Системные журналы и лог-файлы ОС семейства Windows: системный анализ.

Функция AddAuditAccessAce служит для добавления элементов в SACL, что позволяет отслеживать попытки доступа, осуществляемые с использованием указанного SID. Рисунок 7 - Структура дескриптора безопасностиНаконец, для удаления АСЕ из списка используется функция DeleteAce, а для извлечения — функция GetAce.Использование объектов безопасности WindowsВ дескриптор безопасности вносятся многочисленные подробные данные, и на рис. 6 показаны лишь основные элементы его структуры. Заметьте, что у каждого процесса также имеется свой SID (содержащийся в маркере доступа), который используется ядром для того, чтобы определить, какие виды доступа разрешены или какие виды доступа подлежат аудиту. Кроме того, маркер доступа (accesstoken) может предоставлять владельцу определенные привилегии (privileges) (свойственная данному владельцу способность выполнять операции, перекрывающая права (rights), указанные в списке ACL). Так, администратор может иметь привилегии на выполнение операций чтения и записи ко всем файлам, не имея на это прав, явно заданных в списке ACL данного файла.Если пользовательские или групповые идентификаторы доступа не обеспечивают, ядро просматривает права доступа, указанные в ACL. Определяющую роль играет первый встреченный элемент, дающий возможность воспользоваться данной запрошенной услугой или отказывающий в этом. Поэтому очередность, в которой в список вносятся элементы АСЕ, имеет большое значение. Во многих случаях АСЕ, запрещающие доступ, располагаются первыми, чтобы конкретный пользователь, которому необходимо запретить данный вид доступа, не мог получить его, воспользовавшись членством в группе, которой этот вид доступа предоставлен. Таким образом, рассмотрев технологии обеспечения защищенности объектов информационной системы с использованием инструментария Windows, можно сделать выводы:- операционная система Windowsпозволяет обеспечивать эффективное разграничение доступа к информационным объектам с использованием различных уровней доступа;- встроенные средства безопасности ОС Windowsобеспечивают защиту данных даже в случаях авторизации под альтернативной операционной системой;- доля использования операционных систем Windowsна рынке сетевого ПО позволяет утверждать об эффективности реализованной системы разграничения доступа и от утечек информации.2. Журналы событий информационной безопасности ОС WindowsВ работе судебной экспертизы работа с журналами безопасности операционной системы используется в направлениях:- анализ событий, когда-либо происходивших на компьютере (например, использование программного обеспечения для проведения атак на удаленные системы). Если пользователем компьютера было удалено вредоносное программное обеспечение, то в журналах событий Windowsможно обнаружить следы его активности;- также в работе судебной экспертизы возможен анализ поведения системы, если компьютер становился жертвой внешних атак;- системные журналы позволяют выявить активность вредоносного ПО и состояние работы антивирусных систем в ретроспективе;- системные журналы позволяют отслеживать протоколы работы системных и прикладных программ, взаимодействие с оборудованием, распечатку файлов;- с помощью системных журналов возможно установить факт нахождения пользователя на рабочем месте (т.е. факты авторизации в системе);- журналы работы криптографических систем позволяют установить факты использовании компьютера в качестве средства несанкционированного доступа к защищаемым информационным ресурсам. Таким образом, анализ системных журналов позволяет получить большое количество данных для судебных экспертов.В ОС Windowsреализована система регистрации событий, связанных с инцидентами информационной безопасности. Для вызова режима работы с журналом безопасности необходимо выполнить вызов соответствующего меню из режима «Управление – Журналы Windows - Безопасность» (рисунок 7).Рисунок 8 – Журнал безопасности ОС Windows(Windows 10)На рисунке 8 приведен вид системного журнала ОСWindows 7.Рисунок 9 – Системный журнал Windows 7Рисунок 10 – СистемныйжурналWindowsXPКак показано на рисунках7-9, в системе регистрируются [2]:- дата и время события, связанного с информационной безопасностью;- тип события;- категория события;- источник события.Системный журнал Windows 10 является более полным и отображает события установки, перенаправления. Системный журнал WindowsXPрегистрирует меньшее количество системных событий.Также в системе возможно просматривать подробную информацию о событии (рисунок 10).Рисунок 11–Детализация данных о событии информационной безопасностиДля анализа системных журналов судебными экспертами возможен непосредственный просмотр протоколов с фильтрацией событий, так и использование специального ПО, позволяющего составлять сводные отчеты по системному журналу.Также в журнале событий безопасности возможно проводить фильтрацию по реквизитам (рисунок 11).Рисунок 12 – Фильтр по событиям журнала безопасности WindowsСобытия журнала безопасности Windowsмогут быть сохранены в форматах, позволяющие проводить дальнейшую обработку и анализ. Фрагмент файла журнала:Subject:ИД безопасности:DESKTOP-NR13UUL\EvgИмя учетной записи:EvgДомен учетной записи:DESKTOP-NR13UULИД входа:0xE467873Пользователь:ИД безопасности:DESKTOP-NR13UUL\EvgИмя учетной записи:EvgДомен учетной записи:DESKTOP-NR13UULСведения о процессе:ИД процесса:0x13a4Имяпроцесса:C:\Windows\System32\mmc.exe"Аудитуспеха,23.05.2019 22:03:16,Microsoft-Windows-Security-Auditing,4672,Special Logon,"Новомусеансувходаназначеныспециальныепривилегии.Субъект:ИД безопасности:СИСТЕМАИмя учетной записи:СИСТЕМАДомен учетной записи:NT AUTHORITYКод входа:0x3E7Привилегии:SeAssignPrimaryTokenPrivilegeSeTcbPrivilegeSeSecurityPrivilegeSeTakeOwnershipPrivilegeSeLoadDriverPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeDebugPrivilegeSeAuditPrivilegeSeSystemEnvironmentPrivilegeSeImpersonatePrivilegeSeDelegateSessionUserImpersonatePrivilege"Аудитуспеха,23.05.2019 22:03:16,Microsoft-Windows-Security-Auditing,4624,Logon,"Входвучетнуюзаписьвыполненуспешно.Анализ событий безопасности непосредственно через выборку по журналу Windowsне всегда позволяет получить информацию о состоянии защищенности системы и имеющихся угрозах безопасности, так как события содержат коды и описания, для понимания которых пользователю компьютеру необходимо прибегать к специальным источникам. Для возможности проведения анализа событий безопасности с получением читаемой отчетной информации используются специализированные программы.ЗаключениеВ рамках данной работы проведен анализсистемы сбора,хранения и обработки данных о событиях безопасностиОС Windows в контексте использования их в работе судебных экспертов.Работа судебных экспертов при анализе системных журналов Windowsможет быть связана с: установкой факта нахождения пользователя на рабочем месте, анализа вероятности использования компьютера как средства проведения сетевых атак, скачивания незаконного контента, анализа работы криптографических систем в целях подделки электронной подписи, а также несанкционированного доступа к платежным системам.Проведено рассмотрение теоретических аспектов обеспечения безопасности информационных ресурсов. Показано, что защита информационных объектов средствами операционной системы проводится посредством установки атрибутов доступа, позволяющих предоставлять доступ на разрешенных уровнях. При этом защищенность информационных ресурсов является залогом штатного функционирования предприятий.Также средствами ОС Windowsвозможно проведение аудита информационных ресурсов, что предполагает протоколирование действий пользователей с выбранными информационными объектами. Ведение протоколов является полезным в сетях со значительным количеством пользователей, работающих одновременно с определенными информационными объектами, и позволяет выявляться пользователей, которые проводят операции создания, удаления и изменения объектов.Анализ уровня защищенности объектов, обеспечиваемого средствами ОС Windows, позволяет утверждать, что встроенные средства операционной системы обеспечивают необходимый уровень защиты информационной системы.Также для анализа данных о событиях безопасности возможно использование специализированного ПО, позволяющего проводить аудит состояния безопасности операционной системы, а также анализировать протоколы событий безопасности.Список использованных источниковСетевая защита информации. [Электронный ресурс]. Режим доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/Сетевые атаки и их виды. [Электронный ресурс]. режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-atakaПопов Б. Н. Администрирование информационных систем : учебное пособие / Б. Н. Попов. - Санкт-Петербург : Изд-во ГУМРФ имени адмирала С.О. Макарова, 2018. - 95 с. Королев Е. Н. Администрирование операционных систем : учебное пособие / Е. Н. Королев. - Воронеж : Воронежский государственный технический университет, 2017. - 85 с. Горев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный архитектурно-строительный университет. - Санкт-Петербург :СПбГАСУ, 2017. – 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург :СПбГАСУ, 2017. - 107 с. Никифоров С. Н. Защита информации : защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сШаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cМихайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов : ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Минаси М., Грин К., Бус К. WindowsServer 2012 R2 : полное руководство / Марк Минаси, Кевин Грин, Кристиан Бус. – Москва: Диалектика, 2016. Власов Ю. В., Рицкова Т. И. Администрирование сетей на платформе MS WindowsServer [Электронный ресурс] / Власов Ю. В.,Рицкова Т. И.,. - 2-е изд. - 2016. - 622 с