Фиксация задач Windows, непредусмотренных пользователем
Министерство транспорта Российской
Федерации
Федеральное агентство путей сообщения
Самарская государственная академия
путей сообщения
Кафедра Мехатроника в
автоматизированных производствах
Лабораторная работа №2
по дисциплине «Методы средства защиты
компьютерной информации»
на тему «Фиксация задач Windows, непредусмотренных пользователем»
Выполнили:
студенты группы 1331
Кислина Н.С.
Кулаков О.А.
Проверил: Тюмиков Д.К.
Самара 2007
Введение
Цель
Обнаружить с помощью встроенных приложений и специальных утилит процессы
и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.
Задачи
Ø Рассмотреть все приложения Windows, позволяющие отследить процессы и события, которые
действуют в настоящий момент или были запущены ранее, и выделить среди них
«странные»;
Ø Ознакомиться с возможностями программы System Safety Monitor
2.0.6.566.
В последние годы в прессе широко освещаются громкие дела, связанные с
угрозами и происшествиями, причиной которых является вредоносное программное
обеспечение. Это привело к росту осведомленности и убедило многие организации в
необходимости вложения времени и ресурсов в средства защиты от этой главной
угрозы безопасности. Однако самые большие опасности для инфраструктуры
предприятий могут быть не связаны с вирусами и другими внешними угрозами - они
таятся внутри корпоративной сети.
Главной задачей системы наблюдения за безопасностью и обнаружения атак
является обнаружение в сети подозрительных событий, которые могут быть
признаком вредоносных действий или процедурных ошибок.
Задача 1
безопасность windows
утилита monitor
1. Ведение
журнала событий системы безопасности Windows. Средства ведения журнала
безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для
решения по наблюдению за безопасностью. Однако сами по себе журналы
безопасности не предоставляют достаточного объема сведений для планирования
ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows,
начиная с Microsoft Windows NT 3.1, имеют возможность записывать события,
связанные с безопасностью, используя встроенную функцию ведения файла журнала.
В системе на базе Microsoft Windows эта функция является основой наблюдения за
безопасностью.
Рис.
1. Журнал безопасности средства просмотра событий
В
журнале событий безопасности (рис.1) используется настраиваемый формат файла
для записи данных о наблюдении за безопасностью. Доступ к журналам событий
всегда контролируется службой журнала событий, в которой реализованы средства
контроля доступа к каждому журналу. Разрешения по умолчанию для журнала
безопасности являются очень строгими по сравнению с другими журналами в
системе; доступ к журналу безопасности по умолчанию имеют только
администраторы.
Имеется
два типа событий, которые записываются в журнал событий безопасности: аудит
успехов и аудит отказов. События аудита успехов показывают, что операция,
выполненная пользователем, службой или программой, успешно завершена. События
аудита отказов описывают операции, которые не были успешно завершены. Например,
неудачные попытки входа пользователя в систему являются примером событий аудита
отказов и могут быть записаны в журнал событий безопасности, если включен аудит
входа в систему.
Параметры
групповой политики аудита, находящиеся в разделе «Панель
управления/Администрирование/Локальная политика безопасности» определяют, какие
события могут создавать записи в журналах безопасности. Параметры политики
аудита можно настроить с помощью консоли параметров локальной безопасности
(рис.2).
Рис.2.
Групповая политики аудита
2.
Интерпретация событий аудита. События аудита рассматриваются в этой статье
намного подробнее, поэтому важно понимать структуру события аудита и сведений,
содержащихся в событиях аудита.
Рис.3.
Окно свойств событий
События
состоят из трех основных частей: заголовок события, описание события и раздел
двоичных данных.
Заголовки
событий состоят из следующих полей:
Таблица
1. Заголовок события
Поле
|
Определение
|
Дата
|
Дата возникновения события
|
Время
|
Локальное время
возникновения события
|
Классификация серьезности
события или тип. События аудита безопасности могут иметь тип «аудит успеха»
или «аудит отказа».
|
Источник
|
Приложение, записавшее
событие в журнал. Это может быть программа, например SQL Server, имя драйвера
или компонент системы, например безопасность.
|
Категория
|
Классификация источника
события. Этот параметр относится к журналам аудита безопасности, поскольку он
соответствует типу события, который можно настроить в групповой политике.
|
Код события
|
Этот код идентифицирует
определенный тип события. На рисунке выше приведен код события 680. Этот код
означает, что локальный процесс, удаленный процесс или пользователь передали
в систему проверки подлинности набор учетных данных.
|
Пользователь
|
Имя пользователя, от имени
которого произошло событие. Это имя представляет собой код клиента, если
событие было вызвано процессом, либо первичный код, если не выполняется
заимствование прав. В событиях безопасности первичные сведения и сведения о
заимствовании прав будут показаны, если это возможно и применимо.
|
Компьютер
|
Имя компьютера, на котором
произошло событие.
|
Поле описания события содержит разнообразные сведения, которые могут
меняться от события к событию. Например, в событии 680, показанном на рисунке
4, поле «Код события» содержит значение 0xC000006A, которое означает, что был
введен неправильный пароль. Для каждого типа событий в этом поле отображаются
сведения, характерные для данного события.
. Работа диспетчера задач. Опытный пользователь может сам обнаружить
посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается
комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения
диспетчера задач представлено на рис.4.
Рис.4. Окно диспетчера задач
Однако в сущности диспетчер задач мало эффективен. Более широкие
возможности по обеспечению безопасности предоставляет программа System Safety
Monitor 2.0.6.566.
Задача
2
1. Утилита System Safety Monitor
2.0.6.566. Утилита
System Safety Monitor 2.0.6.566 является также одним из способов обнаружения
процессов, запущенных в результате взлома. Интерфейс программы представлен на
рис.5.
Рис.5. Окно программы System Safety Monitor 2.0.6.566
Рис.6. Статус процессов
Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет
посторонние процессы.
Вывод
В результате выполнения лабораторной работы были изучены различные
способы фиксации задач, выполняемых посторонними пользователями. Поставленная
цель достигнута!
Список литературы
1. Дж. Макнамара Секреты компьютерного
шпионажа тактика и контрмеры, - М., БИНОМ. Лаборатория знаний, 2004.
2. http://www.oszone.net.