Конфигурирование, протоколирование событий, подсистема безопасности Windows

Контрольная работа - Компьютеры, программирование

Другие контрольные работы по предмету Компьютеры, программирование

1. Протоколирование событий Windows

 

В Microsoft Windows событие (event) - это любое значительное происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах; это очень важно. Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабочие станции на сохранение важных системных событий.

На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны. Windows-служба, управляющая протоколированием событий, называется EventLog (Журнал событий). При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установленными службами.

Существует несколько журналов, в том числе следующие.(Приложение) - хранит важные события, связанные с конкретным приложением. Например, ExchangeServer сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается вSystemRoot%\Systein32\Config\Appevent.evt.(Служба каталогов) на контроллерах домена этот журнал хранит события службы каталогов ActiveDirectory, в том числе относящиеся к ее запуску, глобальным каталогам и проверкам целостности. По умолчанию помещается в % SystemRoot%\\System32\Config\Ntds.evt.Server (DNS-сервер) - на DNS-серверах в этом журнале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в % SystemRoot%\System32\ Config\Dnsevent.evt.(Служба репликации файлов) - на контроллерах домена и других серверах, использующих репликацию, этот журнал регистрирует действия в системе, связанные с репликацией файлов, в том числе события состояния и управления службой, сканирования данных на системных томах, а также управления наборами репликации. По умолчанию помещается в % SystemRoot%\Sysem32\Config\ Ntfrs.evt.(Безопасность) - хранит события, связанные с безопасностью, такие как вход / выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в в % SystemRoot%\System32\Config\Secevent.evt.

Внимание! Для доступа к журналам безопасности у пользователей должно быть право ManageAuditingAndSecurityLog (Управление аудитом и журналом безопасности). По умолчанию оно выдается членам группы администраторов.(Система) - хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в % SystemRoot, %\System32\Config\Sysevent.evt. Значимость событий варьируется от уведомлений до предупреждений общего характера и серьезных инцидентов вроде критических сбоев и ошибок. Категория события обозначается его типом. Существуют следующие типы:(Уведомление) - указывает на возникновение информационного события, обычно связанного с успешным действием;(Предупреждение) - предупреждение общего характера. Зачастую помогает избежать последующих проблем в системе;(Ошибка) - критическая ошибка, например неудача при запуске службы;(Аудит успехов) - успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;Audit (Аудит отказов) - неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Из множества типов событий внимательнее всего следует наблюдать за ошибками и предупреждениями. Если возникает событие этих типов и его причина неизвестна, нужно детально проанализировать его и определиться с дальнейшими действиями.

 

 

2. Безопасность в Windows XP

 

Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации - наличие у него прав доступа к ресурсам компьютера или сети. В Windows XP Professional также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сетях: например, EFS (Encrypting File System), технология открытого ключа.

Аутентификация. Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows XP Professional возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт-карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных.

Главный протокол безопасности в доменах Windows 2000 - Kerberos версии 5. Для аутентификации на серверах под управлением Windows NT 4.0 и доступа к ресурсам доменов Windows NT клиенты Windows XP Professional используют протокол NTLM. Компьютеры с Windows XP Professional, не принадлежащие к домену, также применяют для аутентификации протокол NTLM.

Используя Windows XP Professional в сети с активным каталогом (ActiveDirectory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно ?/p>