На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

СРЕДСТВА АУДИТА   WINDOWS NT

В предыдущих разделах речь шла о различных средствах регистрации систем Unix. С их помощью администраторы могут наблюдать за работой пользователей в сис­теме. Похожие средства есть и в операционной системе Windows NT. Но в отли­чие от Unix, в Windows NT для их подключения администратор системы должен проделать определенные действия. Далее я расскажу вам о том, как это сделать. Журнал регистрации Windows NT (так называемый Просмотр событий) содер­жит важную информацию об установке и запуске различных служб. О средствах аудита Windows NT мы подробнее поговорим в главе 15. показа­но диалоговое окно Просмотр событий. КАК АКТИВИЗИРОВАТЬ    СРЕДСТВА РЕГИСТРАЦИИ
Чтобы просматривать происходящие в сети Windows NT события, нужно акти­визировать средства регистрации. Для этого вы должны проделать следующие шаги:
1. Войдите в систему как администратор.
2. Щелкните мышью по клавише Пуск, выберите пункт Программы, а в нем -группу Администрирование (Общее). В этой группе выберите пункт Дис­петчер пользователей. На экране должно появиться окно, показанное 3.
В этом окне откройте меню Политика и выберите пункт Аудит. На экране появится диалоговое окно, показанное 4.
Диалоговое окно Политика аудита.
В этом окне включите радиокнопку Аудит событий. После этого Windows NT активизирует соответствующий список параметров.
В окне Политика аудита с помощью мыши установите необходимые вам параметры. В таблице 12.4 приведены краткие описания всех этих пара­метров.
Параметр
Описание
Вход и выход
Доступ к файлам и объектам
Указывает средству просмотра событий создавать
записи о локальной и удаленной регистрации
ресурсов.
Указывает средству просмотра событий создавать
записи обо всех попытках доступа к файлам, папкам и принтеру. Обратите внимание на тот факт, что для использования средств безопасности вам необходимо
установить на своих жестких дисках файловую систему NTFS. Чтобы установить наблюдение за отдельными папками и файлам, воспользуйтесь программой
Параметр Описание
Управление Указывает средству просмотра событий создавать
пользователями записи об изменении и удалении учетных записей
и группами пользователей или групп. Подобные операции могут
производиться системным администратором или пользователем с соответствующими правами. Кроме того, при использовании этого параметра будут создаваться записи обо всех установленных или измененных пользователями паролях.
Изменение политики Указывает средству просмотра событий создавать безопасности записи обо всех изменениях прав пользователя
или политики аудита.
Перезагрузка, Указывает средству просмотра событий создавать
выключение и сис- записи о выключениях и повторных запусках системы темные события       на локальной рабочей станции.
Отслеживание Указывает средству просмотра событий создавать
процессов записи об активизации программ, а также
об обработке копий, косвенном доступе к объектам _и завершении процессов._
Параметры диалогового окна Политика аудита (окончание).
Установите с помощью мыши флажки Успех и Отказ. Флажок Успех ука­зывает операционной системе создавать запись об операции только в том случае, если она завершилась успешно. Флажок Отказ указывает опера­ционной системе создавать запись об операции только в том случае, если она завершилась неудачно.
6. В диалоговом окне Политика аудита щелкните мышью по кнопке ОК. Windows NT вернется к окну Диспетчер пользователей.
7. Чтобы завершить работу программы, откройте меню Пользователь и вы­берите пункт Выход.
АУДИТ БАЗОВЫХ ОБЪЕКТОВ    WINDOWS NT
В предыдущем разделе я рассказал вам о том, как активизировать средства аудита в Windows NT. Однако диалоговое окно Политика аудита предоставляет только некоторые возможности аудита. Чтобы воспользоваться необходи­мо изменить реестр. В реестре Windows NT хранится информация обо всех уста­новленных на компьютере программах, параметрах операционной системы и о
многом другом. Чтобы добавить функциональные возможности аудита, нужно
воспользоваться редактором реестра (файл regedit.exe).
Чтобы запустить редактор реестра, выполните следующие операции:
1. Откройте меню Пуск и выберите в нем пункт Вьтолнить. На экране по­явится диалоговое окно Запуск программы.
2. Введите c:\winnt\regedit. (Если у вашего системного каталога Windows NT другое имя, то вставьте его вместо имени каталога winnt.)
3. Щелкните мышью по кнопке ОК. На экране появится окно редактора реестра (5).
Я Е HKEY_OASSES.RD0T 3 Ш HKEYJURRENT^USER i: ~J HKEY_LOCAl_MACHINE ■« Ш HKEYJJSERS 1*1 p HKEY_CURflENT_CONFIG
Далее я расскажу вам о том, как с помощью редактора реестра добавить к базе данных реестра дополнительную информацию аудита. Эта информация заставит
операционную систему вести наблюдение за базовыми объектами, привилегия­ми и завершать работу системы в том случае, если журнал регистрации будет заполнен до предела.
аудит базовых объектов
Несмотря на то что Windows NT обладает средствами аудита отдельных файлов и объектов (напомню, что для этого нужно использовать файловую систему NTFS),
она не поддерживает напрямую средства аудита базовых служб и объектов систе­мы, часто называемых базовыми объектами системы. Чтобы установить возмож­ности редактирования базовых объектов системы, добавьте с помощью редакто­ра реестра следующие параметры:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa: Name: AuditBaseObjects Type: REG_DWORD Value:   1 "
Чтобы добавить параметр к базе данных реестра, проделайте следующие операции:
1. В окне редактора реестра дважды щелкните мышью по папке HKEY_LOCAL_MACBINEHa экране появится развернутый список со­держащихся в папке объектов.
2. В этом списке дважды щелкните мышью по папке System. На экране по­явится развернутый список содержащихся в этой папке объектов.
3. В этом списке дважды щелкните мышью по папке CurrentControlSet И снова на экране появится развернутый список выбранной папки.
4. Дважды щелкните мышью по папке Control. Редактор реестра отобразит на экране еще один развернутый список.
5. В этом списке щелкните мышью по папке LSA. Теперь окно редактора реестра должно выглядеть примерно показано 6.
Откройте меню Правка и выберите в нем пункт Создать, а в нем — Пара­метр DWORD. Редактор реестра добавит к списку параметров новый (пу­стой) элемент.
Введите значение нового элемента — AuditBaseObjects, а затем нажмите клавишу Редактор реестра вернет вас к основному окну.
Дважды щелкните мышью по только что добавленному элементу. На экране появится диалоговое окно Изменение параметра DWORD (7).
9.  В поле Значение введите цифру    Щелкните мышью по кнопке ОК. Редак­тор реестра вернется к своему основному окну.
Теперь в реестре содержится новый элемент. Он указывает операционной системе вести аудит базовых и обычных объектов, если администратор установил средства аудита доступа к объектам.
Отметим, однако, что создание нового параметра реестра не приведет к автомати­ческой генерации записей аудита. Эта операция просто распространяет категорию доступа к объектам и на базовые объекты. Если вы еще не подключили средства
аудита объектов, то сделайте это сейчас (детали описаны в предыдущем разде­ле). Параметр AuditBaseObjects указывает локальному ведомству безопасности присвоить базе установленное по умолчанию значение элемента управления аудита системного уровня. Локальное ведомство безопасности (15) — это
программа Windows NT, работающая на системном уровне; цель ее работы -добавление информации безопасности к файлам.
АУДИТ ПРИВИЛЕГИЙ
Как уже говорилось, после подключения средств аудита Windows NT будет вести аудит только тех объектов, которые созданы пользователями. Чтобы заставить операционную систему вести аудит базовых объектов, нужно проделать некото­рые специальные операции. Более того, по умолчанию Windows NT ведет аудит
далеко не всех привилегий (даже если вы подключили это средство). Благодаря этому система старается уменьшить размер журналов регистрации. Далее приво­дится список привилегий, которые по умолчанию не подвергаются процедуре аудита:-
1. Прохождение промежуточной проверки (предоставляется всем)
2. Отладка программ (предоставляется только администраторам)
3. Создание объекта-маркера (запрещено для всех)
4. Удаление маркера уровня процесса (запрещено для всех)
5. Генерирование аудита безопасности (запрещено для всех)
6. Создание резервных копий файлов и каталогов (предоставляется админис­траторам и операторам создания резервных копий)
7. Восстановление файлов и каталогов (предоставляется администраторам и операторам создания резервных копий)
Каждый пользователь системы должен обладать как минимум 1-й привилегией из этого списка. Поэтому аудит такой привилегии не имеет смысла. В работающих системах 2-я привилегия из списка не используется. Дело в том, что она приме­няется только в процессе установки Windows NT. Поэтому можно смело удалить ее из привилегий администраторов. Никому из пользователей нельзя предоставлять привилегии 3, 4 и 5. Однако желательно, чтобы 6-я и 7-я привилегии были доступны всем. Чтобы подключить средства аудита последних двух привилегий, воспользуйтесь редактором реестра и добавьте следующие параметры:
HKEY LOCAL MACHINE\System\CurrentControlSet\Control\Lsa: Name"7 FullirivilegeAuditing Type: REG BINARY Value: 1
Чтобы добавить этот параметр к базе данных реестра, проделайте следующие
операции:
1. В окне редактора реестра дважды щелкните мышью по папке HKEY_LOCAL_MACHINEm экране появится развернутый список со­держащихся в папке объектов.
2. В этом списке дважды щелкните мышью по папке System. На экране по­явится развернутый список содержащихся в этой папке объектов.
3. В этом списке дважды щелкните мышью по папке CurrentControlSet И снова на экране появится развернутый список выбранной папки.
4. Дважды щелкните мышью по папке Control. Редактор реестра отобразит на экране еще один развернутый список.
5. В этом списке щелкните мышью по папке LSA. Теперь окно редактора реестра должно выглядеть примерно так, 6.
6. Откройте меню Правка и выберите в нем пункт Создать, а в нем — Двоич­ный параметр. Редактор реестра добавит к списку параметров новый (пус­той) элемент.
Введите значение нового элемента — FullPrivilegeAuditing а затем нажмите клавишу Enter. Редактор реестра вернет вас к основному окну.
Дважды щелкните мышью по только что добавленному параметру. На эк­ране появится диалоговое окно Изменение двоичного параметра (см. рису­нок 12.8).
9. В поле Значение введите значение 01 (ноль и единица) — так представля­ется в двоичной записи значение 1. Щелкните мышью по кнопке ОК. Редактор реестра вернется к своему основному окну.
Отметим, что по умолчанию Windows NT не производит аудита создания резерв­ных копий и восстановления. Это связано с тем, что пользователи достаточно часто используют эти привилегии. Если бы система производила регистрацию всех таких операций, то журнал регистрации очень скоро был бы заполнен тыся­чами записей. Поэтому тщательно подумайте, прежде чем подключить средства
аудита этих привилегий. ОСТАНОВКА СИСТЕМЫ
Являясь системой класса С2 (3), Windows NT позволяет администрато­ру установить параметр, заставляющий операционную систему останавливать­ся, если журнал регистрации заполнен до предела. Обычно это позволяет оста­новить атаки хакеров. Как я уже говорил, атаки (в частности, активные) при­водят к созданию огромного количества информации в журнале регистрации. Если система будет остановлена из-за переполнения журнала регистрации, то атака будет отражена. Чтобы установить эту возможность, добавьте к реестру следующий параметр:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa: Name: CrashOnAuditFail Type: REG_DWORD Value: 1
После установки этого параметра система будет завершать свою работу всякий раз, когда журнал регистрации будет заполнен записями до отказа. Кроме того, система присвоит параметру значение 2 (двоичное 10). Во время следующей за­грузки системы зарегистрироваться в ней смогут только администраторы (уда­ленно или локально). Войдя в систему, администратор должен очистить журнал регистрации (или создать его копию), присвоить параметру значение 1 и пере­грузить систему до того, как в нее смогут войти пользователи. Чтобы добавить этот параметр к базе данных реестра, проделайте следующие операции:
1. В окне редактора реестра дважды щелкните мышью по папке HKEY_LOCAE_MACHINEHa экране появится развернутый список со­держащихся в папке объектов.
2. В этом списке дважды щелкните мышью по папке System. На экране по­явится развернутый список содержащихся в этой папке объектов.
3. В этом списке дважды щелкните мышью по папке CurrentControlSet И снова на экране появится развернутый список выбранной папки.
4. Дважды щелкните мышью по папке Control. Редактор реестра отобразит на экране еще один развернутый список.
5. В этом списке щелкните мышью по папке LSA. Теперь окно редактора реестра должно выглядеть примерно так, 6.
6. Откройте меню Правка и выберите в нем пункт Создать, а в нем — Пара­метр DWORD. Редактор реестра добавит к списку параметров новый (пу­стой) элемент.
7. Введите значение нового элемента — CrashOnAuditFail а затем нажмите клавишу Enter. Редактор реестра вернет вас к основному окну.
8. Дважды щелкните мышью по только что добавленному параметру. На эк­ране появится диалоговое окно Изменить двоичное значение.
9. В поле Значение введите цифру 1. Щелкните мышью по кнопке ОК. Ре­дактор реестра вернется к своему основному окну (9).
Novell NetWare — это одно из наиболее распространенных сетевых решений для компаний. Как и Windows NT, сети NetWare обладают хорошим показателем цена/производительность и могут выполняться на ПК. Об этом продукте мы
подробно поговорим в главе 16.
Как и Windows NT, сети Novell NetWare обладают классом защиты С2 (начиная с версии 3.12). Чтобы удовлетворить высоким требованиям этого класса, в про-
Основное окно редактора реестра.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика