Аудит. Средства мониторинга.

Аудит системы.

Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС и имеющие отношения к безопасности, то есть позволяет следить за всеми событиями, которые происходят в системе. Информация о событиях заносится в Журналы аудита, которые затем можно просмотреть в программе Просмотр событий. По умолчанию аудит отключён. Чтобы включить аудит Пуск – Программы – Администрирование – Политика безопасности домена.

 

Рис. 167. Окно Политика безопасности домена.

 

В этом окне в левой части необходимо пройти путь: Параметры безопасности – Локальные политики и выделить папку Политика Аудита. В правой части окна появится все виды аудита, которые позволяет отслеживать данный домен. Каждый из них необходимо поставить на Успех, Отказ. Тогда система позволит следить за этими событиями.

Чтобы разрешить аудит активизируем соответствующее событие. Появится окно Параметр аудита.

 

 

Рис. 168. Окно Параметр локальной политики безопасности.

 

 

В нём необходимо проставить флажки соответствующих типов аудита, то есть разрешить этот тип.

 

 

При необходимости, если аудит всё же не активизировался, следует запустить программу Локальные параметры безопасности и проделать в ней те же действия.

Только после активизации аудита можно задавать аудит на конкретные объекты. Для этого щёлкаем по объекту ПКМ – Свойства- Безопасность - Дополнительно – Вкладка Аудит.

 

Рис. 169. Вкладка Аудит.

 

 

Чтобы назначить аудит на этот объект для какого-то пользователя, щёлкаем кнопку Добавить.

 

 

Далее в появившемся списке пользователей необходимо выбрать того пользователя, за которым система будет следить, как он ведёт себя с данным объектом.

 

После выбора пользователя будет предложено указать конкретные действия с этим объектом должен производить пользователь, чтобы за ним следила система.

 

 

Рис. 170. Окно назначения элементов аудита.

 

 

В окне с помощью флажков необходимо проставить слежение отказа или успеха конкретного действия.

 

Если этот объект – папка, то ниже будет флажок, который может распространить действие аудита на все вложенные объекты.

 

После нажатия ОК аудит считается назначенным.

 

Все события, происходящие с объектами, на которые назначен аудит, записываются в Журналы событий, которые потом можно просмотреть с помощью программы Просмотр событий. (Пуск – Программы – Администрирование – Просмотр событий). Запускаем программу Просмотр событий.

 

 

Рис. 171. Окно программы Просмотр событий.

Существует три основных вида журналов:

1. Журнал приложений – фиксирует события, зарегистрированные приложениями.

Пример: тестовый редактор регистрирует в нём ошибки при открытии файлов.

1. Журнал системы – записывает события, которые регистрируются системными компонентами.

Пример: сбои в процессе загрузки драйвера или другого системного компонента.

1. Журнал безопасности – содержит записи, связанные с системой безопасности.

Пример: попытки входа в систему, доступы к объектам.

Активизировав нужный журнал в левой части окна просматриваем события, записанные в этом журнале с правой стороны. События расположены в хронологическом порядке. Чтобы детально рассмотреть записанное событие – активизируем его. Появится окно Свойства: Событие с детальной информацией о событии.

 

 

Рис. 172. Окно Свойства: События.

 

 

Вид и параметры журналов событий можно настроить. Для этого ПКМ по нужному журналу – Свойства. Окно свойств содержит 2 вкладки:

Общие.

 

 

Рис. 173. Вкладка Общие свойств журнала.

 

В ней можно задать размер журнала, каким образом будут затираться старые события, а также возможно очистить журнал соответствующей кнопкой.

 

Фильтр.

Рис. 174. Вкладка Фильтр свойств журнала.

 

В ней проставляем тип отображаемых в журнале событий, наличие источника, категорию, код и так далее.

 

 

Средства мониторинга.

Мониторинг (наблюдение) системы производит программа Диспетчер задач, которая предоставляет информацию о программах и процессах, запущенных в этот момент на компьютере, а также отображает общие показатели производительности аппаратуры.

Для запуска нажимаем комбинацию Ctrl+Alt+Del. и в появившемся окне щёлкаем кнопку Диспетчер задач. Появляется окно программы, состоящее из 3-х вкладок:

Приложения.

Рис. 175. Вкладка Приложения окна Диспетчер задач.

 

В ней приводится список всех запущенных на ПК приложений и их состояние: Выполняется или Не отвечает (завис).

 

С помощью расположенных ниже кнопок мы можем:

1. Завершить приложение – кнопка Снять задачу.

2. Сделать приложение активным – кнопка Переключиться.

3. Запустить новое приложение – Кнопка Новая задача.

Процессы.

Рис. 176. Вкладка Процессы окна Диспетчер задач.

 

В этой вкладке приводится список всех запущенных процессов в системе.

Процесс – это либо исполняемый файл программы, который загружается резидентно и определяет основу её функционирования, либо файл какого-либо модуля ОС.

 

Процесс можно завершить, щёлкнув соответствующую кнопку.

 

 

Точно зная, какие процессы за какие действия отвечают, можно управлять их приоритетом использования ресурсов. Для этого активизируем процесс – Приоритет и появившемся списке выбираем уровень приоритета.

 

 

Рис. 177. Окно выбора приоритета процесса.

 

 

Приоритеты даны в списке по уменьшению их значимости. Самый мощный – Реального времени, самый слабый – Низкий.

 

Быстродействие.

Рис. 178. Вкладка Быстродействие окна Диспетчер задач.

 

В данной вкладке визуально отображается текущее использование CPU и RAM, а также хронология использования за последнее время.

 

Ниже приведена дополнительная информация о процессоре и памяти.

 

 

Лабораторная работа № 5.

 

Тема: Безопасность информации в сетях. Аудит. Мониторинг.

Цель: Получение навыков администрирования сети.

Продолжительность: 6 часов.

Оборудование: 1. аппаратура (записать самим, используя сведения о конкретном ПК),

2. лабораторный практикум.

 

Контрольные вопросы:

1. Что такое аудит?

2. Как активизировать аудит?

3. Как назначить аудит объектам?

4. Какие действия с объектами может отслеживать система?

5. Где записываются события аудита?

6. Какие бывают журналы аудита?

7. Как настроить журналы аудита?

8. Какие средства мониторинга предоставляет 2000?

9. Как завершить зависшее приложение?

10. Что такое процесс? Приоритет процесса.

11. Как просмотреть производительность RAM и CPU?

Задание:

1. Загрузить на своём ПК Windows 2000 Server. Войти в систему под именем Администратор.

2. Активизировать аудит.

3. Создать папку на диске NTFS и поместить в неё несколько файлов. Сделать эту папку сетевой. Назначить на вашу папку аудит для остальных пользователей сети, а также для самого себя. предварительно назначить разрешения к ней.

4. Сообщить по е-mail другим userам о вашей папке. Всем попытаться получить доступ к папкам друг друга., а также к своим папкам под разными именами. Войти под своим именем и сделать все действия с папкой, на которые накладывались разрешения и аудит.

5. Просмотреть соответствующий журнал событий и распечатать информацию о результатах доступа к вашей папке других пользователей и самого себя.

6. Просмотреть все события во всех журналах детализировано (со свойствами).

7. Запустить несколько программ. Просмотреть Диспетчер задач. Закрыть эти программы из диспетчера.

8. Запустить несколько программ. Просмотреть в Диспетчере процессы, которые определяют работу этих программ. Попытаться назначить им более высокий приоритет, а затем завершить их.

9. Создать пособие по назначению аудита, просмотру журналов и Диспетчеру задач.

Порядок выполнения работы:

1. Ответить на контрольные вопросы письменно.

2. Выполнить задание.

3. Оформить отчет.

Оформление отчета:

1. Отразить дату и тему занятий.

2. Записать условие задания.

3. Описать порядок выполнения каждого задания. При необходимости подклеить распечатки

Домашнее задание:

Оформить работу. Подготовить ответы на контрольные вопросы.

 

Литература:

1. Чернышов Ю.Г. “Лабораторный практикум с элементами теории по предмету: “Компьютерные сети”’. Учебное пособие. Издание второе, переработанное и дополненное. БТИВТ, 2003 год

2. А.Г. Андреев “ Microsoft Windows 2000 Server и Professional. Русские версии” Спб, БХВ, 2000 год.

3. М. Гук “Аппаратные средства локальных сетей”, Спб, Питер, 2002 год.

4. Д Камер “ Компьютерные сети и Internet”,Вильямс, 2002 год.

5. А. Вишневский “Служба каталогов Windows 2000. Учебный курс”, Питер, 2001 год.

6. Д. Шапиро “Windows 2000 Server. библия пользователя”, Диалектика, 2001 год.

7. “Компьютерные сети. Учебный курс Microsoft”, Русская редакция, Channel Trading LTD, 1998 год.