Подготовка к ПР

Подготовка к практической работе по дисциплине «Операционные системе»

по теме: «Локальная политика аудита»

Задание №1. Планирование политику аудита

Сейчас вы займетесь планированием политику аудита компьютера. Прежде всего, нужно ответить на несколько вопросов.

• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида событий?

Принимая решение, руководствуйтесь правилами, описанными далее.

• необходимо регистрировать неудачные попытки доступа к компьютеру
• необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам;
• необходимо отслеживать использование цветного принтера для подготовки счетов за его использование;
• необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера;
• необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения;
• необходимо вести учет процедур резервного копирования для предотвращения хищения данных.
• необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.

 

Ваши решения по аудиту вышеперечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.

Регистрируемое действие	Успех	Отказ
События входа в систему
Управление учетными записями
Доступ к службе каталогов
Вход в систему
Доступ к объектам
Изменение системной политики
Использование привилегий
Отслеживание процесса
Системные события

 

Задание №2. Настройка политики аудита

Необходимо запустить консоль ММС, добавить оснастку Групповая политика для локального компьютера и включите аудит выбранных событий.

Настройка политики аудита

1. Войдите в систему под любой учетной записью, входящей в группу Администраторы
2. Пуск – выполнить – mmc – OK. В окне консоль 1, в меню Консоль, щелкните Добавить или удалить оснастку – добавить – групповая политика – добавить.
3. Убедитесь, что в поле Объект групповой политики окна Выбор объекта групповой политики значится Локальный компьютер, затем щелкните кнопку Готово – Закрыть.
4. Заметьте, что в окне «Добавить/удалить оснастку» отображается элемент Политика «Локальный компьютер» несмотря на то, что вы выбрали оснастку «Групповая политика». Дело в том, что для локального компьютера «Групповая политика» означает то же самое, что и политика «Локальный компьютер». Закройте диалоговое окно.
5. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер»
6. Дважды щелкните элемент Конфигурация компьютера, затем дважды щелкните элемент Конфигурация Windows.
7. Дважды щелкните элемент Параметры безопасности, затем дважды щелкните на элементе Локальные политики
8. Щелкните элемент Политика аудита. В правой панели окна Политика «Локальный компьютер» отобразятся текущие параметры политики аудита.
9. Чтобы настроить политику аудита, в правой части окна дважды щелкните каждый тип события и установите флажок Успех или отказ согласно рекомендациям следующей таблицы.

Событие	Успех	Отказ
События входа в систему
Управление учетными записями	Х
Доступ к службе каталогов
Вход в систему		Х
Доступ к объектам	Х	Х
Изменение политики	Х
Использование привилегий	Х
Отслеживание процесса	Х	Х
Системные события

 

10. Закройте консоль и сохраните локальную групповую политику
11. Перезапустите компьютер, чтобы изменения немедленно вступили в силу

Задание №3. Настройка аудита файлов.

 

1. Войдите в систему с использованием любой учетной записи, входящей в группу Администраторы.
2. С помощью проводника создайте папку с именем Аудит в корне системного диска
3. В папке Аудит создайте текстовый файл с именем Аудит. Просмотрите его свойства, перейдите на вкладку безопасность – дополнительно
4. В диалоговом окне Управление доступом выберите вкладку Аудит – Добавить. В диалоговом окне Выбор: пользователь или группа, в поле Имя, укажите Все и ОК.
5. В диалоговом окне Элемент аудита для Audit.txt установите флажки Успехи Отказ для каждого из следующих событий:

• Создание файлов/Запись данных
• Удаление
• Смена разрешений
• Смена владельца

Щелкните ОК. ОС отобразит группу Все в диалоговом окне Дополнительные параметры безопасности для

Для подтверждения щелкните кнопку ОК

Не закрывайте окно свойства аудита оно потребуется в дальнейшем

Проверка разрешений файла

В диалоговом окне свойств аудита щелкните Пользователи и убедитесь, что для этого файла разрешения Чтение и запуск и Чтение помечены флажками Разрешить. Все закройте.

 

Задание №4. Проверка правильности параметров политики аудита для файла Аудит

Создайте ограниченную учетную запись задайте ей пароль. Выйдите из системы

Войдите в систему под созданной учетной записью. Внесите изменения в файл, например, следующий текст: «Этот файл изменен пользователем». Попытайтесь сохранить файл

Задание №5. Просмотр журнала безопасности

1. Войдите в систему под учетной записью, входящей в группу Администраторы.
2. Панель управления – администрирование – просмотр событий.
3. В дереве консоли щелкните журнал приложений и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.
4. В дереве консоли щелкните системный журнал и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.
5. В дереве консоли щелкните журнал безопасности и просмотрите его содержимое. Просмотрите описания всех событий категории Отказ, дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя к нашему файлу.
6. В меню Вид выберите пункт Фильтр
7. В диалоговом окне Свойства: Безопасность, в поле Пользователь, введите имя пользователя и щелкните ОК. дважды щелкните каждое из событий. Обратите внимание, что все они относятся к пользователю.

 

Задание №6. Управление журналом безопасности

В дереве консоли выберите элемент Система

В меню Действие щелкните пункт Свойства

В диалоговом окне свойств журнала выберите Затирать старые события по необходимости

В поле Максимальный размер журнала измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь ОС будет заполнять журнал, пока его объем, не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.