/
Author: Шаргина Н.И.
Tags: операционные системы базы данных лабораторные работы компьютерные технологии операционная система windows
Year: 2025
Similar
Text
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯРОССИЙСКОЙ
ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждениевысшего
образования
«Омский государственный технический университет»
Радиотехнический факультет
Кафедра «Комплексная защита информации»
ОТЧЕТ
по лабораторной работе №3
по дисциплине «Следообразования в операционных системах и базах данных»
по теме «Анализ журналов событий Windows»»
Выполнили:
студенты гр. БИТ-221
Шаргина Н. И.
Усин А. С.
Проверил:
Доц., к.н. Самотуга А.Е
Омск 2025
Подготовить стенд с ОС Win7 или 10
Пользователи
Пользователи (локальные) user-фамилиястудента1, user-фамилиястудента2
Администраторы adm-фамилиястудента1, adm-фамилиястудента2
Рисунок 1. Учетные записи
Особенности настройки:
– X:\docs\file1.txt (разграничение доступа: user-shimunova — доступ разрешен;
user-kovalenko — доступ запрещен)
– \\IP\share\file1.txt (разграничение доступа: всем пользователям ОС доступ
разрешен) —
Рисунок 2. Разрешение доступа для user_Usin
Рисунок 3. Запрет доступа для user_Shargina
Рисунок 4. Разрешение доступа всем пользователям ОС
сетевая директория – Разрешим подключения по RDP-протоколу (с любой
версией удаленного рабочего стола)
Рисунок 5. Настройка удаленного рабочего стола
–
Отключим МСЭ (брандмауэр)
Рисунок 6. Отключение МСЭ
2. Выполнить настройку политики аудита
–
Аудит входа в систему
–
Аудит доступа к объектам
–
Аудит изменения гр. политик
–
Аудит изменения привилегий
–
Аудит управления учетными записями
–
Аудит доступа к службе каталогов
Рисунок 7. Настройка политики аудита
– Согласно Рекомендациям MS по политике аудита Win и настройке
расширенного аудита
Рисунок 8. Настройка расширенного аудита
Рисунок 9. Настройка расширенного аудита
Рисунок 10. Настройка расширенного аудита
Рисунок 11. Настройка расширенного аудита
Рисунок 12. Настройка расширенного аудита
Рисунок 13. Настройка расширенного аудита
–
Объем
журналов аудита
не
менее20
Мб, затирать
мере необходимости
(журнал безопасности только после ознакомления Админа ИБ)
Рисунок 14. Настройка журналов аудита
по
3. Выполнить набор действий в ОС:
– Подбор пароля к учеткам пользователей
Рисунок 15. Подбор пароля к учетным профилям пользователей
– Управление учетками пользователей (создание, удаление, изменение), смена
пароля для учетки - успешный и неуспешный
Рисунок 16. Создание учетной записи
Рисунок 17. Удаление учетной записи
Рисунок 18. Изменение учетной записи
Рисунок 19. Успешное изменение пароля
Рисунок 20. Неуспешное изменение пароля
– Изменение гр политик - успешный и неуспешный
Рисунок 21. Успешное изменение групповой политики
Рисунок 22. Неуспешное изменение групповой политики
–Изменение
полномочий
- успешный и неуспешный
в
системе
(изм групп пользователя)
Рисунок 23. Успешное изменение полномочий
Рисунок 24. Неуспешное изменение полномочий
– Доступ по RDP — успешный и неуспешный
Не удалось с учетной страницы администратора подключиться к удаленному
столу Пользователя, из-за проблем с не завершенным сеансом или из-за того, что это
выполняется на одной локальной машине
Рисунок 25. Настройка количества подключений
Рисунок 26. Не успешная «успешная» попытка подключения
Такая
ошибка
не
происходила,
при
подключении
ограниченными правами:
Рисунок 27. Неуспешная попытка подключения по RDP
пользователя
с
–Доступ к директориям(локальной,сетевой) – успешный и неуспешный
Рисунок 28. Успешный доступ к локальной директории
Рисунок 29. Успешный доступ к сетевой директории
Рисунок 30. Неуспешный доступ к локальной директории
Рисунок 31. Неуспешный доступ к сетевой директории
– Запуск программ (имитация несанкционированного запуска)
Рисунок 32. Диспетчер устройств
Рисунок 33. Редактор локальных пользователей и групп
– Попытки раскрытия учетных данных
Рисунок 34. Подбор пароля
Рисунок 35. Блокирование учетной записи
–
Доступ к ресурсам путем изменения разрешений на файлы
Рисунок 36. Неуспешное изменение разрешений на файл
Индивидуальная часть
– Изменение системного времени
Рисунок 37. Успешное изменение времени
Рисунок 38. Неуспешное изменение времени
– Включение и отключение брандмауэра
Рисунок 39. Успешное включение и отключение брандмауэра
Рисунок 40. Неуспешное изменение параметров брандмауэра
Рисунок 41. При изменении настроек параметры не сохраняются
4. Исследовать журналы событий с помощью следующий средств, найти
всеми тремя способами следы ваших действий в журналах, привести
скрины
– Подбор пароля к учеткам пользователей
Событие 4625 генерируется при неудачной попытке входа в систему Windows.
а) командная строка / powershell
Команда для powershell, которая извлекает записи событий из журналов
Windows и фильтрует с идентификатором 4625
Get-WinEvent -FilterHashtable @{LogName=”Security”; id=4625}
Рисунок 42. Записи неудачного входа в систему
Рисунок 43. Команда вывода записей
Рисунок 44. Неудачный вход учетной записи adm_Shargina
Рисунок 45. Неудачный вход учетной записи adm_Usin
Рисунок 46. Неудачный вход учетной записи user_Shargina
Рисунок 47. Неудачный вход учетной записи user_Usin
б) Windows Event Viewer eventvwr.msc
Рисунок 48. Неудачный вход учетной записи adm_Shargina
Рисунок 49. Неудачный вход учетной записи adm_Usin
Рисунок 50. Неудачный вход учетной записи user_Shargina
Рисунок 51. Неудачный вход учетной записи user_Usin
в) log parser
Рисунок 52. Неудачный вход учетной записи adm_Shargina
Рисунок 53. Неудачный вход учетной записи adm_Usin
Рисунок 54. Неудачный вход учетной записи user_Shargina
Рисунок 55. Неудачный вход учетной записи user_Usin
– Управление учетками пользователей (создание, удаление, изменение), смена
пароля для учетки - успешный и неуспешный
Event ID 4720 — событие журнала безопасности Windows, которое
генерируется при успешном создании учётной записи в системе Windows.
а) командная строка / powershell
Рисунок 56. Запись успешного создания учетных записей
Рисунок 56. Успешное создание учетной записи user_Usin
Рисунок 57. Успешное создание учетной записи user_Shargina
Рисунок 58. Успешное создание учетной записи adm_Shargina
Рисунок 59. Успешное создание учетной записи adm_Usin
б) Windows Event Viewer eventvwr.msc
Рисунок 60. Успешное создание учетной записи user_Usin
Рисунок 61. Успешное создание учетной записи user_Shargina
Рисунок 62. Успешное создание учетной записи adm_Shargina
Рисунок 63. Успешное создание учетной записи adm_Usin
в) log parser
Рисунок 64. Успешное создание учетной записи user_Usin
Рисунок 65. Успешное создание учетной записи user_Shargina
Рисунок 66. Успешное создание учетной записи adm_Shargina
Рисунок 67. Успешное создание учетной записи adm_Usin
Event ID 4726 в журнале безопасности Windows означает, что была удалена
учётная запись пользователя.
а) командная строка / powershell
Рисунок 68. Запись удаления учетной записи
Рисунок 69. Запись удаления учетной записи adm_Usin
б) Windows Event Viewer eventvwr.msc
Рисунок 70. Запись удаления учетной записи adm_Usin
в) log parser
Рисунок 70. Запись удаления учетной записи adm_Usin
Event ID 4738 в журнале событий безопасности Windows означает, что
произошли изменения в учётной записи пользователя. К таким изменениям могут
относиться, например, изменение имени, описания, пароля, принадлежности к группе
и других атрибутов.
а) командная строка / powershell
Рисунок 71. Записи изменения учетных записей
Рисунок 72. Вывод записей изменения учетных записей
Рисунок 73. Изменение имени учетной записи adm_Shargina
Рисунок 74. Изменение пароля учетной записи user_Usin
б) Windows Event Viewer eventvwr.msc
Рисунок 75. Изменение имени учетной записи adm_Shargina
Рисунок 76. Изменение пароля учетной записи user_Usin
в) log parser
Рисунок 77. Изменение имени учетной записи adm_Shargina
Рисунок 76. Изменение пароля учетной записи user_Usin
Event ID 4724 означает «Была предпринята попытка сбросить пароль учётной
записи». Это событие генерируется, когда учётная запись пытается сбросить пароль
для другой учётной записи.
а) командная строка / powershell
Рисунок 78. Записи изменения пароля учетных записей
Все эти события, представленные на Рисунке 78, связаны с изменением паролей
при создании учетной записи или только при успешном изменении пароля.
С помощью eventvwr.msc мы заметили, что при попытке изменить пароль,
учетная запись выполняет вход на изменяемую учетную запись и на учетные записи,
которые находятся в группе «Администраторы» (ID = 4625), и так же происходит
запись вызова привилегированный службы с аудитом отказа (ID = 4673).
Рисунок 79. Вывод записей с ID=4625
Рисунок 80. Вход на учетную запись user_Shargina
Рисунок 81. Вход на учетную запись adm_Shargina
Рисунок 82. Вход на учетную запись Admin
Рисунок 83. Вывод записей с ID=4673
Рисунок 84. Вызов привилегированный службы
б) Windows Event Viewer eventvwr.msc
Рисунок 85. Вызов привилегированный службы
Рисунок 86. Вход на учетные записи
в) log parser
Рисунок 87. Запрос на вывод записей с ID=4673
Рисунок 88. Вызов привилегированный службы
Рисунок 89. Запрос на вывод записей с ID=4625
Рисунок 90. Вход на учетную запись Admin
Рисунок 91. Вход на учетную запись adm_Shargina
Рисунок 92. Вход на учетную запись user_Shargina
– Изменение гр политик - успешный и неуспешный
- Event ID 4739 — Изменение атрибутов объекта группы безопасности (Securityenabled local group). Этот ID фиксирует изменение параметров групп, которые могут
быть связаны с групповыми политиками.
а) командная строка / powershell
Рисунок 93. Записи изменения атрибутов объекта группы безопасности
Рисунок 94. Вывод записей с ID=4739
Рисунок 95. Запись успешного изменения порогового значения блокировки
б) Windows Event Viewer eventvwr.msc
Рисунок 96. Запись успешного изменения порогового значения блокировки
в) log parser
Рисунок 97. Запрос на вывод записей с ID=4739
Рисунок 98. Запись успешного изменения порогового значения блокировки
Event ID 4656 в Windows Security Audit — это событие, которое фиксирует
запрос дескриптора объекта (событие регистрируется, когда процесс или
пользователь пытается получить доступ к какому-либо объекту в системе (файлу,
папке, ключу реестра, процессу и т.д.), и запрашивает дескриптор этого объекта.)
а) командная строка / powershell
Рисунок 99. Вывод записей с ID=4656
Рисунок 100. Отказ к доступу изменения групповой политики
б) Windows Event Viewer eventvwr.msc
Рисунок 101. Отказ к доступу изменения групповой политики
в) log parser
Рисунок 102. Запрос вывода записей с ID=4656
Рисунок 103. Отказ к доступу изменения групповой политики
– Изменение полномочий в системе (изм групп пользователя) - успешный и
неуспешный
Event ID 4732 указывает на добавление пользователя (доменного или
локального) в локальную группу с поддержкой безопасности.
а) командная строка / powershell
Рисунок 104. Добавление пользователя в группу «Администраторы»
Рисунок 104. Добавление пользователя в группу «Администраторы»
Названия учетной записи по неизвестным причинам не написано, но с помощью
представленного SID это возможно узнать:
Рисунок 105. Учетная запись
б) Windows Event Viewer eventvwr.msc
Рисунок 106. Добавление пользователя в группу «Администраторы»
в) log parser
Рисунок 107. Вывод записей с ID=4732
Рисунок 108. Добавление пользователя в группу «Администраторы»
а) командная строка / powershell
Рисунок 109. Отказ в изменении групп пользователей
Рисунок 110. Отказ в изменении групп пользователей
б) Windows Event Viewer eventvwr.msc
Рисунок 111. Отказ в изменении групп пользователей
в) log parser
Рисунок 112. Запрос на вывод записей с ID=4656
Рисунок 113. Отказ в изменении групп пользователей
– Доступ по RDP — успешный и неуспешный
Для неуспешных входов по RDP обычно фиксируются события с Event ID 4625
(неудачная попытка входа). В событиях 4625 смотрят поле Logon Type: 10 —
удалённый интерактивный вход (RDP)
а) командная строка / powershell
Рисунок 144. Записи неудачной аутификации пользователя
Рисунок 115. Запрос на вывод записей с ID=4625
Рисунок 116. Неудачный вход
б) Windows Event Viewer eventvwr.msc
Рисунок 117. Неудачный вход
в) log parser
Рисунок 118. Запрос на вывод записей с ID=4625
Рисунок 118. Неудачный вход
– Доступ к директориям (локальной, сетевой) - успешный и неуспешный
а) командная строка / powershell
Рисунок 119. Записи попыток открытия объектов
Рисунок 120. Вывод записей с ID=4656
Рисунок 121. Отказ в доступе к локульному файлу
б) Windows Event Viewer eventvwr.msc
Рисунок 122. Отказ доступа к локульному файлу
в) log parser
Рисунок 123. Вывод записей с ID=4656
Рисунок 124. Отказ в доступе к локульному файлу
Event ID 4663 записывается, когда пользователь или процесс пытается
прочитать, изменить, удалить или выполнить другой тип доступа к защищаемому
объекту.
а) командная строка / powershell
Рисунок 125. Записи попыток открыть/прочитать/изменить объект
Рисунок 126. Вывод записей с ID=4663
Рисунок 127. Успешный доступ к локульному файлу
б) Windows Event Viewer eventvwr.msc
Рисунок 128. Успешный доступ к локальному файлу
в) log parser
Рисунок 129. Вывод записей с ID=4663
Рисунок 130. Успешный доступ к локульному файлу
Event ID 5145 – Это событие в журнале безопасности Windows, которое
регистрируется при попытке доступа к сетевому ресурсу (сетевой папке, файлу по
UNC-пути) через протокол SMB (Server Message Block).
а) командная строка / powershell
Рисунок 131. События попыток доступа к сетевому файлу
Рисунок 132. Вывод событий с ID=5145
Рисунок 133. Успешный доступ к сетевому файлу
При неудачном открытии файла через сеть, пользователь, у которого не было
прав, вообще не видел этот документ, поэтому зарегистрован только событие с
неполным путем к файлу
Рисунок 134. Неуспешный доступ к файлу через сеть
б) Windows Event Viewer eventvwr.msc
Рисунок 135. Успешный доступ к файлу через сеть
Рисунок 136. Отказ в доступе к файлу через сеть
в) log parser
Рисунок 137. Вывод событий с ID=5145
Рисунок 138. Успешный доступ к файлу через сеть
Рисунок 139. Отказ в доступе к файлу через сеть
– Попытки раскрытия учетных данных (не менее 2-х событий
по слайду из лекции)
Event ID 4625 – событие в журнале безопасности Windows, которое
записывается при неудачной попытке входа (логина) в систему.
а) командная строка / powershell
Рисунок 140. Попытки подбора пароля
Попытки подбора пароля проходили к аккаунту adm_Shargina
Рисунок 141. Вывод событий с ID=4625
Рисунок 142. Подбор пароля
б) Windows Event Viewer eventvwr.msc
Рисунок 143. Подбор пароля
в) log parser
Рисунок 144. Запрос событий с ID=4625
Рисунок 145. Подбор пароля
Event ID 4740 в Windows — это сообщение о том, что учетная запись
пользователя была заблокирована.
а) командная строка / powershell
Рисунок 140. События блокирования пользователей
Рисунок 141. Блокирование пользователя user_Shargina
б) Windows Event Viewer eventvwr.msc
Рисунок 143. Блокирование пользователя user_Shargina
в) log parser
Рисунок 144. Вывод событий с ID=4740
Рисунок 145. Блокирование пользователя user_Shargina
– Запуск программ (имитация несанкционированного запуска)
а) командная строка / powershell
Рисунок 146. Вывод событий с ID=4656
Рисунок 147. Отказ в запуске Диспетчер устройств
б) Windows Event Viewer eventvwr.msc
Рисунок 148. Отказ в запуске Диспетчер устройств
в) log parser
Рисунок 149. Вывод событий с ID=4656
Рисунок 150. Отказ в запуске Диспетчер устройств
а) командная строка / powershell
Рисунок 151. Вывод событий с ID=4656
Рисунок 152. Отказ в изменении групповой политики
б) Windows Event Viewer eventvwr.msc
Рисунок 153. Отказ в изменении групповой политики
в) log parser
Рисунок 154. Отказ в изменении групповой политики
– Доступ к ресурсам путем изменения разрешений на файлы
Процесс C:\Windows\System32\lsass.exe — это системный процесс Windows, который отвечает за
управление политиками безопасности и аутентификацией пользователей.
а) командная строка / powershell
Рисунок 155. Вывод событий с ID=4673
Рисунок 156. Отказ в изменении разрешений на файл
б) Windows Event Viewer eventvwr.msc
Рисунок 157. Отказ в изменении разрешений на файл
в) log parser
Рисунок 158. Вывод событий с ID=4673
Рисунок 159. Отказ в изменении разрешений на файл
Индивидуальная часть
– Изменение системного времени
а) командная строка / powershell
Event ID 4616 означает «Системное время было изменено»
C:\Windows\System32\rundll32.exe — это стандартный компонент Windows,
который отвечает за выполнение функций, содержащихся в динамических
библиотеках (DLL). Часто используется для выполнения системных операций, таких
как изменения в настройках звука, экрана, времени и т.д.
Рисунок 160. Вывод событий с ID=4616
Рисунок 161. Успешное изменение системного времени
б) Windows Event Viewer eventvwr.msc
Рисунок 162. Успешное изменение системного времени
в) log parser
Рисунок 163. Вывод событий с ID=4616
Рисунок 164. Успешное изменение системного времени
а) командная строка / powershell
Рисунок 165. Вывод событий с ID=4673
Рисунок 166. Отказ в изменении системного времени
б) Windows Event Viewer eventvwr.msc
Рисунок 167. Отказ в изменении системного времени
в) log parser
Рисунок 168. Вывод событий с ID=4673
Рисунок 169. Отказ в изменении системного времени
– Включение и отключение брандмауэра
а) командная строка / powershell
C:\Windows\System32\mmc.exe — это Microsoft Management Console, которая
служит платформой для управления различными компонентами Windows и
функциями управления системами.
Рисунок 170. Вывод событий с ID=4673
Рисунок 171. Успешное включение Брандмауэра
б) Windows Event Viewer eventvwr.msc
Рисунок 172. Успешное включение Брандмауэра
в) log parser
Рисунок 173. Успешное включение Брандмауэра
а) командная строка / powershell
Рисунок 174. Отказ в включении Брандмауэра
б) Windows Event Viewer eventvwr.msc
Рисунок 175. Отказ в включении Брандмауэра
в) log parser
Рисунок 176. Отказ в включении Брандмауэра
Вывод
В ходе выполнения лабораторной работы исследованы журналы событий,
проведены различные манипуляции на учетных записях пользователей и найдены
всеми тремя способами следы действий в журналах.