ЛАБОРАТОРНАЯ РАБОТА № 5
АУДИТ РЕСУРСОВ И СОБЫТИЙ СИСТЕМЫ ЗАЩИТЫ
1 Цель работы: является получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows XP.
2 Общие положения
2.1. Понятие и свойства аудита ресурсов и событий
Аудит – одна из функций групповой политики Windows XP Professional. Подсистема аудита (auditing) – это инструмент, предназначенный для поддержания безопасности в сети и позволяющий отслеживать действия пользователей, а также действия операционной системы Windows XP Professional, называемые событиями (events). Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности (security.log). В нем хранятся записи об успешных и неудачных попытках входа в систему и о таких событиях, как создание, открытие и закрытие файлов или других объектов. Запись аудита в журнале безопасности содержит данные о:
• выполненных операциях;
• пользователях, выполнивших операцию;
• успешном или неуспешном выполнении операции, кроме того, указывается время, когда произошло данное событие.
Планирование политики аудита
Понятие о политике аудита
Политика аудита (audit policy) задает типы событий системы безопасности, которые Windows XP Professional регистрирует в журнале безопасности каждого компьютера. Журнал безопасности позволяет отслеживать заданные события.
Система Windows XP Professional регистрирует событие в журнале безопасности того компьютера, на котором событие происходит. Так, каждый раз, когда кто-нибудь пытается войти в систему и попытка входа оказывается неудачной, Windows XP Professional регистрирует событие в журнале безопасности данного компьютера.
Можно настроить политику аудита для данного компьютера на выполнение следующих операций:
• выявление успешных или неудачных действий, например попыток входа пользователей в систему или отдельного пользователя прочитать указанный файл, изменения учетной записи пользователя или принадлежности к группе, изменение параметров безопасности;
• исключение или минимизация риска неавторизованного использования ресурсов.
Для просмотра событий, зарегистрированных системой Window-XP Professional в журнале безопасности, используется утилита. Просмотр событий (Event Viewer). Можно также сохранять файлы журнала в архиве для выяснения закономерностей за указанный период времени – например, чтобы определить частоту использования принтеров или файлов или выявление попыток неавторизованного использования ресурсов.
Определение событий, подлежащих регистрации
При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.
Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизованный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь правилами:
• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.
Реализация политики аудита
Аудит – мощный инструмент для отслеживания событий, происходящих на компьютерах в вашем офисе. Прежде чем применять аудит, следует продумать требования к нему и установить политику аудита. Далее можно выполнять аудит файлов, папок и принтеров.
Конфигурация аудита
На компьютерах с Windows XP Professional политики аудита устанавливаются для каждого компьютера в отдельности. Для установки и администрирования аудита необходимо:
• иметь право пользователя Управление аудитом и журналом безопасности (Manage Auditing And Security Log) на том компьютере, на котором планируется установить политику аудита или просмотреть журнал безопасности. По умолчанию в Windows XP Professional такие права имеет группа Администраторы (Administrators);
• разместить файлы и папки, аудит которых планируется, на томах с файловой системой NTFS.
Настройка аудита
Настройка аудита выполняется в два этапа.
1. Задание политики аудита. Политика аудита разрешает аудит объектов, но не инициирует аудит заданных объектов.
2. Разрешения аудита заданных ресурсов. Для файлов, папок, принтеров и объектов Active Directory назначаются конкретные события, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.
Установка политики аудита
На первом этапе установки политики аудита в Windows XP Professional необходимо выбрать типы событий, подлежащих регистрации. Для каждого регистрируемого события в параметрах указывается, какие попытки следует отслеживать – успешные или неудачные. Политика аудита на локальном компьютере устанавливается средствами оснастки Групповая политика, которую можно запустить, используя Консоль управления ММС (Microsoft Management Console) и добавив в консоль оснастку Групповая политика (Group Policy). В таблице 2.1 перечислены типы событий, регистрируемые в Windows XP Professional.
Таблица 2.1 – Типы событий, регистрируемых Windows XP Professional
|
Событие |
Описание |
|
Вход в систему под заданной учетной записью |
Контроллер домена получил запрос на проверку учетной записи пользователя (применяется только в тех случаях, когда компьютер с Windows XP Professional входит в домен Microsoft Windows 2000) |
|
Управление учетными записями |
Администратор создал, изменил или удалил учетную запись пользователя или группу. Некоторая учетная запись была переименована, отключена или включена, или для нее был назначен или изменен пароль |
|
Доступ к службе каталогов |
Пользователь получил доступ к объекту Active Directory. Для регистрации событий этого типа нужно сконфигурировать аудит для определенных объектов Active Directory (Active Directory можно применять, только если компьютер с Windows XP Professional входит в домен Microsoft Windows 2000) |
|
Вход в систему |
Пользователь локально вошел в систему или вышел из нее, или подключился к компьютеру через сеть (или отключился от него) |
|
Доступ к объектам |
Пользователь получил доступ к файлу, папке или принтеру. Определенные файлы, папки или принтеры должны быть настроены для аудита. В этом случае регистрируется доступ пользователей к файлам, папкам и принтерам |
|
Изменение системной политики |
Изменены пользовательские параметры безопасности, права пользователя или политика аудита |
|
Использование привилегий |
Пользователь применил права, например изменил системное время (в этом случае не подразумеваются права, связанные с регистрацией в системе или с выходом из нее) |
|
Отслеживание процесса |
Программа выполнила действие. Эта информация важна главным образом для программистов, которым нужно детально проследить выполнение программы |
|
Системные события |
Пользователь перезапустил или выключил компьютер, или произошло событие, повлиявшее на безопасность Windows XP Professional или на журнал безопасности. Например, журнал аудита переполнился и Windows XP Professional начинает игнорировать поступающие сообщения о событиях |
После настройки параметров политики аудита имейте в виду, что изменения в политике аудита компьютера вступают в силу только после перезагрузки.
Аудит доступа к файлам и папкам
Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 2.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.
Таблица 2.2 – События для файлов и папок, вызываемые действиями пользователей
|
Событие |
Действие пользователя, вызвавшее событие |
|
|
Переход в папку/Выполнение файла (Traverse Folder/Execute File) |
Запуск программы или получение доступа к папке при смене текущей папки |
|
|
Получение списка файлов/Чтение данных (List Folder/Read Data) |
Просмотр содержимого файла или папки |
|
|
Чтение атрибутов (Read Attributes) |
Просмотр атрибутов файла или папки |
|
|
Чтение расширенных атрибутов (Read Extended Attributes) |
Просмотр атрибутов файла или папки |
|
|
Создание файлов/Запись данных (Create Files/Write Data) |
Изменение содержимого файла или создание новых файлов в папке |
|
|
Создание папок/Добавление данных (Create Folders/Append Data) |
Создание папок внутри папок |
|
|
Запись атрибутов (Write Attributes) |
Изменение атрибутов файла или папки |
|
|
Запись расширенных атрибутов (Write Extended Attributes) |
Изменение атрибутов файла или папки |
|
|
Удаление вложенных папок и файлов (Delete Subfolders And Files) |
Удаление файла или папки внутри папки |
|
|
Удаление (Delete) |
Удаление файла или папки |
|
|
Чтение разрешений (Read Permissions) |
Просмотр прав владельца файла на файл или папку |
|
|
Смена разрешений (Change Permissions) |
Изменение прав доступа к файлу или папке |
|
|
Смена владельца (Take Ownership) |
Изменить право владельца на файл или папку |
|
Аудит доступа к принтерам
При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
Включите аудит конкретных принтеров и укажите, какие виды .доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.
В таблице 2.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.
Таблица 2.3 – События для принтеров, вызываемые действиями пользователей
|
Событие |
Действие пользователя, вызвавшее событие |
|
Печать (Print) |
Печать файла |
|
Управление принтерами (Manage Printers) |
Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы |
|
Управление документами (Manage Documents) |
Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера |
|
Чтение разрешений (Read Permissions) |
Просмотр прав доступа к принтеру |
|
Смена разрешений (Change Permissions) |
Изменение прав доступа к принтеру |
|
Смена владельца (Take Ownership) |
Смена владельца принтера |
2.2. Возможности управления журналом безопасности
Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 2.4).
Таблица 2.4 – Журналы Windows XP Professional
|
Журнал |
Описание |
|
Журнал приложений |
Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ |
|
Журнал безопасности |
Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита |
|
Системный журнал |
Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional |
Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.
Просмотр журнала безопасности
В журнале безопасности (security log) хранится информация о событиях, которые отслеживаются политикой аудита, например неудачные и успешные попытки регистрации в системе.
Windows XP Professional регистрирует события в журнале безопасности того компьютера, на котором событие произошло. Эти события можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Чтобы просмотреть журнал безопасности удаленного компьютера, откройте консоль ММС и выберите просмотр событий удаленного компьютера.
При первом запуске утилиты Просмотр событий (Event Viewer) автоматически отображаются все события, зарегистрированные в выбранном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных событий применяют команду Найти (Find).
Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр(Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.
В таблице 2.5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.
Управление журналами аудита
Сравнивая данные журналов, записанные в разное время, можно выявлять закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их расширение. Кроме того, в журналах фиксируются попытки неавторизованного использования ресурсов. Windows XP Professional позволяет изменять размер файлов журнала и задавать действия системы при переполнении журнала.
Таблица 2.5 – Параметры для фильтрации и поиска событий
|
Параметр |
Описание |
|
Типы событий (Event Types) |
Типы событий для просмотра |
|
Источник события (Event Source) |
Программа или драйвер компонента, вызвавший событие |
|
Категория (Category) |
Тип события, например попытка входа, выхода или системное событие |
|
Код события (Event ID) |
Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий |
|
Пользователь (User) |
Имя учетной записи пользователя |
|
Компьютер (Computer) |
Имя компьютера |
|
«С» и «До» (From and To) |
Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)] |
|
Восстановить значения по умолчанию (Restore Defaults) |
Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию |
|
Описание (Description) |
Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find) |
|
Направление поиска (Search Direction) |
Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find) |
|
Найти далее (Find Next) |
Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска |
Параметры каждого журнала аудита можно настраивать в отдельности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Действие (Action) щелкните пунктСвойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журнала аудита настраиваются следующие параметры:
• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер журнала составляет 512 кбайт;
• действия Windows XP Professional при достижении файлом журнала предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 2.6.
Архивация журналов
Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 2.7.
Таблица 2.6 – Варианты обработки заполненных файлов журнала аудита
|
Параметр |
Описание |
|
Удалять старые события по необходимости (Overwrite Events As Needed) |
Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания |
|
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) |
Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7) |
|
He удалять события (Do Not Overwrite Events) |
Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности |
Таблица 2.7 – Действия для архивации, очистки или просмотра файла журнала
|
Действие |
Выполните |
|
Сохранить журнал в архиве |
Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла |
|
Очистить журнал |
Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен |
|
Просмотреть архивированный журнал |
Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала |
3. КОНТРОЛЬНЫЕ ВОПРОСЫ
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкретных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.
5 Какие типы событий необходимо регистрировать?
4 ЛАБОРАТОРНОЕ ЗАДАНИЕ
4.1. Планирование и настройка политики аудита ресурсов и событий
Настройка политики аудита
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле Открыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните Добавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкните кнопкуДобавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкните Закрыть (Close).
8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкните кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Settings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой панели окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 4.1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства (Properties), появится окно Свойства: аудит входа в систему (Audit Account Logon Events Properties), как показано на рис. 4.2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.
|
Событие |
Успех |
Отказ |
|
События входа в систему |
|
|
|
Управление учетными записями |
X |
|
|
Доступ к службе каталогов |
|
|
|
Вход в систему |
|
X |
|
Доступ к объектам |
X |
X |
|
Изменение политики |
X |
|
|
Использование привилегий |
X |
|
|
Отслеживание процесса |
X |
X |
|
Системные события |
|
|
14. Закройте консоль ММС и сохраните локальную групповую политику.
15. Перезапустите компьютер, чтобы изменения немедленно вступили в силу.
Рис. 4.1 – События, для которых можно включить аудит в Windows XP Professional
Рис. 4.2 – Окно Свойства: аудит событий входа в систему
Примичение: команда gpupdate позволяет обновлять параметры как локальной групповой политики, так и политики для объектов Active Directory, включая параметры безопасности. Чтобы обновить параметры на локальном компьютере, войдите в режим командной строки, наберите gpupdate и нажмите Enter.
4.2. Настройка аудита объектов Windows XP Professional
1. Войдите в систему с использованием любой учетной записи, входящей в группу Администраторы (Administrators).
2. С помощью Проводника (Windows Explorer) создайте папку с именем Audit в корне системного диска (например, C:Audit).
3. В папке Audit создайте текстовый файл с именем AUDIT (например, C:AuditAudit).
4. Щелкните правой клавишей мыши на файле AUDIT и выберите Свойства(Properties).
5. В диалоговом окне Свойства (Properties) выберите вкладку Безопасность (Security) и щелкните кнопку Дополнительно (Advanced).
6. В диалоговом окне Дополнительные параметры безопасности для AUDIT выберите вкладку Аудит (Auditing).
7. Щелкните кнопку Добавить (Add).
8. В диалоговом окне Выбор: пользователь или группа (Select User Or Group), в поле Имя (Name), укажите Все (Everyone) и щелкните ОК.
9. В диалоговом окне Элемент аудита для Audit.txt (Audit Entry For Audit.txt) установите флажки Успех (Successful) и Отказ (Failed) для каждого из следующих событий (рис. 4.3.):
• Создание файлов/Запись данных (Create Files/Write Data);
• Удаление (Delete);
• Смена разрешений (Change Permissions);
• Смена владельца (Take Ownership).
Рис. 4.3 – События, аудит которых возможен для папок и файлов
10. Щелкните ОК. Windows XP Professional отобразит группу Все (Everyone) в диалоговом окне Дополнительные параметры безопасности для audit.txt (Advanced Security Settings For).
11. Для подтверждения изменений щелкните кнопку ОК.
4.3. Управление журналом безопасности
Просмотр журнала безопасности компьютера и отбора событий
1. Войдите в систему под любой учетной записью, входящей в группуАдминистраторы (Administrators).
2. Щелкните Пуск (Start), Панель управления (Control Panel), категориюПроизводительность и обслуживание (Performance And Maintenance) иАдминистрирование (Administrative Tools), затем дважды щелкните ярлыкПросмотр событий (Event Viewer).
3. В дереве консоли щелкните приложение (Application Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.
4. В дереве консоли щелкните система (System Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув каждую их соответствующих записей (рис. 4.5.).
Рис. 4.5 – Отображение журнала безопасности в окне утилиты Просмотр событий (Event Viewer)
Успешные попытки условно обозначены значком ключа, а неудачные – значком замка. Кроме того, указаны дата и время события, категория события и пользователь, действие которого вызвало данное событие. В колонке Категория(Category) отображается тип события, например доступ к объекту, управление учетными записями, доступ к службе каталогов или попытки регистрации в системе. Типы регистрируемых событий представлены в таблице 4.1.
Чтобы просмотреть дополнительную информацию о любом событии, щелкните название события и в меню Действие (Action) щелкните пункт Свойства(Properties).
5. В дереве консоли щелкните безопасность (Security Log) и просмотрите его содержимое. Просмотрите описания всех событий категории Отказ (Failure), дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:AuditAudit.
6. В меню Вид (View) выберите пункт Фильтр (Filter).
На рис. 4.6 показаны параметры вкладки Фильтр (Filter).
Рис. 4.6 – Вкладка Фильтр (Filter) окна Свойства: Безопасность (System Properties) утилиты Просмотр событий (Event Viewer)
7. В диалоговом окне Свойства: Безопасность (Security Properties), в полеПользователь (User), введите User2 и щелкните ОК. Применение фильтра уменьшит число событий, которые придется просмотреть, чтобы найти нужное.
8. Дважды щелкните каждое из событий. Обратите внимание, что все они относятся к пользователю User2.
Настройка размера и содержимого файла журнала
1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Администрирование (Administrative Tools).
Таблица 4.1 – Типы регистрируемых событий
|
Иденти-фикатор |
Категория |
Описание |
|
512 |
Системное событие |
Перезагрузка операционной системы |
|
513 |
Системное событие |
Завершение работы операционной системы (shutdown) |
|
514 |
Системное событие |
Загрузка пакета аутентификации |
|
515 |
Системное событие |
Запуск процесса аутентификации (в стандартной конфигурации WinLogon.exe) |
|
516 |
Системное событие |
Сбой при ретистрации одного или нескольких событий аудита1 |
|
517 |
Системное событие |
Очистка журнала аудита |
|
518 528 |
Системное событие Вход/выход пользователя лз системы |
Загрузка пакета оповещения об изменениях в списке пользователей Пользователь успешно вошел в систему |
|
529 |
Вход/выход пользователя из системы |
Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны |
|
530 |
Вход/выход пользователя из системы |
Вход пользователя в домен в данное время запрещен |
|
531 |
Вход/выход пользователя из системы |
Вход пользователя в систему запрещен -учетная запись пользователя заблокирована администратором |
|
532 |
Вход/выход пользователя из системы |
Вход пользователя в Домен запрещен -учетная запись пользователя автоматически заблокирована по достижении определенной даты |
|
533 |
Вход/выход пользователя из системы |
Вход пользователя в домен с данной рабочей станции запрещен |
|
534 |
Вход/выход пользователя из системы |
Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен |
|
535 |
Вход/выход пользователя из системы |
Вход пользователя в систему запрещен -пароль пользователя устарел |
|
536 |
Вход/выход пользователя из системы |
Пользователь не смог войти в домен из-за сбоев сетевых сервисов |
|
537 |
Вход/выход пользователя из системы |
Пользователь не смог войти в систему по какой-то другой причине |
|
538 |
Вход/выход пользователя из системы |
Пользователь успешно вышел из системы |
|
539 |
Вход/выход пользователя из системы |
Вход пользователя в систему запрещен -учетная запись пользователя автоматически заблокирована из-за превышения максимально допустимого количества попыток входа в систему с неверным паролем |
|
560 |
Доступ к объекту |
Пользователь попытался открыть объект |
|
561 |
Доступ к объекту |
Пользователь закрыл объект |
|
576 |
Использование опасных привилегий |
В маркере доступа пользователя присутствует опасная привилегия |
|
577 |
Использование опасных привилегий |
Предпринята попытка использования опасной привилегии при выполнении операции, не связанной с доступом к объектам3 |
|
578 |
Использование опасных привилегий |
Предпринята попытка использования опасной привилегии для получения доступа к объекту |
|
592 |
Запуск/завершение процессов |
Запуск нового процесса |
|
593 |
Запуск/завершение процессов |
Завершение процесса |
|
594 |
Запуск/завершение процессов |
Дублирование дескриптора (handle) объекта |
|
595 |
Запуск/завершение процессов |
Непрямой доступ к объекту |
|
608 |
Изменения в политике безопасности |
Субъекту предоставлена новая привилегия |
|
609 |
Изменения в политике безопасности |
У субъекта отнята привилегия |
|
610 |
Изменения в политике безопасности |
Установлены доверительные отношения с другим доменом |
|
611 |
Изменения в политике безопасности |
Доверительные отношения с другим доменом прекращены |
|
612 |
Изменения в политике безопасности |
Изменена политика аудита |
|
624 |
Изменения в списке пользователей2 |
Создана учетная запись нового пользователя |
|
625 |
Изменения в списке пользователей |
Изменен тип учетной записи |
|
626 |
Изменения в списке пользователей |
С учетной записи пользователя снята блокировка |
|
627 |
Изменения в списке пользователей |
Неудачная попытка изменить пароль пользователя |
|
628 |
Изменения в списке пользователей |
Удачная попытка изменить пароль пользователя |
|
629 |
Изменения в списке пользователей |
Учетная запись пользователя заблокирована |
|
630 |
Изменения в списке пользователей |
Учетная запись пользователя удалена |
|
631 |
Изменения в списке пользователей |
Создана новая глобальная группа |
|
632 |
Изменения в списке пользователей |
Пользователь добавлен в глобальную группу |
|
633 |
Изменения в списке пользователей |
Пользователь удален из глобальной группы |
|
634 |
Изменения в списке пользователей |
Глобальная группа удалена |
|
635 |
Изменения в списке пользователей |
Создана новая локальная группа |
|
636 |
Изменения в списке пользователей |
Пользователь добавлен в локальную группу |
|
637 |
Изменения в списке пользователей |
Пользователь удален из локальной группы |
|
638 |
Изменения в списке пользователей |
Локальная группа удалена |
|
639 |
Изменения в списке пользователей |
Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой группе |
|
640 |
Изменения в списке пользователей |
Произведены изменения в списке пользователей, не связанные с редактированием учетных записей |
|
641 |
Изменения в списке пользователей |
Произведены изменения в учетной записи глобальной группы, не связанные с изменением членства пользователей в этой группе |
|
642 |
Изменения в списке пользователей |
Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах |
5. СОДЕРЖАНИЕ ПРОТОКОЛА
- название работы;
- цель работы;
- порядок действий по выполнению лабораторной работы;
- выводы по результатам проделанной работы.