Четверг, Июль 8th, 2010

Информационная безопасность

Для просмотра журнала аудита используется стандартная утилита Event Viewer, которую можно применять и для просмотра других системных журналов. Эта утилита разрешает читать журнал аудита только членам группы Administrators, а также пользователям, обладающим привилегией аудитора. Эти ограничения доступа действуют и в том случае, когда системный раздел жесткого диска отформатирован под FAT или HPFS. Все пользователи, которые могут читать журнал аудита, могут и очищать его. Факт очистки журнала регистрируется сразу после очистки.
Размер журнала аудита по умолчанию ограничен значением 512К, однако администратор операционной системы может установить любое другое значение, кратное 64К. Администратор может также определить поведение операционной системы при переполнении журнала аудита. Возможны три варианта реакции на эту ситуацию:
1) старые события стираются по мере необходимости (по умолчанию);
2) если самое старое событие в журнале аудита зафиксировано более N дней назад (число N выбирает администратор), одно или несколько самых старых событий стирается, в противном случае новые события не регистрируются до тех пор, пока не пройдет N дней с момента регистрации самого старого события;
3) новые события не регистрируются до тех пор, пока журнал не будет очищен.

Если значение CrashOnAuditFail ключа реестра \Registry\Machine\SYSTEM\CurrentControlSet\Control\Lsa равно единице, при переполнении журнала аудита это значение становится равным двум и происходит крах операционной системы («синий экран»). При следующей загрузке операционной системы в систему может войти только администратор. Он должен очистить журнал аудита, вернуть данное значение реестра в исходное состояние и перезагрузить компьютер. До тех пор пока все эти действия не будут выполнены, подсистема аудита не будет регистрировать события.
Добавлять записи в журнал аудита может лишь субъект доступа, обладающий соответствующей привилегией. По умолчанию эта привилегия предоставляется только псевдопользователю SYSTEM, эту установку не следует изменять ни в коем случае. Если эта привилегия предоставляется какому-то физическому пользователю, этот пользователь тем самым получает возможность записывать в журнал аудита произвольную информацию, в том числе и информацию, компрометирующую других пользователей. Обычно новые записи в журнал аудита добавляют ядро, подсистема Win32 и подсистема аутентификации Windows NT.

Политика аудита

Множество событий, информация о которых записывается в журнал аудита, определяется политикой аудита, которую определяют пользователи-аудиторы. Windows NT позволяет регистрировать в журнале аудита события следующих категорий:
• вход/выход пользователя из системы;
• доступ субъектов к объектам;
• использование субъектами доступа опасных привилегий;
• изменения в списке пользователей;
• изменения в политике безопасности;
• системные события;
• запуск и завершение процессов.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Категория: Лекции