Аудит безопасности в ос windows. Аудит


Скачать 43.27 Kb.
Дата 31.08.2016
Размер 43.27 Kb.
Аудит безопасности в ОС Windows.

Аудит — это одно из основных средств защиты ОС. Аудит позволяет отслеживать и журналировать события, связанные с безопасностью. Примерами событий для аудита можно назвать доступ к файлу, вход в систему или изменение системной конфигурации.

Журнал безопасности представляет собой базу данных или файл, в котором регистрируются события, связанные с безопасностью системы.

Благодаря системе аудита, администратор может узнать, кто, каким образом и когда воспользовался (или пытался воспользоваться, но получил отказ в доступе) интересующими его ресурсами.

Настройка средств аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться.

Наиболее общими типами событий для аудита безопасности являются:

  1. доступ к файлам и каталогам;

  2. управление учетными записями пользователей и групп;

  3. вход пользователей в систему и выход из неё

Как правило, фиксируются следующие параметры, касающиеся действий, совершаемых пользователями:

  1. выполненное действие;

  2. идентификаторы пользователей и групп, выполнивших действие;

  3. дата и время выполнения.

Аудит приводит к дополнительной нагрузке на систему, поэтому необходимо регистрировать лишь события, действительно представляющие значение с точки зрения безопасности.

2. Управление аудитом в Windows

Политика аудита

Перед выполнением аудита необходимо выбрать политику аудита. Политика аудита указывает типы событий, которые будут регистрироваться в журнале безопасности. При первой установке Windows XP SP2 все категории аудита выключены. Включая аудит различных категорий событий, можно создавать политику аудита, удовлетворяющую необходимым требованиям.



Аудит может настраиваться двумя способами:

  1. Через групповую политику (например, в домене) (.

  2. Через локальную политику: Пуск  Настройка  Панель управления  Локальная политика безопасности  Политика аудита.

Объясните каждый из элементов политики аудита:



Просмотрите события аудита средствами команды «Просмотр событий».

Windows XP записывает события в три журнала:

  1. Системный журнал (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, регистрируемых в этом журнале, предопределен операционной системой и компонентами сторонних производителей и не может быть изменен пользователем. Журнал находится в файле Sysevent.evt.

  2. Журнал безопасности (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной вами стратегией аудита. Журнал находится в файле Secevent.evt.

  3. Журнал приложений (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определяется разработчиками приложений. Журнал находится в файле Appevent.evt.

Все журналы размещены в папке %Systemroot%\System32\Config. Журналы событий можно просматривать с любого компьютера локальной сети, при наличии прав администратора на компьютере, где расположен журнал. Нас будет интересовать прежде всего Журнал безопасности, т.к. именно в нем регистрируются события аудита безопасности.

При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Чтобы иметь возможность просматривать содержимое журналов за длительный промежуток времени, рекомендуется периодически архивировать текущие журналы. Дополнительные журналы могут быть добавлены при установке дополнительных служб.

В таблице 1 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий управления учетными записями.

Управление аудитом

Применение политик аудита существенно повышает безопасность и целостность системы. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности.

Администраторам следует создать политику аудита, определяющую содержимое отчетов о событиях безопасности и регистрирующую действия пользователей или компьютеров, относящиеся к указанным категориям событий.

Перед реализацией политики аудита нужно решить, для каких категорий событий следует выполнять аудит. От параметров аудита, заданных администратором для категорий событий, зависит политика аудита организации. Если параметры аудита для конкретных категорий событий определены, администраторы могут создать политику аудита, соответствующую требованиям организации.



Если политика аудита не задана, определить, что произошло при инциденте в сфере безопасности, будет сложно или невозможно. Если же настроить параметры аудита так, чтобы события регистрировались при многих санкционированных действиях, журнал безопасности может быть заполнен бесполезными данными.

В сетях с минимальным требованиям к безопасности подвергайте аудиту:

  1. Успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;

  2. Успешное использование важной и конфиденциальной информации.

В сетях со средними требованиями к безопасности подвергайте аудиту:

  1. успешное использование важных ресурсов;

  2. удачные и неудачные попытки изменения стратегии безопасности и административной политики;

  3. успешное использование важной и конфиденциальной информации.

В сетях с высокими требованиями к безопасности подвергайте аудиту:

  1. удачные и неудачные попытки регистрации пользователей;

  2. удачное и неудачное использование любых ресурсов;

  3. удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Журналы сбоев часто оказываются более информативными, чем журналы успешного выполнения операций, потому что сбои обычно свидетельствуют об ошибках. Например, успешный вход пользователя в систему обычно считается нормальным развитием событий. Если кто-то безуспешно пытается несколько раз войти в систему, это может быть признаком использования чужих учетных данных. События, происходящие на компьютере, регистрируются в журналах событий.

Перед реализацией политики аудита в организации следует определить способы сбора, организации и анализа данных. От большого объема данных аудита мало пользы, если отсутствует план их использования. Кроме того, аудит компьютерных сетей может отрицательно сказываться на производительности систем. Даже если влияние определенного сочетания параметров на компьютер конечного пользователя практически незаметно, на сервере с высокой нагрузкой оно может оказаться существенным. Таким образом, перед заданием новых параметров аудита в рабочей среде следует проверить, не ухудшит ли это производительность систем.

База данных защищена авторским правом ©infoeto.ru 2022
обратиться к администрации
Как написать курсовую работу | Как написать хороший реферат
    Главная страница
Автореферат
Анализ
Анкета
Бизнес-план
Биография
Бюллетень
Викторина
Выпускная работа
Глава
Диплом
Дипломная работа