Фиксация задач Windows, непредусмотренных пользователем
В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть… Читать ещё >
Фиксация задач Windows, непредусмотренных пользователем (реферат, курсовая, диплом, контрольная)
Министерство транспорта Российской Федерации Федеральное агентство путей сообщения Самарская государственная академия путей сообщения Кафедра Мехатроника в автоматизированных производствах
Лабораторная работа № 2
по дисциплине «Методы средства защиты компьютерной информации»
на тему «Фиксация задач Windows, непредусмотренных пользователем»
Выполнили:
студенты группы 1331
Кислина Н.С.
Кулаков О.А.
Проверил: Тюмиков Д.К.
Самара 2007
Введение
Цель Обнаружить с помощью встроенных приложений и специальных утилит процессы и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.
Задачи Ш Рассмотреть все приложения Windows, позволяющие отследить процессы и события, которые действуют в настоящий момент или были запущены ранее, и выделить среди них «странные»;
Ш Ознакомиться с возможностями программы System Safety Monitor 2.0.6.566.
В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами — они таятся внутри корпоративной сети.
Атаки, осуществленные изнутри корпоративной сети, имеют очень высокий потенциал для нанесения ущерба, особенно если выполняются лицами, занимающими ответственные посты и имеющими доступ ко всем сетевым ресурсам компании. Тщательно изучив риски, связанные с внутренними и внешними угрозами, многие организации решают изучить системы, позволяющие осуществлять наблюдение за сетями и обнаруживать атаки, откуда бы они ни исходили.
Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок.
Задача 1
безопасность windows утилита monitor
1. Ведение журнала событий системы безопасности Windows. Средства ведения журнала безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью.
Рис. 1. Журнал безопасности средства просмотра событий
В журнале событий безопасности (рис.1) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу. Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.
Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.
Параметры групповой политики аудита, находящиеся в разделе «Панель управления/Администрирование/Локальная политика безопасности» определяют, какие события могут создавать записи в журналах безопасности. Параметры политики аудита можно настроить с помощью консоли параметров локальной безопасности (рис.2).
Рис. 2. Групповая политики аудита
2. Интерпретация событий аудита. События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.
Рис. 3. Окно свойств событий
События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.
Заголовки событий состоят из следующих полей:
Таблица 1. Заголовок события
Поле | Определение | |
Дата | Дата возникновения события | |
Время | Локальное время возникновения события | |
Тип | Классификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа». | |
Источник | Приложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность. | |
Категория | Классификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике. | |
Код события | Этот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных. | |
Пользователь | Имя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо. | |
Компьютер | Имя компьютера, на котором произошло событие. | |
Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на рисунке 4, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.
3. Работа диспетчера задач. Опытный пользователь может сам обнаружить посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения диспетчера задач представлено на рис. 4.
Рис. 4. Окно диспетчера задач
Однако в сущности диспетчер задач мало эффективен. Более широкие возможности по обеспечению безопасности предоставляет программа System Safety Monitor 2.0.6.566.
Задача 2
1. Утилита System Safety Monitor 2.0.6.566. Утилита System Safety Monitor 2.0.6.566 является также одним из способов обнаружения процессов, запущенных в результате взлома. Интерфейс программы представлен на рис. 5.
Рис. 5. Окно программы System Safety Monitor 2.0.6.566
Приложение программы System Safety Monitor 2.0.6.566 отображает все запущенные процессы и их статус. Статус процессов представлен на рис. 6.
Рис. 6. Статус процессов
Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет посторонние процессы.
Вывод
В результате выполнения лабораторной работы были изучены различные способы фиксации задач, выполняемых посторонними пользователями. Поставленная цель достигнута!
1. Дж. Макнамара Секреты компьютерного шпионажа тактика и контрмеры, — М., БИНОМ. Лаборатория знаний, 2004.
2. http://www.oszone.net.