2015-01-21
835
1. Познакомьтесь с программой просмотра событий. Познакомьтесь с различными видами журналов, их структурой. Приведите отрывки журналов в отчете, дайте интерпретацию отдельных записей журналов.
2. Познакомьтесь с возможностями настройки журналов, параметрами фильтрации записей. Сохраните журнал в текстовом виде и экспортируйте его в Excel.
3. Ознакомьтесь с аудитом доступа к объектам. Установите определенные права аудита на созданный вами каталог и вложенные в него файлы. Приведите их в вашем отчете. Произведите операции с этими файлами, приведите их в отчете и проанализируйте события, появляющиеся в журнале безопасности.
4. Включите аудит входов в систему и событий входа в систему, исследуйте события, отнесенные к данной категории аудита, дайте интерпретацию информации, выдаваемой для отдельных событий. Проведите анализ связи отдельных событий, сделайте выводы по результатам анализа.
5. Исследуйте аудит управления учетными записями.
6. Исследуйте аудит использования привилегий.
|
|
|
7. Исследуйте аудит изменения политик.
8. Познакомьтесь с аудитом системных событий
9. Исследуйте возможности аудита процессов.
Требования к отчету
Отчет должен оформляться в электронном и печатном виде на листах формата А4 в соответствии с требованиями ЕСКД и содержать задание, краткие необходимые теоретические сведения, полученные по каждому пункту задания, результаты и выводы.
Результаты исследования отдельных категорий аудита должны включать описание процесса исследования, примеры различных событий данной категории, интерпретацию информации, выдаваемой для отдельных событий, анализ связи отдельных событий, полученные результаты и сделанные выводы.
Контрольные вопросы
1. Назовите журналы, используемые в Windows 2000/XP.
2. Что отражается в журналах Windows 2000/XP?
3. Какие категории пользователей имеют возможность доступа к журналам Windows 2000/XP?
4. Где находятся журналы Windows 2000/XP?
5. В каком виде хранится информация в журналах? Как можно ее просмотреть?
6. Как сохранить журнал в текстовом виде?
7. Каков размер журналов? Как его можно изменить?
8. Какие возможны случаи при переполнении журнала?
9. По каким критериям может осуществляться фильтрация событий в журнале?
10. Что такое SACL?
11. Как происходит обработка ACL в SACL?
12. Как производится включение и настройка аудита в Windows 2000/XP?
13. Какие категории событий могут отслеживаться в Windows 2000/XP?
14. Как производится настройка аудита обращений к файлам?
15. Какие события, связанные с обращением к файлам, могут отслеживаться?
16. Какая информация приводится в журналах?
17. Прокомментируйте записи в журнале безопасности, соответствующие входу в систему.
|
|
|
18. Прокомментируйте записи в журнале безопасности, соответствующие аудиту управления учетными записями.
19. Прокомментируйте записи в журнале безопасности, соответствующие изменению политики.
20. Прокомментируйте записи в журнале безопасности, соответствующие использованию привилегий.
21. Дайте интерпретацию проанализированных вами записей в журнале безопасности, соответствующих обращению к файлам.
22. Как можно определить вид входа пользователя в систему?
23. Какую информацию можно получить из полей «Код дескриптора», «Код процесса», «Код входа»?
24. Почему в событиях может записываться информация о двух пользователях?
25. В каких категориях событий не предусмотрен аудит неудачи?
26. Производится ли в Windows 2000/ХР аудит резервного копирования?
27. Какие специальные привилегии не отслеживаются в журнале?
28. Какие типы событий необходимо включить для отслеживания изменения файлов, просмотра владельца и ACL, изменения прав доступа?
29. Какие виды доступа к файлам и папкам могут отслеживаться в Windows 2000/XP?
30. Как можно определить время работы пользователя с определенным приложением или файлом данных?
31. Какие типы учетных записей используются в Windows XP? Какие права предоставляет каждый тип?
