Аудит операционной системы

Размещено на http://www.allbest.ru/

Содержание

Введение

Ход работы и результаты

Выводы

Заключение

Введение

Аудит безопасности Windows - это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность.

Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности.

Цель практической работы:

Научиться настройке аудита операционной системы и событий Secret Net Studio" и работе с журналом событий Secret Net Studio.

Задачи практической работы:

- установить максимальный размер журнала системы защиты, равный 20480 Кб;

- установить аудит успеха и отказа в разделе «РЕГИСТРАЦИЯ СОБЫТИЙ». (для групп: «Администрирование»; «Администрирование системы защиты»; «Вход в систему»), для остальных - аудит отказа;

- получить четыре типа журналов: 1) Secret Net Studio; 2) Системный; 3) Безопасности; 4) Приложений);

- экспортировать каждый журнал отдельно;

- загрузить любой журнал из ранее экспортированного;

- проанализировать потенциальные угрозы на вкладке «Угрозы»;

- запустить механизм фильтрации журнала.

Ход работы

журнал система аудит угроза

Увеличиваем размеры журналов аудита для этого откройте "Локальный центр управления"

("Пуск > Все программы > Код Безопасности > Secret Net Studio > Локальный центр управления").

После запуска окна приложения выбираем вкладку «НАСТРОЙКИ»

Выбираем группу «Журнал» из раздела «ПОЛИТИКИ» в левой части окна приложения (Рис. 1).

Устанавливаем максимальный размер журнала системы защиты, равный 20480 Кб

Рисунок 1 Настройка журнала системы защиты

После настройки выбранных параметров нажимаем кнопку «Переменить» в правом нижнем углу окна приложения.

Устанавливаем аудит успеха и отказа в разделе «РЕГИСТРАЦИЯ СОБЫТИЙ». (для групп: «Администрирование», «Администрирование системы защиты», «Вход в систему»)

Для остальных групп устанавливаем аудит отказа и снимаем аудит успеха.

Все параметры не относящиеся к аудиту успеха и отказа устанавливаем на свое усмотрение.

Во вкладке «НАСТРОЙКИ» переходим в раздел «РЕГИСТРАЦИЯ СОБЫТИЙ» (Рис. 2).

Рисунок. 2 Раздел «РЕГИСТРАЦИЯ СОБЫТИЙ»

К какому типу аудита (аудит успеха или отказа) относится событие можно узнать нажав ЛКМ на символ «i» напротив события (Рис. 3).

Рисунок. 3 Информация о событии

Ставим «галку», если нужно поставить «аудит успеха» напротив события (для групп: «Администрирование»; «Администрирование системы защиты»; «Вход в систему») (Рис 4).

Рисунок. 4 Настройка событий для групп: «Администрирование»; «Администрирование системы защиты»; «Вход в систему»

Для остальных убираем галку, если нужно снять аудит успеха или ставим, если установлено «аудит отказа» (Рис 5).

Рисунок. 5 Настройка событий для остальных групп

После настройки всех событий нажимаем кнопку «Применить» (Рис 6).

Рисунок 6 Кнопка «применить» по завершении работы

Завершаем работу программы и перезагружаем операционную систему.

Просматриваем журналы, для этого открываем "Локальный центр управления" ("Пуск >Все программы > Код Безопасности > Secret Net Studio > Локальный центр управления").

Переходим во вкладку «Журналы» в левой вертикальной панели (Рис. 7).

Рисунок 7 Вкладка «Журналы»

Выбираем журнал с которым будем работать (Рис. 8).

В Secret Net Studio присутствуют четыре типа журналов:

1) Secret Net Studio -- события генерируемые самим комплексом;

2) Безопасности -- события связанные с безопасностью системы;

3) Системный -- общесистемные события;

4) Приложений -- события возникающие во время эксплуатации различного ПО.

Рисунок 8 Журналы событий в Secret Net Studio

Экспортируем каждый журнал:

Secret Net Studio (Рис.9).

Рисунок 9 Журнал Secret Net Studio

Безопасности (Рис.10).

Рисунок 10 Журнал Безопасности

Системный (Рис.11).

Рисунок 11 Журнал Системный

Приложений (Рис.12)

Рисунок 12 Журнал Приложений

Загружаем журнал из файла.

Для загрузки журнала «по умолчанию» нажимаем двойным нажатием ЛКМ на название журнала (Рис. 13).

Чтобы открыть сохранный журнал выбираем «Открыть журнал с диска» и откройте файл журнала.

После загрузки журнала вы можем увидеть следующею картину (Рис. 9)

Рисунок. 13 Журнал Secret Net Studio

В нижнем поле указывается полная информация о событии. События, отмеченные знаком отмечаются как разрешенные. События, отмеченные знаком отмечаются как запрещенные.

Если перейти на вкладку «Угрозы» можно увидеть потенциальные угроза системы (Рис. 14)

Рисунок 14 Журнал угроз

Чтобы запустить механизм фильтрации журнала, перейдем в раздел «ЗАПРОСЫ» (Рис. 15). Мы можем использовать готовые запросы из раздела, взаимодействие с ними такое же как с журналами.

Рисунок 15 Журнал «Все тревоги»

Создаем новый запрос и для этого выбираем «Новый»>«Запрос журнала станции» (Рис. 16).

Рисунок 16 Создание нового запроса

В правой части окна появится панель с параметрами запроса.Здесь можно задать следующие параметры: имя фильтра, период времени, журналы.

Если нажать «Перейти в расширенный режим» можно добавлять правила (Рис. 17)

Рисунок 17 Расширенный режим

После завершения настройки нажимаем кнопку «Получить журнал».

Создаем правило со следующими условиями: события аудита отказа за последнею неделю.

Нажимаем «Добавить правило» и из выпадающего списка выбираем «Тип». Должна появится строка правила (Рис 18).

Рисунок 18 Добавление правила «Тип»

Устанавливаем следующие параметры: Правило -- Тип, Оператор -- Равно, Условие -- Аудит отказов (Рис. 19).

Рисунок 19 Настройка правила «Тип»

Нажимаем на символ + (Рис. 16) и выбираем в качестве второго правила «Дата» (Рис. 20). Устанавливаем следующие параметры: Правило -- Дата, Оператор -- Интервал, Условие -- За 7 дней.

Рисунок 20 Добавление правила «Дата»

Параметр логического условия должен быть установлен в положение «И» (зеленый фон)

После окончания настройки нажимаем кнопку «Получить журнал». В результате у нас получается журнал, содержащий все события отказа за последние 7 дней (Рис. 21).

Рисунок 21 Журнал по условиям (за последние 7 дней)

Создаем новый запрос с параметрами «за все время» с выборкой всех журналов (рис.22)

Рисунок 22 Запрос с параметрами «за все время» с выборкой всех журналов

После окончания настройки нажимаем кнопку «Получить журнал». В результате у нас получается журнал, содержащий все события отказа «за все время» (Рис. 23).

Рисунок 23 Журнал по условиям (за все время)

Закрываем окно программы.

Выводы

Таким образом, в ходе работы нам удалось научиться настраивать аудит операционной системы и событий Secret Net Studio. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Работа с журналом событий Secret Net Studio - организационные меры, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий.

Заключение

В ходе работы поставленные задачи выполнены:

установлен максимальный размер журнала системы защиты, равный 20480 Кб;

- установлены аудит успеха и отказа в разделе «РЕГИСТРАЦИЯ СОБЫТИЙ». (для групп: «Администрирование»; «Администрирование системы защиты»; «Вход в систему»), для остальных - аудит отказа;

- получены четыре типа журналов: 1) Secret Net Studio; 2) Системный; 3) Безопасности; 4) Приложений);

- экспортированы каждый журнал отдельно;

- загружен журнал из ранее экспортированного;

- проанализированы потенциальные угрозы на вкладке «Угрозы»;

- запущен механизм фильтрации журнала.

Размещено на Allbest.ru