Parus16.ru

ΠŸΠ°Ρ€ΡƒΡ β„–16
3 просмотров
Π Π΅ΠΉΡ‚ΠΈΠ½Π³ ΡΡ‚Π°Ρ‚ΡŒΠΈ
1 Π·Π²Π΅Π·Π΄Π°2 Π·Π²Π΅Π·Π΄Ρ‹3 Π·Π²Π΅Π·Π΄Ρ‹4 Π·Π²Π΅Π·Π΄Ρ‹5 Π·Π²Π΅Π·Π΄
Π—Π°Π³Ρ€ΡƒΠ·ΠΊΠ°...

Аудит ΠΎΡ‚ΠΊΠ°Π·Π° Π²Ρ…ΠΎΠ΄Π° Π² систСму

Аудит ΠΎΡ‚ΠΊΠ°Π·Π° Π²Ρ…ΠΎΠ΄Π° Π² систСму

Если Π²Ρ‹ считаСтС, Ρ‡Ρ‚ΠΎ Π½Π° систСму ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ Π°Ρ‚Π°ΠΊΠΈ с Ρ†Π΅Π»ΡŒΡŽ выявлСния ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΈΠ»ΠΈ Π²Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Ρ€Π΅ΡˆΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ подлинности, ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Π°ΡƒΠ΄ΠΈΡ‚Π° Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ бСзопасности создавались записи ΠΎ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… дСйствиях.

ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π°

Π‘Π»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ располоТСны Π² ΡƒΠ·Π»Π΅ ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° (Computer Configuration)ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ Windows (Windows Settings)ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности (Security Settings)Π›ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ (Local Policies)ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π° (Audit Policy) Π² Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΎΡ€Π΅ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² Π³Ρ€ΡƒΠΏΠΏΠΎΠ²ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ [ΠΈΠ»ΠΈ Π² оснасткС Π›ΠΎΠΊΠ°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° бСзопасности (Local Security Policy)]. Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… ΠΈΠ»ΠΈ Π½Π΅ΡƒΠ΄Π°Ρ‡Π½Ρ‹Ρ… событий.

  • Аудит событий Π²Ρ…ΠΎΠ΄Π° Π² систСму (AuditAccountLogonEvents). Π­Ρ‚Π° ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ Π°ΡƒΠ΄ΠΈΡ‚ всСх Π²Ρ…ΠΎΠ΄ΠΎΠ² Π² систСму ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ трСбуСтся ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° подлинности Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π°. Для ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€ΠΎΠ² Π΄ΠΎΠΌΠ΅Π½Π° эта ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π° Π² ΠžΠ“ΠŸ Default Domain Controllers . Π’ΠΎ-ΠΏΠ΅Ρ€Π²Ρ‹Ρ…, ΠΎΠ½Π° создаСт запись Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ бСзопасности Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ Ρ€Π°Π·, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΈΠ½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ ΠΈΠ»ΠΈ ΠΏΠΎ сСти Π²Ρ…ΠΎΠ΄ΠΈΡ‚ Π² систСму ΠΏΠΎΠ΄ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠΉ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью. Π’ΠΎ-Π²Ρ‚ΠΎΡ€Ρ‹Ρ…, ΠΏΠΎΠΌΠ½ΠΈΡ‚Π΅, Ρ‡Ρ‚ΠΎ для всСстороннСй ΠΎΡ†Π΅Π½ΠΊΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π° Π²Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ бСзопасности Π½Π° всСх ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π°Ρ… Π΄ΠΎΠΌΠ΅Π½Π°, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° подлинности ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ распрСдСлСна ΠΏΠΎ всСм ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π°ΠΌ Π² сайтС ΠΈΠ»ΠΈ Π΄ΠΎΠΌΠ΅Π½Π΅.
  • Аудит управлСния ΡƒΡ‡Π΅Ρ‚Π½Ρ‹ΠΌΠΈ записями (AuditAccountManagement). Π’ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π°ΡƒΠ΄ΠΈΡ‚ Ρ‚Π°ΠΊΠΈΡ… дСйствий, ΠΊΠ°ΠΊ созданиС, ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ ΠΈ модификация ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, Π³Ρ€ΡƒΠΏΠΏ ΠΈΠ»ΠΈ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠ². Когда Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π° эта ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°, события смСны пароля Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‚ΡΡ.
  • Аудит Π²Ρ…ΠΎΠ΄Π°Π² систСму(AuditLogonEvents). Бобытия Π²Ρ…ΠΎΠ΄Π° β€” это Π²Ρ…ΠΎΠ΄ ΠΈ Π²Ρ‹Ρ…ΠΎΠ΄ ΠΈΠ· систСмы (ΠΈΠ½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ ΠΈΠ»ΠΈ ΠΏΠΎ сСтСвому ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡŽ). Если Π²Ρ‹ Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Аудит событий Π²Ρ…ΠΎΠ΄Π° Π² систСму (Audit Account Logon Events) для рСгистрации Π²Ρ…ΠΎΠ΄Π°, ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ выполняСмого Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π°, Π²Ρ…ΠΎΠ΄ Π½Π° Ρ€Π°Π±ΠΎΡ‡ΠΈΠ΅ станции Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ события Π°ΡƒΠ΄ΠΈΡ‚Π°. Бобытия Π²Ρ…ΠΎΠ΄Π° Π² систСму Π±ΡƒΠ΄ΡƒΡ‚ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΈΠ½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹ΠΌΠΈ ΠΈΠ»ΠΈ сСтСвыми Π²Ρ…ΠΎΠ΄Π°ΠΌΠΈ Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€ Π΄ΠΎΠΌΠ΅Π½Π°. Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠ΅ Π²Ρ…ΠΎΠ΄Π° ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи (account logon event) гСнСрируСтся Π½Π° Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ… для Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй, Π° Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π° β€” для сСтСвых ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй. Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠ΅ Π²Ρ…ΠΎΠ΄Π° Π² систСму (logon event) гСнСрируСтся, Π³Π΄Π΅ Π±Ρ‹ Π½ΠΈ осущСствлялся Π²Ρ…ΠΎΠ΄ Π² систСму.

Π‘ΠΎΠ²Π΅Ρ‚ Π’Π°ΠΆΠ½ΠΎ ΠΎΡ‚Π»ΠΈΡ‡Π°Ρ‚ΡŒ Π²Ρ…ΠΎΠ΄ Π² систСму ΠΏΠΎΠ΄ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью ΠΈ ΠΎΠ±Ρ‰ΠΈΠΉ Π²Ρ…ΠΎΠ΄. Когда ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π²Ρ…ΠΎΠ΄ΠΈΡ‚ Π½Π° Ρ€Π°Π±ΠΎΡ‡ΡƒΡŽ ΡΡ‚Π°Π½Ρ†ΠΈΡŽ ΠΏΠΎΠ΄ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠΉ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью, эта станция рСгистрируСт событиС Π²Ρ…ΠΎΠ΄Π° (logon event), Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€ Π΄ΠΎΠΌΠ΅Π½Π° β€” событиС Π²Ρ…ΠΎΠ΄Π° ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи (account logon event). Когда ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΊ ΠΎΠ±Ρ‰Π΅ΠΉ ΠΏΠ°ΠΏΠΊΠ΅ Π½Π° сСтСвом сСрвСрС, Ρ‚ΠΎΡ‚ рСгистрируСт событиС Π²Ρ…ΠΎΠ΄Π°, Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€ Π΄ΠΎΠΌΠ΅Π½Π° β€” событиС Π²Ρ…ΠΎΠ΄Π° ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи.

Π–ΡƒΡ€Π½Π°Π» событий бСзопасности

ПослС Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ Π²Ρ‹ настроили Π°ΡƒΠ΄ΠΈΡ‚, ΠΆΡƒΡ€Π½Π°Π»Ρ‹ бСзопасности Π½Π°Ρ‡ΠΈΠ½Π°ΡŽΡ‚ Π·Π°ΠΏΠΎΠ»Π½ΡΡ‚ΡŒΡΡ сообщСниями ΠΎ событиях. БообщСния ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ, Π²Ρ‹Π±Ρ€Π°Π² Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ (Security) Π² оснасткС ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€ событий (Event Viewer) ΠΈ Π΄Π²Π°ΠΆΠ΄Ρ‹ Ρ‰Π΅Π»ΠΊΠ½ΡƒΠ² Π½ΡƒΠΆΠ½ΠΎΠ΅ событиС.

Лабораторная Ρ€Π°Π±ΠΎΡ‚Π° β„–5 Аудит бСзопасности

ЦСль Ρ€Π°Π±ΠΎΡ‚Ρ‹: Π½Π°ΡƒΡ‡ΠΈΡ‚ΡŒ студСнтов ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ настройку Π°ΡƒΠ΄ΠΈΡ‚Π° событий бСзопасности ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ бСзопасности для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ защищСнности систСмы.

ВСорСтичСскоС Π²Π²Π΅Π΄Π΅Π½ΠΈΠ΅

Аудит — это процСсс, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠΉ Ρ„ΠΈΠΊΡΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ события, происходящиС Π² систСмС ΠΈ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΠ΅ ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡ ΠΊ бСзопасности. Аудит сопровоТдаСтся записью ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Ρ… событиях Π² ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ бСзопасности, ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Π΅ администратором. Π–ΡƒΡ€Π½Π°Π»Ρ‹ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΈ использованиС Ρ‚Π΅Ρ… рСсурсов, для ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… администратор Π½Π°Π·Π½Π°Ρ‡ΠΈΠ» ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π°ΡƒΠ΄ΠΈΡ‚Π°.

Аудит ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½, ΠΈ для Π΅Π³ΠΎ настройки ΠΈ ввСдСния Π² дСйствиС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ сначала Π°ΠΊΡ‚ΠΈΠ²ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ Ρ‡Π΅Ρ€Π΅Π· настройки, ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΎΠΉ бСзопасности Π΄ΠΎΠΌΠ΅Π½Π° (Групповая ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°) ΠΈΠ»ΠΈ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° (Π›ΠΎΠΊΠ°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° бСзопасности).

Π—Π°Ρ‚Π΅ΠΌ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ настройку Π²Ρ‹Π±Ρ€Π°Π½Π½ΠΎΠ³ΠΎ Ρ‚ΠΈΠΏΠ° Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΏΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ систСмы ΠΈ Π΅Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ.

Указания ΠΊ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡŽ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Ρ‹

Π§Ρ‚ΠΎΠ±Ρ‹ Π°ΠΊΡ‚ΠΈΠ²ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ Π½Π° локальном ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅ ΠΈΠ»ΠΈ Π² ΠΌΠ°ΡΡˆΡ‚Π°Π±Π°Ρ… Π΄ΠΎΠΌΠ΅Π½Π°, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ дСйствия.

Для локального ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° Π½Π° ПанСли управлСния Π² Ρ€Π°Π·Π΄Π΅Π»Π΅ АдминистрированиС Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ Π›ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности ΠΈΠ»ΠΈ Π² качСствС Π°Π»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Ρ‹ запуститС Π² строкС Π’Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡƒ secpol.msc.

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠ΅ΠΉΡΡ оснасткС (рисунок 5.1) Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΏΡƒΠ½ΠΊΡ‚ Π›ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈ раскройтС ΠΏΡƒΠ½ΠΊΡ‚ ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π°. Π’ ΠΏΡ€Π°Π²ΠΎΠΉ части ΠΎΠΊΠ½Π° появится список Ρ‚ΠΈΠΏΠΎΠ² дСйствий Π°ΡƒΠ΄ΠΈΡ‚Π°. ΠŸΠΎΠ½Π°Ρ‡Π°Π»Ρƒ Π½ΠΈ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Π²ΠΈΠ΄ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π° Π½Π΅ проводится ΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π°ΠΊΡ‚ΠΈΠ²ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚.

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊ ΠΆΠ΅:
МоТно Π»ΠΈ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Ρ„Π°ΠΌΠΈΠ»ΠΈΡŽ Π² ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π΅

Π”Π²Π°ΠΆΠ΄Ρ‹ Ρ‰Π΅Π»ΠΊΠ½ΠΈΡ‚Π΅ Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π°ΠΊΡ‚ΠΈΠ²ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ ΠΈ Π·Π°Ρ‚Π΅ΠΌ установитС Ρ„Π»Π°ΠΆΠΊΠΈ УспСх ΠΈ (ΠΈΠ»ΠΈ) ΠžΡ‚ΠΊΠ°Π·.

АналогичныС дСйствия ΠΏΡ€ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ Π΄ΠΎΠΌΠ΅Π½ΠΎΠΌ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ΡΡ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ оснастки Групповая ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° бСзопасности Π² Ρ€Π°Π·Π΄Π΅Π»Π΅ АдминистрированиС ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π° Π΄ΠΎΠΌΠ΅Π½Π°.

Рисунок 5.1 Π’Ρ‹Π±ΠΎΡ€ оснастки Π›ΠΎΠΊΠ°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° бСзопасности

Рисунок 5.2 Установка событий для Π°ΡƒΠ΄ΠΈΡ‚Π°

ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ события, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π½ΡƒΡ‚Ρ‹ Π°ΡƒΠ΄ΠΈΡ‚Ρƒ, ΠΎΠΏΠΈΡΡ‹Π²Π°ΡŽΡ‚ΡΡ Π² Ρ‚Π°Π±Π»ΠΈΡ†Π΅.

Аудит событий Π²Ρ…ΠΎΠ΄Π° ΠΏΠΎ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚ Π² ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π°, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ выполняСт Π²Ρ…ΠΎΠ΄ ΠΈΠ»ΠΈ Π²Ρ‹Ρ…ΠΎΠ΄ Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅, входящСм Π² Π΄ΠΎΠΌΠ΅Π½

Аудит управлСния ΡƒΡ‡Π΅Ρ‚Π½Ρ‹ΠΌΠΈ записями

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚ ΠΏΡ€ΠΈ создании, ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΈ ΠΈΠ»ΠΈ ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠΈ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи ΠΈΠ»ΠΈ Π³Ρ€ΡƒΠΏΠΏΡ‹, ΠΏΠ΅Ρ€Π΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½ΠΈΠΈ, Π°ΠΊΡ‚ΠΈΠ²ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΠ»ΠΈ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΈ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи, ΠΊΠΎΠ³Π΄Π° задаСтся ΠΈΠ»ΠΈ измСняСтся ΠΏΠ°Ρ€ΠΎΠ»ΡŒ

Аудит доступа ΠΊ слуТбС ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ΠΎΠ²

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚, ΠΊΠΎΠ³Π΄Π° выполняСтся доступ ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρƒ Active Directory

Аудит событий Π²Ρ…ΠΎΠ΄Π°

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ выполняСт Π²Ρ…ΠΎΠ΄ ΠΈΠ»ΠΈ Π²Ρ‹Ρ…ΠΎΠ΄ Π½Π° Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции ΠΈΠ»ΠΈ подсоСдиняСтся Ρ‡Π΅Ρ€Π΅Π· ΡΠ΅Ρ‚ΡŒ.

Аудит доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ выполняСт доступ ΠΊ Ρ„Π°ΠΉΠ»Ρƒ, ΠΏΠ°ΠΏΠΊΠ΅, ΠΏΡ€ΠΈΠ½Ρ‚Π΅Ρ€Ρƒ, ΠΊΠ»ΡŽΡ‡Ρƒ рССстра ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΎΠΌΡƒ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρƒ, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Π·Π°Π΄Π°Π½ Π°ΡƒΠ΄ΠΈΡ‚

Аудит измСнСния ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚, ΠΊΠΎΠ³Π΄Π° вносятся измСнСния Π² ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ назначСния ΠΏΡ€Π°Π² ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π°

Аудит систСмных событий

Π­Ρ‚ΠΈ события Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚, ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ ΠΈΠ»ΠΈ Π·Π°Π²Π΅Ρ€ΡˆΠ°Π΅Ρ‚ Π΅Π³ΠΎ Ρ€Π°Π±ΠΎΡ‚Ρƒ Π»ΠΈΠ±ΠΎ ΠΏΡ€ΠΈ Π²ΠΎΠ·Π½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠΈ события, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ влияСт Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°

Π’ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Π΅ выполняСтся настройка Π°ΡƒΠ΄ΠΈΡ‚Π° для ΠΏΠ°ΠΏΠΎΠΊ ΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ², Ρ‚.Π΅. выбираСтся Ρ‚ΠΈΠΏ Π°ΡƒΠ΄ΠΈΡ‚Π° — Аудит доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ.

Для настройки Π°ΡƒΠ΄ΠΈΡ‚Π° Π² качСствС ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π° Π°ΡƒΠ΄ΠΈΡ‚Π° Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΏΠ°ΠΏΠΊΡƒ ΠΈΠ»ΠΈ Ρ„Π°ΠΉΠ», Π² Π΄ΠΈΠ°Π»ΠΎΠ³ΠΎΠ²ΠΎΠΌ ΠΎΠΊΠ½Π΅ Бвойства ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΠΎ ΠΊΠ½ΠΎΠΏΠΊΠ΅ Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄ΠΈΡ‚Π΅ Π² Π΄ΠΈΠ°Π»ΠΎΠ³ΠΎΠ²ΠΎΠ΅ ΠΎΠΊΠ½ΠΎ ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ управлСния доступом. ΠžΡ‚ΠΊΡ€ΠΎΠΉΡ‚Π΅ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Аудит (рисунок 5.3). Π”ΠΎΠ±Π°Π²ΡŒΡ‚Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈΠ»ΠΈ Π³Ρ€ΡƒΠΏΠΏΡ‹ (ΠΊΠ½ΠΎΠΏΠΊΠ° Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ).

Рисунок 5.3 Π’Ρ‹Π±ΠΎΡ€ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π°

Рисунок 5.4 Установка дСйствий, ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Ρ… ΠΏΡ€ΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π΅

Π˜Π·ΠΌΠ΅Π½ΠΈΡ‚Π΅ настройки ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ (ΠΊΠ½ΠΎΠΏΠΊΠ° ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€/ΠŸΡ€Π°Π²ΠΊΠ°) Π² ΠΎΠΊΠ½Π΅ ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Аудита (рисунок 5.4).

Если ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°ΡŽΡ‚ΡΡ Ρ„Π»Π°ΠΆΠΊΠΈ события УспСх, Ρ‚ΠΎ Windows Π·Π°ΠΏΠΈΡˆΠ΅Ρ‚ Π² ΠΆΡƒΡ€Π½Π°Π» Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ (Security) события, ΠΈΡ… врСмя ΠΈ Π΄Π°Ρ‚Ρƒ для ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈΠ»ΠΈ Ρ‡Π»Π΅Π½Π° Π³Ρ€ΡƒΠΏΠΏΡ‹ для ΡƒΠΊΠ°Π·Π°Π½Π½ΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»Π° ΠΈΠ»ΠΈ ΠΏΠ°ΠΏΠΊΠΈ. Аналогичным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Ссли Π²Ρ‹ устанавливаСтС Ρ„Π»Π°ΠΆΠΎΠΊ события ΠžΡ‚ΠΊΠ°Π·, Windows Π·Π°ΠΏΠΈΡˆΠ΅Ρ‚ Π² ΠΆΡƒΡ€Π½Π°Π» Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ (Security) события, ΠΈΡ… врСмя ΠΈ Π΄Π°Ρ‚Ρƒ для ΠΊΠ°ΠΆΠ΄ΠΎΠΉ Π½Π΅ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈΠ»ΠΈ Ρ‡Π»Π΅Π½Π° Π³Ρ€ΡƒΠΏΠΏΡ‹ для ΡƒΠΊΠ°Π·Π°Π½Π½ΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»Π° ΠΈΠ»ΠΈ ΠΏΠ°ΠΏΠΊΠΈ. Для просмотра зафиксированных систСмой событий Π°ΡƒΠ΄ΠΈΡ‚Π° слуТит оснастка ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€ Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠΉ, доступная Π½Π° локальном ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅ Π² Ρ€Π°Π·Π΄Π΅Π»Π΅ АдминистрированиС ПанСли управлСния ΠΈΠ»ΠΈ Π² Ρ€Π°Π·Π΄Π΅Π»Π΅ АдминистрированиС Π΄ΠΎΠΌΠ΅Π½Π°. МоТно Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ оснастку ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ eventvwr.msc (рисунок 5.5). Данная оснастка ΠΎΡ‚ΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ доступ ΠΊ Ρ‚Ρ€Π΅ΠΌ ΠΆΡƒΡ€Π½Π°Π»Π°ΠΌ, заполняСмым систСмой: System, Securitty, Application. ΠŸΡ€ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° заполняСтся ΠΆΡƒΡ€Π½Π°Π» Security. Π’ Π½Π΅ΠΌ для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ события для ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π° создаСтся ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π°Ρ запись, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ, Π΄Π²Π°ΠΆΠ΄Ρ‹ Ρ‰Π΅Π»ΠΊΠ½ΡƒΠ² ΠΏΠΎ Π½Π΅ΠΉ, ΠΊΠ°ΠΊ это ΠΏΠΎΠΊΠ°Π·Π°Π½ΠΎ Π½Π° рисунках 5.5 ΠΈ 5.6.

Рисунок 5.5 ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€ содСрТимого ΠΆΡƒΡ€Π½Π°Π»Π° бСзопасности

Рисунок 5.6 ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ событии бСзопасности

Π—Π°Π΄Π°Π½ΠΈΠ΅ ΠΊ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Π΅

Π‘ Ρ†Π΅Π»ΡŒΡŽ освоСния настройки Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ Π΅Π³ΠΎ использования для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ бСзопасности систСмы Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚Π΅ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ дСйствия:

Π’ΠΎΠΉΠ΄ΠΈΡ‚Π΅ Π½Π° Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΌΠ°ΡˆΠΈΠ½Ρƒ с ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью администратора

АктивизируйтС срСдствами ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности Π°ΡƒΠ΄ΠΈΡ‚ доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π° (УспСх ΠΈ ΠžΡ‚ΠΊΠ°Π·).

Π‘ΠΎΠ·Π΄Π°ΠΉΡ‚Π΅ Π²Ρ€Π΅ΠΌΠ΅Π½Π½ΡƒΡŽ ΠΏΠ°ΠΏΠΊΡƒ ΠΈ тСкстовый Ρ„Π°ΠΉΠ» Π²Π½ΡƒΡ‚Ρ€ΠΈ Π΅Π΅.

Π’Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ эту ΠΏΠ°ΠΏΠΊΡƒ ΠΊΠ°ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ Π°ΡƒΠ΄ΠΈΡ‚Π°

НастройтС Π°ΡƒΠ΄ΠΈΡ‚ доступа ΠΊ ΠΏΠ°ΠΏΠΊΠ΅ для администратора ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°, ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΠ² ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… дСйствиях с ΠΏΠ°ΠΏΠΊΠΎΠΉ ΠΈ Ρ„Π°ΠΉΠ»ΠΎΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π² рядС случаСв происходило событиС ΠžΡ‚ΠΊΠ°Π·.

Π’Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚Π΅ ряд Ρ‚ΠΈΠΏΠΎΠ²Ρ‹Ρ… дСйствий с ΠΏΠ°ΠΏΠΊΠΎΠΉ ΠΈ Ρ„Π°ΠΉΠ»ΠΎΠΌ ΠΎΡ‚ ΠΈΠΌΠ΅Π½ΠΈ администратора ΠΈ Π·Π°Ρ‚Π΅ΠΌ ΠΎΡ‚ ΠΈΠΌΠ΅Π½ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

ΠŸΡ€ΠΎΡ‡ΠΈΡ‚Π°ΠΉΡ‚Π΅ ΠΆΡƒΡ€Π½Π°Π» событий БСзопасности ΠΈ Π½Π°ΠΉΠ΄ΠΈΡ‚Π΅ Π² Π½Π΅ΠΌ записи, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΡ‚Ρ€Π°ΠΆΠ΅Π½Ρ‹ ваши дСйствия с ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΠΈ ΠΊΠ°ΠΊ ΠΎ ΠΈΠΌΠ΅Π½ΠΈ администратора, Ρ‚Π°ΠΊ ΠΈ ΠΎΡ‚ ΠΈΠΌΠ΅Π½ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Π‘Π΄Π΅Π»Π°ΠΉΡ‚Π΅ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Π²Ρ‹Π²ΠΎΠ΄Ρ‹.

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊ ΠΆΠ΅:
БСспроводныС Π½Π°ΡƒΡˆΠ½ΠΈΠΊΠΈ apple инструкция Π½Π° русском

Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ Π² Π²ΠΈΠ΄Π΅ экранов ΠΈ тСкстов Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π±Ρ‹Ρ‚ΡŒ сохранСны Π² Ρ„Π°ΠΉΠ»Π΅ ΠΎΡ‚Ρ‡Π΅Ρ‚Π° ΠΏΠΎ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Π΅ ΠΈ прСдставлСны ΠΊ Π·Π°Ρ‰ΠΈΡ‚Π΅.

Π‘Π°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½ΠΎ освойтС настройку Π°ΡƒΠ΄ΠΈΡ‚Π° для ΠΏΡ€ΠΈΠ½Ρ‚Π΅Ρ€ΠΎΠ².

ΠšΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Ρ‹Π΅ вопросы

Какова Ρ€ΠΎΠ»ΡŒ Π°ΡƒΠ΄ΠΈΡ‚Π° Π² обСспСчСнии бСзопасности ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ систСмы?

Π“Π΄Π΅ ΠΈ ΠΊΠ°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ формируСтся информация ΠΎ событиях Π°ΡƒΠ΄ΠΈΡ‚Π°?

Какая информация ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π° Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π°ΡƒΠ΄ΠΈΡ‚Π°?

КакиС Ρ‚ΠΈΠΏΡ‹ Π°ΡƒΠ΄ΠΈΡ‚Π° Π²Ρ‹ Π·Π½Π°Π΅Ρ‚Π΅ ΠΈ для Ρ‡Π΅Π³ΠΎ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΈΠ· Π½ΠΈΡ…?

Каким ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ активизируСтся ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π°?

Каким ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π° примСняСтся для Π²Ρ‹Π±Ρ€Π°Π½Π½Ρ‹Ρ… ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ?

Π’ ΠΊΠ°ΠΊΠΈΡ… случаях цСлСсообразно ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ УспСх, Π° ΠΊΠΎΠ³Π΄Π° цСлСсообразно Ρ„ΠΈΠΊΡΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠžΡ‚ΠΊΠ°Π·?

Как ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΆΡƒΡ€Π½Π°Π»Π°ΠΌΠΈ бСзопасности?

КакиС ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ записи Π΄Π°ΡŽΡ‚ ΠΏΡ€Π°Π²ΠΎ Π½Π° настройку Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π°?

Каким ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ администратор ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± Π°ΡƒΠ΄ΠΈΡ‚Π΅ для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ бСзопасности систСмы?

Π’ΡƒΡ‚ Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ ΠΊ Π²Ρ‹Π±Ρ€Π°Π½Π½ΠΎΠΌΡƒ Π°Π±Π·Π°Ρ†Ρƒ ΠΈΠ»ΠΈ ΡΠΎΠΎΠ±Ρ‰ΠΈΡ‚ΡŒ ΠΎΠ± ошибкС.

Аудит ΠΎΡ‚ΠΊΠ°Π·Π° Π²Ρ…ΠΎΠ΄Π° Π² систСму

ВсС ΠΌΡ‹ любим Π·Π°Π²ΠΎΡ€ΠΎΠΆΡ‘Π½Π½ΠΎ Ρ‡ΠΈΡ‚Π°Ρ‚ΡŒ ΠΏΡ€ΠΎ ΠΎΡ‡Π΅Ρ€Π΅Π΄Π½ΠΎΠ΅ расслСдованиС ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π°, Π³Π΄Π΅ шаг Π·Π° шагом распутываСтся ΠΊΠ»ΡƒΠ±ΠΎΠΊ: ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΠ½ΠΈΠΊ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ, ΠΊΠ°ΠΊΠΈΠ΅ инструмСнты ΠΎΠ½ использовал ΠΈ ΠΊΠΎΠ³Π΄Π°, Ρ‡Ρ‚ΠΎ Π·Π° процСссы создавались Π½Π° скомпромСтированном хостС, Ρ‡Ρ‚ΠΎ происходило Π² сСти ΠΈ, ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎ ΠΆΠ΅, ΠΊΡ‚ΠΎ Π²ΠΈΠ½ΠΎΠ²Π°Ρ‚ ΠΈ Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Ρ‚ΡŒ.

На ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ ΠΎΡ‚Π²Π΅Ρ‚Ρ‹ Π½Π° эти вопросы находятся Π½Π΅ всСгда. Π—Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ ΠΏΡ€ΠΈ расслСдовании спСциалисты ΠΎΡ‚Π΄Π΅Π»ΠΎΠ² Π˜Π‘ ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°ΡŽΡ‚ΡΡ с Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ Π°ΡƒΠ΄ΠΈΡ‚ Π½Π΅ настроСн, Π»ΠΎΠ³ΠΈ ΠΏΠ΅Ρ€Π΅Π·Π°ΠΏΠΈΡΠ°Π»ΠΈΡΡŒ, отсутствуСт Сдиная систСма хранСния ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ², Β«ΠΏΠ΅Ρ€Π΅Π·Π°Π»ΠΈΡ‚Β» Π·Π°Ρ€Π°ΠΆΡ‘Π½Π½Ρ‹ΠΉ хост (популярноС Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ всСх ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ).

НиТС ΠΌΡ‹ Ρ€Π°Π·Π±Π΅Ρ€Ρ‘ΠΌ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· самых Π²Π°ΠΆΠ½Ρ‹Ρ… этапов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π½ΡƒΠΆΠ΅Π½ для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ расслСдованиС Π½Π΅ Π·Π°Π²Π΅Ρ€ΡˆΠΈΠ»ΠΎΡΡŒ Π΅Ρ‰Ρ‘ Π² самом Π½Π°Ρ‡Π°Π»Π΅: сбор ΠΈ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π°. Π‘ΡƒΠ΄ΡƒΡ‚ рассмотрСны возмоТности Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½ΠΎΠ³ΠΎ Π°ΡƒΠ΄ΠΈΡ‚Π° ОБ Windows ΠΈ Π΅Π³ΠΎ настройка.

Знакомство с Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹ΠΌ Π°ΡƒΠ΄ΠΈΡ‚ΠΎΠΌ Windows

Π Π΅Ρ‡ΡŒ ΠΏΠΎΠΉΠ΄Ρ‘Ρ‚ ΠΎ настройках для систСм Microsoft Windows Vista / Server 2008 ΠΈ Π²Ρ‹ΡˆΠ΅. Начиная с ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм компания Microsoft сдСлала шаг Π²ΠΏΠ΅Ρ€Ρ‘Π΄ Π² ΠΏΠΎΠ½ΠΈΠΌΠ°Π½ΠΈΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ управлСния ΠΈΠΌ. Π’Π°ΠΊ появился Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹ΠΉ Π°ΡƒΠ΄ΠΈΡ‚. Π’Π΅ΠΏΠ΅Ρ€ΡŒ администраторы ΠΈ спСциалисты ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности ΠΌΠΎΠ³ΡƒΡ‚ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ΠΎΠΌ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ, Π½ΠΎ ΠΈ ΠΏΠΎΠ΄ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ.

Π”Π°Π²Π°ΠΉΡ‚Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ остановимся Π½Π° Π½ΠΈΡ…. ΠžΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ оснастку локальной Π³Ρ€ΡƒΠΏΠΏΠΎΠ²ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Β«gpedit.mscΒ» (ΠΈΠ»ΠΈ Ρ‡Π΅Ρ€Π΅Π· Β«secpol.mscΒ»). Для Π³Ρ€ΡƒΠΏΠΏΠΎΠ²Ρ‹Ρ… ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ всё Π±ΡƒΠ΄Π΅Ρ‚ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ, Ρ‚ΠΎΠ»ΡŒΠΊΠΎ всС дСйствия Π±ΡƒΠ΄ΡƒΡ‚ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒΡΡ Ρ‡Π΅Ρ€Π΅Π· Β«gpmc.mscΒ».

ΠŸΠΎΠ»Π½Ρ‹ΠΉ ΠΏΡƒΡ‚ΡŒ ΠΊ настройкам Π°ΡƒΠ΄ΠΈΡ‚Π° выглядит ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ: ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° / ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ Windows / ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности / Π›ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ / ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π° (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).

Π Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹ΠΉ Π°ΡƒΠ΄ΠΈΡ‚, Π² свою ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ, находится здСсь: ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° / ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ Windows / ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности / ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).

НиТС Π½Π° рисункС Π²ΠΈΠ΄Π½ΠΎ, ΠΊΠ°ΠΊ ΠΎΠ½ΠΈ ΠΊΠΎΡ€Ρ€Π΅Π»ΠΈΡ€ΡƒΡŽΡ‚ ΠΌΠ΅ΠΆΠ΄Ρƒ собой.

Π’ ΠΎΠ±Ρ‰Π΅ΠΉ слоТности Π½Π°ΠΌ доступны 10 ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ ΠΈ 60 ΠΏΠΎΠ΄ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ.

Π’Π΅ΠΏΠ΅Ρ€ΡŒ вмСсто Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Π°ΡƒΠ΄ΠΈΡ‚Π° «Доступ ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΒ» ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ ΠΎΡ‡Π΅Π½ΡŒ Ρ‚ΠΎΠ½ΠΊΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π΅Π³ΠΎ ΠΏΠΎ подкатСгориям. НапримСр, ΠΌΡ‹ Π½Π΅ Π±ΡƒΠ΄Π΅ΠΌ Π²ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ событий Β«ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ WindowsΒ», ΠΏΠΎΡ‚ΠΎΠΌΡƒ Ρ‡Ρ‚ΠΎ ΠΎΠ½ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΊΡ€Π°ΠΉΠ½Π΅ большоС количСство событий (всё сСтСвоС взаимодСйствиС хоста), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΊ Ρ‚ΠΎΠΌΡƒ ΠΆΠ΅ Π»ΡƒΡ‡ΡˆΠ΅ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ Π½Π° спСциализированном ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠΈ, Ρ‚Π°ΠΊΠΎΠΌ ΠΊΠ°ΠΊ мСТсСтСвыС экраны, ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€Ρ‹, прокси- ΠΈ DNS-сСрвСры. Π’ΠΊΠ»ΡŽΡ‡ΠΈΠΌ Π°ΡƒΠ΄ΠΈΡ‚ Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΉ систСмы, рССстра, ΡΡŠΡ‘ΠΌΠ½ΠΎΠ³ΠΎ носитСля ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… событий доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ, Π° всё ΠΎΡΡ‚Π°Π»ΡŒΠ½ΠΎΠ΅ оставим Π² Π²Ρ‹ΠΊΠ»ΡŽΡ‡Π΅Π½Π½ΠΎΠΌ состоянии (ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ «НС настроСно»).

Бобытия Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠΌΠ΅Ρ‚ΡŒ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ «УспСх ΠΈ ΠΎΡ‚ΠΊΠ°Π·Β», ΠΈΠ·ΠΎΠ±Ρ€Π°ΠΆΡ‘Π½Π½ΠΎΠ΅ Π½Π° рис. 4, ΠΈΠ»ΠΈ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ΄Π½ΠΎ ΠΈΠ· Π΄Π²ΡƒΡ… состояний. НапримСр, Π°ΡƒΠ΄ΠΈΡ‚ создания процСссов (Event ID 4688: A new process has been created) ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Β«ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΌΒ» (рис. 5).

Если Π²Ρ‹ Π½Π΅ Π·Π½Π°Π΅Ρ‚Π΅, Π½ΡƒΠΆΠ½Π° Π»ΠΈ Π²Π°ΠΌ Ρ‚Π° ΠΈΠ»ΠΈ иная ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π°ΡƒΠ΄ΠΈΡ‚Π°, Ρ‚ΠΎ ΠΎΠ·Π½Π°ΠΊΠΎΠΌΠΈΡ‚ΡŒΡΡ с ΠΈΡ… описаниСм Ρ‚ΠΎΠΆΠ΅ ΠΎΡ‡Π΅Π½ΡŒ Π»Π΅Π³ΠΊΠΎ. Оно Π΅ΡΡ‚ΡŒ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ «ПояснСниС» ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ.

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊ ΠΆΠ΅:
Π“ΡƒΠ³Π» запрос ΠΏΠΎ ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΊΠ΅

Для Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ Π°ΡƒΠ΄ΠΈΡ‚Π° Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π½ΡƒΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°Ρ‚ΡŒ систСмныС списки управлСния доступом (SACL). Π­Ρ‚ΠΎ Π² ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ касаСтся Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠ³ΠΎ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° рССстра (Π°Π»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Π° β€” ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ вСсьма ΡΠΏΠ΅Ρ†ΠΈΡ„ΠΈΡ‡Π½ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ «Аудит доступа ΠΊ Π³Π»ΠΎΠ±Π°Π»ΡŒΠ½Ρ‹ΠΌ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΒ»).

НапримСр, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ измСнСния Π² Ρ„Π°ΠΉΠ»Π΅ Β«hostsΒ», ΠΎΡ‚ΠΊΡ€ΠΎΠ΅ΠΌ Π΅Π³ΠΎ свойства ΠΈ ΠΏΠ΅Ρ€Π΅ΠΉΠ΄Ρ‘ΠΌ Π² настройки Π°ΡƒΠ΄ΠΈΡ‚Π°: Β«Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΒ» -> Β«Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΒ» -> «Аудит». Π”ΠΎΠ±Π°Π²ΠΈΠΌ ΡΡƒΠ±ΡŠΠ΅ΠΊΡ‚ Π°ΡƒΠ΄ΠΈΡ‚Π°: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π³Ρ€ΡƒΠΏΠΏΡƒ «ВсС». Π’ΠΈΠΏ Π°ΡƒΠ΄ΠΈΡ‚Π° β€” «УспСх». Π‘Ρ‚Π°Π²ΠΈΠΌ Π³Π°Π»ΠΎΡ‡ΠΊΠΈ Π½Π°ΠΏΡ€ΠΎΡ‚ΠΈΠ² записи Π΄Π°Π½Π½Ρ‹Ρ…, удалСния, смСны Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ ΠΈ смСны Π²Π»Π°Π΄Π΅Π»ΡŒΡ†Π°.

Если Π² вашСй ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΡƒΠΆΠ΅ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ Π³Ρ€ΡƒΠΏΠΏΠΎΠ²Ρ‹Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ с настройками Π°ΡƒΠ΄ΠΈΡ‚Π°, Π½ΠΎ Π²Ρ‹ Ρ…ΠΎΡ‚ΠΈΡ‚Π΅ Π½Π°Ρ‡Π°Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹ΠΉ Π°ΡƒΠ΄ΠΈΡ‚ ΠΈ ΠΏΠΎΠ΄ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ, Ρ‚ΠΎ для этого случая Microsoft ΡƒΡ‡Π»Π° ΠΈ Π²Π²Π΅Π»Π° Π½ΠΎΠ²ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ, которая называСтся «Аудит: ΠΏΡ€ΠΈΠ½ΡƒΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ пСрСопрСдСляСт ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° (Windows Vista ΠΈΠ»ΠΈ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ вСрсии)Β» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings). По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΎΠ½Π° Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π°. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ состояниС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ ΠΌΠΎΠΆΠ½ΠΎ здСсь: ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° / ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ Windows / ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности / Π›ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ / ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ бСзопасности (Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options).

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°ΠΌΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° Ρ‡Π΅Ρ€Π΅Π· инструмСнт ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки Β«auditpol.exeΒ».

Настройка ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠžΡ‡Π΅Π½ΡŒ часто ΠΌΠΎΠΆΠ½ΠΎ ΡƒΡΠ»Ρ‹ΡˆΠ°Ρ‚ΡŒ совСт: Β«Π΄Π°Π²Π°ΠΉΡ‚Π΅ Π²ΠΊΠ»ΡŽΡ‡ΠΈΠΌ всС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈΒ». Π­Ρ‚ΠΎ, ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎ, β€” Β«ΠΏΡƒΡ‚ΡŒ дТСдая», Π½ΠΎ, ΠΊΠ°ΠΊ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ°, Π½Π΅ всС Π΄ΠΆΠ΅Π΄Π°ΠΈ Π΄ΠΎΠ±Ρ€Π°Π»ΠΈΡΡŒ Π΄ΠΎ Ρ„ΠΈΠ½Π°Π»Π°.

Для Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π° сцСнариСв ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° Π½Π΅Ρ‚ острой нСобходимости Π²ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ всё. Π­Ρ‚ΠΎ излишнС. Π’ΠΊΠ»ΡŽΡ‡Π°Ρ всС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ, Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ гигантский ΠΏΠΎΡ‚ΠΎΠΊ событий, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΎΡ‡Π΅Π½ΡŒ Π»Π΅Π³ΠΊΠΎ Β«ΡƒΡ‚ΠΎΠ½ΡƒΡ‚ΡŒΒ». Π’ большой инфраструктурС с нСсколькими тысячами Windows-хостов ΠΏΠΎΡ‚ΠΎΠΊ событий ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΡ‡ΠΈΡΠ»ΡΡ‚ΡŒΡΡ дСсятками тысяч EPS (событий Π² сСкунду). Π­Ρ‚ΠΎ ΠΏΠΎΡ€ΠΎΠΆΠ΄Π°Π΅Ρ‚ Π΄Ρ€ΡƒΠ³ΡƒΡŽ, Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ ΡΠ»ΠΎΠΆΠ½ΡƒΡŽ Π·Π°Π΄Π°Ρ‡Ρƒ: ΠΊΠ°ΠΊ этим ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ, Π³Π΄Π΅ это Ρ…Ρ€Π°Π½ΠΈΡ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ.

ΠŸΡ€Π΅Π΄Π»Π°Π³Π°Π΅ΠΌ Ρ€Π°ΡΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ ΠΎΠΏΡ‚ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΉ список ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π²Π°ΠΌ ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ. Π’Π°ΠΊΠΆΠ΅ стоит ΠΎΠ±Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ фактичСски настроСк Π΄Π²Π΅ (ΠΈ, соотвСтствСнно, ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ Π΄Π²Π΅ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ GPO). ΠŸΠ΅Ρ€Π²Π°Ρ β€” ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ для ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€ΠΎΠ² Π΄ΠΎΠΌΠ΅Π½Π°, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ‡Π°ΡΡ‚ΡŒ событий (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируСтся ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π½Π° Π½ΠΈΡ…. Вторая β€” для рядовых сСрвСров ΠΈ АРМ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

ПослС Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ описанных ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ Ρƒ вас Π±ΡƒΠ΄ΡƒΡ‚ всС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ события для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΈ расслСдования ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ².

УсилСниС Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ ΠΎΠ±ΠΎΡ€ΠΎΠ½Ρ‹

Для максимальной ΠΎΡ‚Π΄Π°Ρ‡ΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ Π΅Ρ‰Ρ‘ ΠΎΠ΄Π½Ρƒ настройку β€” Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Π»ΠΎΠ³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Β«ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки процСсса». Π’ΠΎΠ³Π΄Π° Π½Π° Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… станциях ΠΈ сСрвСрах, ΠΊ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ примСняСтся этот ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ, свСдСния ΠΈΠ· ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки Π±ΡƒΠ΄ΡƒΡ‚ Π·Π°Π½ΠΎΡΠΈΡ‚ΡŒΡΡ Π² ΠΆΡƒΡ€Π½Π°Π» событий Β«Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΒ» (Security) с ID 4688.

ВрСбования ΠΊ вСрсии ОБ: Π½Π΅ Π½ΠΈΠΆΠ΅ Windows Server 2012 R2, Windows 8.1. Данная Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Ρ‚Π°ΠΊΠΆΠ΅ доступна ΠΈ Π½Π° ОБ Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 послС установки обновлСния KB 3004375.

ΠŸΡƒΡ‚ΡŒ ΠΊ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅: ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° / АдминистративныС ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ / БистСма / Аудит создания процСссов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: Β«Π’ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΡƒΡŽ строку Π² события создания процСссов» (Include command line in process creation events).

Π’ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ, выставив ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅Π΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, ΠΈ Π½Π°ΠΆΠΈΠΌΠ°Π΅ΠΌ Β«ΠŸΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚ΡŒΒ» (Apply).

ПослС Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ этой ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ событий Β«Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΒ» (Security) Π² событиях с ΠΊΠΎΠ΄ΠΎΠΌ 4688 появится Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ «Командная строка процСсса» (Process Command Line), Π³Π΄Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°Ρ‚ΡŒΡΡ Ρ‚Π΅Π»ΠΎ исполняСмой ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹.

Π’ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Π½ΠΈΠΆΠ΅ дСмонстрируСтся, ΠΊΠ°ΠΊ это ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°Π³Π»ΡΠ½ΡƒΡ‚ΡŒ Ρ‡ΡƒΡ‚ΡŒ Π³Π»ΡƒΠ±ΠΆΠ΅. На ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ взгляд Π² событии происходит запуск Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ³ΠΎ процСсса Β«opera_autoupdate.exeΒ», Π½ΠΎ Π²ΠΎΡ‚ строка Β«Process Command LineΒ» большС ΠΏΠΎΡ…ΠΎΠΆΠ° Π½Π° запуск ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ Β«mimikatzΒ». Π‘Π΅Π· Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Β«Π’ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΡƒΡŽ строку Π² события создания процСссов» ΠΌΡ‹ этого Π½Π΅ зафиксируСм.

Π£ΠΊΡ€Π΅ΠΏΠΈΠΌ Π½Π°ΡˆΡƒ ΠΎΠ±ΠΎΡ€ΠΎΠ½Ρƒ ΠΈ ΠΏΠΎΠ»Π½Ρ‹ΠΌ ΠΆΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ самого ΠΌΠΎΡ‰Π½ΠΎΠ³ΠΎ инструмСнта ОБ Windows β€” PowerShell. Для этого Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠ° вСрсия PowerShell 5.0 ΠΈΠ»ΠΈ Π²Ρ‹ΡˆΠ΅.

PowerShell 5.0 / 5.1 прСдустановлСн Π² Windows 10, Windows Server 2016 ΠΈ Windows Server 2019. Для ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Windows Management Framework.

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊ ΠΆΠ΅:
МоТно Π»ΠΈ ΠΌΠ΅Π½ΡΡ‚ΡŒ кондСнсаторы Π½Π° Π±ΠΎΠ»ΡŒΡˆΡƒΡŽ Π΅ΠΌΠΊΠΎΡΡ‚ΡŒ

Бписок ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… ОБ:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows 8
  • Windows 7 SP1

Π‘ΠΊΠ°Ρ‡Π°ΠΉΡ‚Π΅ с сайта Microsoft ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ, Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚Π΅ установку ΠΈ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ хоста. Π’Π°ΠΊΠΆΠ΅ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ являСтся Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ Microsoft .NET Framework 4.5 ΠΈΠ»ΠΈ Π²Ρ‹ΡˆΠ΅.

Π’ΠΊΠ»ΡŽΡ‡ΠΈΠΌ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π±Π»ΠΎΠΊΠΎΠ² сцСнариСв PowerShell Ρ‡Π΅Ρ€Π΅Π· ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ. Она находится ΠΏΠΎ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌΡƒ ΠΏΡƒΡ‚ΠΈ: АдминистративныС ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ / ΠšΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: Β«Π’ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π±Π»ΠΎΠΊΠΎΠ² сцСнариСв PowerShellΒ» (Turn on PowerShell Script Block Logging)

Π’ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ ΠΈ Π½Π°ΠΆΠΈΠΌΠ°Π΅ΠΌ Β«ΠŸΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚ΡŒΒ» (Apply). ΠŸΡ€ΠΈ этом ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ Π³Π°Π»ΠΎΡ‡ΠΊΡƒ Π½Π°ΠΏΡ€ΠΎΡ‚ΠΈΠ² поля «РСгистрация Π½Π°Ρ‡Π°Π»Π° ΠΈΠ»ΠΈ остановки Π²Ρ‹Π·ΠΎΠ²Π° Π±Π»ΠΎΠΊΠΎΠ² сцСнариСв» (Log script block invocation start / stop events) Π½Π΅ Π½ΡƒΠΆΠ½ΠΎ. Данная функция ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°Π΅Ρ‚ количСство рСгистрируСмых событий, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π΅ нСсут ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

ПослС Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ этой ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ PowerShell Π±ΡƒΠ΄Π΅Ρ‚ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ событий трассировки Microsoft-Windows-PowerShell/Operational с ΠΊΠΎΠ΄ΠΎΠΌ события 4104 всС Π±Π»ΠΎΠΊΠΈ сцСнариСв, Π² Ρ‚ΠΎΠΌ числС β€” ΠΏΡƒΡ‚ΡŒ, Ρ‚Π΅Π»ΠΎ скрипта ΠΈ всС ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Π»Π΅Ρ‚Ρ‹.

Π₯ΠΎΡ€ΠΎΡˆΠ΅ΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΎΠΉ являСтся ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½ΠΈΠ΅ Ρ€Π°Π·ΠΌΠ΅Ρ€Π° самих ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ², Π΄Π°ΠΆΠ΅ Ссли Π²Ρ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ SIEM ΠΈΠ»ΠΈ сСрвСр сборщика событий (Windows Event Collector). НапримСр, ΠΆΡƒΡ€Π½Π°Π» Β«Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΒ» (Security) ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΈΠΌΠ΅Π΅Ρ‚ Ρ€Π°Π·ΠΌΠ΅Ρ€ 20 ΠœΠ‘. ΠŸΡ€ΠΈ настроСнном Π°ΡƒΠ΄ΠΈΡ‚Π΅ Π½Π° Ρ‚ΠΈΠΏΠΈΡ‡Π½ΠΎΠΌ АРМ этого ΠΎΠ±ΡŠΡ‘ΠΌΠ° Ρ…Π²Π°Ρ‚ΠΈΡ‚ Π½Π° ΠΆΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… Π΄Π½Π΅ΠΉ, Π½Π° сСрвСрС β€” Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… часов, Π° Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π° 20 ΠœΠ‘ Π½Π΅ Ρ…Π²Π°Ρ‚ΠΈΡ‚ Π½ΠΈ Π½Π° Ρ‡Ρ‚ΠΎ.

Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌ для всСх основных ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΎΠ±ΡŠΡ‘ΠΌΡ‹:

  • ΠΆΡƒΡ€Π½Π°Π» «Установка» (Setup) β€” Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ 10 ΠœΠ‘,
  • ΠΆΡƒΡ€Π½Π°Π» «БистСма» (System) β€” Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ 50 ΠœΠ‘,
  • ΠΆΡƒΡ€Π½Π°Π» Β«ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅Β» (Application) β€” Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ 50 ΠœΠ‘,
  • ΠΆΡƒΡ€Π½Π°Π» Β«Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΒ» (Security) β€” Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ 200 ΠœΠ‘ (для ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π° Π΄ΠΎΠΌΠ΅Π½Π° β€” Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ 500 ΠœΠ‘).

ΠŸΡ€ΠΈ этом оставляСм Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ пСрСзаписи старых событий (ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΎΠ½Π° Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π½Π°).

Π’Ρ‹Π²ΠΎΠ΄Ρ‹

Настройка Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Ρ… для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ Π°ΡƒΠ΄ΠΈΡ‚Π°, локальноС Π΄ΠΎΠ»Π³ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎΠ΅ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ², ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ запуска процСссов ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄ PowerShell ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ Π½Π΅ ΡƒΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ Π²Π°ΠΆΠ½Ρ‹Π΅ события бСзопасности ΠΈ Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ Ρ€Π°ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹. Π­Ρ‚ΠΎ β€” ΠΎΠ΄ΠΈΠ½ ΠΈΠ· ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… этапов Π² построСнии процСссов Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠ³ΠΎ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, сниТСния рисков Π˜Π‘ ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ уровня защищённости.

Π’ дальнСйшСм Π²Π°ΠΆΠ½ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ сбор ΠΈ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² Π² SIEM-систСмС, настройку коррСляционных ΠΏΡ€Π°Π²ΠΈΠ», ΠΊΠΈΠ±Π΅Ρ€Ρ€Π°Π·Π²Π΅Π΄ΠΊΡƒ (Threat Intelligence), ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… испытаний бСзопасности Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ Red / Blue Team.

ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Аудита Windows для отслСТивания Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ

Иногда ΡΠ»ΡƒΡ‡Π°ΡŽΡ‚ΡΡ события, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ ΠΎΡ‚ нас ΠΎΡ‚Π²Π΅Ρ‚ΠΈΡ‚ΡŒ Π½Π° вопрос Β«ΠΊΡ‚ΠΎ это сдСлал?Β» Π’Π°ΠΊΠΎΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΎΠΈΡΡ…ΠΎΠ΄ΠΈΡ‚ΡŒ Β«Ρ€Π΅Π΄ΠΊΠΎ, Π½ΠΎ ΠΌΠ΅Ρ‚ΠΊΠΎΒ», поэтому ΠΊ ΠΎΡ‚Π²Π΅Ρ‚Ρƒ Π½Π° вопрос слСдуСт Π³ΠΎΡ‚ΠΎΠ²ΠΈΡ‚ΡŒΡΡ Π·Π°Ρ€Π°Π½Π΅Π΅.

ΠŸΡ€Π°ΠΊΡ‚ΠΈΡ‡Π΅ΡΠΊΠΈ повсСмСстно ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π½Ρ‹Π΅ ΠΎΡ‚Π΄Π΅Π»Ρ‹, бухгалтСрия, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ сотрудников, совмСстно Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ Π½Π°Π΄ Π³Ρ€ΡƒΠΏΠΏΠ°ΠΌΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ², хранящихся Π² общСдоступной (Shared) ΠΏΠ°ΠΏΠΊΠ΅ Π½Π° Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΌ сСрвСрС ΠΈΠ»ΠΈ Π½Π° ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… станций. ΠœΠΎΠΆΠ΅Ρ‚ ΡΠ»ΡƒΡ‡ΠΈΡ‚ΡŒΡΡ Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎ ΠΊΡ‚ΠΎ-Ρ‚ΠΎ ΡƒΠ΄Π°Π»ΠΈΡ‚ Π²Π°ΠΆΠ½Ρ‹ΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ ΠΈΠ»ΠΈ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΡŽ ΠΈΠ· этой ΠΏΠ°ΠΏΠΊΠΈ, Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Ρ‡Π΅Π³ΠΎ Ρ‚Ρ€ΡƒΠ΄ Ρ†Π΅Π»ΠΎΠ³ΠΎ ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΈΠ²Π° ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ потСрян. Π’ Ρ‚Π°ΠΊΠΎΠΌ случаС, ΠΏΠ΅Ρ€Π΅Π΄ систСмным администратором Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚ нСсколько вопросов:

Π’ Windows имССтся систСма Аудита, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΈ ΠΆΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠΎΠ³Π΄Π°, ΠΊΠ΅ΠΌ ΠΈ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΊΠ°ΠΊΠΎΠΉ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Π±Ρ‹Π»ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Ρ‹ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹. По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ, Аудит Π½Π΅ задСйствован β€” слСТСниС само ΠΏΠΎ сСбС Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹ΠΉ ΠΏΡ€ΠΎΡ†Π΅Π½Ρ‚ мощности систСмы, Π° Ссли Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ всё подряд, Ρ‚ΠΎ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ° станСт слишком большой. Π’Π΅ΠΌ Π±ΠΎΠ»Π΅Π΅, Π΄Π°Π»Π΅ΠΊΠΎ Π½Π΅ всС дСйствия ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΌΠΎΠ³ΡƒΡ‚ нас ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΠΎΠ²Π°Ρ‚ΡŒ, поэтому ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Аудита ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ отслСТиваниС Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‚Π΅Ρ… событий, Ρ‡Ρ‚ΠΎ для нас Π΄Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π²Π°ΠΆΠ½Ρ‹.

БистСма Аудита встроСна Π²ΠΎ всС ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы Microsoft Windows NT: Windows XP/Vista/7, Windows Server 2000/2003/2008. К соТалСнию, Π² систСмах сСрии Windows Home Π°ΡƒΠ΄ΠΈΡ‚ спрятан Π³Π»ΡƒΠ±ΠΎΠΊΠΎ, ΠΈ Π΅Π³ΠΎ Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°Ρ‚ΡŒ слишком слоТно.

Π§Ρ‚ΠΎ Π½ΡƒΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ?

Для Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Π°ΡƒΠ΄ΠΈΡ‚Π° Π·Π°ΠΉΠ΄ΠΈΡ‚Π΅ с ΠΏΡ€Π°Π²Π°ΠΌΠΈ администратора Π² ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€, ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠΉ доступ ΠΊ ΠΎΠ±Ρ‰ΠΈΠΌ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°ΠΌ, ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Start β†’ Run β†’ gpedit.msc. Π’ Ρ€Π°Π·Π΄Π΅Π»Π΅ Computer Configuration раскройтС ΠΏΠ°ΠΏΠΊΡƒ Windows Settings β†’ Security Settings β†’ Local Policies β†’ Audit Policies:

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊ ΠΆΠ΅:
Как Π² биосС Π²Ρ‹ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ с диска

Π”Π²Π°ΠΆΠ΄Ρ‹ Ρ‰Ρ‘Π»ΠΊΠ½ΠΈΡ‚Π΅ ΠΏΠΎ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅ Audit object access (Аудит доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ) ΠΈ Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ Π³Π°Π»ΠΎΡ‡ΠΊΡƒ Success. Π­Ρ‚ΠΎΡ‚ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ слСТСния Π·Π° ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΌ доступом ΠΊ Ρ„Π°ΠΉΠ»Π°ΠΌ ΠΈ рССстру. Π”Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, вСдь нас ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΡƒΡŽΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΡƒΠ΄Π°Π²ΡˆΠΈΠ΅ΡΡ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ удалСния Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈΠ»ΠΈ ΠΏΠ°ΠΏΠΎΠΊ. Π’ΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅ Аудит Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ…, нСпосрСдствСнно Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… хранятся отслСТиваСмыС ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹.

ΠŸΡ€ΠΎΡΡ‚ΠΎΠ³ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ Аудита нСдостаточно, ΠΌΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ, доступ ΠΊ ΠΊΠ°ΠΊΠΈΠΌ ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΏΠ°ΠΏΠΊΠ°ΠΌ трСбуСтся ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ. ΠžΠ±Ρ‹Ρ‡Π½ΠΎ Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΠΈ ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΠΏΠ°ΠΏΠΊΠΈ ΠΎΠ±Ρ‰ΠΈΡ… (раздСляСмых) Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ² ΠΈ ΠΏΠ°ΠΏΠΊΠΈ с производствСнными ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°ΠΌΠΈ ΠΈΠ»ΠΈ Π±Π°Π·Π°ΠΌΠΈ Π΄Π°Π½Π½Ρ‹Ρ… (бухгалтСрия, склад ΠΈ Ρ‚.ΠΏ.) β€” Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ, рСсурсы, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ нСсколько Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊ.

Π—Π°Ρ€Π°Π½Π΅Π΅ ΡƒΠ³Π°Π΄Π°Ρ‚ΡŒ, ΠΊΡ‚ΠΎ ΠΈΠΌΠ΅Π½Π½ΠΎ ΡƒΠ΄Π°Π»ΠΈΡ‚ Ρ„Π°ΠΉΠ», Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ, поэтому слСТСниС ΠΈ указываСтся Π·Π° ВсСми (Everyone). УдавшиСся ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ удалСния отслСТиваСмых ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² Π»ΡŽΠ±Ρ‹ΠΌ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ Π±ΡƒΠ΄ΡƒΡ‚ Π·Π°Π½ΠΎΡΠΈΡ‚ΡŒΡΡ Π² ΠΆΡƒΡ€Π½Π°Π». Π’Ρ‹Π·ΠΎΠ²ΠΈΡ‚Π΅ свойства Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΠΎΠΉ ΠΏΠ°ΠΏΠΊΠΈ (Ссли Ρ‚Π°ΠΊΠΈΡ… ΠΏΠ°ΠΏΠΎΠΊ нСсколько, Ρ‚ΠΎ всСх ΠΈΡ… ΠΏΠΎ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΠΈ) ΠΈ Π½Π° Π·Π°ΠΊΠ»Π°Π΄ΠΊΠ΅ Security (Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ) β†’ Advanced (Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ) β†’ Auditing (Аудит) Π΄ΠΎΠ±Π°Π²ΡŒΡ‚Π΅ слСТСниС Π·Π° ΡΡƒΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠΌ Everyone (ВсС), Π΅Π³ΠΎ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΌΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ°ΠΌΠΈ доступа Delete (Π£Π΄Π°Π»Π΅Π½ΠΈΠ΅) ΠΈ Delete Subfolders and Files (Π£Π΄Π°Π»Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ΄ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ΠΎΠ² ΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ²):

Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΆΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ довольно ΠΌΠ½ΠΎΠ³ΠΎ, поэтому Ρ‚Π°ΠΊΠΆΠ΅ слСдуСт ΠΎΡ‚Ρ€Π΅Π³ΡƒΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°Π·ΠΌΠ΅Ρ€ ΠΆΡƒΡ€Π½Π°Π»Π° Security (Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ), Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ½ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒΡΡ. Для
этого Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Start β†’ Run β†’ eventvwr.msc. Π’ появившСмся ΠΎΠΊΠ½Π΅ Π²Ρ‹Π·ΠΎΠ²ΠΈΡ‚Π΅ свойства ΠΆΡƒΡ€Π½Π°Π»Π° Security ΠΈ ΡƒΠΊΠ°ΠΆΠΈΡ‚Π΅ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹:

На самом Π΄Π΅Π»Π΅, ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ Ρ†ΠΈΡ„Ρ€Ρ‹ Π½Π΅ ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎ Ρ‚ΠΎΡ‡Π½Ρ‹ΠΌΠΈ, Π° ΠΏΠΎΠ΄Π±ΠΈΡ€Π°ΡŽΡ‚ΡΡ ΠΎΠΏΡ‹Ρ‚Π½Ρ‹ΠΌ ΠΏΡƒΡ‚Ρ‘ΠΌ для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠ³ΠΎ случая.

Π˜Ρ‚Π°ΠΊ, ΠΊΡ‚ΠΎ ΠΆΠ΅ ΡƒΠ΄Π°Π»ΠΈΠ» Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹ (Windows 2003/XP)?

НаТмитС Start β†’ Run β†’ eventvwr.msc ΠΈ ΠΎΡ‚ΠΊΡ€ΠΎΠΉΡ‚Π΅ для просмотра ΠΆΡƒΡ€Π½Π°Π» Security (Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ). Π–ΡƒΡ€Π½Π°Π» ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°ΠΏΠΎΠ»Π½Π΅Π½ событиями, прямого ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡ ΠΊ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΠΌΠΈ. Π©Ρ‘Π»ΠΊΠ½ΡƒΠ² ΠΏΡ€Π°Π²ΠΎΠΉ ΠΊΠ½ΠΎΠΏΠΊΠΎΠΉ ΠΏΠΎ ΠΆΡƒΡ€Π½Π°Π»Ρƒ Security, Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ View β†’ Filter ΠΈ ΠΎΡ‚Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΡƒΠΉΡ‚Π΅ просмотр ΠΏΠΎ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ критСриям:

  • Event Source:Security;
  • Category: Object Access;
  • Event Types: Success Audit;
  • Event ID: 560;

ΠŸΡ€ΠΎΡΠΌΠΎΡ‚Ρ€ΠΈΡ‚Π΅ список ΠΎΡ‚Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… событий, обращая Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ Π½Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ поля Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ записи:

  • ObjectName. НазваниС искомой ΠΏΠ°ΠΏΠΊΠΈ ΠΈΠ»ΠΈ Ρ„Π°ΠΉΠ»Π°;
  • ImageFileName. Имя ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹, с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΡƒΠ΄Π°Π»ΠΈΠ»ΠΈ Ρ„Π°ΠΉΠ»;
  • Accesses. Набор Π·Π°ΠΏΡ€Π°ΡˆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… ΠΏΡ€Π°Π².

ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°ΠΏΡ€Π°ΡˆΠΈΠ²Π°Ρ‚ΡŒ Ρƒ систСмы сразу нСсколько Ρ‚ΠΈΠΏΠΎΠ² доступа β€” Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Delete+Synchronize ΠΈΠ»ΠΈ Delete+Read_Control. Π—Π½Π°Ρ‡ΠΈΠΌΡ‹ΠΌ для нас ΠΏΡ€Π°Π²ΠΎΠΌ являСтся Delete.

Π˜Ρ‚Π°ΠΊ, ΠΊΡ‚ΠΎ ΠΆΠ΅ ΡƒΠ΄Π°Π»ΠΈΠ» Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹ (Windows 2008/Vista)?

НаТмитС Start β†’ Run β†’ eventvwr.msc ΠΈ ΠΎΡ‚ΠΊΡ€ΠΎΠΉΡ‚Π΅ для просмотра ΠΆΡƒΡ€Π½Π°Π» Security (Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ). Π–ΡƒΡ€Π½Π°Π» ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°ΠΏΠΎΠ»Π½Π΅Π½ событиями, прямого ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡ ΠΊ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΠΌΠΈ. Π©Ρ‘Π»ΠΊΠ½ΡƒΠ² ΠΏΡ€Π°Π²ΠΎΠΉ ΠΊΠ½ΠΎΠΏΠΊΠΎΠΉ ΠΏΠΎ ΠΆΡƒΡ€Π½Π°Π»Ρƒ Security, Π²Ρ‹Π±Π΅Ρ€ΠΈΡ‚Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ View β†’ Filter ΠΈ ΠΎΡ‚Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΡƒΠΉΡ‚Π΅ просмотр ΠΏΠΎ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ критСриям:

  • Event Source: Security;
  • Category: Object Access;
  • Event Types: Success Audit;
  • Event ID: 4663;

НС ΡΠΏΠ΅ΡˆΠΈΡ‚Π΅ ΠΈΠ½Ρ‚Π΅Ρ€ΠΏΡ€Π΅Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ всС удалСния ΠΊΠ°ΠΊ Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Π΅. Π­Ρ‚Π° функция Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΡ€ΠΈ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Π΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ β€” Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, исполнСняя ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Save (Π‘ΠΎΡ…Ρ€Π°Π½ΠΈΡ‚ΡŒ), ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ ΠΏΠ°ΠΊΠ΅Ρ‚Π° Microsoft Office сначала ΡΠΎΠ·Π΄Π°ΡŽΡ‚ Π½ΠΎΠ²Ρ‹ΠΉ Π²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ», ΡΠΎΡ…Ρ€Π°Π½ΡΡŽΡ‚ Π² Π½Π΅Π³ΠΎ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚, послС Ρ‡Π΅Π³ΠΎ ΡƒΠ΄Π°Π»ΡΡŽΡ‚ ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ Ρ„Π°ΠΉΠ»Π°. Аналогично, ΠΌΠ½ΠΎΠ³ΠΈΠ΅ прилоТСния Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ запускС сначала ΡΠΎΠ·Π΄Π°ΡŽΡ‚ Π²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ» Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΎΠΊ (.lck), Π·Π°Ρ‚Π΅ΠΌ ΡƒΠ΄Π°Π»ΡΡŽΡ‚ Π΅Π³ΠΎ ΠΏΡ€ΠΈ Π²Ρ‹Ρ…ΠΎΠ΄Π΅ ΠΈΠ· ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹.

МнС ΠΏΡ€ΠΈΡ…ΠΎΠ΄ΠΈΠ»ΠΎΡΡŒ Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°Ρ‚ΡŒΡΡ ΠΈ со Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹ΠΌΠΈ дСйствиями ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. НапримСр, ΠΊΠΎΠ½Ρ„Π»ΠΈΠΊΡ‚Π½Ρ‹ΠΉ сотрудник Π½Π΅ΠΊΠΎΠ΅ΠΉ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€ΠΈ ΡƒΠ²ΠΎΠ»ΡŒΠ½Π΅Π½ΠΈΠΈ с мСста Ρ€Π°Π±ΠΎΡ‚Ρ‹ Ρ€Π΅ΡˆΠΈΠ» ΡƒΠ½ΠΈΡ‡Ρ‚ΠΎΠΆΠΈΡ‚ΡŒ всС Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ своСго Ρ‚Ρ€ΡƒΠ΄Π°, ΡƒΠ΄Π°Π»ΠΈΠ² Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ ΠΏΠ°ΠΏΠΊΠΈ, ΠΊ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΎΠ½ ΠΈΠΌΠ΅Π» ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠ΅. Бобытия Ρ‚Π°ΠΊΠΎΠ³ΠΎ Ρ€ΠΎΠ΄Π° Ρ…ΠΎΡ€ΠΎΡˆΠΎ Π·Π°ΠΌΠ΅Ρ‚Π½Ρ‹ β€” ΠΎΠ½ΠΈ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΡŽΡ‚ дСсятки, сотни записСй Π² сСкунду Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ бСзопасности. ΠšΠΎΠ½Π΅Ρ‡Π½ΠΎ, восстановлСниС Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ² ΠΈΠ· Shadow Copies (Π’Π΅Π½Π΅Π²Ρ‹Ρ… Копий) ΠΈΠ»ΠΈ СТСсуточно автоматичСски создаваСмого Π°Ρ€Ρ…ΠΈΠ²Π° Π½Π΅ составляСт особого Ρ‚Ρ€ΡƒΠ΄Π°, Π½ΠΎ ΠΏΡ€ΠΈ этом я ΠΌΠΎΠ³ ΠΎΡ‚Π²Π΅Ρ‚ΠΈΡ‚ΡŒ Π½Π° вопросы Β«ΠšΡ‚ΠΎ это сдСлал?Β» ΠΈ «Когда это ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ?Β».

голоса
Π Π΅ΠΉΡ‚ΠΈΠ½Π³ ΡΡ‚Π°Ρ‚ΡŒΠΈ
Бсылка Π½Π° ΠΎΡΠ½ΠΎΠ²Π½ΡƒΡŽ ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΡŽ
Adblock
detector