Профессиональное выполнение лабораторных работ на заказ

Анализ журналов событий Windows 1. Подготовить стенд с ОС Win7 или 10 ( виде виртуальной машины): Пользователи: – Пользователи (локальные) user-фамилиястудента1, user-фамилиястудента2 – Администраторы (локальные) adm-фамилиястудента1, adm-фамилиястудента2 ● Особенности настройки: – X:\docs\file1.txt (разграничение доступа: user-фамилиястудента1 — доступ разрешен; user-фамилиястудента2 — доступ запрещен) – \\IP\share\file1.txt (разграничение доступа: всем пользователям ОС доступ разрешен) — сетевая директория – Разрешить подключения по RDP-протоколу (с любой версией удаленного рабочего стола) – Отключить МСЭ (брандмауэр) 2. Выполнить настройку политики аудита и привести их в отчете: – Аудит входа в систему – Аудит доступа к объектам – Аудит изменения гр. политик – Аудит изменения привилегий – Аудит управления учетными записями – Аудит доступа к службе каталогов – Согласно Рекомендациям MS по политике аудита Win и настройке расширенного аудита – Объем журналов аудита не менее 20 Мб, затирать по мере необходимости (журнал безопасности только после ознакомления Админа ИБ) 3. Выполнить набор действий в ОС: и другие необходимые, таким образом, чтобы были зафиксированы соответствующие события (см. лекцию): – Подбор пароля к учеткам пользователей – Управление учетками пользователей (создание, удаление, изменение), смена пароля для учетки - успешный и неуспешный – Изменение гр политик - успешный и неуспешный – Изменение полномочий в системе (изм групп пользователя) - успешный и неуспешный – Доступ по RDP — успешный и неуспешный – Доступ к директориям (локальной, сетевой) - успешный и неуспешный – Запуск программ (имитация несанкционированного запуска) – Попытки раскрытия учетных данных (не менее 2х событий по слайду из лекции) (лекции прикрепляю) – Доступ к ресурсам путем изменения разрешений на файлы Индивидуальная часть: имитация еще 2-х не рассмотренных выше сценариев действий злоумышленника, которые могут быть зафиксированы журналами событий. 4. Сделать копию ВМ, постараться перевести ее в формат только чтения. Далее все действия выполнять с копией ВМ, переведенной в формат только чтения. 5. Исследовать журналы событий с помощью следующий средств, найти всеми тремя способами следы ваших действий в журналах, привести скрины: а) командную строку / powershell / sql запросы https://habr.com/ru/companies/servermall/articles/351594/ б) Windows Event Viewer eventvwr.msc https://winitpro.ru/index.php/2022/11/16/poisk-sobytij-event-log-powershell/ в) LogExpert 6. Оформить отчет, где для каждого из действий следы найдены 3 способами. !!!Обратите внимание, что одни и те же действия пользователя из пункта 3 могут генерировать несколько разных событий для разных аудитов. В отчете нужно постараться приводить все из них. Лучшее оформление отчета в части про поиск следов в журнале аудита: 1. Подбор пароля к учеткам пользователей: скрины, что нашли с помощью способа а) скрины, что нашли с помощью способа б) скрины, что нашли с помощью способа в) 2. Управление учетками пользователей: а) б) в) ... В отчёте привести все действия, скрины, описание действий и т.д.