Материал: Фиксация задач Windows, непредусмотренных пользователем
Фиксация задач Windows, непредусмотренных пользователем
Министерство транспорта Российской Федерации
Федеральное агентство путей сообщения
Самарская государственная академия путей сообщения
Кафедра Мехатроника в
автоматизированных производствах
Лабораторная работа №2
по дисциплине «Методы средства защиты компьютерной информации»
на тему «Фиксация задач Windows, непредусмотренных пользователем»
Выполнили:
студенты группы 1331
Кислина Н.С.
Кулаков О.А.
Проверил: Тюмиков Д.К.
Самара 2007
Введение
Цель
Обнаружить с помощью встроенных приложений и специальных утилит процессы и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.
Задачи
Ø Рассмотреть все приложения Windows, позволяющие отследить процессы и события, которые действуют в настоящий момент или были запущены ранее, и выделить среди них «странные»;
Ø Ознакомиться с возможностями программы System Safety Monitor 2.0.6.566.
В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами - они таятся внутри корпоративной сети.
Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок.
Задача 1
безопасность windows утилита monitor
1. Ведение журнала событий системы безопасности Windows. Средства ведения журнала безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью.
Рис.
1. Журнал безопасности средства просмотра событий
В журнале событий безопасности (рис.1) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу. Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.
Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.
Параметры
групповой политики аудита, находящиеся в разделе «Панель
управления/Администрирование/Локальная политика безопасности» определяют, какие
события могут создавать записи в журналах безопасности. Параметры политики
аудита можно настроить с помощью консоли параметров локальной безопасности
(рис.2).
Рис.2. Групповая политики аудита
2. Интерпретация событий аудита. События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.
Рис.3.
Окно свойств событий
События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.
Заголовки
событий состоят из следующих полей:
Таблица 1. Заголовок события
|
Поле |
Определение |
|
|
Дата |
Дата возникновения события |
|
|
Время |
Локальное время возникновения события |
Классификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа». |
|
Источник |
Приложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность. |
|
|
Категория |
Классификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике. |
|
|
Код события |
Этот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных. |
|
|
Пользователь |
Имя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо. |
|
|
Компьютер |
Имя компьютера, на котором произошло событие. |
Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на рисунке 4, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.
. Работа диспетчера задач. Опытный пользователь может сам обнаружить
посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается
комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения
диспетчера задач представлено на рис.4.
Рис.4. Окно диспетчера задач
Однако в сущности диспетчер задач мало эффективен. Более широкие
возможности по обеспечению безопасности предоставляет программа System Safety
Monitor 2.0.6.566.
Задача
2
1. Утилита System Safety Monitor
2.0.6.566. Утилита
System Safety Monitor 2.0.6.566 является также одним из способов обнаружения
процессов, запущенных в результате взлома. Интерфейс программы представлен на
рис.5.
Рис.5. Окно программы System Safety Monitor 2.0.6.566
Рис.6. Статус процессов
Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет
посторонние процессы.
Вывод
В результате выполнения лабораторной работы были изучены различные
способы фиксации задач, выполняемых посторонними пользователями. Поставленная
цель достигнута!
Список литературы
1. Дж. Макнамара Секреты компьютерного шпионажа тактика и контрмеры, - М., БИНОМ. Лаборатория знаний, 2004.
2. http://www.oszone.net.