Файл: Руководство пользователя 2 аннотация.pdf

45
Рисунок 59 — Меню «Аудит»
Словари и наборы символов, которые будут использованы для последовательного перебора паролей, настраиваются в подменю Файл → Параметры (Рисунок 60). Окно Параметры можно вызвать, нажав на кнопку на панели инструментов модуля.
Рисунок 60 — Окно «Параметры»

46
Для запуска процедуры аудита необходимо нажать Старт/Стоп в меню Аудит (Рисунок 59) или воспользоваться кнопкой
. Процесс анализа может быть остановлен в любой момент с помощью повторного нажатия Аудит → Старт/Стоп.
Результатом работы модуля является список с именами пользователей, не имеющих пароль, а также именами пользователей и паролей, являющихся неустойчивыми к взлому.
Для сохранения отчета нужно выбрать Файл → Отчет или нажать на кнопку на панели инструментов модуля. В открывшемся окне необходимо выбрать путь для сохранения файла отчета (Рисунок 61).
Рисунок 61 — Сохранение отчета
3.7.2.3. Завершение работы с модулем
Для выхода из модуля необходимо воспользоваться подменю Файл → Выход или нажать кнопку
3.7.3. Средство поиска остаточной информации
Средство поиска остаточной информации предназначено для поиска по ключевым словам на запоминающем устройстве удаленных данных.

47 3.7.3.1. Запуск модуля
Модуль запускается из веб-интерфейса Поиск остаточной информации или из подменю стартера приложений (red hat) → Остальные приложения → Прочие →Поиск остаточной
информации.
После запуска средства поиска остаточной информации откроется рабочее окно модуля
(Рисунок 62).
Рисунок 62 — Рабочее окно модуля
3.7.3.2. Работа с модулем
Для поиска остаточной информации необходимо в левой части рабочего окна модуля указать устройство, анализ которого будет производиться, фразу для поиска и при необходимости другие параметры.
Для запуска процесса поиска остаточной информации необходимо нажать Начать поиск.
Процесс поиска может быть приостановлен нажатием на кнопку Приостановить.
Результаты поиска остаточной информации выводятся в виде списка, содержащего номер блока и величину смещения (Рисунок 63). Для просмотра найденной информации необходимо дважды нажать левой кнопкой мыши на интересующем секторе. При этом в рабочем окне модуля будет показана информация о выбранном секторе и выделено найденное слово (Рисунок 64).

48
Рисунок 63 — Общие результаты поиска
Рисунок 64 — Найденное слово в блоке № 3621

49
Примечание. В силу особенностей файловых систем возможно некорректное отображение информации, удовлетворяющей условиям поиска.
Оператор может сохранить полученный отчет, нажав на кнопку Сохранить отчет (Рисунок 63). В появившемся окне необходимо указать формат и директорию сохранения отчета (Рисунок 65).
Рисунок 65 — Сохранение отчета
Для удаления найденной информации необходимо нажать Удалить найденное с диска
(Рисунок 63).Перед удалением появится сообщение с предупреждением (Рисунок 66).
Рисунок 66 — Сообщение

50 3.7.3.3. Завершение работы с модулем
Для выхода из модуля необходимо нажать в верхнем правом углу рабочего окна.
3.7.4. Средство аудита обновлений ОС Windows
3.7.4.1. Запуск модуля
Модуль запускается из веб-интерфейса Аудит обновлений ОС Windows или из подменю стартера приложений (red hat) → Поиск уязвимостей → Аудит обновлений ОС Windows.
После запуска средства аудита обновлений ОС Windows откроется рабочее окно модуля
(Рисунок 67).
Рисунок 67 — Рабочее окно модуля
3.7.4.2. Работа с модулем
В рабочем окне модуля необходимо указать имя пользователя и пароль, порт и IP-адрес проверяемой машины.
Примечание. При наличии средств антивирусной защиты необходимо убедиться, что они не блокируют доступ по указанному порту.
Проверить состояние порта можно, например, в командной строке с помощью утилиты netstat: команда netstat -a (Рисунок 68).
Рисунок 68 — Проверка состояния порта

51
Затем необходимо запустить сканирование с помощью кнопки Старт или из панели инструментов с помощью кнопки
Процесс сканирования отображается в окне Журнал (Рисунок 69), список доступных обновлений — в окне Обновления Microsoft для различных версий Windows.
После завершения сканирования в окне Журнал появится список неустановленных обновлений (Рисунок 69).
Сохранить результаты можно с помощью кнопки на панели инструментов. При нажатии на эту кнопку появится окно (Рисунок 70), в котором необходимо указать папку для сохранения отчета.
Рисунок 69 — Результат сканирования
Рисунок 70 — Сохранение отчета
3.7.4.3. Завершение работы с модулем
Для выхода из модуля необходимо нажать в верхнем правом углу рабочего окна.

52 3.7.5. Системный аудитор
Системный аудиторпредназначен для инвентаризации программ и аппаратных средств локальной рабочей станции.
3.7.5.1. Запуск модуля
Модуль запускается из веб-интерфейса Системный аудитор или из подменю стартера приложений (red hat) → Форензика → Системный аудитор.
После запуска модуля откроется рабочее окно (Рисунок 71).
Рисунок 71 — Рабочее окно модуля
3.7.5.2. Работа с модулем
Для получения отчета об аппаратных комплектующих достаточно запустить сканирование, нажав на кнопку

53
Рисунок 72 — Настройки аудита
Вызвать окно Настройки аудита можно альтернативным способом, выбрав в верхней части главного окна меню Аудит → Настройки аудита....
После выбора нужных настроек для анализа информации о системе необходимо нажать на кнопку Запуск аудита.
Результаты анализа представлены в тематических разделах: Операционные системы,
Система, Память, Хранилища, Периферия и Коммуникации (Рисунок 73).Каждый раздел содержит подробную информацией о конкретных системах и устройствах.
В разделе Операционные системы представлено количество установленных операционных систем и их характеристики, а также информация об установленном программном обеспечении, пользователях и их паролях.
В разделе Система (Рисунок 73) представлены характеристики основных системных устройств, таких как центральный процессор, материнская плата, мост (вкладки Центральный
процессор, Материнская плата, Мост соответственно).

54
Рисунок 73 — Отчет сканирования системного аудита
Раздел Память содержит информацию о виде и объеме оперативной памяти.
Раздел Накопители (Рисунок 74) содержит информацию об основных устройствах хранения данных и их свойствах. Во вкладках CD/DVD, USB, Жесткие диски, Тома приводятся основные данные соответствующих носителей информации.
Рисунок 74 — Раздел «Накопители»

55
Информация о USB-подключениях предоставляется в виде таблицы с подробными данными об обнаруженных USB-устройствах (Рисунок 75).
Рисунок 75 — Отчет об обнаруженных USB-устройствах
Раздел Периферия (Рисунок 76)содержит основную информацию о мультимедийных устройствах, видеокарте и USB-устройствах (вкладки Мультимедия, Видео и USB соответственно).
Рисунок 76 — Раздел «Периферия»

56
В разделе Коммуникации (Рисунок 77) приводятся данные о сетевых системных устройствах (беспроводных, Ethernet и т.д.).
Рисунок 77 — Раздел «Коммуникации»
3.7.5.3. Работа с отчетами системного аудита
Полученный отчет системного аудита можно сохранить в форматах HTML, XML и PDF.
Для сохранения отчета в формате HTML необходимо нажать на кнопку в верхней панели главного окна Сохранить html отчет как или воспользоваться меню Отчет → Сохранить html
отчет... и далее выбрать директорию сохранения отчета.
Чтобы сохранить отчет в формате XML, необходимо выбрать меню Отчет → Сохранить
xml отчет...
Для сохранения отчета в формате PDF, необходимо выбрать меню Отчет → Печатать html
отчета в pdf...
В модуле Системный аудитор реализована функция хранения и сравнения отчетов за различные периоды времени. Для этого необходимо задать месторасположение базы отчетов, выбрав подменю База отчетов → Открыть базу (Рисунок 73). В появившемся окне База отчетов
(Рисунок 78) необходимо нажать Задать базу и указать месторасположение базы в заранее созданном каталоге. Отчеты сохраняются в базе в формате XML.

57
Рисунок 78 — База отчетов
После задания базы для добавления текущего отчета необходимо выбрать подменю База
отчетов → Добавить отчет (Рисунок 73).
Для просмотра отчетов в указанной базе необходимо в окне База отчетов нажать
Загрузить отчеты (Рисунок 79).
Рисунок 79 — Список загруженных отчетов
Для просмотра выделенного отчета необходимо в окне База отчетов нажать Открыть
отчет. Отчет отображается в рабочем окне модуля.
Для удаления выделенного отчета необходимо в окне База отчетов нажать Удалить отчет.
Для сравнения отчетов в базе необходимо выбрать подменю База отчетов → Сравнить
отчеты. Появляется окно Сравнение отчетов (Рисунок 80).

58
Рисунок 80 — Сравнение отчетов
В данном окне необходимо нажать Загрузить отчеты, выбрать отчеты и нажать Сравнить.
В рабочем окне модуля будет отображена информация о сравнении отчетов. Результаты сравнения располагаются в тематических разделах, среди которых Операционные системы,
Программное обеспечение, Пользователи, USB носители, USB устройства (Рисунок 81).
Рисунок 81 — Результаты сравнения
3.7.5.4. Завершение работы с модулем
Для выхода из модуля необходимо воспользоваться кнопкой Выход
на панели инструментов в главном окне модуля.
3.7.6. Средство гарантированного уничтожения информации
Средство гарантированного уничтожения информации предназначено для удаления информации путем затирания файла случайным набором символов для предотвращения восстановления данных.
3.7.6.1. Запуск модуля

59
Модуль запускается из веб-интерфейса Гарантированное уничтожение информации или из подменю стартера приложений (red hat) → Остальные приложения → Прочее →
Гарантированное уничтожение информации.
После запуска средства появится рабочее окно модуля (Рисунок 82).
Рисунок 82 — Рабочее окно модуля
В верхней части рабочего окна находится панель инструментов. Кнопки, расположенные на панели инструментов, представлены в таблице ниже.
Таблица 3 — Описание кнопок модуля
Пиктограмма
Название
Описание
Домой
Программа возвращает пользователя в домашнюю директорию (домашнюю папку)
Обновить
При нажатии на кнопку обновляется список файлов

60
Продолжение таблицы 3
Пиктограмма
Название
Описание
Отображение
Возможные варианты отображения: показать все, показать все, кроме скрытого и показать только папки
Количество затираний
Количество затираний файла случайным набором символов что предотвращает возможность восстановления файла
Добавить в список
Добавление выбранного файла в список на уничтожение
Удалить из списка
Удаление выбранного файла из списка на уничтожение
Очистить список
Очистка списка на уничтожение
Старт/Стоп
Запуск/остановка процесса уничтожения информации
Выход
Выход из модуля
Журнал
При нажатии на кнопку в блокноте открывается журнал, содержащий имена удаленных файлов и результаты выполнения операции удаления
Загрузка отчета
При нажатии на кнопку появится окно, в котором необходимо выбрать папку с отчетом средства поиска остаточной информации (Рисунок 83)
Отчет
При нажатии на кнопку предлагается выбор форматов отчетов для сохранения
Помощь
При нажатии на кнопку отображается окно с информацией о модуле и о горячих клавишах

61
Рисунок 83 — Загрузка отчета
В нижней части рабочего окна находится строка состояния модуля. Если процесс уничтожения информации не запущен, то в строке отображается: «Добавьте файлы в список и нажмите 'Старт'».
Если процесс уничтожения информации запущен, то в строке отображается состояние выполнения процедуры уничтожения.
3.7.6.2. Работа с модулем
Чтобы запустить процесс уничтожения информации, необходимо выбрать файлы и добавить их в список с помощью значка Добавить в список
. Удалить из списка или очистить список можно с помощью кнопок Удалить из списка и Очистить список
Список выбранных файлов на уничтожение отображается в правой части рабочего окна модуля. (Рисунок 84).

62
Рисунок 84 — Выбранные для уничтожения файлы
Затем необходимо указать количество затираний в поле Количество затираний.
Примечание. Максимальное количество затираний – 35.
Для запуска процедуры гарантированного уничтожения информации необходимо воспользоваться кнопкой Старт/Стоп на панели инструментов модуля. Процесс уничтожения может быть остановлен в любой момент с помощью повторного нажатия на кнопку Старт/Стоп.
Перед началом процесса уничтожения появляется сообщение, требующее подтвердить удаление файлов (Рисунок 85).

63
Рисунок 85 — Сообщение
Примечание. При попытке уничтожения системных файлов, появится предупреждение, показанное на рисунке 86.

64
Рисунок 86 — Предупреждение
3.7.6.3. Завершение работы с модулем
Для выхода из модуля необходимо воспользоваться подменю Файл → Выход или нажать кнопку Выход на панели инструментов.
3.7.7. Средство аудита беспроводных сетей
Средство аудита беспроводных сетей предназначено для обнаружения, сканирования и проведения пассивных и активных атак на подбор паролей в беспроводных сетях с WEP, WPA,
WPA-2 шифрованием.
3.7.7.1. Запуск средства аудита беспроводных сетей
Модуль запускается из веб-интерфейса Аудит беспроводных сетей или из подменю стартера приложений (red hat) → Аудит беспроводных сетей → Аудит беспроводных сетей.
После запуска появится рабочее окно модуля (Рисунок 87).

65
Рисунок 87 — Рабочее окно модуля
Примечание. Список поддерживаемых адаптеров приведен в таблице 2.1 приложения 2 к настоящему документу.
3.7.7.2. Прослушивание сети, использующей WEP шифрование
Для обнаружения точек доступа необходимо указать интерфейс в поле Выбрать
интерфейс и нажать кнопку Сканирование точек доступа. После сканирования в рабочем окне модуля будет отражена информация о количестве найденных точек доступа (Рисунок 88).
Рисунок 88 — Обнаруженные точки доступа