РОСТОВСКИЙ ФИЛИАЛ
Кафедра информационных таможенных технологий и информатики
УТВЕРЖДЕНО
на заседании кафедры,
протокол от 30.01.2014, №6
Заведующий кафедрой
доктор технических наук, доцент
П.Н. Башлы
«30» января 2014 г.
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 9
На тему: Настройка параметров регистрации и аудита событий.
Тема № 2.4. Сервисные функции современных операционных систем.
Модуль №2. Программное обеспечение ЭВМ.
Дисциплина ВЫЧИСЛИТЕЛЬНЫЕ СИСТЕМЫИ СЕТИ
Авторы: Башлы Петр Николаевич;
Учебные вопросы:
1. Управление параметрами регистрации событий.
2. Настройка аудита событий безопасности.
Государственное казенное образовательное учреждение
высшего профессионального образования
РОССИЙСКАЯ ТАМОЖЕННАЯ АКАДЕМИЯ
РОСТОВСКИЙ ФИЛИАЛ
Кафедра информационных таможенных технологий и информатики
УТВЕРЖДАЮ
Заведующий кафедрой
доктор технических наук, доцент
П.Н. Башлы
«30» января 2014 г.
ПЛАН
Проведения практического занятия №9
по дисциплине ВЫЧИСЛИТЕЛЬНЫЕ СИСТЕМЫИ СЕТИ
Модуль №2. Программное обеспечение ЭВМ.
Тема № 2.4. Сервисные функции современных операционных систем.
Практическое занятие № 9. Настройка параметров регистрации и аудита событий.
Учебные вопросы:
1. Управление параметрами регистрации событий.
2. Настройка аудита событий безопасности.
Цель занятия: формирование практических навыков управления параметрами регистрации и аудита, как функций операционной системы.
Литература:
А) Основная
Башлы, П.Н. Вычислительные системы и сети: учебник/ П.Н. Башлы.– Ростов н/Д: Российская таможенная академия, Ростовский филиал, 2012.
|
Б) Дополнительная
Башлы, П.Н. Современные сетевые технологии: Учебное пособие. - М: Горячая линия - Телеком, 2006.
№ п/п | Содержание занятия | Отводимое учебное время, мин. | Применяемые наглядные пособия и ТСО |
1. | Организационная часть: проверка наличия студентов (по журналу) | 10 мин. | |
2. | Вводная часть: - кратко напомнить материал предыдущего занятия; - объявить тему практического занятия; - довести учебные вопросы; - определить место темы в учебном курсе, указать связь с предыдущими темами и междисциплинарные связи; - провести краткий опрос по предыдущему материалу; - отметить актуальность темы и ее практическое значение; - довести цель занятия; - сообщить литературные источники по теме занятия. | Интерактивная доска, проектор, презентация | |
3. | Основная часть (учебные вопросы): | 70 мин. | Интерактивная доска, компьютерная сеть филиала, Internet |
1. Управление параметрами регистрации событий. | 35 мин. | ||
2. Настройка аудита событий безопасности | 35 мин | ||
4. | Заключительная часть: - сделать выводы по теме; - ответить на вопросы студентов; - дать задание на самостоятельную работу; - объявить тему следующего занятия. | 10 мин. | Интерактивная доска, презентация |
Профессор кафедры
информационных таможенных технологий и информатики
П.Н. Башлы
30 января 2014 г.
УПРАВЛЕНИЕ ПАРАМЕТРАМИ РЕГИСТРАЦИИ СОБЫТИЙ
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
|
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Практическими средствами регистрации и аудита являются:
- различные системные утилиты и прикладные программы;
- регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемому администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Задание: активизировать механизмы регистрации и аудита операционной системы Windows и настроить параметры просмотра аудита папок и файлов.
Алгоритм выполнения работы.
А) Активизация механизма регистрации и аудита с помощью оснастки Локальные политики безопасности.
|
1. Выберите кнопку Пуск панели задач.
2. Откройте Панель управления.
3. В открывшемся окне выберите ярлык Администрирование/Локальная политика безопасности.
4. Выберите пункт Политика аудита (рисунок 1).
5. Для включения или отключения параметров аудита выберите требуемый параметр и дважды щелкните левой клавишей мыши.
6. Для каждого параметра можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа (рисунок 2).
7. По умолчанию все параметры политики аудита выключены.
8. Включите аудит успеха и отказа только для аудита входа в систему.
9. Для этого выполните пункт 5.
10. Нажмите кнопку ОК.
11. Значения параметров политики аудита приведены в таблице 1.
Рисунок 1
Рисунок 2
Таблица 1 – Значение параметров аудита системы
Параметр | Значение |
Аудит событий входа в систему | Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии, что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. |
Аудит управления учетными записями | Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся следующие события: - создание, изменение или удаление учетной записи пользователя или группы; - переименование, отключение или включение учетной записи пользователя; - задание или изменение пароля. |
Аудит доступа к службе каталогов | Определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом. |
Аудит входа в систему | Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, или подключиться к нему через сеть. |
Аудит доступа к объектам | Определяет, подлежит ли аудиту событие доступа пользователя к объекту – например, к файлу, папке, разделу реестра, принтеру и т. п., – для которого задана собственная системная таблица управления доступом. |
Аудит изменения политики | Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. |
Аудит использования привилегий | Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. |
Аудит отслеживания процессов | Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. |
Аудит системных событий | Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. |
В) Настройка и просмотр аудита папок и файлов (Доступно только на томах NTFS).
1. Установите указатель мыши на файл или папку, для которой следует выполнить аудит и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств папки или файла перейдите на вкладку Безопасность.
4. На вкладке Безопасность нажмите кнопку Дополнительно и затем перейдите на вкладку Аудит (рис. 3).
5. Если Вы хотите настроить аудит для нового пользователя или группы на вкладке Аудит нажмите кнопку Добавить.
6. Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа.
Рисунок 3
7. Выберите имя нужного пользователя или группы ( выполнять только для своей учетной записи ) и нажмите кнопку ОК. Откроется окно диалога Элемент аудита для (рис. 4). Здесь Вы сможете ввести все необходимые параметры аудита.
Рисунок 4
8. В списке Применять укажите, где следует выполнять аудит (это поле ввода доступно только для папок).
9. В группе Доступ следует указать, какие события следует отслеживать: окончившиеся успешно (Успех), неудачно (Отказ) или оба типа событий.
10. Применять этот аудит к объектам и контейнерам только внутри этого контейнера – определяет, распространяются ли введенные Вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае, установите флажок (или выберите в списке) Применять опцию Только для этой папки. Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса.
11. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.
12. Если Вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Показать/Изменить. Появится окно диалога Элемент аудита для. Здесь Вы сможете выполнить все необходимые изменения параметров аудита для выбранного Вами пользователя или группы. По окончании внесения изменений нажмите кнопку ОК.
Примечание. После включения аудита операционная система Windows начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий в панели управление компьютером (Пуск-Панель управления - Администрирование-Просмотр событий). При просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия. Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.
С) Просмотр событий в журнале событий.
1. Выберите кнопку Пуск панели задач.
2. Выберите Панель управления.
3. В открывшемся окне выберите ярлык Администрирование и далее Просмотр событий.
4. В открывшемся окне выберите пункт Безопасность (рисунок 5).
5. В правой половине открытого окна появится список всех зарегистрированных событий.
Рисунок 5
6. Для просмотра требуемого события вызовите его свойства из контекстного меню или дважды щелкните по его названию левой клавишей мыши.
7. В результате появится окно, как показано на рисунке 6.
8. В показанном примере зафиксирован успех входа с учетной записью BPN-ПК пользователем Админ 23.04.12 в 21.17.49.
9. Таким образом, просмотр журнала событий позволяет в полной мере проанализировать действия пользователей и процессов.
Рисунок 6