Название работы
Мониторинг и аудит систем в ОС Windows.
Задание (не забудьте оформить отчет)
Примечание
Убедитесь, что используется файловая система NTFS и в ОС Windows отличной от Windows Server 2003 снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».
1. Изучить возможности системы аудита в Windows (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).
2. Зарегистрироваться в ОС как «Администратор» с учетной записью ZOS.
3. Завести в системе нового пользователя User1 и отнести его к группе «Пользователи».
4. Настроить общую политику аудита (secpol.msc) следующим образом:
Действие | Успех | Отказ |
Аудит входа в систему | Да | Да |
Аудит доступа к объектам | Нет | Да |
Аудит доступа к службе каталогов | Нет | Да |
Аудит изменения политики | Да | Да |
Аудит использования привилегий | Нет | Да |
Аудит отслеживания процессов | Нет | Нет |
Аудит системных событий | Нет | Нет |
Аудит событий входа в систему | Нет | Нет |
Аудит управления учетными записями | Да | Да |
Прокомментировать каждую из настроенных политик – какие действия будут протоколироваться в журнале безопасности, а какие нет?
|
|
5. Создать на диске с файловой системой NTFS каталог «For User1» и установить для него следующие права доступа:
− для администраторов (всех) – полные права;
− для пользователя User1 – вывод списка содержимого папки, чтение.
6. Для каталога «For User1» установить следующие параметры аудита:
− фиксировать успех выполнения операции «Содержание папки/Чтение данных» для пользователя User1;
− отказ в записи любых данных и удалении любых данных для User1;
− успех «Обзор папок/Выполнение файлов» для User1;
− успех в удалении любых данных из каталога для всех администраторов.
7. Очистить все журналы безопасности (через их контекстное меню).
8. Перезагрузить систему и попытаться войти под учетной записью user1, введя вначале несколько раз неправильный пароль, а затем – правильный.
9. Войдя в систему под учетной записью User1, попытаться открыть каталог «For User1», скопировать туда какой-либо файл. Был ли разрешен доступ? Внести результат попытки в отчет.
10. Войти в систему под учетной записью администратора и просмотреть события в журнале безопасности.
11. Сколько отказов в действиях и сколько подтверждений было зафиксировано в журнале? На какие события? Внесите события и их результаты в отчет.
12. Скопировать в каталог «For User1» некоторый файл. Войти в систему под учетной записью User1 и попытаться удалить его. Внесите результат попытки в отчет.
13. Под учетной записью администратора заново изучить журнал безопасности. Какие новые события зафиксировались в журнале? Внести в отчет.
|
|
14. Просмотреть свойства журнала безопасности. Каков его текущий размер? Каков максимальный размер журнала? Когда он создан? Через сколько дней стираются старые события? Внести эти данные в отчет.
15. По каким атрибутам можно поставить фильтр в журнале безопасности?
16. Открыть записи журнала и просмотреть их более подробные описания.
17. Внести в отчет ответы на контрольные вопросы к данной лабораторной работе.
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ № 7
Название работы
Мониторинг и аудит систем в ОС Windows.
Цель
Познакомиться на практике с организацией подсистемы аудита в Windows.
Выполнил
Студент гр. № ______
ФИО ________________________________________________________
Отчет
1. При входе в систему под учетной записью User1, попытка открыть каталог «For User1» (удалась/не удалась): ___________________________________,
скопировать туда какой-либо файл: (удалось/не удалось): __________________.
2. Войдя в систему под учетной записью администратора и просмотрев журнал событий аудита, были зафиксированы следующие события и их результаты: _______________________________________________________________
____________________________________________________________________
____________________________________________________________________.
3. При входе в систему под учетной записью User1, после копирования в каталог «For User1» некоторого файла, попытка удалить его (удалась/не удалась): _____________________________________________________.
4. Войдя в систему под учетной записью администратора и просмотрев заново журнал событий аудита, были зафиксированы следующие новые события и их результаты: _____________________________________________________
____________________________________________________________________
____________________________________________________________________.
5. Текущий размер журнала безопасности: ___________________________.
6. Максимальный размер журнала: _________________________________.
7. Журнал создан: _______________________________________________.
8. Старые события стираются через: ________________________________.
9. Фильтр в журнале можно поставить на следующие атрибуты:
____________________________________________________________________
____________________________________________________________________.
10. Ответы на контрольные вопросы:
____________________________________________________________________
____________________________________________________________________.