Регистрация событий в ОС Linux
Регистрация событий в Linux:
на локальной машине и удаленно;
настраиваемые уровни регистрации событий;
настраиваемые файлы для хранения логов;
обеспечивается демоном syslogd (или rsyslogd);
все события собираются из сокета /dev/log, порта UDP - 514, а так же от "помощника" - демона klogd
Конфигурационный файл /etc/syslog.conf (или /etc/rsyslog.conf):
• главный конфигурационный файл для демона syslogd;
• содержит набор правил, которые в зависимости от источника события и приоритета данного источника определяют действия демона
Источники событий и приоритеты
| Источники событий | Уровни приоритетов | ||
| 0 -kern | 9 - cron | 0 - emergency | |
| 1 - user | 10 - authpriv | 1 - alert | |
| 2 - mail | 11 - ftp | 2 - critical | |
| 3 - daemon | 12 - NTP | 3 - error | |
| 4 - auth | 13 - log audit | 4 - warning | |
| 5 - syslog | 15 -clock daemon | 5 - notice | |
| 6 - lpr | с 16 по 23 local0 - local7 | 6 - info | |
| 7 - news (не используется) | mark (не имеющая цифрового эквивалента) | 7 - debug | |
| 8 - uucp |
Действием может быть:
• запись в обычный файл;
• использовать именованный канал (fifo) в качестве приемника сообщений;
• пересылать сообщения на терминал и консоль;
• пересылать сообщения на другие машины;
• пересылать сообщения определенным или всем пользователям
• Для журналирования событий ядра – отдельный демон klogd;
• Команда logrotate (демонcron) создает резервные копии журналов и новые чистые файлы журналов, кофигурируется файлом /etc/logrotate.conf;
• записи в журналах обычно содержат метку времени, имя хоста, на котором выполняется описываемый процесс, и имя процесса
Базовые механизмы защиты ОС MS Windows (перечень, назначение)
Идентификация и аутентификация с использованием различных механизмов
- Использование многофакторной аутентификации
- Аутентификация с использованием биометрии и устройств генерации одноразового пароля
- Легкий механизм создания нестандартных способов аутентификации
- Использование данных аутентификации для доступа к приложениям
Служба DirectAccess для обеспечения безопасности мобильных пользователей
- Прозрачное подключение к сети для мобильных пользователей
- Нет необходимости использовать соединение по VPN каналу
- Легкое администрирование машин, подключенных с помощью DirectAccess
- Использование протоколов IPsec для аутентификации и шифрования (возможно применение смарт-карт и интеграция с системой NAP)
Локальные и групповые политики безопасности
- Возможность применения нескольких локальных политик безопасности к одному компьютеру
- Гибкая настройка правил для пользователей
- Поддержка групповых политик безопасности для доменной структуры сети
Встроенные средства резервного копирования и восстановления
- Возможность архивации и восстановления как отдельных файлов и каталогов, так и всего раздела
- Ручной и автоматический режим работы
- Механизм теневого копирования
- Тесная интеграция с групповыми политиками
Клиент обновлений Windows Update с поддержкой сервера обновлений WSUS
- Обновления могут устанавливаться без участия пользователей
- Проверка цифровых подписей обновлений
- Интеграция со службой WSUS (Windows Server Update Services)
- Поддержка службы BITS (Background Intelligent Transfer Service) для повышенной надежности передачи файлов обновлений
Система регистрации событий Windows Event Architecture (логирование)
- Возможность гибкой настройки журналов событий
- Подписка на события
- Интеграция с оболочкой PowerShell
- Тесная интеграция с AD (Active Directory)
Встроенные механизмы защиты MS Windows- групповые и локальные политики безопасности
Локальные и групповые политики безопасности
- Возможность применения нескольких локальных политик безопасности к одному компьютеру
- Гибкая настройка правил для пользователей
- Поддержка групповых политик безопасности для доменной структуры сети