1. Наблюдение за событиями в системе. Используя оснастку Просмотр событий изучить назначение и свойства журналов событий



страница1/3
Дата04.01.2017
Размер1.72 Mb.
Просмотров527
Скачиваний0
  1   2   3
1.Наблюдение за событиями в системе. Используя оснастку Просмотр событий изучить назначение и свойства журналов событий.

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (Просмотр событий) (eventvwr.exe). Периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно.

Общие сведения

Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления.



Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:



Application (журнал приложений) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.

Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.

System (журнал системы) — содержит события, записываемые компонентами Windows.

В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:



Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).

File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.

DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.

Всю информацию о настройках журнала сервис берёт из реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog. Каждая ветка в этом ключе – это журнал. Изначально их всего три, но можно создавать свои журналы, и регистрировать свои приложения как источники событий для этих журналов.



Для каждого журнала определяются ключи. Практически все они необязательны и имеют значения по умолчанию, но рекомендуется всё же создавать их для своего журнала.

Ниже приведём возможные ключи реестра:

• DisplayNameFil - имя файла, в котором содержится локализованная строка с названием журнала, то есть строка, которую покажет Event Viewer. Если параметр не указан, Event Viewer в качестве строки покажет наименование подключа, в котором определён параметр. По умолчанию все локализованные ресурсы находятся в %SystemRoot%\system32\ELS.DLL. Строковый параметр.

• DisplayNameID - Идентификатор строки в ресурсной DLL. Тип параметра DWORD.

• File - Путь к папке, где Event Viewer будет хранить файлы журналов. По умолчанию это %SystemRoot%\system32\config\MyLogName, где MyLogName – имя журнала. При создании нового файла журнала сервис должен иметь права на полный доступ к файлу. Если значение этого параметра будет неверным, все записи будут перенаправляться в журнал Application. В пути нельзя использовать имя удалённого компьютера, DOS-устройства, дисководы, именованные каналы. Нельзя использовать переменные окружения, которые нельзя раскрыть в контексте сервиса.

• MaxSize - Максимальный размер журнала в байтах. По умолчанию 512К. Параметр DWORD.

• PrimaryModule - наименование ключа, где хранятся настройки по умолчанию. Обычно совпадает с наименованием журнала. Строковый параметр.

• Retention - интервал в секундах, в течение которого записи могут остаться не перезаписанными. Если установлено в ноль, записи в журнале всегда перезаписываются, если не ноль или 0xFFFFFFFF, то записи никогда не перезаписываются. При достижении максимального размера журнал необходимо очистить вручную, иначе записи будут потеряны. Перед тем, как изменять это значение, журнал необходимо очистить. Параметр DWORD. По умолчанию – 0.

• Sources Список приложений, сервисов, которые могут писать в журнал. Только для чтения. Этот список создаёт сам сервис. Названия приложений берутся из текущей ветки журнала и разделяются null-terminated. Параметр многострочный.

• AutoBackupLogFiles - если значение параметра – 0, журнал не сохраняется как резервная копия. По умолчанию – 0.

• RestrictGuestAccess - если значение – 1, то пользователи под учётной записью Guest и Anonymous не имеют доступа к журналу. По умолчанию – 0.

• Isolation - не используется.

Воспользуемся оснасткой «Просмотр событий». Для этого в меню «Пуск» выберем «Администрирование», затем – «Просмотр событий».

Видим 3 журнала по умолчанию по умолчанию имеются следующие журналы:

Журнал приложений



.

Security (журнал безопасности).



System (журнал системы)



Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:



Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.

Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.

Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.

Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает:



  • дату и время, когда произошло событие,

  • источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал),

  • категорию события,

  • ID события, имя пользователя, который был зарегистрирован в системе,

  • когда событие произошло (не обязательно)

  • имя компьютера, на котором произошло событие.

Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

Подробную информацию о событии можно просмотреть в информационном окне события. Для этого нужно либо щёлкнуть правой кнопкой мыши по нужной записи и выбрать «Свойства» либо двойным щелчком левой кнопкой мыши по нужной записи.

Далее рассмотрим подробные описания:


  • Уведомления в журнале приложений






  • События аудита успешного выхода из системы



Стрелки в окне – нужны для того, чтобы листать события в окне. Записи журнала можно сортировать события либо от старых к новым, либо от новых к старым

Можно отображать либо все записи, либо пропустить журнал через фильтр, чтобы отображать записи, удовлетворяющие определённому критерию. Для этого в меню вид выберем «Фильтр». Это важное качество так как среди множества сообщений иногда необходимо отфильтровать определенные с нужными параметрами.



Здесь можно указать:



  • события каких типов должны выводиться

  • выбрать источник и категорию события

  • задать код события

  • имя учётной записи и компьютера

  • настроить временной интервал отображения событий

  • восстановления умолчания – она выставит базовые настройки фильтрации.

В ходе просмотра журнала приложений обнаружились предупреждения, что программы будут заблокированы (последствия экспериментов с групповой политикой). Настроим наш фильтр на предупреждения такого рода

  • Тип событий –Предепреждения

  • Источник события – Все

  • Категория – Все

  • Пользователь – Администратор

Применим.



Как мы видим, отображаются именно те, записи, которые удовлетворяют заданному фильтру. На другие журналы нужно ставить свой фильтр. Зададим фильтрацию в журнале безопасности по типу – аудит отказов





2. Аудит доступа к файловым ресурсам

С помощью консоли управления локальной безопасностью рассмотрим параметры политики аудита на локальном компьютере



201
Перед внедрением политики аудита необходимо решить, для каких категорий событий требуется аудит. Параметры аудита, выбранные для категорий событий, определяют политику аудита. На рядовых серверах и рабочих станциях, присоединенных к домену, параметры аудита для категорий событий не определены по умолчанию. На контроллерах доменов аудит включен по умолчанию. Путем определения параметров аудита для различных категорий событий можно создавать политику аудита, удовлетворяющую всем требованиям безопасности организации.

Для проведения аудита можно выбрать следующие категории событий:



  • Аудит событий входа в систему 

  • Аудит управления учетными записями 

  • Аудит доступа к службе каталогов 

  • Аудит входа в систему 

  • Аудит доступа к объектам 

  • Аудит изменения политики 

  • Аудит использования привилегий 

  • Аудит отслеживания процессов 

  • Аудит системных событий 

Аудит событий входа в систему

Описание


Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из нее, при условии что этот компьютер используется для проверки подлинности учетной записи.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то что пользователь на самом деле входит в систему на рабочей станции домена.

По умолчанию: «Успех».



Аудит управления учетными записями

Описание


Этот параметр безопасности определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:

  • создание, изменение или удаление учетной записи пользователя или группы;

  • переименование, отключение или включение учетной записи пользователя;

  • задание или изменение пароля.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики, установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

Cобытия управления учетными записями

Описание

624

Создана учетная запись пользователя.

627

Изменен пароль пользователя.

628

Установлен пароль пользователя.

630

Удалена учетная запись пользователя.

631

Создана глобальная группа.

632

Член добавлен к глобальной группе.

633

Член удален из глобальной группы.

634

Удалена глобальная группа.

635

Создана новая локальная группа.

636

Член добавлен к локальной группе.

637

Член удален из локальной группы.

638

Удалена локальная группа.

639

Изменена учетная запись локальной группы.

641

Изменена учетная запись глобальной группы.

642

Изменена учетная запись пользователя.

643

Изменена политика домена.

644

Автоматически блокирована учетная запись пользователя.

645

Создана учетная запись компьютера.

646

Изменена учетная запись компьютера.

647

Удалена учетная запись компьютера.

648

Создана локальная группа безопасности с отключенной проверкой безопасности.

Примечание



  • Наличие SECURITY_DISABLED в формальном имени означает, что данная группа не может использоваться для выдачи разрешений при проверке доступа.

649

Изменена локальная группа безопасности с отключенной проверкой безопасности.

650

Член добавлен к локальной группе безопасности с отключенной проверкой безопасности.

651

Член удален из локальной группы безопасности с отключенной проверкой безопасности.

Аудит доступа к службе каталогов

Описание


Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL).

По умолчанию эта политика отменяет аудит для объекта групповой политики «Стандартный контроллер домена» и не определена для рабочих станций и серверов, на которых она не имеет смысла.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL. Чтобы установить для этого параметра значение Нет аудита, в диалоговом окне Свойства для этого параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

Следует отметить, что системную таблицу управления доступом для объекта Active Directory можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. Данная политика аналогична политике Аудит доступа к объектам, только она применяется к объектам Active Directory, а не к объектам файловой системы и реестра.

По умолчанию


  • «Успех» — на контроллерах домена.

  • не определен для рядового компьютера домена.

События доступа к службе каталогов

Описание

566

Выполнена обычная операция над объектом.

Аудит входа в систему

Описание


Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.

События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

По умолчанию: «Успех».

События входа в систему

Описание

528

Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему.

529

Отказ входа в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем.

530

Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени.

531

Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя.

532

Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя.

533

Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер.

534

Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа.

535

Отказ входа в систему. Срок действия пароля для указанной учетной записи истек.

536

Отказ входа в систему. Служба Net Logon отключена.

537

Отказ входа в систему. Попытка входа в систему не удалась по другим причинам.

Примечание



538

Процесс выхода пользователя из системы завершен.

539

Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована.

540

Успешный вход пользователя в сеть.

Аудит доступа к объектам

Описание


Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена соответствующая таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики, установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

Следует отметить, что системную таблицу управления доступом для объекта файловой системы можно установить на вкладке Безопасность диалогового окна Свойства этого объекта.

По умолчанию: «Нет аудита».

События доступа к объектам

Описание

560

Предоставлен доступ к уже существующему объекту.

562

Дескриптор объекта закрыт.

563

Была предпринята попытка открытия объекта с целью его удаления.

Примечание



564

Удален защищенный объект.

565

Предоставлен доступ к уже существующему типу объектов.

567

Использовано разрешение, связанное с дескриптором.

Примечание



  • Дескриптор создается с определенными предоставляемыми разрешениями (например, чтение, запись и т. д.). При использовании дескриптора формируется не менее двух аудитов для каждого разрешения.

568

Предпринята попытка создать постоянную ссылку на файл, для которого имеется аудит.

569

Менеджер ресурсов в Authorization Managerпытался создать контекст клиента.Ads by a2zLyricsAd Options


570

Клиент пытался получить доступ к объекту.

Примечание



  • Будет сформировано событие для каждой попытки выполнить операцию с объектом.

571

Контекст клиента был удален приложением Authorization Manager.

Аудит изменения политики

Описание


Этот параметр безопасности определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики, установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

По умолчанию



  • «Успех» — на контроллерах домена.

  • «Нет аудита» — на рядовых серверах.

События изменения политики

Описание

608

Назначено право пользователя.

609

Удалено право пользователя.

610

Создано доверительное отношение с другим доменом.

611

Удалено доверительное отношение с другим доменом.

612

Изменена политика аудита.

613

Запущен агент политики IP-безопасности (IPSec).

614

Удален агент политики IP-безопасности (IPSec).

615

Изменен агент политики IP-безопасности (IPSec).

616

Агент политики IP-безопасности (IPSec) столкнулся с потенциально серьезным отказом.

617

Изменена политика Kerberos.

618

Изменена политика восстановления зашифрованных данных Encrypted Data Recovery.

620

Изменено доверительное отношение с другим доменом.

621

Доступ к системе предоставлен учетной записи пользователя.

622

Доступ к системе удален из учетной записи пользователя.

Аудит использования привилегий

Описание


Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Чтобы установить значение Нет аудита, в диалоговом окне настройки этой политики Свойства установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

По умолчанию: «Нет аудита».

Аудиту не подлежат попытки применения нижеуказанных прав пользователей, даже если для политики Аудит использования привилегий задан аудит успехов или аудит отказов. Включение аудита этих прав пользователей ведет к формированию множества событий в журнале безопасности, что может понизить производительность процессора. Чтобы выполнить аудит следующих прав пользователей, включите раздел реестра FullPrivilegeAuditing.


  • Обход перекрестной проверки

  • Отладка программ

  • Cоздание маркерного объекта

  • Замена маркера уровня процесса

  • Создание журналов безопасности

  • Архивирование файлов и каталогов

  • Восстановление файлов и каталогов

  • Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервные копии всех важных данных.

События использования привилегий

Описание

576

Указанные привилегии добавлены в маркер доступа для идентификации пользователя.

Примечание



  • Это событие формируется при входе пользователя в систему.

577

Пользователь пытался выполнить привилегированную операцию системной службы.

578

Привилегии использованы при уже открытом дескрипторе защищенного объекта.




Поделитесь с Вашими друзьями:
  1   2   3


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал