settings For).
11. Для подтверждения изменений щелкните кнопку ОК.

Настройка аудита принтера

1. Щелкните Пуск (Start), затем — Панель управления (Control Panel), далее щелкните категорию Принтеры и другое оборудование (Prin­ters And Other Hardware) и значок Принтеры и факсы (Printers And Faxes).
2. В окне Принтеры (Printers) щелкните правой кнопкой мыши зна­чок принтера HPColorLaserJet 4500 PS, затем щелкните пункт меню Свойства (Properties).
3. На вкладке Безопасность (Security) щелкните кнопку Дополнитель­но (Advanced).
4. В диалоговом окне Дополнительные параметры безопасности для HPColorLaserJet 4500 PS, на вкладке Аудит (Auditing), щелкните кнопку Добавить.
5. В диалоговом окне Выбор: пользователь или группа (Select User Or Group), в поле Имя (Name), укажите Все (Everyone) и щелкните ОК.
6. В диалоговом окне Элемент аудита для HPColorLaserJet 4500 PS (Auditing Entry For HP Color LaserJet 4500 PS) установите флажок Успех (Successful) для всех типов событий (рис.4.5.).

Рис. 4.5. События, аудит которых возможен для принтеров

7. Щелкните ОК. Windows XP Professional отобразит группу Все (Eve­ryone) в диалоговом окне Управление доступом для HPColorLaserJet 4500 PS (Access Control Settings For HP Color LaserJet 4500 PS).
8. Для подтверждения изменений щелкните ОК.
9. Закройте окно Свойства HPColorLaserJet 4500 PS (HP Color LaserJet 4500 PS Properties), щелкнув ОК.
10. Закройте окно Принтеры и факсы (Printers And Faxes).

Проверка правильности параметров политики аудита для файла AUDIT
1. Щелкните Пуск (Start), Панель управления (Control Panel), затем — Учетные записи пользователей (User Accounts).
2. Убедитесь, что учетная запись User2 существует и является огра­ниченной (Limited).
3. Создайте пароль User2 для учетной записи User2.
4. Закройте все окна и выйдите из системы.
5. Зарегистрируйтесь в системе под именем User2, используя пароль.
6. Откройте Проводник (Windows Explorer), затем откройте файл C:\Audit\Audit. В открывшемся окне программы Блокнот (Note­pad) появится пустой файл AUDIT.
7. Введите следующий текст: «Этот файл изменен пользователем User2».
8. Попытайтесь сохранить файл. Удалось ли вам сохранить файл? Почему?
9. Закройте файл, не сохраняя его, и завершите работу с системой.
4.3. Третье лабораторное задание