LABA7_2
.pdfМинистерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР) Кафедра комплексной информационной безопасности электронно-
вычислительных систем (КИБЭВС)
АУДИТ СОБЫТИЙ БЕЗОПАСНОСТИ ОПЕРАЦИОННОЙ СИСТЕМЫ Отчет по лабораторной работе №7
по дисциплине «Безопасность операционных систем» Вариант №9
Выполнил Студент гр. 730-2
____Подойницын К.В. 17.12.2022
Принял Преподаватель каф. КИБЭВС
_______Мосейчук В.А.
17.12.2022
Томск 2022
Введение
Целью данной работы является ознакомление с интерфейсом управления подсистемой аудита безопасности и параметрами политики аудита на примере операционной системы Windows XP.
Задание:
Администратор безопасности посчитал необходимым провести аудит неблагонадежных сотрудников организации. Для этого он открыл доступ к документу «зарплата сотрудников на 30.04.09.doc», назначив аудит чтения и записи. Выявите неблагонадежных пользователей, которые редактировали этот файл.
2
Ход работы
1. Политика аудита
Был выполнен вход в операционную систему под учётной записью
«Администратор». Открыта оснастка «Локальная политика безопасности»
(«Пуск – Панель управления – Администрирование»). Выбран раздел
«Локальные политики – Политика аудита» (рисунок 1)
Рисунок 1 – Политика аудита Windows XP
В «Свойствах» каждого из параметров возможно включение фиксации событий, относящихся к соответствующей категории. Был открыт параметр политики аудита «Аудит входа в систему» (рисунок 2).
3
Рисунок 2 – Настройки параметра «Аудит входа в систему»
4
1.1 Аудит входа/выхода пользователей
Выполнен вход под учётной записью «Администратор». Открыт журнал «Безопасность» оснастки «Просмотр событий» (рисунок 3).
Рисунок 3 – Журнал «Безопасность»
В журнале «Безопасность» была открыта запись категории
«Вход/выход» типа «Аудит отказов». Данная запись описывает событие,
сгенерированное при вводе неправильного пароля (рис. 4).
5
Рисунок 4 – Запись аудита об отказе входа в операционную систему
Рисунок 5 – Запись аудита об успешном входе в операционную систему
6
1.3Аудит событий, связанных с администрированием
Вжурнале «Безопасность» была открыта запись категории «Учётные записи» с кодом события 628. Данная запись содержит информацию об изменении пароля учётной записи (рисунок 6). В записи аудита представлены имена учётных записей обоих пользователей – у которого пароль был изменён и от имени которой он изменялся.
Рисунок 6 – Запись аудита об успешном изменении пароля учётной записи
Была открыта запись категории «Учётные записи» с кодом события
626. Данная запись содержит информацию о включении учётной записи пользователя (рисунок 7). При создании нового пользователя автоматически происходит его добавление в группу. Далее была открыта запись категории «Учётные записи» с кодом события 636. Данная запись
7
содержит информацию о добавлении учётной записи пользователя в существующую группу (рисунок 8).
Рисунок 7 – Запись аудита о включении учётной записи
8
Рисунок 8 – Запись аудита о добавлении учётной записи в группу
Была открыта запись категории «Изменение политики» с кодом 608 (рисунок 9). Данная запись содержит информацию о предоставлении пользователю права на резервное копирование информации
(SeBackupPrivelege).
9
Рисунок 9 – Запись аудита о присвоении пользователю прав
Была открыта запись категории «Изменение политики» с кодом 622 (рисунок 10). Данная запись содержит информацию об удалении права локального входа пользователя в систему (SeInteractiveLogonRight). Далее была открыта запись категории «Изменение политики» с кодом 612 (рисунок 11). Данная запись содержит информацию об изменении политики аудита.
10