Фиксация задач Windows, непредусмотренных пользователем

Министерство транспорта Российской Федерации

Федеральное агентство путей сообщения

Самарская государственная академия путей сообщения

Кафедра Мехатроника в автоматизированных производствах

Лабораторная работа №2

по дисциплине «Методы средства защиты компьютерной информации»

на тему «Фиксация задач Windows, непредусмотренных пользователем»

Выполнили:

студенты группы 1331

Кислина Н.С.

Кулаков О.А.

Проверил: Тюмиков Д.К.

Самара 2007

Введение

Цель

Обнаружить с помощью встроенных приложений и специальных утилит процессы и задачи, выполнение которых осуществляется посторонними лицами, взломщиками.

Задачи

ØРассмотреть все приложения Windows, позволяющие отследить процессы и события, которые действуют в настоящий момент или были запущены ранее, и выделить среди них «странные»;

ØОзнакомиться с возможностями программы System Safety Monitor 2.0.6.566.

В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами - они таятся внутри корпоративной сети.

Атаки, осуществленные изнутри корпоративной сети, имеют очень высокий потенциал для нанесения ущерба, особенно если выполняются лицами, занимающими ответственные посты и имеющими доступ ко всем сетевым ресурсам компании. Тщательно изучив риски, связанные с внутренними и внешними угрозами, многие организации решают изучить системы, позволяющие осуществлять наблюдение за сетями и обнаруживать атаки, откуда бы они ни исходили.

Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок.

Задача 1

безопасность windows утилита monitor

1. Ведение журнала событий системы безопасности Windows. Средства ведения журнала безопасности, имеющиеся в Microsoft Windows, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью.

Рис. 1. Журнал безопасности средства просмотра событий

В журнале событий безопасности (рис.1) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу. Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.

Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.

Параметры групповой политики аудита, находящиеся в разделе «Панель управления/Администрирование/Локальная политика безопасности» определяют, какие события могут создавать записи в журналах безопасности. Параметры политики аудита можно настроить с помощью консоли параметров локальной безопасности (рис.2).

Рис.2. Групповая политики аудита

2. Интерпретация событий аудита. События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.

Рис.3. Окно свойств событий

События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.

Заголовки событий состоят из следующих полей:

Таблица 1. Заголовок события

ПолеОпределениеДатаДата возникновения событияВремяЛокальное время возникновения событияТипКлассификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа».ИсточникПриложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность.КатегорияКлассификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике.Код событияЭтот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных.ПользовательИмя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо.КомпьютерИмя компьютера, на котором произошло событие.

Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на рисунке 4, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.

. Работа диспетчера задач. Опытный пользователь может сам обнаружить посторонние процессы с помощью диспетчера задач. Диспетчер задач вызывается комбинацией символов Ctrl+Alt+Delete и отображает все запущенные процессы. Окно приложения диспетчера задач представлено на рис.4.

Рис.4. Окно диспетчера задач

Однако в сущности диспетчер задач мало эффективен. Более широкие возможности по обеспечению безопасности предоставляет программа System Safety Monitor 2.0.6.566.

Задача 2

1. Утилита System Safety Monitor 2.0.6.566. Утилита System Safety Monitor 2.0.6.566 является также одним из способов обнаружения процессов, запущенных в результате взлома. Интерфейс программы представлен на рис.5.

Рис.5. Окно программы System Safety Monitor 2.0.6.566

Приложение программы System Safety Monitor 2.0.6.566 отображает все запущенные процессы и их статус. Статус процессов представлен на рис.6.

Рис.6. Статус процессов

Таким образом, программа System Safety Monitor 2.0.6.566 сама определяет посторонние процессы.

Вывод

В результате выполнения лабораторной работы были изучены различные способы фиксации задач, выполняемых посторонними пользователями. Поставленная цель достигнута!

Список литературы

1.Дж. Макнамара Секреты компьютерного шпионажа тактика и контрмеры, - М., БИНОМ. Лаборатория знаний, 2004.

2.http://www.oszone.net.

Больше работ по теме: