Реализация политики безопасности в защищенных версиях операционной системы Windows

Итак, существуют две модели доступа:

• Классическая: локальные пользователи проходят проверку подлинности со своей учетной записью.
• Только гости: локальные пользователи проходят проверку подлинности с учетной записью «Гость».

По умолчанию используется модель «Только гости» в Windows XP Professional. 

Примечания

• Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
• Действие параметра не распространяется на интерактивный вход в сеть, выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов.
• Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.

Внимание!

• В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Следует обезопасить компьютер от несанкционированного доступа с помощью брандмауэра Windows или другого подобного устройства. Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.

Данная  политика неприменима  на компьютерах Windows 2000. 
 
 
 
 

4.Средства  определения политики  аудита. 

Панель управления > Администрирование > Локальная политика безопасности > Локальные политики > Политика аудита. 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

А.) Установить регистрацию в журнале аудита успешных и неудачных попыток для следующих политик аудита:

1).Вход в систему.

 «Аудит входа в систему»

 

2).Изменения политики.

 «Аудит изменения политики»

 

3).Использование привилегий.

«Аудит  использования привилегий» 

 
 

4).Событий входа в систему.

 «Аудит событий входа в систему»

 

5).Управления учетными записями.

 «Аудит управления учетными записями» 

 
 
 
 
 
 
 
 
 
 
 
 
 

Б).Какие ещё параметры политики аудита могут быть определены?

• Аудит доступа к объектам
• Аудит системных событий
• Аудит доступа к службе каталогов
• Аудит отслеживания процессов

 

В).Где расположен журнал аудита событий безопасности?

Панель управления > Администрирование >Просмотр событий > Безопасность.  

Г).В чем заключается смысл параметров политики аудита?

Параметры политики аудита позволяют вести  «Журнал аудита событий безопасности» в соответствии с потребностями пользователя ПК. 
 
 
 
 
 
 
 
 
 
 
 
 

5).Просмотр журнала аудита событий безопасности.

А).

Выбираем нужный нам Аудит. Например на 08.12.2011.

 
 
 
 
 
 
 
 
 
 
 

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Дата:  08.12.2011

Время:  20:13:51

Пользователь:  DOM\Antoha

Компьютер: DOM

Описание:

Изменение политики аудита:

 Новая политика:

  Успех Отказ

      +     - Вход/выход

      -     - Доступ к объектам

      -     - Использование прав

      -     - Управление учетными записями

      +     - Изменение политики

      -     - Системные события

      +     - Подробное слежение

      -     - Доступ к службе каталогов

      +     - Вход через учетную запись

 Исполнитель:

    Пользователь: Antoha

    Имя домена: DOM

    Код входа: (0x0,0x169E

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Дата:  08.12.2011

Время:  20:14:13

Пользователь:  DOM\Antoha

Компьютер: DOM

Описание:

Изменение политики аудита:

 Новая политика:

  Успех Отказ

      +     - Вход/выход

      -     - Доступ к объектам

      +     - Использование прав

      -     + Управление учетными записями

      +     - Изменение политики

      -     - Системные события

      +     - Подробное слежение

      -     + Доступ к службе каталогов

      +     - Вход через учетную запись

 Исполнитель:

    Пользователь: Antoha

    Имя домена: DOM

    Код входа: (0x0,0x169EC)

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Дата:  08.12.2011

Время:  20:13:16

Пользователь:  DOM\Antoha

Компьютер: DOM

Описание:

Изменение политики аудита:

 Новая политика:

  Успех Отказ

      +     - Вход/выход

      -     - Доступ к объектам

      -     - Использование прав

      -     - Управление учетными записями

      -     - Изменение политики

      -     - Системные события

      -     - Подробное слежение

      -     - Доступ к службе каталогов

      -     - Вход через учетную запись

 Исполнитель:

    Пользователь: Antoha

    Имя домена: DOM

    Код входа: (0x0,0x169EC)

 

6).Средства определения политики ограничений использования программ.

 

 
 
 
 
 
 
 
 
 

А).Создание правила для сертификата. 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Б).Создание правила для хеша. 
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

В).Создание правила для зоны Интернет. 

Это правило  применяется к программам, установленным  с помощью установщика Windows. 

               

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Г).Создание правила для пути. 
 
 
 
 

  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

7).Контрольные вопросы.

В чем  уязвимость с  точки зрения безопасности информации принимаемая  по умолчанию реакция  системы на превышения размера журнала  аудита?

Когда журнал безопасности переполнится, Windows XP перестанет отвечать на запросы и будет выведено сообщение "Неудачная попытка аудита". Чтобы восстановить после остановки Windows XP, необходимо очистить журнал безопасности.

Какое из дополнительных правил ограниченного использования  программ кажется  Вам наиболее эффективным  и почему?

Выбор уровня безопасности для указанного пути. Доступны следующие  уровни безопасности: неограниченный, позволяющий запускать программное  обеспечение с полным набором  прав зарегистрированного пользователя, и запрещенный, не позволяющий запускать  программное обеспечение.

 

Из  каких этапов состоит  построение политики безопасности для  компьютерной системы?

• определение, какие данные и насколько серьезно необходимо защищать,
• определение кто и какой ущерб может нанести фирме в информационном аспекте,
• вычисление рисков и определение схемы уменьшения их до приемлемой величины.

К чему может привести ошибочное определение  политики безопасности (приведите  пример)?

К потере или  повреждению данных  и(или) системы.

Почему, на ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных  в данной лабораторной работе параметров политики безопасности?

Из-за недостатка времени и потому, что на большинстве компьютеров они не нужны.   

Ответы  на вопросы

Какие события безопасности должны фиксироваться  в журнале аудита?

В Журнале событий  фиксируются следующие виды событий:

• Вход в систему
• Управление учетной записью
• Доступ к службе каталогов
• Доступ к объектам
• Изменения политики
• Использования привилегий
• Отслеживание процессов
• Системных событий
• Событий входа в систему

Количество событий, которые записываются в журнал, очень  велико, поэтому анализ журнала событий  может быть довольно трудоемкой задачей. Для этого разработаны специальные  утилиты, помогающие выявлять подозрительные события. Кроме того, можно фильтровать  журнал по задаваемым критериям. 
 

Какие параметры определяют политику аудита?