Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4629 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Томский Государственный Университет Систем Управления и Радиоэлектроники
Предмет:
Безопасность операционных систем
Файл:
2 семестр / БОС7.docx
Скачиваний:
21
Добавлен:
29.06.2023
Размер:
1.74 Mб
Скачать
►Содержание►

2.3 Аудит событий, связанных с администрированием

Параметр «Аудит управления учётными записями» включает фиксацию событий, связанных с управлением учётными записями пользователей и групп пользователей. Поэтому надо включить тип событий «Успех» для «Аудита управления учётными записями» (рисунок 2.10).

Рисунок 2.10 – Свойства: Аудит управления учетными записями

Нужно изменить пароль пользователю «user», создайть нового пользователя «user1» (рисунок 2.11). Записи категории «Аудит управления учётными записями» содержат как имя учётной записи, у которой были проведены изменения, так и имя учётной записи пользователя, изменявшего настройки.

Для этого нужно открыть в журнале «Безопасность» запись категории «Учётные записи» с кодом события 628. Данная запись содержит информацию об изменении пароля учётной записи (рисунок 2.12). В записи аудита представлены имена учётных записей обоих пользователей – у которого пароль был изменён («user») и от имени которой он изменялся («Администратор»).

Рисунок 2.11 – Создание и изменение пользователя

Рисунок 2.12 - Запись аудита об успешном изменении пароля учётной записи

Затем требуется открыть запись категории «Учётные записи» с кодом события 626. Данная запись содержит информацию о включении (создании новой) учётной записи пользователя (рисунок 2.13).

Рисунок 2.13 - Запись аудита о включении учётной записи

При создании нового пользователя автоматически происходит его добавление в группу. Для этого нужно открыть запись категории «Учётные записи» с кодом события 636. Данная запись содержит информацию о добавлении учётной записи пользователя в существующую группу (рисунок 2.14). В записи указаны имя учётной записи пользователя, производившего добавление, имя учётной записи добавляемого пользователя и имя группы, в которую добавляется пользователь.

Рисунок 2.14 – Запись аудита о добавлении учётной записи в группу

Параметр «Аудит изменения политики» включает фиксацию событий, связанных с изменением политики аудита, назначения прав пользователям и так далее, поэтому нужно включить тип событий «Успех» для «Аудита изменения политики» (рисунок 2.15).

Рисунок 2.15 – Свойства: Аудит изменения политики

Открыть раздел «Локальные политики – Назначение прав пользователя» в «Локальной политике безопасности». Предоставьте пользователю «user» право «Архивирование файлов и каталогов» (рисунок 2.16), удалите право «Локальный вход в систему» у учётной записи «Гость» (рисунок 2.17).

Записи категории «Аудит изменения политики» содержат имя учётной записи, производившей изменение какой-либо политики, название изменяемой привилегии или настройки. Если происходило изменение привилегии учётной записи пользователя, то указывается имя этой учётной записи.

Для этого необходимо открыть запись категории «Изменение политики» с кодом 608 (рисунок 2.18). Данная запись содержит информацию о предоставлении пользователю права на резервное копирование информации (SeBackupPrivelege).

Рисунок 2.16 – Добавление пользователя «user»

Рисунок 2.17 – Удаление учетной записи «Гость» из списка

Рисунок 2.18 – Запись аудита о присвоении пользователю прав

Сначала требуется открыть запись категории «Изменение политики» с кодом 622 (рисунок 2.19). Данная запись содержит информацию об удалении права локального входа пользователя в систему (SeInteractiveLogonRight).

Открыть запись категории «Изменение политики» с кодом 612 (рисунок 2.20). Данная запись содержит информацию об изменении политики аудита. Зафиксировано включение аудита «Успехов» в категории «Изменение политики».

Рисунок 2.19 – Запись аудита об удалении прав у пользователя

Рисунок 2.20 – Запись аудита об изменении политики безопасности

Параметр «Аудит использования привилегий» включает фиксацию событий, связанных с применением пользователем выданных ему привилегий, поэтому требуется включить тип событий «Успех» для «Аудита использования привилегий» (рисунок 2.2 1).

Необходимо изменить системное время и завершить сеанс пользователя. Затем войти под учётной записью «Администратор».

Далее открыть запись категории «Использование прав» с кодом 577 (рисунок 2.22). Данная запись содержит информацию об использовании привилегии изменения системного времени (SeSystemtimePrivelege) с указанием пользователя, применившего привилегию.

Рисунок 2.21 – Свойства: Аудит использования привилегий

Рисунок 2.22 – Запись аудита о применении привилегии на изменение системного времени

Открыть запись категории «Использование прав» с кодом 576 (рисунок 2.23). Данная запись содержит информацию о предоставлении пользователю набора привилегий при входе в операционную систему.

Открыть запись категории «Использование прав» с кодом 578 (рисунок 2.24). Данная запись содержит информацию об операции с привилегированным объектом – открытие журнала аудита (EventLog).

Рисунок 2.23 – Запись аудита о присвоении привилегий пользователю при входе в систему

Рисунок 2.24 – Запись аудита о работе с журналом аудита

Соседние файлы в папке 2 семестр
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности