Раздел: Документация
0 ... 112 113 114 115 116 117 118 ... 136 рд\Конфшуранчя Windows\ Параметры безонасиоетиук.калгиые политики) и щелкните Audit Policy (Политика аудита) (рис. 14-5). i Сммйь1 (Сопите L «и п CuBfjutw иЬгу.Чличии Cnnligoi Ju*i\Wnvt--*ti 5> I ! - .1- { ИИЕЙЕР ♦ .JJUwfPilJii V. •3J»4>» fcnr:i f-,W*r .-. - f тс — ? 4. I". Г «гаг F*b» l -J Рис. 14-5. Выбор политики аудита для политики локального компьютера 9.На правой панели дважды шел клипе Audit Logon Events (Аудит событий входа в сие- ему). Откроется диалоговое окно Local Security Policy Setting (Параметр локальной политики 10.В области Audit These Attempts (Вести аудит следующих попыток доступа) выберите Failure (Отказ) и щелкните ОК. Просмотр журнала событий безопасности Вы можете задать запись событий в журнал событий безопасности в момент определенныхдействий или доступа к файлам. Запись аудита показывает выполняемое действие, его дату и время, имя выполнившего его пользователя. Вы можете выявлять кик успешные, так и неудачные попытки, так что аудит покажет, кто пытался выполнить несанкционированные действия. Журнал безопасности просматривают средствами Event Viewer. Запись событий безопасности - это форма обнаружения вмешательства посредством аудита. Аудит и протоколирование сетевой деятельности являются важными мерами предосторожности. Windows 2000 позволяет наблюдать за множеством событий, которые можно использован,для выявления несанкционированных действий в сети. Журнал безопасности записывает такие события безопасности, как успешные и неудачные попытки входа, а также события, связанные с использованием ресурсов, например. созданием, открытием или удалением райлол и других объектов. Журнал бззоп tsuo-сти помогает выявлять изменения в системе безопасности.в журнале безопас- ности записаны попытки входа в систему, если включен аудит входа и выхода. Регулярный просмотр журнала безопасности позволяет обнаружить некоторые типы атак до того. как они станут успешными. После проникновения систему журнал безопасности лит опредешп,. как нарушитель проник в систему и что он сделал. Записи журнала служатвины нарушителя. Пяимечан*е Для обеспечения безопасности регулярно просматривайте журналы. Практикум: просмотр журнала безопасности Журналы событий состоят из заголовка, описания события (основанного на типе 14.. события) и необязательных дополнительных данных. Большинство записей журналов безопасности состоит из заголовка и описания. Event Viewer отображает события каждого журнала отдельно. Каждая строка показывает информацию об одном событии, включая дату, время, источник, тип события, категорию, идентификатор события, учетную запись пользователя и имя компьютера. Просмотрите журнал событий безопасности дляпопыток несанкционированного доступа к сети. Для выполнения этого задания вы должны выполнить предыдущее. ► Задание: просмотрите журнал событий безопасности войти ваудит неудачных попыток входа, воспользовавшись недействительным именем и паролем. 2 После неудачной попытки войдите в компьютер с действительным именем и паролем. 3.Раскройте меню Start\Programs\Adminstrative Tools и щелкните Event Viewer. 4.В дереве консоли щелкните Security Log (Журнал безопасности). Заметьте; неудачные попытки входа показаны в правой панели окна Event Viewer (рис. 14-61. 5.Дважды щелкните значок события, чтобы открыть окно его свойств. раздел описанияпричину неудачи и введенное имя пользовате- ля, но не отображает введенный пароль. 6.Щелкните ОК, чтобы закрыть окно свойств события.
Рис. 14-6. Запись попытки неудачного входа в журнале безопасности Утилита System Monitor System Monitor (Системный монитор) — это инструмент, позволяющий контролировать использование системных ресурсов как приложением, так и клиентом (памяти, центрального процессора, сети и диска). Дополнительные счетчики, не связанные с производительностью, <чч)бшлю1 важную информацию о безопасности сервера, в том числе: •Server\Errors Access Permissions(CepBep\Ouj.H6oi- отсутствия права доступа); •Server\Errors Granted Access(Сервер\Ошибок предоставленного доступа); •Server\Errors Logon (Сервер\Ошибок входа); liS Securiiy. Просмотр событий безопасности средствами System Monitor f. Раскроите меню Start\Programs\Adminstrative Tools (Пуск\Программы\Администриро-вание) и щелкните Performance (Системный монитор). 3 Наблюдение событий безопасности 317 2.На ираиои панели оснастки шел мине кнопку Add (Добавить). Откроется диалоговое окно Add Counters (Добавить счетчики) (рис. 14-7). 3.В списке Performance Object (Объект) выберите Server (Сервер). 4.Щелкните Select Counters From List (Выбрать счетчики на списка). 5.Выберите счетчик и щелкните кнопку Add. 6.Щелкните кнопку Close (Закрыть), чтобы закрыть диалоговое окно Add Counters Add Counts С Usetocal computet counters » Select counters from сornputei (-.sF.VERI! 3 Pwfcrmance otajuct I ..«vei Г АЯ counters r* 5 elec.1 counteri hom lid *3 (JoiMI block? Oueued/iec Ertgfi CijtVeJ Acre-: Errors Svtn-i ГЦ*1 ГиПРГчГг,»!! ",гьЛГ,-1и,1ьс Ш Add Close £xp«iri Рис. 14-7. Добавление счетчика Error Logon (Ошибок входа) УтилитаMonitor IPSec Monitor (Монитор безопасности подтверждает надежность зашиты сети посредством отображения актинных SA на локальных или удаленных компькяерал На- Фннер. IPSec Monitor псио.чыуск-.ч. чгобы определить, uaia ли \<ссгч отказ ayiew нфи-кации или SA, укаи.шач на несовместимость локальных политик безопасности. IPSec Monitor выполняется на локальном или удаленном компьютере. ► Работа с IPSec Monitor 1.Щелкните кнопку Start (Пуск) и в меню выберите команду Run (Выполнить) 2.Введите ipsecmon <имя компьютера>п щелкните ОК. Откроется диалоговое окно Security Monitor (Монитор безопасности) (рис.!4-»>. Запись отображается каждого активного SA. Каждая tamu.a, включает имя акт чинш политики IPSec. имя фильтра IP и конечную точку туннеля (если она была задана). 3.Щелкните кнопку Options (Параметры), чтобы задать частоту обновления. IPSec Monitor также полезен в настройке производительности и устранении шме.м-док, предлагая такие сведения, как: •количество и тип актинных SA; •общее количество основных и сеансовых ключей. Успешные SA первоначально создают один главный ключ и один сеансовый ключ. Последующие регенерации ключей отображаются как дополнительныеключи; •обшес количество полученных-отправленных конфиденциальных илиаугеншф! поронянных байт. Заказ № УТЛ 0 ... 112 113 114 115 116 117 118 ... 136
|