ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 26
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2). Завершение работы системы.
Этот параметр безопасности определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды "Завершить работу". Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.
Так как завершение работы системы может серьезно повлиять на работоспособность системы, то удалим все группы пользователей, кроме группы «Администраторы» из списка тех групп, которые могут выполнять данное действие.
3). Разрешить вход в систему через службу удаленных рабочих столов.
Этот параметр безопасности определяет, у каких пользователей или групп есть разрешение на вход в систему в качестве клиента служб удаленных рабочих столов.
Так как вход в систему через службу удаленных рабочих столов является операцией, которая может серьезно повлиять на работоспособность и безопасность системы, то удалим лишние группы, оставив только администраторов.
-
Журналы событий Windows.
В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, 15 что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок. По умолчанию в операционной системе определен перечень событий, которые фиксируются в журналах. Дополнительно степень детализации событий определяется настройками политики аудита.
При поиске нарушителя проводится анализ его действий на АРМ, путем просмотра журнала событий. Чем больше размер журнала, тем за больший отрезок времени можно проанализировать данные активности недоброжелателя и тем больше информации можно записать.
По умолчанию в ОС Windows определён перечень событий, которые фиксируются в журналах. Дополнительно степень детализации событий определяется настройками политики аудита.
Для открытия «Просмотра событий» выполняем следующие действия: Win+R → вводим eventvwr.msc → жмем «OK».
Стандартный набор включает 3 журнала:
Приложение – хранит важные события, связанные с конкретным приложением. Например, почтовый сервер сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб.
Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.
Система – хранит события операционной системы или ее компонентов, например, неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом.
Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. Для каждого журнала можно настроить его свойства. Для этого нужно выбрать журнал событий, а затем выбрать команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала.
В поле «Максимальный размер журнала (КБ)» установить требуемое значение при помощи счётчика или установить вручную без использования счётчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ, так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ. По умолчанию максимальный размер журнала 512 КБ.
Зададим максимальный размер журнала 20480 КБ.
События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов:
• По умолчанию установлено – переписывать события при необходимости (сначала старые события) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;
• Архивировать журнал при заполнении; не перезаписывать события – в этом случае журнал архивируется, события не перезаписываются;
• Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.
Так как в настраиваемом АРМ записей в журнале событий будет много, потому что АРМ может иметь как множество пользователей, так и множество приложений, - оставим вариант «по-умолчанию».
Вывод. В результате лабораторной работы была произведена настройка локальных политик безопасности АРМ с установленной ОС Windows 10 и расположенного в «открытом» контуре. Обоснование выбора и настройки параметров локальных политик безопасности базируются на требованиях к защите АРМ от НСД в «открытом» контуре.