Фиксация задач Windows, непредусмотренных пользователем

Ведение журнала событий системы безопасности Windows. Аудит успехов и аудит отказов. Работа диспетчера задач, методы его запуска. Утилита System Safety Monitor 2.0.6.566 как один из способов обнаружения процессов, запущенных в результате взлома.

Рубрика Программирование, компьютеры и кибернетика
Вид лабораторная работа
Язык русский
Дата добавления 19.10.2014
Размер файла 905,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство транспорта Российской Федерации

Федеральное агентство путей сообщения

Самарская государственная академия путей сообщения

Кафедра Мехатроника в автоматизированных производствах

Лабораторная работа №2

по дисциплине «Методы средства защиты компьютерной информации»

на тему «Фиксация задач Windows, непредусмотренных пользователем»

Выполнили:

студенты группы 1331

Кислина Н.С.

Кулаков О.А.

Проверил: Тюмиков Д.К.

Самара 2007

Введение

Цель

Обнаружить с помощью встроенных приложений и специальных утилит процессы и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.

Задачи

Ш Рассмотреть все приложения Windows, позволяющие отследить процессы и события, которые действуют в настоящий момент или были запущены ранее, и выделить среди них «странные»;

Ш Ознакомиться с возможностями программы System Safety Monitor 2.0.6.566.

В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами -- они таятся внутри корпоративной сети.

Атаки, осуществленные изнутри корпоративной сети, имеют очень высокий потенциал для нанесения ущерба, особенно если выполняются лицами, занимающими ответственные посты и имеющими доступ ко всем сетевым ресурсам компании. Тщательно изучив риски, связанные с внутренними и внешними угрозами, многие организации решают изучить системы, позволяющие осуществлять наблюдение за сетями и обнаруживать атаки, откуда бы они ни исходили.

Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок.

Задача 1

безопасность windows утилита monitor

1. Ведение журнала событий системы безопасности Windows. Средства ведения журнала безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью.

Рис. 1. Журнал безопасности средства просмотра событий

В журнале событий безопасности (рис.1) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу. Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.

Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.

Параметры групповой политики аудита, находящиеся в разделе «Панель управления/Администрирование/Локальная политика безопасности» определяют, какие события могут создавать записи в журналах безопасности. Параметры политики аудита можно настроить с помощью консоли параметров локальной безопасности (рис.2).

Рис.2. Групповая политики аудита

2. Интерпретация событий аудита. События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.

Рис.3. Окно свойств событий

События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.

Заголовки событий состоят из следующих полей:

Таблица 1. Заголовок события

Поле

Определение

Дата

Дата возникновения события

Время

Локальное время возникновения события

Тип

Классификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа».

Источник

Приложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность.

Категория

Классификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике.

Код события

Этот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных.

Пользователь

Имя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо.

Компьютер

Имя компьютера, на котором произошло событие.

Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на рисунке 4, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.

3. Работа диспетчера задач. Опытный пользователь может сам обнаружить посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения диспетчера задач представлено на рис.4.

Рис.4. Окно диспетчера задач

Однако в сущности диспетчер задач мало эффективен. Более широкие возможности по обеспечению безопасности предоставляет программа System Safety Monitor 2.0.6.566.

Задача 2

1. Утилита System Safety Monitor 2.0.6.566. Утилита System Safety Monitor 2.0.6.566 является также одним из способов обнаружения процессов, запущенных в результате взлома. Интерфейс программы представлен на рис.5.

Рис.5. Окно программы System Safety Monitor 2.0.6.566

Приложение программы System Safety Monitor 2.0.6.566 отображает все запущенные процессы и их статус. Статус процессов представлен на рис.6.

Рис.6. Статус процессов

Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет посторонние процессы.

Вывод

В результате выполнения лабораторной работы были изучены различные способы фиксации задач, выполняемых посторонними пользователями. Поставленная цель достигнута!

Список литературы

1. Дж. Макнамара Секреты компьютерного шпионажа тактика и контрмеры, - М., БИНОМ. Лаборатория знаний, 2004.

2. http://www.oszone.net.

Размещено на Allbest.ru


Подобные документы

  • Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.

    дипломная работа [2,9 M], добавлен 28.06.2011

  • Протоколирование событий Windows, общее описание и значение, принципы и обоснование данного процесса. Модель безопасности Windows XP Professional, ее основополагающие элементы и эффективность. Центр обеспечения безопасности Windows, его структура.

    контрольная работа [47,0 K], добавлен 07.05.2012

  • Анализ архитектуры ОС Windows 8. Сравнение с предыдущими версиями (интерфейс Modern UI, работа с учетными записями, модель безопасности, диспетчер задач, история файлов, восстановление системы, Storage Spaces). Особенности различных версий Windows 8.

    курсовая работа [289,1 K], добавлен 25.01.2016

  • Операционная система MS-DOS: история и характеристика. Обзор стандартных программ операционной системы Windows. Способы запуска программ. Служебные приложения Windows и их назначение: диспетчер задач, проверка, очистка, дефрагментация и архивация диска.

    реферат [221,4 K], добавлен 06.01.2015

  • Характеристика операционной системы. История развития Windows. Сравнительная характеристика версий Windows. Элементы и инструменты Windows XP. Прикладные программы в Windows XP. Работа настольных и портативных компьютеров под управлением Windows.

    доклад [19,1 K], добавлен 16.10.2011

  • Описание и назначение, основные функции панели задач и меню "Пуск", языковой панели. Порядок установки даты и времени. Методика поиска файлов. Правила запуска программ. Работа с файлами. Профилактика сбоев в работе компьютера. Основные свойства экрана.

    методичка [130,0 K], добавлен 05.07.2010

  • Поняття та класифікація операційної системи. Історія появи Windows 7. Нововведення інтерфейсу Windows 7: екран привітання, робочий стіл, панель задач. Описання стандартних програм Windows 7. Огляд захисту та продуктивності даної операційної системи.

    дипломная работа [166,3 K], добавлен 18.06.2011

  • История создания. Windows 9x/NT. Операционная система Microsoft Windows. Преимущества и недостатки Windows. Некоторые клавиатурные комбинации Windows 9x и NT. Windows XP Professional. Наиболее совершенная защита.

    реферат [19,3 K], добавлен 18.07.2004

  • Аудит как одно из средств защиты сети Windows, с помощью которого можно отслеживать действия пользователей и другие системные события в сети. Понятие и инструменты мониторинга. Использование консоли управления. Журналы и оповещения производительности.

    презентация [2,2 M], добавлен 09.12.2013

  • История операционной системы Windows компании Microsoft. Первые версии Windows. Поддержка мультимедийных средств в последующих версиях. Основные версии Windows 7. Панель задач Windows 7, новые возможности управления окнами. Поддержка 64-разрядных систем.

    курсовая работа [257,7 K], добавлен 31.03.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.