Міністерство транспорту Російської Федерації
Федеральне агентство шляхів сполучення
Самарська державна академія шляхів сполучення
Кафедра Мехатроніка в автоматизованих виробництвах
Лабораторна робота №2
з дисципліни «Методи засоби захисту комп'ютерної інформації»
на тему «Фіксація завдань Windows, непередбачених користувачем»
Виконали:
студенти групи 1331
кислином Н.С.
Кулаков О.А.
Перевірив: Тюміков Д.К.
Самара 2007
Введення
Мета
Виявити за допомогою вбудованих додатків і спеціальних утиліт процеси і завдання, виконання яких здійснюється сторонніми особами, зломщиками.
Завдання
? Розглянути всі додатки Windows, що дозволяють відстежити процеси та події, які діють зараз або були запущені раніше, і виділити серед них «дивні»;
? Ознайомитися з можливостями програми System Safety Monitor 2.0.6.566.
В останні роки в пресі широко висвітлюються гучні справи, пов'язані з погрозами і пригодами, причиною яких є шкідливе програмне забезпечення. Це призвело до зростання обізнаності та переконало багато організацій в необхідності вкладення часу і ресурсів в засоби захисту від цієї головної загрози безпеці. Однак найбільші небезпеки для інфраструктури підприємств можуть бути не пов'язані з вірусами та іншими зовнішніми загрозами - вони таяться всередині корпоративної мережі.
Атаки, здійснені зсередини корпоративної мережі, мають дуже високий потенціал для завдання збитків, особливо якщо виконуються особами, які займають відповідальні пости і мають доступ до всіх мережних ресурсів компанії. Ретельно вивчивши ризики, пов'язані з внутрішніми і зовнішніми загрозами, багато організацій вирішують вивчити системи, що дозволяють здійснювати спостереження за мережами і виявляти атаки, звідки б вони не виходили.
Головним завданням системи спостереження за безпекою і виявлення атак є виявлення в мережі підозрілих подій, які можуть бути ознакою шкідливих дій чи процедурних помилок.
Завдання 1
безпеку windows утиліта monitor
1. Ведення журналу подій системи безпеки Windows. Засоби ведення журналу безпеки, наявні в Microsoft Windows, можуть стати відправною точкою для вирішення по спостереженню за безпекою. Однак самі по собі журнали безпеки не надають достатнього обсягу відомостей для планування відповідних заходів у разі надзвичайних подій. Всі версії Microsoft Windows, починаючи з Microsoft Windows NT 3.1, мають можливість записувати події, пов'язані з безпекою, використовуючи вбудовану функцію ведення файлу журналу. В системі на базі Microsoft Windows ця функція є основою спостереження за безпекою.
Рис. 1. Журнал безпеки засоби перегляду подій
У журналі подій безпеки (рис.1) використовується настроюється формат файлу для запису даних про спостереження за безпекою. Доступ до журналів подій завжди контролюється службою журналу подій, в якій реалізовані засоби контролю доступу до кожному журналу. Дозволи за замовчуванням для журналу безпеки є дуже суворими в порівнянні з іншими журналами в системі; доступ до журналу безпеки за замовчуванням мають тільки адміністратори.
Є два типи подій, які записуються в журнал подій безпеки: аудит успіхів і аудит відмов. Події аудиту успіхів показують, що операція, виконана користувачем, службою або програмою, успішно завершена. Події аудиту відмов описують операції, що не були успішно завершені. Наприклад, невдалі спроби входу користувача в систему є прикладом подій аудиту відмов і можуть бути записані в журнал подій безпеки, якщо включений аудит входу в систему.
Параметри групової політики аудиту, що знаходяться в розділі «Панель управління/Адміністрування/Локальна політика безпеки» визначають, які події можуть створювати записи в журналах безпеки. Параметри політики аудиту можна налаштувати за допомогою консолі параметрів локальної безпеки (рис.2).
Рис.2. Групова політики аудиту
2. Інтерпретація подій аудиту. Події аудиту розглядаються в цій статті набагато докладніше, тому важливо розуміти структуру події аудиту та відомостей, що містяться у подіях аудиту.
Рис.3. Вікно властивостей подій
Події складаються з трьох основних частин: заг...