Фиксация задач Windows, непредусмотренных пользователем
Ведение журнала событий системы безопасности Windows. Аудит успехов и аудит отказов. Работа диспетчера задач, методы его запуска. Утилита System Safety Monitor 2.0.6.566 как один из способов обнаружения процессов, запущенных в результате взлома.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | лабораторная работа |
| Язык | русский |
| Дата добавления | 19.10.2014 |
| Размер файла | 905,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Министерство транспорта Российской Федерации
Федеральное агентство путей сообщения
Самарская государственная академия путей сообщения
Кафедра Мехатроника в автоматизированных производствах
Лабораторная работа №2
по дисциплине «Методы средства защиты компьютерной информации»
на тему «Фиксация задач Windows, непредусмотренных пользователем»
Выполнили:
студенты группы 1331
Кислина Н.С.
Кулаков О.А.
Проверил: Тюмиков Д.К.
Самара 2007
Введение
Цель
Обнаружить с помощью встроенных приложений и специальных утилит процессы и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.
Задачи
Ш Рассмотреть все приложения Windows, позволяющие отследить процессы и события, которые действуют в настоящий момент или были запущены ранее, и выделить среди них «странные»;
Ш Ознакомиться с возможностями программы System Safety Monitor 2.0.6.566.
В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами -- они таятся внутри корпоративной сети.
Атаки, осуществленные изнутри корпоративной сети, имеют очень высокий потенциал для нанесения ущерба, особенно если выполняются лицами, занимающими ответственные посты и имеющими доступ ко всем сетевым ресурсам компании. Тщательно изучив риски, связанные с внутренними и внешними угрозами, многие организации решают изучить системы, позволяющие осуществлять наблюдение за сетями и обнаруживать атаки, откуда бы они ни исходили.
Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок.
Задача 1
безопасность windows утилита monitor
1. Ведение журнала событий системы безопасности Windows. Средства ведения журнала безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью.
Рис. 1. Журнал безопасности средства просмотра событий
В журнале событий безопасности (рис.1) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу. Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.
Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.
Параметры групповой политики аудита, находящиеся в разделе «Панель управления/Администрирование/Локальная политика безопасности» определяют, какие события могут создавать записи в журналах безопасности. Параметры политики аудита можно настроить с помощью консоли параметров локальной безопасности (рис.2).
Рис.2. Групповая политики аудита
2. Интерпретация событий аудита. События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.
Рис.3. Окно свойств событий
События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.
Заголовки событий состоят из следующих полей:
Таблица 1. Заголовок события
|
Поле |
Определение |
|
|
Дата |
Дата возникновения события |
|
|
Время |
Локальное время возникновения события |
|
|
Тип |
Классификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа». |
|
|
Источник |
Приложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность. |
|
|
Категория |
Классификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике. |
|
|
Код события |
Этот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных. |
|
|
Пользователь |
Имя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо. |
|
|
Компьютер |
Имя компьютера, на котором произошло событие. |
Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на рисунке 4, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.
3. Работа диспетчера задач. Опытный пользователь может сам обнаружить посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения диспетчера задач представлено на рис.4.
Рис.4. Окно диспетчера задач
Однако в сущности диспетчер задач мало эффективен. Более широкие возможности по обеспечению безопасности предоставляет программа System Safety Monitor 2.0.6.566.
Задача 2
1. Утилита System Safety Monitor 2.0.6.566. Утилита System Safety Monitor 2.0.6.566 является также одним из способов обнаружения процессов, запущенных в результате взлома. Интерфейс программы представлен на рис.5.
Рис.5. Окно программы System Safety Monitor 2.0.6.566
Приложение программы System Safety Monitor 2.0.6.566 отображает все запущенные процессы и их статус. Статус процессов представлен на рис.6.
Рис.6. Статус процессов
Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет посторонние процессы.
Вывод
В результате выполнения лабораторной работы были изучены различные способы фиксации задач, выполняемых посторонними пользователями. Поставленная цель достигнута!
Список литературы
1. Дж. Макнамара Секреты компьютерного шпионажа тактика и контрмеры, - М., БИНОМ. Лаборатория знаний, 2004.
2. http://www.oszone.net.
Размещено на Allbest.ru
Подобные документы
Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
дипломная работа [2,9 M], добавлен 28.06.2011Протоколирование событий Windows, общее описание и значение, принципы и обоснование данного процесса. Модель безопасности Windows XP Professional, ее основополагающие элементы и эффективность. Центр обеспечения безопасности Windows, его структура.
контрольная работа [47,0 K], добавлен 07.05.2012Анализ архитектуры ОС Windows 8. Сравнение с предыдущими версиями (интерфейс Modern UI, работа с учетными записями, модель безопасности, диспетчер задач, история файлов, восстановление системы, Storage Spaces). Особенности различных версий Windows 8.
курсовая работа [289,1 K], добавлен 25.01.2016Операционная система MS-DOS: история и характеристика. Обзор стандартных программ операционной системы Windows. Способы запуска программ. Служебные приложения Windows и их назначение: диспетчер задач, проверка, очистка, дефрагментация и архивация диска.
реферат [221,4 K], добавлен 06.01.2015Характеристика операционной системы. История развития Windows. Сравнительная характеристика версий Windows. Элементы и инструменты Windows XP. Прикладные программы в Windows XP. Работа настольных и портативных компьютеров под управлением Windows.
доклад [19,1 K], добавлен 16.10.2011Описание и назначение, основные функции панели задач и меню "Пуск", языковой панели. Порядок установки даты и времени. Методика поиска файлов. Правила запуска программ. Работа с файлами. Профилактика сбоев в работе компьютера. Основные свойства экрана.
методичка [130,0 K], добавлен 05.07.2010Поняття та класифікація операційної системи. Історія появи Windows 7. Нововведення інтерфейсу Windows 7: екран привітання, робочий стіл, панель задач. Описання стандартних програм Windows 7. Огляд захисту та продуктивності даної операційної системи.
дипломная работа [166,3 K], добавлен 18.06.2011История создания. Windows 9x/NT. Операционная система Microsoft Windows. Преимущества и недостатки Windows. Некоторые клавиатурные комбинации Windows 9x и NT. Windows XP Professional. Наиболее совершенная защита.
реферат [19,3 K], добавлен 18.07.2004Аудит как одно из средств защиты сети Windows, с помощью которого можно отслеживать действия пользователей и другие системные события в сети. Понятие и инструменты мониторинга. Использование консоли управления. Журналы и оповещения производительности.
презентация [2,2 M], добавлен 09.12.2013История операционной системы Windows компании Microsoft. Первые версии Windows. Поддержка мультимедийных средств в последующих версиях. Основные версии Windows 7. Панель задач Windows 7, новые возможности управления окнами. Поддержка 64-разрядных систем.
курсовая работа [257,7 K], добавлен 31.03.2011
