Система защиты в операционной системе Windows XP

Цель работы:знакомство со способами и реализующими их средствами защиты информации операционной системы Windows XP, приобретение практических навыков их использования.

Теоретическая часть

События

Консоль просмотр событий

Консоль Просмотр событий позволяет отслеживать работу аппаратного и программного обеспечения, а также контролировать события службы безопасности Windows XP.

Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.

Если вы хотите знать, что на самом деле происходит в Windows XP, вам непременно нужно просмотреть системные события, которые помогут найти часто зависающие программы, проблемные службы, выявить некоторые проблемы безопасности и т.д.

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных:

· Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.

· Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.

· Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудио карт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач, как:

· Просмотр файлов журналов;

· Сортировка, поиск и фильтрация событий;

· Управление параметрами, влияющими на ведение записей в журнале;

· Очистка журнала;

· Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Для работы с журналами запустите консоль Просмотр событий из каталога Администрирование, которая находится в Панели управления (или раскройте меню Просмотр событий в консоли Управление компьютером)(рис.58).

Рис. 58. Содержимое каталога «Администрирование»

В левой панели окна консоли выберите журнал для просмотра, содержимое которого будет показано в правой панели. Чтобы обновить содержимое журнала, можно использовать клавишу <F5>. Как правило, событие, которое произошло последним, располагается в верхней части списка (рис. 59).

Рис. 59. Содержимое журнала «Приложение»

Параметры журналов событий

Журналы событий могут принести огромную пользу для обнаружения неисправностей и прогнозирования возможных отказов в работе аппаратного обеспечения и всей системы. Наибольшую помощь журнал может оказать при поиске скрытых дефектов и неполадок в работе программного обеспечения.

Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.

В журналах регистрируется пять следующих видов событий:

· Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.

· Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.

· Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.

· Аудит успехов. Свидетельствует об успешном выполнении процедуры.

· Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов (рис. 60), описанных далее:

· Тип. Отображает один из пяти типов события.

· Дата. Указывает дату регистрации события.

· Время. Сообщает время регистрации события.

· Источник. Указывает источник, который привел к регистрации события.

· Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.

· Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.

· Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.

· Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню Действие -> Экспортировать список.

Рис. 60. Содержимое файла журнала

Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.

Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие - >Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней (рис. 61). Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключательПо достижении максимального размера журнала в положениеНе затирать события (очистка журнала вручную).

Рис. 4. Содержимое файла журнала

Управление доступом

Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам (файлам, каталогам, программам и т.д.) по сети и на локальной машине.

Управление доступом для пользователей локального компьютера осуществляется путем изменения параметров на вкладке Безопасностьв окне Свойства (рис. 61):

Рис. 61. Содержимое вкладки «Безопасность» окна «Свойства»

Вкладка Доступ того же окна используется для управления сетевым доступомк общим объектам (файлам, каталогам и принтерам) на компьютерах сети.

В данной лабораторной работе мы будем говорить о разграничении доступа локальных пользователей к объектам локального компьютера. Данная функция доступна только в файловой системе NTFS. Если на компьютере файловая система NTFS, но вкладка Безопасность не отображается, зайдите в Пуск – Панель управления – Свойства папки. На вкладке Вид в разделе Дополнительные параметры снимите флажок Использовать простой общий доступ к файлам (рекомендуется) и нажмите ОК(рис. 62):

Рис. 62. Окно «Свойства папки»

Основное понятие, связанное с управлением доступом – это разрешения.

Разрешения определяют тип доступа пользователя или группы к объекту или его свойствам. Разрешения применяются к файлам, каталогам, принтерам, объектам реестра. Чтобы установить или изменить разрешения для объекта, щелкните по его названию правой кнопкой мыши и в контекстном меню выберите команду Свойства. На вкладке Безопасность можно изменить разрешения для файла или каталога, устанавливая или снимая флажки напротив нужных пунктов в списке разрешений.

Для каждого пользователя можно задать свои разрешения. Сначала нужно выделить пользователя в списке, а затем указать разрешения для этого пользователя.

Например, одному пользователю можно разрешить только читать содержимое некоторого файла (разрешение Чтение), другому – вносить изменения в файл (разрешениеИзменить), а всем остальным пользователям вообще запретить доступ к этому файлу (снять все флажки под пунктом Разрешить, либо поставить все флажки Запретить). Чтобы просмотреть все действующие разрешения для файлов и каталогов локального компьютера, выберите Свойства – Безопасность – Дополнительно – Действующие разрешения – Выбрать – Дополнительно – Поиск, выделите имя нужного пользователя и нажмите ОК. Пункты, отмеченные флажками, и есть разрешения для данного пользователя (рис. 63):

Рис. 63. Окно «Дополнительные параметры безопасности»

Если в списке пользователей на вкладке Безопасность нет пользователя, которому необходимо назначить разрешения, последовательно нажмите следующие кнопки на вкладке Безопасность: Добавить – Дополнительно – Поиск. Из списка выберите имя учетной записи пользователя, которому необходимо назначить разрешения и нажмите ОК. Вместо отдельного пользователя можно выбрать группу – разрешения будут применяться ко всем пользователям, входящим в эту группу. Хорошо запомните эти кнопки. Такую процедуру вы будете проделывать во всех случаях, когда необходимо добавить нового пользователя в список разрешений, аудита, владения, сетевого доступа и т.п.