Создание пользовательской консоли адми­нистрирования ММС, выполняющей функции аудита системных процессов и событий в ОС Windows XP

Порядок выполнения:

I. В широком смысле аудитом называется регистрация каких-либо дей­ствий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего ау­диту, является неудачная попытка доступа к системе.

Наиболее общими типами событий, подлежащих аудиту в ОС, являются:

• доступ к таким объектам, как файлы и папки;

• управление учетными записями пользователей и групп;

• вход пользователей в систему и выход из нее.

Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий ауди­та, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно администратор может создать политику аудита, удовлетворяющую всем требованиям организации.

К числу категорий событий, предназначенных для контроля, относятся:

• аудит событий входа в систему;

• аудит управления учетными записями;

• аудит доступа к службе каталогов;

• аудит входа в систему;

• аудит доступа к объектам;

• аудит изменения политики;

• аудит использования привилегий;

• аудит отслеживания процессов и системных событий.

В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе катало­гов (для аудита объектов на контроллере домена), либо категорию аудита дос­тупа к объектам (для аудита объектов на рядовой сервер или рабочую станцию).

Кроме того, с целью уменьшения риска угроз системной безопасности в целом администратор должен предпринять следующие базовые шаги, направ­ленные на обеспечение аудита в системе.

ЗАДАНИЕ. Изучить основные возможности оснасток, предназна­ченных для обеспечения аудита событий в ОС Windows XP на конкретных примерах.

Ознакомление с основными возможностями оснастки «Про­смотр событий» в ОС Windows XP.

Поскольку, аудит предполагает регистрацию различного рода системных событий (табл. 5.12), имеющих место в операционной среде, их регистрация в ОС Windows XP осу­ществляется в журналах трех основных типов, описание которых представлено после таблицы.

В журнале приложений содержатся данные, относящиеся к работе при­ложений. Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствующих прило­жений.

Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в ОС, а также о событиях, относящихся к ис­пользованию системных ресурсов. В частности, после разрешения аудита вхо­да в систему сведения обо всех попытках входа заносятся в журнал безопасно­сти. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущей секции учебного задания.

В журнале системы содержатся события системных компонентов ОС. Так, например, в журнале системы регистрируются сбои при загрузке драйвера или других программных компонентов в момент запуска системы.

В дополнение к существующим ОС Windows XP имеет в своем распоря­жении еще два журнала: службы каталогов и службы репликации файлов, за­пись событий в которые выполняется в случае, если компьютер настроен в ка­честве контроллера домена.

В журнале службы каталогов содержатся события, заносимые службой каталогов ОС Windows XP. Например, проблемы соединения между сервером и общим каталогом записываются в этот журнал.

Журнал службы репликации файлов содержит записи о системных собы­тиях, внесенных службой репликации (процесс, под которым понимается копирование данных из одного источника на другой (или на множество других) и наоборот) файлов ОС Windows XP. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена обновляются данными об изменениях из общей папки Sysvol, где хранится серверная копия общих файлов, реплицируемых между всеми контроллерами домена.

Кроме того, существует журнал DNS-сервера, в который записываются со­общения об системных событиях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.

В ОС Windows XP за регистрацию системных событий в описанных вы­ше журналах отвечает специальная служба, называемая службой журнала со­бытий, которая загружается автоматически при старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответст­вующих записей системных событий в реальном масштабе времени. При этом любой пользователь может просматривать журналы приложений и системы, однако журналы безопасности доступны только системному администратору, который предварительно должен настроить параметры системных событий ау­дита.

В настоящей секции предполагается изучить основные возможности ре­гистрации системных событий различных категорий посредством имеющегося в ОС Windows XP служебного инструмента - оснастки «Просмотр событий». Для ознакомления с возможностями данной оснастки выполните следующее.

1. Локально добавьте на открытую консоль администрирования новую системную оснастку «Просмотр событий».

2. В дереве консоли щелкните манипулятором мышь по оснастке «Про­смотр событий» и обратите внимание на появившиеся три журнала и их те­кущие размеры в области сведений справа. Последовательно перебирая жур­налы приложений, безопасности и системы, отметьте в них наличие всех ука­занных выше типов системных событий (табл. 5.12).

3. Воспользовавшись меню «Вид» изучаемой оснастки, отфильтруйте:

• в журнале приложений событие «Уведомление» за прошедший час,

• в журнале безопасность событие «Аудит отказов» за прошедшую неделю,

• в журнале система событие «Ошибка» за последнюю неделю, с сор­тировкой по дате «от старых к новым».

В отчет сохраните их скриншоты

4. В окне журнала событий системы удалите столбцы «Пользователь», «Компьютер» и «Категория», оставив остальные.

5. Воспользовавшись системой поиска (Вид - Найти), найдите событие типа «Преду­преждение» с кодом 1003 от источника DHCP в журнале событий системы.

6. Создайте собственный журнал событий (Действие-Создать вид журнала), содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность затирания старых событий по необходимо­сти. Сохраните созданный журнал (Действие-Сохранить файл журнала как) в двоичном виде с расширением.evt.

7. Не закрывая консоль администрирования ММС, сохраните ее.

При выполнении заданий секции используйте следующие инструкции:

• перенесите последовательность выполняемых действий по каждому из пунктов 1 -6 в отчет (возможно приведение графических фраг­ментов, сделанных с экрана, в качестве демонстрационного мате­риала),