Информационная безопасность. Макаренко С.И. - 309 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

309
20.4.2 Мониторинг признаков атак
Существует несколько признаков того, что в системе Windows 2000
что-то идет не так, как нужно, и что кто-то пытается выполнить запрещенные
действия.
20.4.2.1 Попытки входа в систему
Если кто-либо пытается угадать пароли учетных записей (вручную или
с привлечением автоматизированной программы), в журнал событий будут
занесены записи, отображающие неудачные попытки входа в систему. Кроме
того, если система настроена на блокировку учетных записей после
определенного числа попыток входа, будет присутствовать набор
заблокированных учетных записей. Сообщения о неудачных попытках входа
в журнале событий безопасности содержат имя рабочей станции, с которой
осуществлялась каждая попытка. С этой рабочей станции и следует начать
выяснение причины неудачных попыток входа в систему. Метод выяснения
зависит от источника попыток. Если источник внутренний, следует найти
сотрудника, работающего за данной рабочей станцией, и поговорить с ним.
Если источник внешний, следует заблокировать на межсетевом экране
доступ с IP-адреса источника.
20.4.2.2 Ошибки доступа
Ошибки доступа могут означать, что доступ к секретным файлам
пытается получить авторизованный пользователь. Единичные ошибки
считаются в порядке вещей. Однако если обнаружится пользователь,
совершивший неудачные попытки входа в большое число файлов или
каталогов, то у вас появятся все основания для выяснения причин неудачных
попыток.
20.4.2.3 Неудачные попытки входа
Информация в журнале событий безопасности содержит перечень
неудачных попыток входа. Она не представляет собой доказательства того,
что конкретный сотрудник пытался получить несанкционированный доступ к
информации. Эти сообщения журнала могут генерироваться процессами,
пытающимися осуществить доступ без ведома пользователя; также причиной
возникновения этих записей является использование кем-либо учетной
записи данного пользователя или его системы. Ни в коем случае не следует
считать, что записи в журнале являются достаточным доказательством для
того, чтобы обвинить сотрудника в совершении противоправных действий. 
                    20.4.2 Мониторинг признаков атак

      Существует несколько признаков того, что в системе Windows 2000
что-то идет не так, как нужно, и что кто-то пытается выполнить запрещенные
действия.

                    20.4.2.1 Попытки входа в систему

      Если кто-либо пытается угадать пароли учетных записей (вручную или
с привлечением автоматизированной программы), в журнал событий будут
занесены записи, отображающие неудачные попытки входа в систему. Кроме
того, если система настроена на блокировку учетных записей после
определенного числа попыток входа, будет присутствовать набор
заблокированных учетных записей. Сообщения о неудачных попытках входа
в журнале событий безопасности содержат имя рабочей станции, с которой
осуществлялась каждая попытка. С этой рабочей станции и следует начать
выяснение причины неудачных попыток входа в систему. Метод выяснения
зависит от источника попыток. Если источник внутренний, следует найти
сотрудника, работающего за данной рабочей станцией, и поговорить с ним.
Если источник внешний, следует заблокировать на межсетевом экране
доступ с IP-адреса источника.

                        20.4.2.2 Ошибки доступа

      Ошибки доступа могут означать, что доступ к секретным файлам
пытается получить авторизованный пользователь. Единичные ошибки
считаются в порядке вещей. Однако если обнаружится пользователь,
совершивший неудачные попытки входа в большое число файлов или
каталогов, то у вас появятся все основания для выяснения причин неудачных
попыток.

                   20.4.2.3 Неудачные попытки входа

      Информация в журнале событий безопасности содержит перечень
неудачных попыток входа. Она не представляет собой доказательства того,
что конкретный сотрудник пытался получить несанкционированный доступ к
информации. Эти сообщения журнала могут генерироваться процессами,
пытающимися осуществить доступ без ведома пользователя; также причиной
возникновения этих записей является использование кем-либо учетной
записи данного пользователя или его системы. Ни в коем случае не следует
считать, что записи в журнале являются достаточным доказательством для
того, чтобы обвинить сотрудника в совершении противоправных действий.




                                   309

Страницы