Аудит событий. Настройка аудита событий

Лабораторно-практическая работа № 4

1. Теоретическая часть: Получение информации о процессах,
происходящих в системе

Аудит событий. Настройка аудита событий

Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий.

Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлеж­ности, так и по тому, удачно или неудачно было завершено событие. Напри­мер, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.

Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings):

Пуск\Все программы\Панель управления\Администрирование\ Локальная политика безопасности

Для настройки аудита событий следует:

запустить программу Локальная политика безопасности;

- выбрать пункт Локальные политики (рис.1.1.);

- выбирать пункт Политика аудита;

- появятся настройки поли­тики аудита (рис.1.2.).

Рисунок 1.1. Окно программы Локальные параметры безопасности

Рисунок 1.2. Окно настройки аудита

Настройки аудита событий представ­ляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отка­зе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).

Рисунок 1.3. Диалоговое окно ввода значений опций,

определяющих, когда будет производиться аудит определенного события

Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями:

1.Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в ре­зультате которых пользователи успешно вошли в систему, в случае уста­новки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.

В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и до­машних систем достаточно вести протоколирование входа пользова­телей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике про­блеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать.

2.Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установ­ленными опциями Успех и Отказ будет производить­ся запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

3.Политика аудита Аудит доступа к службе каталогов ответственна за протоко­лирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

4.Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользо­вателей на данном компьютере. При установке опции Успех бу­дет производиться запись событий, в результате которых пользователи ус­пешно вошли в систему. В случае установки опции Отказ будет про­изводиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.

5.Политики аудита Аудит доступа к объектам и Аудит изменения политики от­ветственны, соответственно, за аудит доступа к различным объектам систе­мы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух собы­тий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций.

6.Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привиле­гий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с систе­мой.

7.Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь.

8.Политика аудита Аудит системных событий позво­ляет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись собы­тия, в случае его отказа.

Особенности аудита системы:

1.Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше инфор­мации будет о процессах, происходящих внутри систе­мы, инициируемые пользователями или различным программным обеспечением.

2.Чем больше сообщений системы будет получено, тем мед­леннее будет работать система и возможно слишком быстрое пе­реполнение внутреннего лога безопасности операционной системы. В резуль­тате чего придется достаточно часто производить его очистку в программе Просмотр событий.