Практика 9.
Цель работы: Создание пользовательской консоли администрирования ММС, выполняющей функции аудита системных процессов и событий в ОС Windows XP.
Порядок выполнения:
I. В широком смысле аудитом называется регистрация каких-либо действий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего аудиту, является неудачная попытка доступа к системе. Наиболее общими типами событий, подлежащих аудиту в ОС, являются:
– доступ к таким объектам, как файлы и папки;
– управление учетными записями пользователей и групп;
– вход пользователей в систему и выход из нее.
Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий аудита, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно, администратор может создать политику аудита, удовлетворяющую всем требованиям организации.
К числу категорий событий, предназначенных для контроля, относятся:
– аудит событий входа в систему;
– аудит управления учетными записями;
– аудит доступа к службе каталогов;
– аудит входа в систему;
– аудит доступа к объектам;
– аудит изменения политики;
– аудит использования привилегий;
– аудит отслеживания процессов и системных событий.
В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию). Кроме того, с целью уменьшения риска угроз системной безопасности в целом администратор должен предпринять следующие базовые шаги, направленные на обеспечение аудита в системе.
Основные события аудита и угрозы безопасности, отображаемые при помощи этого события, сведены в табл. 9.1. Дополнительная информация по данной тематике доступна в соответствующих разделах справки ОС Windows XP (Пуск | Справка и поддержка).
Задание №9.1. Изучить основные возможности оснасток, предназначенных для обеспечения аудита системных процессов и событий в ОС Windows XP на конкретных примерах.
Секция A. Ознакомление с основными возможностями оснастки «Групповая политика», предназначенными для функций аудита ОС Windows XP.
Таблица 9.1. Основные события аудита в ОС Windows XP
Формирование политики аудита объектов в системе осуществляется посредством оснастки «Групповая политика»; в частности, с ее помощью устанавливаются и настраиваются параметры политики аудита.
Для ознакомления с возможностями оснастки «Групповая политика» выполните следующее.
1. Локально добавьте на вновь созданную консоль администрирования, системную оснастку «Редактор объекта групповая политика».
2. В дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита» для настройки локальных политик аудита.
3. Настройте политики аудита. Для этого в области сведений дважды щелкните на политике аудита, для которой необходимо изменить параметры аудита и установите один или оба флажка («успех» или «отказ») для успешных или неуспешных системных событий, которые необходимо регистрировать. Повторите действия указанные в текущем пункте секции для других политик аудита в случае необходимости.
4. Настройте аудит файлов и папок. Для этого измените параметры «успех» или «отказ» категории событий «Аудит доступа к объектам».
Выберите папку для аудита. Если в «Свойствах» объекта отсутствует вкладка «Безопасность», выполните следующее:
– в дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация пользователя | Административные шаблоны | Компоненты Windows | Проводник»;
– в области сведений дважды щелкните на «Удалить вкладку «Безопасность», измените системный параметр на «Отключено» на одноименной вкладке и подтвердите выбор, кликнув OK;
– выберите команду Панель управления в меню Пуск, откройте компонент «Свойства папки» на панели управления, дважды щелкнув по нему мышью, и на вкладке «Вид» в группе «Дополнительные параметры | Файлы и папки» снимите флажок «Использовать простой общий доступ к файлам (рекомендуется)».
Далее укажите файлы или папки для аудита, выполнив следующие действия:
– на вкладке «Безопасность» команды «Свойства» файла или папки нажмите кнопку «Дополнительно»,
– на вкладке «Аудит» нажмите кнопку «Добавить»,
– в диалоговом окне «Выбор: пользователь, компьютер или группа» выберите имя пользователя или группы, для действий которых требуется производить аудит файлов и папок, и нажмите кнопку OK для подтверждения выбора;
– в появившемся диалоговом окне «Элемент аудита» в группе «Доступ» установите флажки «успех», «отказ» или оба эти флажка одновременно напротив действий, для которых требуется провести аудит,
– выберите из выпадающего меню «Применить:» опцию «Для этой папки и ее подпапок» (или любую другую опцию на Ваш выбор), а затем нажмите кнопку OK и Применить для подтверждения ввода.
5. Не закрывая консоль администрирования ММС, сохраните ее.
Секция B. Ознакомление с основными возможностями оснастки «Просмотр событий» в ОС Windows XP.
В предыдущей секции был изучен вопрос организации и настройки аудита системных событий различных категорий, в частности, событий, связанных с обеспечением безопасности ОС. Однако помимо указанных в ОС Windows XP дополнительно имеются события других категорий, например, события, связанные с работой приложений и программ. Поскольку, аудит предполагает регистрацию различного рода системных событий (табл. 9.2), имеющих место в операционной среде, их регистрация в ОС Windows XP осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале приложений содержатся данные, относящиеся к работе приложений. Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствующих приложений. Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в ОС, а также о событиях, относящихся к использованию системных ресурсов. В частности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущей секции учебного задания. В журнале системы содержатся события системных компонентов ОС. Так, например, в журнале системы регистрируются сбои при загрузке драйвера или других программных компонентов в момент запуска системы. В дополнение к существующим ОС Windows XP имеет в своем распоряжении еще два журнала: службы каталогов и службы репликации файлов, запись событий в которые выполняется в случае, если компьютер настроен в качестве контроллера домена.
Таблица 9.2. Типы системных событий в ОС Windows XP
В журнале службы каталогов содержатся события, заносимые службой каталогов ОС Windows XP. Например, проблемы соединения между сервером и общим каталогом записываются в этот журнал. Журнал службы репликации файлов содержит записи о системных событиях, внесенных службой репликации файлов ОС Windows XP. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена обновляются данными об изменениях из общей папки Sysvol, где хранится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журнал DNS-сервера, в который записываются сообщения о системных событиях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.
В ОС Windows XP за регистрацию системных событий в описанных выше журналах отвечает специальная служба, называемая службой журнала событий, которая загружается автоматически при старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользователь может просматривать журналы приложений и системы, однако журналы безопасности доступны только системному администратору, который предварительно должен настроить параметры системных событий аудита (табл. 9.1), воспользовавшись компонентом «Групповая политика». В настоящей секции предполагается изучить основные возможности регистрации системных событий различных категорий посредством имеющегося в ОС Windows XP служебного инструмента – оснастки «Просмотр событий».
Для ознакомления с возможностями данной оснастки выполните следующее.
1. Локально добавьте на открытую консоль администрирования новую системную оснастку «Просмотр событий».
2. В дереве консоли щелкните манипулятором мышь по оснастке «Просмотр событий» и обратите внимание на появившиеся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов системных событий (табл. 9.2). При этом обратите внимание на то, что такие типы событий как аудиты отказов и успехов присущи только журналу безопасности, который был Вами настроен в предыдущей секции. Остальные типы событий встречаются как в журнале приложений, так и в журнале системы.
3. Воспользовавшись меню «Вид» изучаемой оснастки, отфильтруйте:
– в журнале Приложение событие «Уведомление» за прошедшее время,
– в журнале Безопасность событие «Аудит отказов»,
– в журнале С истема событие «Ошибка» за последние 30 минут, с сортировкой по времени «от новых к старым».
4. В окне журнала событий системы удалите столбцы «Пользователь», «Компьютер» и «Категория», оставив остальные.
5. Воспользовавшись системой поиска, найдите событие типа «Уведомление» с кодом 1800 от источника SecurityCenter в журнале Приложение.
6. Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность затирания старых событий по необходимости. Сохраните созданный журнал в двоичном виде с расширением .evt.
7. Не закрывая консоль администрирования ММС, сохраните ее.