Задание 10. Возможности оснасток, предназначенных для диагностики, мониторинга, настройки и оптимизации

В широком смысле аудитом называется регистрация каких-либо действий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего аудиту, является неудачная попытка доступа к системе.

Наиболее общими типами событий, подлежащих аудиту в ОС, являются:

· доступ к таким объектам, как файлы и папки;

· управление учетными записями пользователей и групп;

· вход пользователей в систему и выход из нее.

Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий аудита, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно администратор может создать политику аудита, удовлетворяющую всем требованиям организации.

К числу категорий событий, предназначенных для контроля, относятся:

· аудит событий входа в систему;

· аудит управления учетными записями;

· аудит доступа к службе каталогов;

· аудит входа в систему;

· аудит доступа к объектам;

· аудит изменения политики;

· аудит использования привилегий;

· аудит отслеживания процессов и системных событий.

В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию).

Кроме того, с целью уменьшения риска угроз системной безопасности в целом администратор должен предпринять следующие базовые шаги, направленные на обеспечение аудита в системе. Основные события аудита и угрозы безопасности, отображаемые при помощи этого события, сведены в табл. 20.

Таблица 20.Основные события аудита в ОС Windows XP

Формирование политики аудита объектов в системе осуществляется посредством оснастки «Групповая политика»; в частности, с ее помощью устанавливается и настраиваются параметры политики аудита.

Содержание задания

1. Откройте консоль администрирования и создайте в оснастке новые задачи «Сведения о системе», «Диагностика DirectX» и «Диспетчер задач», вызовите соответствующие системные модули (указанные в задании 34) для выполнения задач диагностирования и мониторинга ОС Windows XP. Убедитесь в работоспособности этих задач.

2. Локально добавьте на открытую консоль администрирования системную оснастку «Групповая политика».

3. В дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита» для настройки локальных политик аудита.

4. Настройте политики аудита. Для этого в области сведений дважды щелкните на политике аудита, для которой необходимо изменить параметры аудита и установите один или оба флажка («успех» или «отказ») для успешных или неуспешных системных событий, которые необходимо регистрировать. Повторите действия указанные в текущем пункте секции для других политик аудита в случае необходимости.

5. Настройте аудит файлов и папок. Для этого измените параметры «успех» или «отказ» категории событий «Аудит доступа к объектам». Укажите файлы или папки для аудита, выполнив следующие действия:

· на вкладке «Безопасность» команды «Свойства» файла или папки нажмите кнопку «Дополнительно»,

· на вкладке «Аудит» нажмите кнопку «Добавить»,

· в диалоговом окне «Выбор: пользователь, компьютер или группа» выберите имя пользователя или группы, для действий которых требуется производить аудит файлов и папок, и нажмите кнопку OK для подтверждения выбора;

· в появившемся диалоговом окне «Элемент аудита» в группе «Доступ» установите флажки «успех», «отказ» или оба эти флажка одновременно напротив действий, для которых требуется провести аудит,

· выберите из выпадающего меню «Применить:» опцию «Для этой папки и ее подпапок» (или любую другую опцию на Ваш выбор), а затем нажмите кнопку OK и Примерить для подтверждения ввода.

Если указанные выше действия выполнить не удалось по причине отсутствия вкладки «Безопасность» в «Свойствах» объекта, выполните следующее:

· в дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация пользователя | Административные шаблоны | Компоненты Windows | Проводник»;

· в области сведений дважды щелкните на «Удалить вкладку «Безопасность», измените системный параметр на «Отключено» на одноименной вкладке и подтвердите выбор, кликнув OK;

· выберите команду Панель управления в меню Пуск, откройте компонент «Свойства папки» на панели управления, дважды щелкнув по нему мышью, и на вкладке «Вид» в группе «Дополнительные параметры | Файлы и папки» снимите флажок «Использовать простой общий доступ к файлам (рекомендуется)».

6. Не закрывая консоль администрирования ММС, сохраните ее.

При выполнении заданий секции используйте следующие инструкции:

· перенесите последовательность выполняемых действий по каждому из пунктов 1-5 в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),

· сделайте вывод о проделанной работе и запишите его в отчет.