- •Сборник методических указаний к лабораторным работам
- •Безопасность операционных систем
- •Содержание
- •Лабораторная работа № 1. Получение информации о конфигурации компьютера
- •1. Цели работы
- •2. Теоретические сведения
- •1. Реестр Windows
- •2. Использование функций Windows api
- •3. Использование wmi-интерфейса
- •7. Библиографический список
- •Лабораторная работа № 2. Командные интерпретаторы posix-совместимых операционных систем
- •1. Цели работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 3. Работа с файлами и каталогами в ос Unix
- •1. Цель работы
- •2. Теоретические сведения
- •Ino_t d_ino; /* номер индексного дескриптора */
- •Int closedir (dir *dirptr); /* dirptr - дескриптор каталога */
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 4. Структура системы управления вводом-выводом в ос Unix
- •1. Цели работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 5. Работа с процессами в ос Unix. Сигналы и каналы в Unix
- •1. Цель работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 6. Базовые технологии безопасности операционных систем
- •1. Цель работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 7. Парольная политика безопасности операционных систем
- •1. Цель работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 8. Оценка защищенности nt-системы: безопасность файловой системы, права доступа, квоты, связи и их настройка
- •1. Цель работы
- •2. Теоретические сведения Особенности файловой системы ntfs
- •3. Контроль доступа к файлам и каталогам
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 9. Оценка защищенности nt-системы: защита реестра
- •1. Цель работы
- •2. Теоретические сведения
- •I. Организация реестра
- •II. Дублирование подразделов в разных ветвях
- •III. Файлы system.Dat и user.Dat
- •IV. Роль реестра при загрузке ос
- •V. Функции api для работы с реестром
- •VI. Основные вредительские действия, связанные с изменением реестра
- •VII. Проблемы защиты реестра Windows
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 10. Методы и средства несанкционированного доступа к ресурсам ос
- •1. Цель работы
- •2. Теоретические сведения
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 11. Оценка защищенности nt-системы: политика безопасности в области паролей и аудита
- •1. Цель работы
- •2. Теоретические сведения
- •I. Пароли
- •II. Получение хэшей паролей
- •III. Системный аудит
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 12. Администрирование ос Windows с помощью средства автоматизации Microsoft PowerShell
- •1. Цель работы
- •2. Теоретические сведения
- •Первый запуск
- •Справка
- •Практика
- •Установка уровня политики ExecutionPolicy
- •Редактирование скриптов
- •Создание запланированных заданий
- •7. Библиографический список
- •Лабораторная работа № 13. Windows PowerShell: управление компьютером
- •1. Цель работы
- •2. Теоретические сведения Управление сеансами пользователей
- •Управление питанием
- •Сбор информации о системе
- •Получение данных об установленных приложениях и заплатках
- •Установка по
- •Обновление по
- •Удаление по
- •Просмотр списка служб
- •Практика
- •Настройка сервисов
- •Создание локальных процессов
- •Создание удаленных процессов
- •Завершение неотвечающих процессов
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
- •Лабораторная работа № 14. Windows PowerShell: работа с файлами, папками и реестром
- •1. Цель работы
- •2. Теоретические сведения Работа с файлами и папками
- •Практика
- •Создание дополнительных дисков
- •Поиск в реестре
- •Примеры
- •Удаленный реестр
- •Правка реестра
- •7. Библиографический список
- •Лабораторная работа № 15. Windows PowerShell: работа с системными журналами
- •1. Цель работы
- •2. Теоретические сведения
- •Поиск событий
- •Просмотр событий на локальном компьютере
- •Просмотр событий на удаленном компьютере
- •Фильтрация событий
- •Получение данных из файла
- •Экспорт данных
- •Работа с удаленными компьютерами
- •3. Оборудование
- •4. Задание на работу
- •5. Оформление отчета
- •6 Контрольные вопросы
- •7. Библиографический список
Фильтрация событий
Для осмысленного поиска по журналам мы можем использовать традиционный командлет Where-Object примером чему может послужить запрос на выборку из журнала Application событий имеющих уровень Error (Level = 2).
Get-WinEvent -logName Application -maxEvents 100 | Where-Object {$_.Level -eq 2} | Format-Table DisplayName, id, ProviderName -auto
Для удобства поиска можно использовать не одно а сразу несколько условий, это достигается благодаря использованию FilterHashTable, FilterXML или FilterXPath. Подобная фильтрация эффективнее использования командлета Where-Object, поскольку фильтры применяются во время извлечения объектов (вместо того чтобы сначала извлечь все объекты, а затем фильтровать их).
Для наглядной демонстрации можно привести методики получения события 4624, за последние сутки, тремя различными методами.
# используем FilterHashTable
$yesterday = (get-date) - (new-timespan -day 1)
get-winevent -FilterHashTable @{LogName=‘Security’; ID="4624"; StartTime=$yesterday} | ft TimeCreated, ID, Message
# Используем FilterXML
get-winevent -FilterXML "< QueryList >
< Query Id=’0′ Path=’Security’ >
< Select Path=’Security’ >*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
< / Query >
< / QueryList >"
# используем FilterXPath
Get-WinEvent -LogName Security -FilterXPath "* [ System [ (EventID=4624) and TimeCreated[timediff(@SystemTime) <= 86400000 ] ] ]"
Получение данных из файла
Данные можно получать и из сохраненных ранее файлов, для использования этой возможности необходимо только указать параметр -Path.
Get-WinEvent -Path ‘c:\ps-test\Test-Log.evtx’
Экспорт данных
В завершении остается только экспортировать полученные данные в файл. Например, в формат Csv:
Get-WinEvent -LogName Application -MaxEvents 100 | select ID,Message | Export-Csv c:\temp\Applog2.csv
Работа с удаленными компьютерами
Для работы с журналами на удаленных хостах используйте параметр -ComputerName и -Credential для указания необходимых учетных данных.
# Получаем список журналов имеющих записи.
Get-WinEvent -listlog * -ComputerName SRV01 | where {$_.recordcount}
# тоже самое только с указанием необходимых креденшелов
Get-WinEvent -listlog * -ComputerName SRV01 -Credential (Get-Credential)| where {$_.recordcount}
Для примера можно привести экспорт журналов с трех серверов. При этом надо отметить что речь идет о серверах под управлением Windows 2008 и старше. Для работы с Windows 2003 используйте командлет Get-EventLog
$list = "SRV01", "SRV02", "SRV03"
foreach ($server in $list) {
$server;
Get-WinEvent -ListLog "Windows PowerShell" -ComputerName $server | Export-Csv c:\temp\$server-log2.csv
}
3. Оборудование
Персональный компьютер с установленной операционной системой MS Windows 2000 SP4, XP SP2, Vista или 7.
4. Задание на работу
Используя Windows PowerShell, выполнить последовательность действий, описанных в теоретических положениях данной лабораторной работы:
1. Реализовать доступ и поиск событий в системных журналах.
2. Реализовать создание собственного журнала, добавление в него записей и удаление журнала.
3. Реализовать экспорт данных и очистку журнала.
4. Реализовать фильтрацию событий в системных журналах.