Архивирование журнала безопасности
Архивы содержат информацию более давнюю, нежели текущий журнал. Ее анализ позволяет выявить тенденции в развитии системы, а оценка тенденций — выяснить интенсивность использования ресурсов и спланировать развитие системы. Если Ваша проблема — несанкционированный доступ к ресурсам, изучение тенденций поможет Вам улучшить схему защиты.
При выборе событий для аудита следует учитывать возможность переполнения журнала. Однако этого можно избежать с помощью диалогового окна Event Log Settings (Настройка журнала событий). Оно позволяет управлять:
размером архивируемых журналов:
размер по умолчанию — 512 кб, однако журналы могут быть размером от 64 до 4 194 240 кб;
методом замещения устаревших записей журнала:
Overwrite Events as Needed (Замещать записи по мере необходимости);
Overwrite Events Older than x days (Замещать записи по истечении х дней) — в этом случае нужно указать число дней;
Do Not Overwrite Events (Clear Log Manually) [Записи не замещаются (очистка журнала проводится вручную)] — если Вы выбрали этот режим, Вам понадобится сохранить текущую версию журнала в архиве перед его очисткой.
> Управление размером журнала и методом регистрации событии
В меню Log (Журнал) выберите пункт Log Settings (Настройка журнала). Появится диалоговое окно Event Log Settings (Настройка журнала событий).
Щелкните переключатель Overwrite Events as Needed (По мере необходимости). Самые старые события будут замещаться вновь поступающими. Имейте в виду, что некоторые события регулярно повторяются через небольшие интервалы времени, поэтому использование этого параметра может привести к потере важной информации.
Щелкните кнопку ОК.
> Архивирование журнала безопасности
Убедитесь, что в меню Log (Журнал) активна команда Security (Безопасность) — то есть около нее стоит галочка, — и щелкните пункт Save As (Сохранить как).
Сохраните журнал в папке LabFiles под каким-нибудь информативным именем.
Совет Архивируя журналы безопасности, используйте в имени архивного файла дату. Это позволит быстрее найти нужный файл.
> Очистка журнала безопасности
В меню Log (Журнал) выберите пункт Clear All Events (Очистить все события).
Появится сообщение с вопросом, не хотите ли Вы сохранить журнал перед его закрытием.
Щелкните кнопку No (Нет).
Появится другое сообщение, предупреждающее, что данная операция необратима, и запрашивающее подтверждение необходимости ее выполнение.
Щелкните кнопку Yes (Да).
Обратите внимание на то, что в журнале безопасности появилось системное сообщение.
Дважды щелкните событие, чтобы прочесть его описание. Описание гласит, что журнал аудита был очищен.
Щелкните кнопку Close (Закрыть).
> Просмотр архивированного журнала защиты
В меню Log (Журнал) выберите команду Open (Открыть).
В диалоговом окне Open (Открытие файла) найдите и дважды щелкните заархивированный журнал.
Появится диалоговое окно Open File Type (Открытие журнала).
В группе Open File of Type (Тип файла) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.
Закройте программу Event Viewer и выйдите из системы.
Аудит файлов и папок
После того как стратегия аудита определена, остается выбрать папки и файлы, подлежащие аудиту, указать, какие события этих файлов и папок должны регистрироваться, а также пользователей и группы, действия которых с этими объектами должны отслеживаться. Чтобы вызвать диалоговое окно Directory Auditing (Аудит каталога) или File Auditing (Аудит файла), щелкните правой кнопкой мыши папку или файл в Windows NT Explorer (Проводник), выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит).
В приведенной ниже таблице описаны параметры аудита папок. При настройке аудита файлов эти параметры не появляются на экране.
Действие
Его описание
Установка флажка Replace Auditing on Subdirectories
(Изменить режим аудита для вложенных папок)
Изменения параметров аудита распространятся на все папки, вложенные в данную. По умолчанию изменение параметров аудита сказывается только на выбранной папке и содержащихся в ней файлах
Сброс флажка Replace Auditing on Existing Files
(Изменить режим аудита для существующих файлов)
Изменения параметров аудита распространятся только на папку. По умолчанию этот флажок установлен. Сброс флажка означает неизменность параметров аудита файлов данной папки
В следующей таблице описаны события, аудит которых возможен и для папок, и для файлов.
Событие
Что позволяет отслеживать
Read
(Чтение)
Открытие и копирование файла; просмотр его атрибутов, прав доступа или владельца; просмотр содержимого, атрибутов, прав доступа или владельца папки. Включайте аудит чтения для всей важной информации
Write
(Запись)
Изменение содержимого или атрибутов файла; просмотр прав доступа к нему; создание или копирование файла; создание папки, изменение ее атрибутов, просмотр прав доступа к ней или сведений о ее владельце. Включайте аудит записи для всей важной информации
Execute
(Выполнение)
Просмотр атрибутов файла, прав доступа к нему или имени его владельца, а также запуск программы; изменение папки, просмотр ее атрибутов, прав доступа или имени владельца. Включайте аудит выполнения в сетях с высокими требованиями к безопасности
Delete
(Удаление)
Удаление папок и файлов, копирование файлов. Включайте аудит удаления для всех важных данных в сетях со средними и высокими требованиями к безопасности
Change Permissions
(Смена разрешений)
Изменение прав доступа к файлам или папкам. Включайте аудит смены разрешений в сетях со средними и высокими требованиями к безопасности
Take Ownership
(Смена владельца)
Смену владельца файлов или папок. Включайте аудит смены владельца в сетях со средними и высокими требованиями к безопасности
Аудит группы Everyone
Группа Everyone (Все) очень полезна при аудите. В эту группу входят все локальные и удаленные пользователи, включая и тех, кто зарегистрирован по учетной записи Guest (Гость). Выполняя аудит группы Everyone (Все), Вы можете отслеживать использование ресурса всеми, кто может к нему подключиться, а не только теми, для кого Вы создали учетные записи в домене.
> Аудит файла
В этом упражнении Вы включите режим аудита удаления, изменения прав доступа и смены владельца файла Bronte.txt членами группы Everyone (Все).
Запустите программу Windows NT Explorer (Проводник) и откройте папку LabFiles\Public\Library.
Щелкните правой кнопкой мыши файл Bronte.txt и в появившемся меню выберите пункт Properties (Свойства).
Появится диалоговое окно Bronte Properties (Свойства: Bronte).
Щелкните вкладку Security (Безопасность).
Примечание Аудит возможен только для разделов NTFS. Если в этом диалоговом окне нет вкладки Security (Безопасность), значит, выбранный файл расположен на томе другого типа.
Щелкните кнопку Auditing (Аудит).
Появится диалоговое окно File Auditing (Аудит: файл).
Щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
В списке Names (Имена) щелкните строку Everyone (Все), а затем — кнопку Add (Добавить).
Щелкните кнопку ОК.
Группа Everyone (Все) появится в области Name (Имя) диалогового окна File Auditing (Аудит файла).
Примечание. Для группы или пользователя можно легко отменить аудит, выбрав нужное имя в списке и щелкнув кнопку Remove (Удалить).
В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
Delete (Удаление);
Change Permissions (Смена прав);
Take Ownership (Смена владельца).
Щелкните кнопку ОК, чтобы реализовать изменения. После этого Вы вернетесь в диалоговое окно Bronte Properties (Свойства: Bronte).
Щелкните кнопку ОК, чтобы вернуться в Windows NT Explorer.
Закройте Windows NT Explorer.
Аудит принтера
Аудит принтера аналогичен аудиту папок и файлов. Сначала Вы выбираете стратегию аудита, а затем указываете, какие связанные с принтером события нужно регистрировать, а также группы и пользователей, действия которых над принтером Вы хотите отслеживать. Чтобы вызвать диалоговое окно Printer Auditing (Аудит принтера), дважды щелкните принтер в окне Printers (Принтеры), выберите пункт Properties (Свойства) из меню Printer (Принтер), щелкните вкладку Security (Безопасность) и затем — кнопку Auditing (Аудит).
В приведенной ниже таблице перечислены относящиеся к принтеру события, аудит которых возможен.
Событие
Что позволяет отслеживать
Print (Печать)
Использование принтера. Это полезно для оценки затрат на печать каждого подразделения в отдельности
Full Control (Полный доступ)
Изменение параметров задания на печать; приостановку, перезапуск, перемещение и удаление документов; предоставление принтера в совместное использование; изменение свойств принтера. Это полезно в сетях с высокими требованиями к безопасности
Delete (Удаление)
Удаление заданий на печать. Это полезно в сетях с высокими требованиями к безопасности
Change Permissions (Смена разрешений)
Изменения в правах доступа к принтеру. Это полезно в сетях со средними и высокими требованиями к безопасности
Take Ownership (Смена владельца)
Смену владельца принтера. Это полезно в сетях со средними и высокими требованиями к безопасности
> Аудит принтера
В этом упражнении Вы включите режим аудита успешной печати документов, изменения прав доступа и смены владельца принтера членами группы Everyone (Все).
В меню Start (Пуск) выберите пункт Settings (Настройка), а в появившемся меню щелкните пункт Printers (Принтеры).
В окне Printers (Принтеры) дважды щелкните значок любого принтера.
В меню Printer (Принтер) выберите пункт Properties (Свойства).
Появится диалоговое окно имя_принтера Properties (Свойства имя_принтера).
Щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит). Появится диалоговое окно Printer Auditing (Аудит принтера).
Щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
В списке Names (Имена) щелкните пункт Everyone (Все), а затем — кнопку Add (Добавить).
Щелкните кнопку ОК.
Группа Everyone (Все) появится в области Name (Имя) диалогового окна Printer Auditing (Аудит принтера).
В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
Print (Печать)
Change Permissions (Смена разрешений)
Take Ownership (Смена владельца)
Щелкните кнопку ОК, чтобы реализовать изменения.
Щелкните кнопку ОК, чтобы закрыть диалоговое окно имя_принтера Properties.
Закройте окно имя_принтера.
Закройте окно Printers (Принтеры).
Выйдите из системы.
> Аудит принтера
В этом упражнении Вы включите режим аудита успешной печати документов, изменения прав доступа и смены владельца принтера членами группы Everyone (Все).
В меню Start (Пуск) выберите пункт Settings (Настройка), а в появившемся меню щелкните пункт Printers (Принтеры).
В окне Printers (Принтеры) дважды щелкните значок любого принтера.
В меню Printer (Принтер) выберите пункт Properties (Свойства).
Появится диалоговое окно имя__принтера Properties (Свойства имя_принтера).
Щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит). Появится диалоговое окно Printer Auditing (Аудит принтера).
Щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
В списке Names (Имена) щелкните пункт Everyone (Все), а затем — кнопку Add (Добавить).
Щелкните кнопку ОК.
Группа Everyone (Все) появится в области Name (Имя) диалогового окна Printer Auditing (Аудит принтера).
В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
Print (Печать)
Change Permissions (Смена разрешений)
Take Ownership (Смена владельца)
Щелкните кнопку ОК, чтобы реализовать изменения.
Щелкните кнопку ОК, чтобы закрыть диалоговое окно имя_принтера Properties.
Закройте окно имя_приитера.
Закройте окно Printers (Принтеры).
Выйдите из системы.
Что такое аудит
Настройка аудита позволяет выбрать типы событий, так или иначе связанных с безопасностью, которые должны регистрироваться службой аудита. Когда происходит такое событие, в журнал безопасности компьютера добавляется соответствующая запись. Журнал безопасности — эффективный инструмент контроля событий выбранных Вами типов.
Настройка аудита для контроллеров домена определяет тип и объем протоколирования событий, выполняемого Windows NT Server на всех контроллерах домена; для компьютеров под управлением Windows NT Workstation или для серверов — тип и объем протоколирования событий, выполняемого только на данном компьютере. Вы можете установить единую политику аудита в домене для:
отслеживания успешных и неудачных событий, например попытки зарегистрироваться в системе, считать файл, изменить права пользователей и групп, изменить политику защиты или подключиться к сети;
устранения или уменьшения риска несанкционированного использования ресурсов;
отслеживания тенденций развития сети в течение некоторого периода времени с помощью архивов журнала безопасности; изучение архивов позволит выяснить различные закономерности, например, в использовании файлов и принтеров.
Отбор событий
По умолчанию Event Viewer выводит на экран все события, зарегистрированные в журнале. Если Вас интересуют лишь некоторые из них, имеющие общие характеристики, воспользуйтесь командой Filter Events (Фильтр) меню View (Вид) для отбора событий. Когда режим фильтрования включен, в строке команды Filter Events (Фильтр) меню View (Вид) появится галочка, а в строке заголовка окна Event Viewer — примечание «Filtered» (Фильтр). Если команда Save Settings On Exit (Сохранять настройку при выходе) меню Options (Параметры) активна (в этом случае Вы увидите напротив нее галочку), то при выходе из Event Viewer функция фильтрования сохранится и будет применена к журналу при следующем запуске программы Event Viewer.
Фильтрование не оказывает влияния на содержимое журнала: оно изменяет только его визуальное представление. Все события остаются в журнале вне зависимости от того, применен к ним фильтр или нет.
В таблице описаны параметры диалогового окна Filter (Фильтр).
Параметр
Позволяет
View From/View Through (Начало/конец просмотра)
Указать диапазон дат интересующих Вас событий
Types (Типы событии)
Выбрать типы событии для просмотра
Source (Источник)
Указать программу или драйвер компонента, породившие это событие
Category (Категория)
Указать классификацию события, определяемую источником; например, для журнала безопасности это может быть категория Logon/Logoff
User (Пользователь)
Указать учетную запись пользователя для просмотра вызванных им событий
Computer (Компьютер)
Указать имя компьютера для просмотра вызванных им событий
Event ID (Код события)
Указать код сообщения. Он поможет представителям службы поддержки продукта отыскать нужные события
> Отбор событий категории Logon/Logoff
В меню Log (Журнал) программы Event Viewer выберите пункт Open (Открыть). Появится диалоговое окно Open (Открытие файла).
В папке LabFiles дважды щелкните файл Security.evt.
Появится диалоговое окно Open File Type (Открытие журнала). По умолчанию выбран тип System (Системный журнал).
В группе Open File of Type (Тип журнала) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.
В окне появится журнал безопасности из файла Security.evt.
В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).
В списке Source (Источник) выберите пункт Security.
В списке Category (Категория) выберите пункт Logon/Logoff (Вход/выход) и щелкните кнопку ОК.
Обратите внимание, что рядом с каждым событием нарисован замок, свидетельствующий, что событие закончилось неудачей.
Чтобы посмотреть описание события, дважды щелкните его.
В области Description (Описание) указаны причина неудачного окончания события и имя пользователя, который выполнял это действие (возможно, пытаясь нарушить защиту).
> Отбор событий несанкционированного доступа к папкам и файлам
В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).
В списке Source (Источник) выберите пункт Security (Безопасность).
В списке Category (Категория) щелкните строку Object Access (Доступ к объектам).
В области Types (Типы событий) оставьте установленным только флажок Failure Audit (Аудит отказов), а все остальные — сбросьте.
Щелкните кнопку ОК.
Дважды щелкните каждое событие, чтобы посмотреть его описание. Какой файл вызвал неудачное событие?
ответ
Какое действие пытались совершить над этим файлом? Прокрутите информацию в поле Description (Описание) и обратите внимание на строку Accesses (Доступ).
ответ
Какое действие пытались совершить над
Стр. 306 > Планирование аудита
Вариант ответа:
Logon и Logoff (Вход и выход): Failure (Отказ) — попытки получить доступ к сети;
File and Object Access (Доступ к файлам и объектам): Success (Успех) — обращение к принтеру и Failure (Отказ) — несанкционированный доступ к базе данных;
Use of User Rights (Применение прав пользователей): Success (Успех) — действия администратора и процедуры резервного копирования.
User and Group Management (Управление пользователями и группами): Success (Успех) — действия администратора;
Security Policy Changes (Изменение политики безопасности): Success (Успех) — действия администратора;
Restart, Shutdown and System (Перезагрузка, выключение и системные события): Success (Успех) и Failure (Отказ) — попытки нарушить работу сервера;
Process Tracking (Отслеживание процессов): Success (Успех).
Стр. 319 > Отбор событий несанкционированного доступа к папкам и файлам
Какой файл вызвал неудачное событие?
Wuthering Heights.txt.
Какое действие пытались совершить над этим файлом? Прокрутите информацию в поле Description (Описание) и обратите внимание на строку Accesses (Доступ).
Администратор попытался удалить этот файл.
Packet9-
Глава 9. Аудит ресурсов и событий
В этой главе
Аудит позволяет администратору отслеживать выбранные им действия пользователей. В этой главе объяснены основные понятия и термины, а также содержатся рекомендации по планированию и реализации стратегии аудита домена. Приведенные здесь упражнения позволят Вам на практике спланировать и осуществить аудит, настроить его для файлов и принтеров, а также использовать программу Event Viewer (Просмотр событий) для просмотра зарегистрированных событий и архивирования журнала безопасности.
Прежде всего
Для успешного усвоения материала этой главы Вам необходимо:
выполнить процедуры установки, описанные в разделе «Об этой книге»;
изучить материал о доменах, контроллерах доменов и серверах;
освоить материал об учетных записях пользователей и научиться их создавать;
изучить материал об учетных записях групп, в том числе групп Administrators (Администраторы), Server Operators (Операторы сервера) и Everyone (Все);
установить принтер (если Вы не знаете как, прочитайте главу 7, «Настройка сетевого сервера печати»);
создать учетную запись пользователя с именем User9 (для этого зарегистрируйтесь в системе по учетной записи Administrator, с помощью Проводника Windows NT Explorer откройте папку LabFiles, размещенную на компакт-диске курса, и дважды щелкните файл Chapter9.cmd).
Занятие 1. Основные понятия
Занятие 2. Планирование и реализация аудита
Занятие 3. Просмотр журнала безопасности средствами Event Viewer
Рекомендации
Закрепление материала
Ниже приведены рекомендации по аудиту
Рекомендации
Ниже приведены рекомендации по аудиту ресурсов и событий. Пользуйтесь этими советами при планировании и реализации аудита.
Выработайте полезную и одновременно разумную стратегию аудита. Отслеживайте только события, информирующие Вас о работе сети. Это уменьшит нагрузку на сервер и облегчит поиск нужной информации.
В сетях с минимальными требованиями к безопасности отслеживайте успешные события, если нужно определить загруженность ресурсов. В сетях со средними требованиями к безопасности отслеживайте успешные события, связанные с основными ресурсами, а также успешные попытки изменения административной политики и стратегии безопасности. В сетях с повышенными требованиями к безопасности отслеживайте все успешные события.
В сетях со средними требованиями к безопасности отслеживайте неудачные события. Они могут предупредить Вас о возможных нарушениях защиты. В сетях с повышенными требованиями к безопасности отслеживайте все неудачные события. Во всех сетях необходим аудит важной и конфиденциальной информации.
Подвергайте аудиту группу Everyone (Все), а не Users (Пользователи). Это позволит отследить действия всех пользователей, которые могут подключиться к сети, а не только авторизованных пользователей домена.
Составьте расписание просмотра журналов аудита. Включите такой просмотр в число выполняемых Вами задач администрирования сети.
Архивируйте журналы безопасности для последующего анализа тенденций в работе системы. Это поможет Вам определить интенсивность использования ресурсов и планировать развитие системы.
Примечание Если Вы хотите удалить учетную запись пользователя User9, которая была нужна только для выполнения упражнений этой главы, зарегистрируйтесь по учетной записи Administrator и дважды щелкните файл DeleteChapter9.cmd в папке Cleanup прилагаемого к курсу компакт-диска.
Планирование аудита
Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и их регистрируемые результаты — успех или отказ. Перед тем как развертывать аудит, необходимо принять решение относительно перечисленных ниже параметров аудита. Типы событий, которые должны регистрироваться в Вашей сети.
Чтобы отслеживать...
Включите аудит следующих событии
попытки несанкционированной регистрации
вход в систему и выход из нее
попытки несанкционированного использования ресурсов
использование ресурсов папки и файла
системные задачи, выполняемые пользователем
использование привилегий
изменения в учетных записях пользователей и групп
управление пользователями и группами
изменения привилегий пользователей или стратегии аудита
изменение политики безопасности
попытки манипулирования сервером
перезагрузка или выключение системы
программы, используемые пользователями
отслеживание процессов
Какой результат события должен регистрироваться: успех, отказ или оба.
Регистрация успехов поможет определить, насколько часто пользователи обращаются к определенным файлам или принтерам. Это, в частности, поможет в планировании использования ресурсов. Регистрация отказов будет сигнализировать о попытках нарушения защиты.
В сетях с минимальными требованиями к безопасности подвергайте аудиту:
успешное использование ресурсов, лишь если эта информация Вам необходима для планирования;
успешное использование важной и конфиденциальной информации, например данных платежных ведомостей.
В сетях со средними требованиями к безопасности подвергайте аудиту:
успешное использование важных ресурсов;
успешные и неудачные попытки изменений стратегии безопасности и административной политики;
успешное использование важной и конфиденциальной информации. В сетях с высокими требованиями к безопасности подвергайте аудиту:
успешные и неудачные попытки регистрации пользователей;
успешное и неудачное использование любых ресурсов;
успешные и неудачные попытки изменений стратегии безопасности и административной политики.
Внимание! Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес.
Поиск событий
Чтобы найти события, принадлежащие к определенному типу, источнику или категории, пользуйтесь командой Find (Найти) меню View (Вид). Поиск особенно полезен при просмотре больших журналов. Например, Вы можете найти все события типа «Warning» (Предупреждение), связанные с определенной программой, или все события типа «Error» (Ошибка) ото всех источников.
В отличие от фильтрования режим поиска не позволяет искать события с учетом их даты, однако Вы можете выполнять поиск по тексту в описании событий.
> Поиск событий, связанных с использованием принтера
В меню View (Вид) щелкните пункт All Events (Все события).
В меню View (Вид) выберите команду Find (Найти). Появится диалоговое окно Find (Поиск).
В поле Description (Описание) введите текст printer и щелкните кнопку Find Next (Найти далее).
Будет найдено первое событие, связанное с принтером.
В меню View (Вид) щелкните пункт Detail (Сведения).
В области Description (Описание) содержится информация о том, что пользователь распечатывал файл.
Щелкните кнопку Close (Закрыть).
> Поиск событии, связанных с сервером
В меню View (Вид) выберите команду Find (Hайти) Появится диалоговое окно Find (Поиск).
Щелкните кнопку Clear (Очистить) для очистки параметров диалогового окна.
В поле Description (Описание) наберите текст shutdown и щелкните кнопку Find Next (Найти далее). Будет найдено первое событие, связанное с отключением компьютера.
В меню View (Вид) щелкните пункт Detail (Сведения).
Обратите внимание на время последнего выключения компьютера.
Щелкните кнопку Close (Закрыть).
Просмотр журнала безопасности
В журнал безопасности записываются события, отслеживаемые при аудите. Успешно завершившиеся события отмечены изображением ключа, неудачные — изображением замка. Для каждого события указаны время и дата, когда оно произошло, а также его категория. Категория характеризует тип отслеживаемого события (то есть события, включенного в стратегию аудита).
В приведенной ниже таблице перечислены категории событий Event Viewer с указанием соответствующих им типов событий аудита.
Категория Event Viewer
Соответствующий ей тип события
Object Access (Доступ к объектам)
File and Object Access (Доступ к файлам и объектам)
System Event (Системное событие)
Restart, Shutdown and System (Перезагрузка, выключение и системные события)
Privilege Use (Использование привилегии)
Use of User Rights (Применение привилегий)
Account Management (Учетные записи)
User and Group Management (Управление пользователями и группами)
Logon/Logoff (Вход/выход)
Logon and Logoff (Вход и выход)
Detailed Tracking (Подробное отслеживание)
Process Tracking (Отслеживание процессов)
Policy Change (Изменение политики)
Security Policy Changes (Изменение политики безопасности)
> Создание записей в журнале безопасности
В этом упражнении Вы совершите несколько действий, в результате которых появятся соответствующие записи в журнале безопасности. Таким образом Вы увидите аудит в действии и, кроме того, создадите необходимый материал для следующих упражнений.
Зарегистрируйтесь в системе по учетной записи User9.
В. Windows NT Explorer (Проводник) раскройте папку LabFiles\Public\Library и дважды щелкните файл Bronte.txt, чтобы открыть его.
Закройте файл.
Выйдите из системы, а затем зарегистрируйтесь по учетной записи Administrator.
Создайте какую-нибудь новую учетную запись пользователя.
Перезагрузите компьютер.
> Просмотр журнала безопасности на локальном компьютере
Зарегистрируйтесь в системе по учетной записи Administrator.
В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт Event Viewer (Просмотр событий).
Если Вы впервые запустили Event Viewer, на экране появится системный журнал Вашего компьютера. В противном случае появится журнал, который Вы просматривали в предыдущем сеансе работы программы.
В меню Log (Журнал) выберите пункт Security (Безопасность), если он еще не выбран.
Просмотрите журнал. Обратите внимание на следующие категории событий:
Logon/Logoff (Вход/выход);
Object Access (Доступ к объектам);
Privilege Use (Использование прав);
Account Management (Учетные записи).
Чтобы увидеть описание какого-либо события, дважды щелкните его либо, выделив событие, в меню View (Вид) выберите пункт Detail (Сведения).
> Просмотр журнала безопасности на удаленном компьютере
Если в Вашем распоряжении есть два компьютера, зарегистрируйтесь на втором по учетной записи Administrator и выполните это упражнение.
Примечание Если Ваши компьютеры соединены друг с другом с помощью модема (со скоростью меньше, чем 28800 бит/с), выберите в меню Options (Параметры) пункт Low Speed Connection (Подключение по медленной линии) или в меню Log (Журнал) пункт Select Computer (Выбрать компьютер) и установите флажок Low Speed Connection. Если выбран этот параметр, Windows NT не будет выводить на экран список всех компьютеров домена по умолчанию, тем самым нагрузка на соединение уменьшится.
В меню Log (Журнал) выберите пункт Select Computer (Выбрать компьютер). Появится диалоговое окно Select Computer (Выбор компьютера).
В поле Computer (Компьютер) введите имя удаленного компьютера или дважды щелкните домен и выберите компьютер из списка.
Реализация аудита
Аудит реализуют на том компьютере, события которого собираются отслеживать. Скажем, для аудита событий, происходящих на главном контроллере домена (например, попыток пользователей зарегистрироваться в сети или изменить учетные записи пользователей), необходимо реализовать аудит на главном контроллере домена.
Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.
События заносятся в локальный журнал безопасности компьютера, но пользователь, имеющий административные полномочия на этом компьютере, может просмотреть журнал с любого компьютера. Аудит производится в два этапа.
Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).
Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник); аудит принтеров устанавливается в окне Printers (Принтеры).
одно из средств защиты сети
Аудит — одно из средств защиты сети Windows NT, позволяющее отслеживать действия пользователей и другие системные события в сети.
Настройка аудита позволяет указать типы событий, которые будут регистрироваться и протоколироваться в журнале безопасности.
Аудит, реализованный на контроллере домена, распространяется на все контроллеры этого домена.
Аудит, реализованный на рабочей станции под управлением Windows NT Workstation или сервере, распространяется только на этот компьютер.
Для осуществления аудита файлов и папок их надо разместить на разделе NTFS.
Для настройки аудита Вам необходимо обладать административными полномочиями на данном компьютере.
Дополнительную информацию о...
Планируя стратегию аудита, Вы должны
Планируя стратегию аудита, Вы должны решить, какие ресурсы должны отслеживаться и какие действия над ними — регистрироваться.
Аудит реализуют на том компьютере, события которого хотят отслеживать. Аудит на главном контроллере домена позволяет отслеживать события, происходящие на всех контроллерах домена. Аудит на компьютере, работающем под управлением Windows NT Workstation, или на сервере позволяет отслеживать только события, которые происходят на этом компьютере. Чтобы установить режим аудита, сначала выработайте стратегию аудита для домена или компьютера, укажите события, связанные с папками, файлами и принтерами, которые нужно регистрировать, а затем перечислите пользователей и группы, действия которых над выбранными объектами нужно отслеживать.
Включите аудит группы Everyone, чтобы отслеживать использование ресурсов всеми пользователями, которые могут подключиться к ним, а не только членами домена.
Дополнительную информацию о...
это административное инструментальное средство, предназначенное
Event Viewer — это административное инструментальное средство, предназначенное для просмотра журнала безопасности на любом компьютере под управлением Windows NT.
В журнале безопасности регистрируются успешные и неудачные (в зависимости от выбранного исхода) события, отслеживаемые в процессе аудита.
Чтобы иметь возможность просмотреть журнал безопасности, надо быть членом группы Administrators (Администраторы) или Server Operators (Операторы сервера) на том компьютере, где находится журнал. Если компьютер находится в другом домене, между доменами должны быть установлены необходимые доверительные отношения.
Для отбора событий, которые должны появляться в журнале безопасности при запуске программы Event Viewer, пользуйтесь командами меню Filter Events (Фильтр).
Для поиска событий в журнале безопасности пользуйтесь командами меню Find (Найти).
Архивируйте журналы безопасности для последующего анализа тенденций в работе системе. Это поможет Вам определить интенсивность использования ресурсов и планировать развитие системы.
Дополнительную информацию о...
На каком компьютере нужно включить
Ответы на вопросы к главе 9
На каком компьютере нужно включить режим аудита, чтобы отслеживать попытки регистрации в домене?
Аудит должен быть реализован на главном контроллере домена.
На каком компьютере нужно включить режим аудита, чтобы выполнять аудит папки, расположенной на входящем в домен компьютере под управлением Windows NT Workstation?
Стратегия аудита должна быть реализована на компьютере, где находится папка, — в данном случае на компьютере под управлением Windows NT Workstation.
Какие из приведенных ниже высказываний об установке и администрировании аудита верны? Отметьте все подходящие варианты.
Правильный ответ: А, В и Г.
Какое событие должно быть отмечено в диалоговом окне Audit Policy (Политика аудита), чтобы стал возможным аудит файлов, папок и принтеров?
File and Object Access (Доступ к файлам и объектам)
Закончите предложение: аудит возможен только для папок и файлов, расположенных в разделах _____
Правильный ответ: NTFS.
В какой журнал заносятся события, отслеживаемые при аудите?
Правильный ответ: Б.
Типы журналов
Event Viewer позволяет просмотреть информацию об ошибках и предупреждениях, а также об успешных и неудачных запусках задач. Эта информация хранится в одном из трех описанных ниже журналов.
Системный журнал (System log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей (например, драйвера сетевой карты). Список событий, регистрируемых в этом журнале, предопределен операционной системой Windows NT и компонентами сторонних производителей и не может быть изменен пользователем.
Журнал безопасности (Security log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются, заданной Вами стратегией аудита.
Журнал приложении (Application log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями (системой управления базами данных, программой обработки электронной почты и т.д.). Список событий, регистрируемых в этом журнале, определяется разработчиками приложений.
Программа Event Viewer позволяет просматривать журналы любого компьютера, работающего под управлением Windows NT. Версии этой программы для Windows NT Workstation и Windows NT Server ничем не отличаются.
Условия просмотра журнала безопасности
Журнал безопасности находится на компьютере, на котором реализован аудит. Чтобы просмотреть журнал безопасности, Вам нужно быть членом группы Administrators (Администраторы) или Server Operators (Операторы сервера) компьютера, на котором находится этот журнал.
Например, если аудит установлен на компьютере под управлением Windows NT Workstation или на сервере, для просмотра журнала безопасности Вы должны обладать административными полномочиями на этом компьютере. Если же аудит реализуется на главном контроллере домена, для просмотра журнала безопасности необходимы административные полномочия в домене.
Примечание. Для просмотра журнала безопасности на компьютере другого домена между доменами должны быть установлены необходимые доверительные отношения.
Установка и настройка аудита
Аудит может быть установлен на любом компьютере, работающем под управлением Windows NT, однако аудит файлов и папок возможен только для разделов NTFS.
Для настройки аудита Вам необходимо:
быть членом группы Administrators (Администраторы) того компьютера, на котором Вы собираетесь настраивать политику аудита,
или же обладать привилегией Manage auditing and security log (Управление аудитом и журналом безопасности) — по умолчанию она присваивается группе Administrators (Администраторы).
Примечание Члены группы Server Operators (Операторы сервера) не могут управлять аудитом; однако они могут администрировать журналы защиты и, в частности, просматривать и архивировать их.
Эти вопросы помогут Вам лучше
Эти вопросы помогут Вам лучше усвоить основные темы данной главы. Если Вы не сумеете ответить на вопрос, повторите материал соответствующего занятия.
На каком компьютере нужно включить режим аудита, чтобы отслеживать попытки регистрации в домене?
ответ
На каком компьютере нужно включить режим аудита, чтобы выполнять аудит папки, расположенной на входящем в домен компьютере под управлением Windows NT Workstation?
ответ
Какие из приведенных ниже высказываний об установке и администрировании аудита верны? Отметьте все подходящие варианты.
А. Аудит могут устанавливать только члены группы Administrators (Администраторы).
Б. Аудит могут устанавливать только члены групп Administrators (Администраторы) и Server Operators (Операторы сервера).
В. Аудит могут устанавливать и администрировать пользователи, имеющие привилегию Manage auditing and security log (Управление аудитом и журналом безопасности).
Г. Администрирование аудита разрешено только членам групп Administrators (Администраторы) и Server Operators (Операторы сервера).
Д. Администрирование аудита разрешено только членам группы Server Operators (Операторы сервера).
ответ
Какое событие должно быть отмечено в диалоговом окне Audit Policy (Политика аудита), чтобы стал возможным аудит файлов, папок и принтеров?
ответ
Закончите предложение: аудит возможен только для папок и файлов, расположенных в разделах ________________________________
ответ
В какой журнал заносятся события, отслеживаемые при аудите? А. В системный журнал Б. В журнал безопасности В. В журнал приложений Г. В журнал ошибок
ответ
Выбор доменной стратегии аудита
Первый этап разработки стратегии аудита — выбор событий, подлежащих аудиту, в диалоговом окне Audit Policy (Политика аудита) программы User Manager for Domains (Диспетчер пользователей доменов). Это окно открывается командой Audit (Аудит) меню Policies (Политика).
В приведенной ниже таблице описаны типы событий, которые могут регистрироваться.
Тип событий
Что позволяет отслеживать
Logon and Logoff
(Вход и выход)
Регистрацию пользователя в системе или выход из нее, а также установку и разрыв сетевого соединения
File and Object Access
(Доступ к файлам и объектам)
Доступ пользователей к папкам, файлам и принтерам, подлежащих аудиту. Чтобы выполнять аудит файлов и принтеров, установите этот флажок
Use of User Rights
(Применение привилегий)
Использование привилегий пользователей (за исключением привилегий, связанных с регистрацией в системе и выходом из нее)
User and Group Management
(Управление пользователями и группами)
Создание, изменение (переименование, отключение, изменение пароля и т.д.) и удаление учетных записей пользователей и групп, а также изменения в ограничениях учетной записи (время работы и рабочие станции, на которых разрешена регистрация)
Security Policy Changes
(Изменение политики безопасности)
Изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений
Restart, Shutdown and System
(Перезагрузка, выключение и системные события)
Перезапуск или выключение компьютера пользователем, либо возникновение ситуации, влияющей на безопасность системы (например, когда журнал аудита переполняется и информация о событиях утрачивается)
Process Tracking
(Отслеживание процессов)
События, которые вызывают запуск программ, например выбор программы в меню Start (Пуск) или щелчок ссылки на Web-странице, повлекший запуск программы установки
Примечание Если Вы реализуете аудит на компьютере под управлением Windows NT Workstation или на сервере, то необходимо использовать программу User Manager (Диспетчер пользователей). Параметры диалоговых окон Audit Policy (Политика аудита) программ User Manager и User Manager for Domains одинаковы.
> Планирование аудита
Предположим, Вам как администратору Квебекского офиса компании «Разноимпорт» необходимо спланировать стратегию аудита для Вашего домена. Требования к безопасности сети Вашей компании несколько выше среднего уровня. Предварительно Вам надо решить, какие типы событий и их результатов следует регистрировать. Принимая решение, воспользуйтесь нашими рекомендациями:
регистрируйте неудачные попытки войти в сеть;
регистрируйте попытки несанкционированного доступа к базе данных, содержащей платежные ведомости и картотеку сотрудников;
для контроля расходов отслеживайте все случаи использования цветных принтеров;
регистрируйте любые попытки манипулирования сервером;
ведите журнал действий, выполненных администратором, чтобы выявить несанкционированные изменения;
отслеживайте выполнение процедур резервного копирования, чтобы предотвратить утечку данных;
отслеживайте, какие пользователи играют в компьютерные игры.
ответ
Запишите свои решения прямо на приведенном ниже рисунке.
> Развертывание аудита
В этом упражнении Вы реализуете аудит на основании плана, выработанного Вами в предыдущем упражнении.
Зарегистрируйтесь в системе по учетной записи Administrator.
В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
В меню Policies (Политика) выберите пункт Audit (Аудит). Появится диалоговое окно Audit Policy (Политика аудита).
Щелкните переключатель Audit These Events (Аудит событий).
На основании своего плана установите для требуемых событий соответствующие флажки — Success (Успех), Failure (Отказ) или оба.
Щелкните кнопку ОК.
Закройте User Manager for Domains.
Основные понятия
(Продолжительность занятия 10 минут)
Аудит — одно из средств защиты сети Windows NT. С его помощью Вы можете отслеживать действия пользователей и другие системные события в сети. Фиксируются следующие параметры:
выполненное действие;
имя пользователя, выполнившего действие;
дата и время выполнения действия.
На этом занятии Вы познакомитесь со средствами аудита Windows NT.
Изучив материал этого занятия, Вы сможете:
рассказать о назначении и цели аудита;
разъяснить требования, необходимые для реализации аудита.
