Мониторинг и аудит систем в ОС Windows

Автор: Пользователь скрыл имя, 25 Декабря 2012 в 14:50, лабораторная работа

Краткое описание

Цель: Познакомиться на практике с организацией подсистемы аудита в Windows.
Администратор обязан проводить регулярный аудит безопасности ОС, вести мониторинг за всеми системами ОС на каждом компьютере в КИС. Аудит безопасности в операционных системах – это постоянное отслеживание событий, связанных с нарушением безопасности, контроль, наблюдение за ними, в целях своевременного обнаружения нарушений политики безопасности, а также попыток взлома. Правильно организованный аудит безопасности позволяет не только выявить нарушения безопасности, но также обнаруживать действия, являющиеся начальным этапом взлома, с целью своевременной корректировки политики безопасности в организации, принятию контрмер.

Файлы: 1 файл

Lab7_Мониторинг_и_аудит_систем_в_ОС_Windows.doc

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

ФАКУЛЬТЕТ ТЕХНИЧЕСКОЙ КИБЕРНЕТИКИ И ИНФОРМАТИКИ

КАФЕДРА СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

К ВЫПОЛНЕНИЮ ЛАБОРАТОРНОЙ РАБОТЫ № 7

«Администрирование безопасности и поддержка
корпоративных информационных систем»

«Мониторинг и аудит систем в ОС Windows»

доцент кафедры СИБ

ассистент кафедры СИБ

Лабораторная работа № 7
Мониторинг и аудит систем в ОС Windows

Познакомиться на практике с организацией подсистемы аудита в Windows.

Компьютерная лаборатория с ЛВС, ОС Windows Server 2003.

ОБЩИЕ СВЕДЕНИЯ

Администратор обязан проводить регулярный аудит безопасности ОС, вести мониторинг за всеми системами ОС на каждом компьютере в КИС. Аудит безопасности в операционных системах – это постоянное отслеживание событий, связанных с нарушением безопасности, контроль, наблюдение за ними, в целях своевременного обнаружения нарушений политики безопасности, а также попыток взлома. Правильно организованный аудит безопасности позволяет не только выявить нарушения безопасности, но также обнаруживать действия, являющиеся начальным этапом взлома, с целью своевременной корректировки политики безопасности в организации, принятию контрмер.

ОС Windows включает в себя стандартные системы регистрации событий и аудита, которые позволяют подробно регистрировать доступ к объектам любого типа (файлы, каталоги, принтеры и т.д.). Можно установить как аудит одного действия, так и нескольких действий.

Монитор безопасности ОС (Security Reference Monitor) отвечает за генерацию отчета по аудиту, основываясь на системных списках прав доступа и правилах аудита. Отчет по аудиту передается в журнал событий (Event Log), который записывает события в файлы журналов. Эта операция называется журналированием событий.

Существует 5 типов событий в Windows:

1. Информационное событие (Information) – не указывает на ошибку, а служит только для информирования о некотором действии.
2. Предупреждающее событие (Warning) – зафиксированное событие, не требующее немедленной реакции со стороны администратора, но способное привести в последствие к более серьезному состоянию. Это, например, событие «На жестком диске остается мало места».
3. Ошибка (Error) – зафиксированное событие, указывающее на ошибку, имеющую серьезное влияние на подсистему либо приложение. Например, приложение отказывается запускаться.
4. Успешный аудит (Audit Success) – событие, указывающее на успешную проверку безопасности. Например, пользователь пытался обратиться к файлу и доступ был ему разрешен.
5. Неудачный аудит (Audit Failure) – событие, указывающее на неудачную проверку безопасности. Например, пользователь не прошел регистрацию в системе, зафиксирован отказ в доступе пользователя к файлу.

Существует 3 основных типа журналов событий в Windows:

1. Журнал приложений (Application Log) – журнал, в который приложения записывают свои сообщения о событиях.
2. Системный журнал (System Log) – содержит события от компонентов операционной системы. Приложения не имеют права записывать сюда свою информацию.
3. Журнал безопасности (Security Log) – содержит информацию, необходимую для проведения аудита безопасности.

НАСТРОЙКА ПОЛИТИКИ АУДИТА

Политика аудита в Windows определяет, аудит каких событий необходим. Она настраивается на вкладке «Политика аудита» (Audit Policy) в оснастке «Локальные параметры безопасности» (Local Security Policy), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Локальная политика безопасности» («Control Panel» – «Administrative Tools» – «Local Security Policy»), или набрав команду: secpol.msc. По-умолчанию, аудит для всех событий выключен. Для изменения политики необходимо дважды щелкнуть по соответствующей записи (см. Рис. 1).

Рис. 1. Настройка политики аудита

Аудит доступа к файлам и иным объектам определяет политику аудита для отдельно взятых объектов доступа. Для разрешения аудита таких объектов, как файл или принтер, необходимо сначала разрешить аудит этих событий в правилах аудита, а затем настроить аудит конкретных объектов доступа. Аудит файловых систем настраивается для каждого объекта.

Для того чтобы настроить аудит некоторого объекта (например, каталога), необходимо выбрать данный объект, затем в его контекстном меню «Свойства» выбрать вкладку «Безопасность», щелкнуть по кнопке «Дополнительно» и выбрать раздел «Аудит» (см. Рис. 2).

Рис. 2. Параметры аудита объекта до внесения изменений

С помощью кнопки «Добавить» возможно указание того, какие операции (успех либо отказ) для каких субъектов, должны протоколироваться для данного объекта (см. Рис. 3).

Рис. 3. Параметры аудита объекта после внесения изменений

Если вкладка «Безопасность» в свойстве объекта отсутствует, убедитесь, что используется файловая система NTFS и снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».

Для просмотра журналов безопасности можно воспользоваться оснасткой «Просмотр событий» (Event Viewer), получить доступ к которой можно выполнив: «Панель управления» – «Администрирование» – «Просмотр событий» (Control Panel» – «Administrative Tools» – «Event Viewer»), или набрав команду: eventvwr.msc. В оснастке нужно выбрать требуемый журнал (см. Рис. 4).

Рис. 4. Просмотр событий в журнале безопасности Windows

Более подробно о мониторинге и аудите систем в Windows Server 2003 см. файл-приложение к данной лабораторной работе (каталог \FOR_READING\, раздел «Типовые задачи администрирования»):

Microsoft_Windows_Server_2003_ Наиболее_полное_руководство_ 2004.chm

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что понимается под аудитом безопасности в ОС?
2. Для чего необходим аудит безопасности в ОС?
3. Что такое монитор безопасности ОС?
4. Перечислите типы событий, которые могут регистрироваться в журналах ОС Windows и кратко охарактеризуйте их.
5. Перечислите 3 типа журналов событий в Windows.
6. Как задать политику аудита для доступа субъекта к объекту в Windows?

ЗАДАНИЕ НА ЛАБОРАТОРНУЮ РАБОТУ № 7

Мониторинг и аудит систем в ОС Windows.

Задание (не забудьте оформить отчет)

Убедитесь, что используется файловая система NTFS и в ОС Windows отличной от Windows Server 2003 снята галочка «Использовать простой общий доступ к файлам»: главное меню любой папки – «Сервис» – «Свойства папки» – «Вид».

Аудит системы при помощи «родных» приложений ОС Windows

В ОС Windows есть несколько встроенных приложений, которые можно использовать для сбора информации о вашей системе. Используя эти инструменты в сочетании с методами пакетной обработки, вы сможете собрать много полезной информации.

Существует множество инструментов от сторонних разработчиков, позволяющих проводить аудит безопасности вашей Window-системы. Некоторые из таких инструментов представляют собой отдельные приложения, некоторые – фреймворки (есть платные и бесплатные варианты). Однако представим себе такую ситуацию, что у вас под рукой нет этих инструментов, а нужно провести аудит Windows-серверов. По сути, в вашем распоряжении находятся только инструменты, которые идут в комплекте операционной системы. В этой статье как раз и будут рассмотрены подобные утилиты, которые можно использовать для проведения аудита служб Windows.

В ОС Windows есть несколько встроенных приложений, которые можно использовать для сбора информации о вашей системе, например:

Используя эти инструменты в сочетании с методами пакетной обработки, вы сможете собрать много полезной информации. Конкретно в этой статье мы рассмотрим аудит служб Windows при помощи WMIC и CACLS.

Windows Management Instrumentation Command-Line (WMIC) – расширение для WMI, где вы можете, используя командную строку, получать и модифицировать информацию о Windows-системе. Чтобы выполнять эти действия, вы должны обладать правами локального администратора (состоять в группе локальных администраторов).

Детальную информацию о запущенных службах можно получить в разделе «Настройки»-> «Панель управления»-> «Администрирование»-> «Службы» (речь идет о Windows XP) или запустив приложение «services.msc». Для доступа к информации о службах при помощи WMIC, вы должны зайти в систему как администратор и в консоли ввести следующую команду:

C:\> wmic service get /all

Также можно вывести только определенную информацию, задав соответствующие параметры при запуске команды:

C:\> wmic service get DisplayName, Name
C:\> wmic service get Name, ProcessID, StartName
C:\> wmic service get Name, PathName /format: csv.xsl

Далее приводится справочная информация по использованию команды:

Property get operations.
USAGE:

The following properties are available:
Property Type Operation
======== ==== =========
AcceptPause N/A N/A
AcceptStop N/A N/A
Caption N/A N/A
CheckPoint N/A N/A
CreationClassName N/A N/A
Description N/A N/A
DesktopInteract N/A N/A
DisplayName N/A N/A
ErrorControl N/A N/A
ExitCode N/A N/A
InstallDate N/A N/A
Name N/A N/A
PathName N/A N/A
ProcessId N/A N/A
ServiceSpecificExitCode N/A N/A
ServiceType N/A N/A
StartMode N/A N/A
StartName N/A N/A
Started N/A N/A
State N/A N/A
Status N/A N/A
SystemCreationClassName N/A N/A
SystemName N/A N/A
TagId N/A N/A
WaitHint N/A N/A

The following GET switches are available:

/VALUE — Return value.
/ALL(default) — Return the data and metadata for the attribute.
/TRANSLATE:

— Translate output via values from .
/EVERY: [/REPEAT: ] — Returns value every (X interval) seconds,
If /REPEAT specified the command is executed times.
/FORMAT:

Аудит ос семейства windows

АНАЛИЗ СОСТОЯНИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ И СИСТЕМНЫХ СОБЫТИЙ

В ходе разработки операционных систем семейства Windows представители компании Microsoft всегда уделяли особое внимание надежности и безопасности своих систем, и в этом необходимо отдать им должное. Под «безопасностью системы» подразумевается не только ее защищенность от взлома посторонними лицами (кстати, тут они не всегда были на высоте), но, в первую очередь, защищенность системных файлов и файлов реестра. С целью обеспечения надежности и безопасности операционных систем семейства Windows разработчики включили в их состав систему аудита, позволяющую контролировать, производить оценку и прогнозировать их состояние.

Аудит операционной системы семейства Windows – это процесс, предназначенный для обнаружения и регистрации событий, происходящих в системе, для проведения последующего анализа. Система аудита, встроенная в ОС Windows, позволяет фиксировать большинство событий, происходящих в ней, а сами события регистрируются в специальных журналах Windows. Следует отметить, что информация, которая регистрируется в вышеуказанных журналах, порядок настройки регистрируемых параметров и порядок анализа событий, происходящих в системе, зависят от типа операционной системы. Например, для операционных систем Windows XP фиксация событий, влияющих на безопасность системы, возможна только после активации хотя бы одного из параметров, подлежащих контролю. А в более поздних вариантах операционных систем некоторые события безопасности регистрируются постоянно, независимо от настроек аудита.

Типы событий операционных систем

В операционных системах семейства Windows существует несколько журналов, в которые записывается большинство событий, происходящих в системе. При этом некоторые события записываются автоматически, а регистрацию других (в основном, касающихся безопасности системы) необходимо активировать и настраивать. Событиями можно назвать любые изменения состояния операционной системы. К ним относятся запуск системы (компьютера), вход в систему любого пользователя, любые процессы, запускаемые или отключаемые в операционных системах, попытка доступа к системным файлам и защищенным файлам реестра и многое другое. События подразделяются на типы, к которым относятся: а) информация, б) предупреждение и в) ошибка. Кроме этого, существуют еще такие события, как «Успешный аудит» и «Неуспешный аудит». Последние два типа событий предназначены для специалистов, обеспечивающих контроль безопасности системы, и в данной статье будут рассмотрены только в части, касающейся активации параметров «Журнала безопасности Windows».

События типа «Информация» (еще этот тип событий называется «Сведения») отображают факт успешной операции. Этим событиям соответствует пиктограмма в журнале событий в виде кружочка с буквой «i» внутри кружочка (см.12 Рис.2). Справа от пиктограммы текстом отображается тип события «Сведения».

Событие типа «Предупреждение» отображает некоторые проблемы, имеющие место в работе операционной системы. Данное событие свидетельствует о незначительной проблеме в работе системы (приложения) и не требует немедленного вмешательства пользователя, но регулярное появление одного и того же события может со временем привести к ошибкам. Этим событиям соответствует пиктограмма в журнале событий в виде желтого треугольника с восклицательным знаком внутри (не показано). Справа от пиктограммы текстом отображается тип события «Предупреждение».

Событие « Ошибка » отображает проблемы, которые могут привести к потере работоспособности системы или потере информации. Этим событиям соответствует пиктограмма в журнале событий в виде красного кружочка с восклицательным знаком внутри кружочка (см.13 Рис.2). Справа от пиктограммы текстом отображается тип события «Ошибка».

Журналы событий и их включение

Как уже отмечалось выше, все события регистрируются в специальных журналах. Чтобы запустить любой из журналов, необходимо воспользоваться утилитой «Администрирование» из панели управления. Для этого необходимо последовательно нажать кнопки Пуск\ Панель управления\ Система и безопасность\ Администрирование, и перед вами откроется окно Рис.1. В случае с Windows XP вам необходимо запустить Панель управления, перейти к классическому виду отображения Панели управления и из перечня утилит выбрать «Администрирование». Если вы обладатель ОС Windows 10, воспользуйтесь рекомендациями, выложенными в статье «КУДА ДЕЛАСЬ ПАНЕЛЬ УПРАВЛЕНИЯ В WINDOWS 10?», либо кнопкой «Поиск», с последующим введением в поле поиска поискового слова «Администрирование». В любом случае, результатом ваших действий должно быть открытие окна Рис.1. Чтобы открыть необходимый вам журнал, вы должны выбрать оснастку «Управление компьютером» (см.1 Рис.1), после чего перед вами откроется окно Рис.2.

В окне Рис. 2 откройте вкладку «Просмотр событий» (см.1 Рис.2). Выберите «Журналы Windows» (см.2 Рис.2) и в открывшемся перечне существующих журналов (см.3 Рис.2) выберите тот, который вас интересует. Но, если вы пытаетесь найти причину проблемной работы вашего ПК, вам наверняка придется анализировать все журналы.

Существует три основных журнала, в которые записываются наиболее важные события. Это: а) Система, б) Приложения и в) Безопасность. Кроме этого, есть еще и такие журналы, как «Установка» и «Перенаправленные события» (см.3 Рис.2). Названия вышеуказанных журналов отображают события, которые в них фиксируются (системные события, события приложений и т.д.).

Все события, имевшие место на вашем компьютере, записываются в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, который имеет подключи, соответствующие имеющимся журналам (Система, Безопасность и т.д.). А это значит, что пользователь ПК имеет возможность создавать новые журналы, адаптированные под его запросы.

И еще несколько слов об окне Рис.2. При открытии любого из журналов событий Windows, окно делится на три вертикальных подокна. Первое (левое) подокно (см.4 Рис.2) служит для выбора соответствующего журнала. Второе (среднее) подокно (см.5 Рис.2) служит для анализа событий. И третье (правое подокно) содержит набор органов управления для выполнения определенных действий со стороны пользователя компьютера. Среднее окно (см.5 Рис.2) является основным источником проведения анализа.

Анализ событий в операционных системах Windows

Если на вашем ПК периодически проявляются сбои, то эти факты однозначно должны послужить причиной проведения анализа. Если же внешних проявлений сбоев не отмечается, то пользователям все равно периодически необходимо открывать журналы событий и оценивать их с целью выявления повторяющихся ошибок и предупреждений, т.к. эти ошибки могут привести к полному отказу вашего компьютера. Кроме этого, Журнал безопасности может помочь вам выявить случаи злонамеренных или неумышленных, но опасных действий пользователей, имеющих доступ к вашему ПК.

Все события, зарегистрированные в соответствующем журнале, отображаются в среднем вертикальном подокне (см.5 Рис.2), которое делится на три горизонтальных части. В верхней части отображается перечень зафиксированных событий (см.7 Рис.2). Под ней расположен раздел с информацией о коде события и источнике события (см.8 Рис.2), а ниже – детальная информация о событии с его описанием, если оно есть в перечне событий Windows.

Как отмечалось выше, основными событиями являются Информация (Сведения) (см.12 Рис.2), Предупреждения и Ошибки (см.13 Рис.2). Событие типа «Предупреждение» не показано на Рис.2, но внешний вид его детально описан в начале статьи.

Для проведения анализа событий, имевших место на вашем ПК, необходимо открыть соответствующие журналы событий и найти события, которые предшествовали неустойчивой работе (сбоям) компьютера. При этом делается привязка по времени внешнего проявления неустойчивой работы (сбоя) компьютера и событий, зафиксированных в Журналах событий. Если все зафиксированные в Журналах события четко привязываются к системному времени (см.14 Рис.2), то внешнее проявление (сбой, зависание и т.п.) вам необходимо зафиксировать самостоятельно.

Если неустойчивой работы ПК не отмечалось, то целесообразно просто просмотреть события за определенный период во всех имеющихся журналах.

Среди зафиксированных системой событий необходимо искать в первую очередь события типа «Ошибка». Что касается событий типа «Информация» («Сообщение»), то обычному пользователю нет смысла анализировать эти события, т.к. они информируют об успешном выполнении какой-либо задачи. К примеру, успешный переход системы в режим «Сон», выход из режима «Сон» и т.п. Но, если у кого-нибудь возникнет желание или необходимость, он сможет самостоятельно выбрать событие типа «Информация», выделить его и посмотреть его описание в разделе с детальной информацией (см.9 Рис.2).

Итак, как вы, наверное, уже догадались, выделение любого события из списка событий (см.13 Рис.2) приводит к появлению соответствующей информации в разделах «Код события» (см.8 Рис.2) и «Детальная информация о событии» (см.9 Рис.2). Вам только остается внимательно изучить эту детальную информацию и, в первую очередь, текстовую информацию в подокне «Описание события» (см.10 Рис.2). Но, если этой информации недостаточно и вам не понятно, что вы должны предпринять, то воспользуйтесь кнопкой «Справка в Интернете для…» (см.11 Рис.2).

Примечание: В разных операционных системах кнопка «Справка в Интернете для…» (см.11 Рис.2) может называться по-другому. В Windows 7 эта кнопка называется «Веб-справка журнала».

После нажатия на кнопку «Справка в Интернете для…» (см.11 Рис.2) система запросит у вас разрешения на отправку в компанию Microsoft информации о вашем событии. Это проявится в появлении окна Рис.3, в котором вам необходимо будет нажать кнопку «Да» (см.1 Рис.3).

После того, как вы нажмете кнопку «Да» (см.1 Рис.3), ваш браузер, установленный по умолчанию, откроет окно на официальном сайте Microsoft, где должно быть описание ошибки и рекомендации об ее устранении. Вот только для операционных систем Windows 10 это не всегда работает, видимо, потому, что для данной системы накоплено недостаточное количество статистического материала. А вот что касается Windows 7, то тут все нормально. Для большинства ошибок есть и описание, и рекомендации.

Теперь несколько слов о журнале «Безопасность». Как я уже говорил, по умолчанию в Windows XP этот журнал не активирован, т.е. в нем не фиксируется ни одно событие. В операционных системах Windows 7 и выше фиксируется несколько событий, причем для разных систем они различны. Чтобы активировать этот журнал для Windows XP или расширить список событий для других систем, необходимо произвести настройку аудита параметров безопасности. Для этого в окне «Администрирование» необходимо выбрать «Локальная политика безопасности» (см.2 Рис.1).

В новом окне Рис.4 откройте вкладку «Локальные политики» (см.1 Рис.4) и выберите «Политика аудита» (см.2 Рис.4), после чего в правой части этого окна у вас появится перечень событий, которые подлежат аудиту (см. 3 Рис.4). Выбрав любое из событий, для которого вы хотите назначить аудит, выполните настройку этого аудита. Вы можете настраивать аудит таким образом, чтобы фиксировались все удачные попытки или только неудачные попытки совершения события («Успех» или «Отказ»). Вы можете задать перечень объектов, доступ к которым ограничен определенным представителям пользователей компьютера. Вы можете включить и настроить аудит отслеживания определенных процессов и многое другое. Единственное, что не следует забывать, так это то, что для настройки параметров аудита безопасности необходимо зайти на компьютер как представитель группы «Администраторы».

И в заключение следует отметить, что, если с вашим компьютером начало происходить что-то непонятное, он стал чаще глючить или еще что-нибудь в этом роде, не спешите удалять недавно установленные программы и драйвера, а просмотрите события, которые предшествуют моментам «глюков» и изучите рекомендации по устранению ошибок. Наверняка, у кого-то была подобная проблема, и этот вопрос изучен представителями компании Microsoft, а рекомендации они выложили на своем сайте. Ну, а если вы пользуетесь лицензионным ПО, то не стесняйтесь обращаться в техподдержку Microsoft. Эти представители честно отрабатывают те деньги, которые вы заплатили за свою операционную систему.