- •Аудит событий безопасности операционной системы
- •1 Введение
- •2 Ход работы
- •2.1 Политика аудита
- •2.2 Аудит входа/выхода пользователей
- •2.3 Аудит событий, связанных с администрированием
- •2.4 Аудит событий, связанных с работой операционной системы
- •2.5 Аудит доступа пользователей к ресурсам
- •2.6 Управление журналом аудита
- •2.7 Индивидуальное задание
- •3 Заключение
2.3 Аудит событий, связанных с администрированием
Параметр «Аудит управления учётными записями» включает фиксацию событий, связанных с управлением учётными записями пользователей и групп пользователей. Поэтому надо включить тип событий «Успех» для «Аудита управления учётными записями» (рисунок 2.10).
Рисунок 2.10 – Свойства: Аудит управления учетными записями
Нужно изменить пароль пользователю «user», создайть нового пользователя «user1» (рисунок 2.11). Записи категории «Аудит управления учётными записями» содержат как имя учётной записи, у которой были проведены изменения, так и имя учётной записи пользователя, изменявшего настройки.
Для этого нужно открыть в журнале «Безопасность» запись категории «Учётные записи» с кодом события 628. Данная запись содержит информацию об изменении пароля учётной записи (рисунок 2.12). В записи аудита представлены имена учётных записей обоих пользователей – у которого пароль был изменён («user») и от имени которой он изменялся («Администратор»).
Рисунок 2.11 – Создание и изменение пользователя
Рисунок 2.12 - Запись аудита об успешном изменении пароля учётной записи
Затем требуется открыть запись категории «Учётные записи» с кодом события 626. Данная запись содержит информацию о включении (создании новой) учётной записи пользователя (рисунок 2.13).
Рисунок 2.13 - Запись аудита о включении учётной записи
При создании нового пользователя автоматически происходит его добавление в группу. Для этого нужно открыть запись категории «Учётные записи» с кодом события 636. Данная запись содержит информацию о добавлении учётной записи пользователя в существующую группу (рисунок 2.14). В записи указаны имя учётной записи пользователя, производившего добавление, имя учётной записи добавляемого пользователя и имя группы, в которую добавляется пользователь.
Рисунок 2.14 – Запись аудита о добавлении учётной записи в группу
Параметр «Аудит изменения политики» включает фиксацию событий, связанных с изменением политики аудита, назначения прав пользователям и так далее, поэтому нужно включить тип событий «Успех» для «Аудита изменения политики» (рисунок 2.15).
Рисунок 2.15 – Свойства: Аудит изменения политики
Открыть раздел «Локальные политики – Назначение прав пользователя» в «Локальной политике безопасности». Предоставьте пользователю «user» право «Архивирование файлов и каталогов» (рисунок 2.16), удалите право «Локальный вход в систему» у учётной записи «Гость» (рисунок 2.17).
Записи категории «Аудит изменения политики» содержат имя учётной записи, производившей изменение какой-либо политики, название изменяемой привилегии или настройки. Если происходило изменение привилегии учётной записи пользователя, то указывается имя этой учётной записи.
Для этого необходимо открыть запись категории «Изменение политики» с кодом 608 (рисунок 2.18). Данная запись содержит информацию о предоставлении пользователю права на резервное копирование информации (SeBackupPrivelege).
Рисунок 2.16 – Добавление пользователя «user»
Рисунок 2.17 – Удаление учетной записи «Гость» из списка
Рисунок 2.18 – Запись аудита о присвоении пользователю прав
Сначала требуется открыть запись категории «Изменение политики» с кодом 622 (рисунок 2.19). Данная запись содержит информацию об удалении права локального входа пользователя в систему (SeInteractiveLogonRight).
Открыть запись категории «Изменение политики» с кодом 612 (рисунок 2.20). Данная запись содержит информацию об изменении политики аудита. Зафиксировано включение аудита «Успехов» в категории «Изменение политики».
Рисунок 2.19 – Запись аудита об удалении прав у пользователя
Рисунок 2.20 – Запись аудита об изменении политики безопасности
Параметр «Аудит использования привилегий» включает фиксацию событий, связанных с применением пользователем выданных ему привилегий, поэтому требуется включить тип событий «Успех» для «Аудита использования привилегий» (рисунок 2.2 1).
Необходимо изменить системное время и завершить сеанс пользователя. Затем войти под учётной записью «Администратор».
Далее открыть запись категории «Использование прав» с кодом 577 (рисунок 2.22). Данная запись содержит информацию об использовании привилегии изменения системного времени (SeSystemtimePrivelege) с указанием пользователя, применившего привилегию.
Рисунок 2.21 – Свойства: Аудит использования привилегий
Рисунок 2.22 – Запись аудита о применении привилегии на изменение системного времени
Открыть запись категории «Использование прав» с кодом 576 (рисунок 2.23). Данная запись содержит информацию о предоставлении пользователю набора привилегий при входе в операционную систему.
Открыть запись категории «Использование прав» с кодом 578 (рисунок 2.24). Данная запись содержит информацию об операции с привилегированным объектом – открытие журнала аудита (EventLog).
Рисунок 2.23 – Запись аудита о присвоении привилегий пользователю при входе в систему
Рисунок 2.24 – Запись аудита о работе с журналом аудита