лекция№10 (1088440), страница 5
Текст из файла (страница 5)
3). События, связанные с выполнением задач.
В этой категории также существуют два основных события:
-создание нового процесса, номер - ID=592;
-завершение процесса - ID= 593.
Найдя пару событий 592 и 593, имеющих один и тот же номер процесса Process ID, можно определить общее время работы того или иного приложения. Поле имени исполняемого модуля Image File Name хранит имя файла, соответствующего приложению, но не записывает полный путь, и судить о точном размещении исполняемого файла нельзя. В поле имени пользователя User Name хранится информация о том, кто запустил приложение. Кроме того, по значению поля номера сеанса Logon ID пользователя можно отыскать соответствующее событие номер 528 и выяснить все подробности о сеансе, в котором запускалось приложение. С помощью поля номера запустившего приложение процесса Creator Process ID можно найти соответствующее событие номер 592, из которого выяснить, какая программа инициировала запуск нового процесса.
Инструменты для управления аудитом.
Управление аудитом осуществляется с помощью программы User Manager. Для управления политикой аудита выбирается раздел Policies -- Audit , после чего открывается окно настройки - Audit Policy. Для настройки параметров журнала безопасности используется раздел Log -- Log Settings.
Для просмотра локального журнала безопасности требуется открыть программу Event Viewer и вы рать в меню Log пункт Security. К сожалению, Event Viewer не способен фильтровать события по значениям их параметров, так что использовать номера Logon ID, Process ID и Handle ID весьма трудно. Однако можно применить функцию поиска по значению параметра и вручную составить необходимые цепочки событий. Можно также воспользоваться другими программами обработки журнала безопасности Windows NT, которые позволяют отфильтровывать события по различным критериям.
Для просмотра списка управления аудитом следует запустить Windows Explorer, открыть контекстное меню объекта и выбрать Properties. Затем - открыть вкладку Security и выбрать Auditing. Для просмотра списка управления аудитом, соответствующего разделу реестра, требуется запустить regedt32.exe, указать нужный раздел, а затем выбрать в меню Security, Permissions or Security, Auditing.
Механизм управление аудитом в Windows 2000 .
Панель управления
Администрирование
Локальная политика безопасности
Параметры безопасности
Политика аудита:
-доступа к объектам
-входа в систему
-доступа к службе каталогов -изменения политики
-использования привилегий
-отслеживания процессов
системных событий
-управления учетными записями
Просмотр событий
Журнал приложений
Журнал безопасности
Журнал системы
Журнализируемые характеристики:
-Тип (уведомление, предупреждение, ошибка...)
-дата, время
-источник
-категория
-событие (код)
-пользователь, компьютер.
Поддержание работоспособности и восстановление после сбоев.
В ПСБ ОС Windows NT/2000 присутствуют следующие средства обеспечения данной функции:
Средства корректного управления ресурсами ПК и взаимодействием программ:
-подсистемы ядра и системные сервисы ОС.
Средства устранения “зависаний” программ и других тупиковых ситуаций:
-менеджер задач (вызывается по Ctrl-Alt-Del и может в большинстве случаев закрыть “зависшую” программу или корректно завершить работу ОС).
Встроенные утилиты обнаружения и исправления ошибок:
-утилиты сканирование и дефрагментация дисков.
Средства восстановления ОС после фатального сбоя:
-”откат” к предыдущей успешной загрузке (Last Known Good);
-загрузка в безопасном режиме работы (Safe Mode);
-загрузка в консоли восстановления (Recovery Console).
Средства создания аварийного дампа памяти.
К числу наиболее вероятных причин, по которым Windows NT перестает загружаться, следует отнести работу драйверов устройств. Это может произойти или сразу после установки нового драйвера, или после того, как драйвер нормально отработал некоторое время. И в том, и в другом случае нормальная последовательность загрузки прерывается аварийным остановом системы.
Если такая ошибка обнаруживается вслед за установкой нового драйвера во время первой перезагрузки системы еще остается возможность "откатиться" к конфигурации Last Known Good, что приведет к восстановлению ключа реестра HKLM\SYSTEM\CurrentControlSet1 в состояние, предшествовавшее сбою, когда система загружалась без проблем.
Если конфигурация Last Known Good не помогает, можно загрузиться с помощью системной дискеты в DOS и просто удалить или переименовать файл подозрительного драйвера (если система располагается в разделе FAT). Если же система располагается в разделе NTFS, остается либо использовать утилиты восстановления производства независимых компаний или же рядом с вышедшей из строя версией NT установить новую, загрузиться в нее и обратиться к диску NTFS.
В Windows 2000, которая также весьма чувствительна к поведению драйверов устройств, заимствована концепция Safe Mode из Windows 9x, в которой загрузочная конфигурация системы состоит из минимального набора необходимых драйверов и служб. Полагаясь только на необходимые для загрузки драйверы и службы, Windows 2000 тем самым избегает активизации драйверов от независимых компаний и других драйверов, которые могли бы привести к ее "обвалу".
Во время загрузки Windows 2000 следует нажать F8 для входа в специальное меню, содержащее пункт Safe Mode, после чего выбрать один из режимов Safe Mode:
-стандартный (standard) - подключение в процессе загрузки минимального числа драйверов и служб;
-сетевой (networking-enabled) - к числу драйверов и служб стандартного режима добавляются новые для поддержания работы в сети;
-с командной строкой (safe mode with command prompt) - идентичен стандартному режиму, но среда работы пользователя реализуется с помощью cmd.exe, а не Windows Explorer;
-режим восстановления службы каталогов (DS Repair Mode) - используется при необходимости провести восстановление Active Directory (AD) на контроллере домена с архивной ленты.
Когда во время загрузки выбирается один из режимов Safe Mode, программа-загрузчик NT (NTLDR) передает в ядро системы (ntoskrnl.exe) соответствующий переключатель в виде параметра командной строки вместе с параметрами, заданными в файле boot.ini. При задании любого режима Safe Mode программа NTLDR передает в ядро переключатель /SAFEBOOT с параметрами конкретного режима.
Подсистема ядра I/O Manager начинает процесс загрузки драйверов на основании записей в реестре.
Компонент пользовательского режима SCM (services.exe) на этапе инициализации загружает только те службы, имена которых присутствуют в реестре в соответствующем выбранному типу Safe Mode ключе.
Как только начинает работать первый компонент пользовательского режима - Session Manager (smss.exe), запускается программа проверки целостности дисков chkdsk, а затем функция NtInitializeRegistry выполняет инициализацию системного реестра. Ядро создает в системном каталоге Windows 2000 (\winnt) файл ntbtlog.txt.
Режим Safe Mode не помогает:
-если "проблемный" драйвер принадлежит конфигурации Safe Mode;
-если драйвер относится к типу boot-start (драйверы этого типа грузятся независимо от того, выбран Safe Mode или нет);
-если системный модуль или файл драйвера, жизненно необходимые системе в конфигурации Safe Mode оказываются по какой-либо причине испорченными;
-если повреждена запись Master Boot Record (MBR) на системном диске.
Выйти из таких положений помогает новый инструмент Windows 2000 - Recovery Console (RC). При этом загрузка выполняется или с компакт-диска Windows 2000, или с загрузочных дискет, а не с проблемной установки на жестком диске. Среда - командная строка с ограниченным набором команд. При загрузке с компакт-диска, процесс вскоре доходит до экрана, на котором предоставляется выбор - либо восстановить существующую установку, либо произвести новую. При выборе режима восстановления, система предлагает вставить компакт-диск, после чего необходимо выбрать один из трех вариантов восстановления: стартовать RC, инициировать процесс Emergency Repair или же воспользоваться свойством Advanced System Recovery для восстановления данной установки с ленты.
RC предоставляет список установок NT, обнаруженных во время сканирования дисков. После того, как выбор сделан, следует ввести пароль администратора для регистрации в системе с административными полномочиями. После успешной регистрации пользователь попадает в окружение, напоминающее среду DOS. Набор доступных в этом режиме команд достаточно гибок для того, чтобы выполнить простые операции ввода/вывода; с его помощью можно подключать и отключать службы и драйверы, а также восстанавливать загрузочный сектор и MBR. Вместе с тем, в среде RC предоставляется доступ к ограниченному набору каталогов, а именно: корневому каталогу, системному каталогу той установки, в которую вы зарегистрировались, и каталогам на сменных носителях – компакт-дисках и 3,5-дюймовых дискетах. Это обеспечивает защиту информации, к которой администратор в обычных условиях может и не иметь доступа.
С компакт-диска должна быть загружена копия ядра Windows 2000, включая все необходимые для этого драйверы (NTFS или FAT, драйверы SCSI, видеодрайвер). Для систем x86 файл setuptxt.sif в каталоге i386 на компакт-диске Windows 2000 управляет процессом загрузки драйверов с компакт-диска. Этот файл содержит директивы, которые предписывают, какие файлы следует загрузить, и где именно на компакт-диске они находятся. Первой компонентой режима пользователя, запускаемой ядром, является Session Manager (smss.exe). Подкаталог \system32 содержит Setup Session Manager и именно эта компонента предоставляется через меню на этапе установки/восстановления Windows 2000, а затем предлагается выбрать тип восстановления.
RC реализована с помощью двух драйверов: spcmdcon.sys и setupdd.sys. Когда в меню выбирается работа с RC, Session Manager загружает и запускает эти драйверы. Setupdd.sys - это вспомогательный драйвер, который позволяет spcmdcon.sys пользоваться функциями для работы с дисковыми разделами, загружать реестр, а также работать с видеодрайвером. Setupdd.sys взаимодействует с драйверами диска для обслуживания разделов и использует базовые функции видео, встроенные в ядро Windows 2000 для вывода сообщений на экран.
2-й учебный вопрос Подсистема безопасности ОС LINUX - ? мин
Большинство Unix (и Linux не исключение) в основном используют односторонний алгоритм шифрования, называемый DES (стандарт шифрования данных /Data Encription Standard/), для шифрования ваших паролей. Эти зашифрованные пароли затем сохраняются (обычно) в файле /etc/passwd или (реже) в /etc/shadow. Когда вы пытаетесь зарегистрироваться, все, что вы набираете, снова шифруется и сравнивается с содержимым файла, в котором хранятся ваши пароли. Если они совпадают, должно быть это одинаковые пароли, и вам разрешают доступ. Хотя DES является двухсторонним (вы можете закодировать, а затем раскодировать сообщение, давая верный ключ), большинство Unix используют односторонний вариант. Это значит, что невозможно на основании содержания файла /etc/passwd (или /etc/shadow) провести расшифровку для получения паролей.
Система системного журналирования (syslog) является одной из самых восхитительных вещей в UNIX. В отличие от некоторых операционных систем, которые заставляют вас использовать лишь тот ограниченный диапазон журналов, которые они соизволят вам предоставить, UNIX позволяет вам регистрировать почти все что угодно с практически любым уровнем детализации. Так как стандартные системные средства журналирования предусмотрены для большинства средств системы UNIX, администратор может выбрать конфигурацию журналирования удовлетворяющую его требованиям. Моя сеть обычно имеет один журналирующий узел, который поддерживает журналирование не только для FreeBSD-узлов, но и для маршрутизаторов Cisco, коммутаторов и любых других систем поддерживающих syslog. Журналирующая система устроена достаточно просто. Программы шлют записи, предназначенные для журналирования к системному демону syslogd. Syslogd сравнивает каждую пришедшую запись с правилами, которые находятся в файле /etc/syslog.conf. Когда обнаруживается соответствие, syslogd обрабатывает запись описанным в syslog.conf способом. Файл /etc/syslog.conf состоит из двух столбцов. В первом указывается правило отбора записей для журнала. Во втором содержится описание действий, которые будут предприняты для обработки подошедшей записи. Большинство затруднений вызывает полное понимание того, как точно указать правило отбора журналируемых записей.
Источник журналируемых записей описывается указанием категории (facility) и уровня (level). Категория это или источник записей, или программа, которая шлет сообщения демону syslogd. Существуют следующие категории:
auth - Все что связано с авторизацией пользователей, вроде login и su. authpriv - Тоже самое что и auth, однако пишет журнал в файл, который могут читать лишь некоторые пользователи (очевидно, автор имел в виду тот факт, что сообщения, собираемые в этой категории, могут содержать открытые пароли пользователей, которые не должны попадать на глаза посторонним людям, и, следовательно, файлы журналов должны иметь соответствующие права доступа).
-console - Сообщения, обычно печатаемые на системной консоли, могут быть записаны в журнал при помощи этой категории.
-cron - Сообщения от системного планировщика.
-daemon - Ловушка для сообщений от всех остальных системных демонов, которые не имеют явно описанных категорий.
-ftp - При помощи этой категории вы сможете сконфигурировать ваш FTP сервер, что бы он записывал свои действия. Смотрите /etc/inetd.conf.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
