- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
Регистрация
Для регистрации событий в системе защиты используются как встроенные в Windows NT механизмы регистрации событий безопасности, так и параметры дополнительного аудита, реализованные в СЗИ Страж NT. Стандартные возможности Windows NT обеспечивают запись в журнал безопасности сведений о входе в систему, доступе к ресурсам и другой информации, связанной с безопасностью. СЗИ Страж NT обеспечивает регистрацию событий входа в систему, а также попыток запуска не разрешенных на выполнение исполняемых файлов в собственном журнале регистрации. Все события безопасности разделяются на следующие основные категории:
вход и выход;
доступ к файлам и объектам;
применение прав пользователей;
управление пользователями и группами;
изменение политики безопасности;
перезагрузка, выключение и системные события;
отслеживание процессов.
По умолчанию после установки Windows NT регистрация событий выключена, и журнал безопасности не ведется. Чтобы включить регистрацию событий безопасности, администратор должен установить соответствующие правила аудита. Не рекомендуется включать регистрацию применения прав пользователей, так как данная категория вызывает быстрое переполнение журнала безопасности, что связано с особенностями реализации механизмов разграничения доступа в СЗИ Страж NT.
СЗИ Страж NT обеспечивает регистрацию доступа к файлам и папкам для дисков с любой файловой системой. Для этого администратор безопасности должен включить аудит событий категории доступ к файлам и объектам.
Более подробную информацию о регистрации событий безопасности в Windows NT необходимо получить из дополнительной литературы.
В СЗИ Страж NT помимо стандартного аудита предусмотрен дополнительный аудит, имеющий два типа: аудит записи и аудит отказов. Первый регистрирует все успешные обращения к выделенным ресурсам на запись, а второй – все обращения, завершившиеся отказом. В СЗИ Страж NT реализована дополнительная регистрация запросов на доступ пользователей к ресурсам компьютера, в том числе и к устройствам ввода-вывода. Параметры дополнительного аудита могут устанавливаться на файлы, папки, а также на исполняемые модули, т.е. файлы для которых разрешен режим запуска.
При запросе на доступ к файлу или папке регистрация события безопасности происходит при выполнении любого из следующих условий:
на файле или папке установлен системный список контроля доступа, определяющий, какие события будут регистрироваться системой. Если на файле или папке не установлены атрибуты защиты, то проверяется наличие системного списка контроля доступа у родительской папки;
параметры дополнительного аудита текущего процесса, которые установлены на исполняемом файле, требуют регистрации события безопасности;
параметры дополнительного аудита, установленные на файле или папке, а в случае их отсутствия параметры дополнительного аудита родительской папки, требуют регистрации события безопасности;
файл или папка имеют гриф секретности секретно или совершенно секретно и при этом файл не является исполняемым, т.е. файлу не разрешен режим запуска.
Параметры дополнительного аудита могут устанавливаться только администратором безопасности и только при включенном режиме администрирования.
Просмотр, выборочное ознакомление, сохранение, очистка, а также настройка журнала безопасности осуществляется с помощью стандартных средств Windows NT.
СЗИ Страж NT дополнительно обеспечивает регистрацию событий входа в систему, а также попыток запуска не разрешенных на выполнение исполняемых файлов в собственном журнале регистрации. К событиям входа в систему относятся успешный вход в систему и несанкционированный вход в систему.
В случае успешного входа в систему в журнал регистрации записывается дата, время и имя пользователя, осуществляющего вход. В случае несанкционированного входа – дата, время и причина отказа в идентификации. Отказ идентификации может происходить по следующим причинам:
применение неправильного идентификатора (не записанного средствами СЗИ Страж NT);
трехкратный ввод неправильного пароля;
несовпадение ключа пользователя;
запрет входа на данный компьютер.
События входа в систему и попытки запуска запрещенного на выполнение файла помещаются в регистрационный журнал. Прочитать записи регистрационного журнала можно в режиме Журнал регистрации событий, предусмотренном в программе Управления СЗИ.