2.4. Политика аудита

1. 
   Откроем «Локальные политики безопасности» - «Локальные политики» - «Политика аудита».
   

Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того, чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.
Аудит входа в систему.

Данная политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее.



Аудит доступа к объектам.

Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory.



Аудит доступа к службе каталогов.

При помощи этой политики безопасности можно определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта Active Directory.



Аудит изменения политики.

Данная политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия.



Аудит изменения привилегий.

Используя данную политику безопасности, можно определить, будет ли выполняться аудит использования привилегий и прав пользователей.



Аудит отслеживания процессов.

Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам.

---

Аудит системных событий.

Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени.



Аудит событий входа в систему.

При помощи этой политики аудита можно указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему.



Аудит управления учетными записями.

Благодаря данной политике можно определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп.



Для аудита входа в систему, доступа к объектам, доступа к службе каталогов, изменения политики, изменения привилегий, отслеживания процессов, событий входа в систему и управления учётными записями установим запись при успехе и отказе, так как указанные события происходят в системе, в которой хранится информация различного уровня доступа, и попытки возможного несанкционированного доступа нужно отслеживать и пресекать.
В соответствии с требованиями ФСТЭК к уровню защиты 1В, к АС есть требования регистрации и учёта хода/выхода субъектов доступа в/из системы (узла сети); выдачи печатных (графических) выходных документов; запуска/завершения программ и процессов (заданий, задач); доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей, изменения полномочий субъектов доступа, создаваемых защищаемых объектов доступа. Вышеуказанные настройки были произведены в соответствии с данными требованиями.
2.5. Политика назначения прав пользователей.

---

1. 
   Откроем «Локальные политики безопасности» - «Локальные политики» -«Назначение прав пользователя».
   

Чтобы избежать проблем, связанных с незнанием каких-либо моментов пользователем, помогают локальные политики безопасности назначения прав пользователя. Данная политика назначения прав пользователя позволяет нам назначить для каких пользователей или групп пользователей будут предоставлены различные права и привилегии.
Добавление рабочих станций к домену.

Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory.



Доступ к компьютеру из сети.

Данная политика безопасности отвечает за разрешение подключения к компьютеру по сети указанным пользователям или группам.



Завершение работы системы.

Используя этот параметр политики, вы можете составить список пользователей, которые имеют право на использование команды «Завершение работы» после удачного входа в систему.



Запретить вход в систему через службу удаленных рабочих столов.

При помощи данной политики безопасности можно ограничить пользователей или группы от входа в систему в качестве клиента удаленных рабочих столов.


Запретить локальный вход.

Данная политика запрещает отдельным пользователям или группам выполнять вход в систему. По умолчанию всем пользователям разрешен вход в систему.


Изменение системного времени.

Эта политика отвечает за изменение системного времени.



В соответствии с требованиями ФСТЭК к уровню защиты 1В, к нашей системе есть требования к наличию администратора информации в АС. Вышеперечисленные настройки установлены в соответствии с данными требованиями.
2.6. Журналы событий Windows.

Комбинацией клавиш WIN+R для открытия диалога «Выполнить». В диалоговом окне, в поле «Открыть» вводим eventvwr.msc и нажмите на кнопку «ОК»;





Стандартный набор включает 3 журнала:

---

Приложение – хранит важные события, связанные с конкретным приложением.



Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.



Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом.



Для каждого журнала можно настроить его свойства. Для этого нужно выбрать журнал событий, а затем выбрать команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала.



Для журнала «Безопасность» зададим максимальный размер в 1024 кб и оставим параметр «затирать события старее 7 дней» для того, чтобы в случае чего найти подозрительное событие в течение недели.
В соответствии с требованиями ФСТЭК к уровню защиты 1В, к АС предъявляются требования по регистрации и учёту запуска/завершения программ и процессов (заданий, задач), поэтому максимальный размер журнала следует установить с запасом, чтобы обнаруживать ошибки или иные системные события, а 7 дней – достаточно для обнаружения нужного системного события.

Вывод:

В результате выполнения данной лабораторной работы была произведена настройка локальных политик безопасности. Локальная политика безопасности – это оснастка консоли управления, позволяющая устанавливать различные системные параметры безопасности. Данная оснастка также является частью групповой политики.

Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах с целью защиты ресурсов на устройстве или сети. Расширение Параметры редактора локальной групповой политики позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). GPOs связаны с контейнерами Active Directory, такими как сайты, домены или организационные подразделения, и они позволяют управлять настройками безопасности для нескольких устройств с любого устройства, подключенного к домену. Политики параметров безопасности используются в рамках общей реализации системы безопасности, чтобы обеспечить безопасность контроллеров доменов, серверов, клиентов и других ресурсов в организации.

---

Параметры безопасности могут управлять:

• 
  Проверка подлинности пользователя в сети или устройстве.
  
• 
  Ресурсы, доступ к которые разрешены пользователям.
  
• 
  Запись действий пользователя или группы в журнале событий.
  
• 
  Членство в группе.
  

Согласно нормативному документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» можно выделить семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации. Самый высокий класс — первый.

Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности, и не все пользователи имеют доступ к ней. Настройка локальной политики безопасности обеспечивает безопасность АРМ в соответствии с требованиями политики информационной безопасности автоматизированной системы предприятия только при помощи использования стандартных возможностей ОС. Это имеет большую значимость для базовой настройки рабочей сети организации.

В моём варианте представлен класс защиты 1В, в соответствии с которым и была произведена настройка локальных политик.

---

Смотрите также файлы

• Гаметогенез, оплодотворение.ppt

• 2. Как можно назвать рассказы мальчиков россказнями, преданиями, поверьями Как их называл сам Тургенев.docx

• Сущность верховенства права над законом.pptx

• Сложение и вычитание десятичных дробей.docx

• Электричество как один из опасных факторов на производстве и в быту, меры безопасности.docx