Защита журнала сервера на операционной системе Windows от подмены логов

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ МАШИНОСТРОИТЕЛЬНЫЙ УНИВЕРСИТЕТ (МАМИ)

Транспортно-технологический институт

Кафедра «Высшая математика»

«Допущено к защите» Зав. кафедрой _______________________

/д.м.н., профессор В.Д. Кулиев/ «____» __________________ 2015 г.

ЗЕМНОВ КИРИЛЛ ЭДУАРДОВИЧ

ЗАЩИТА ЖУРНАЛА СЕРВЕРА НА ОПЕРАЦИОННОЙ СИСТЕМЕ WINDOWS ОТ ПОДМЕНЫ ЛОГОВ

выпускная квалификационная работа (дипломная работа) студента 5 курса очной формы обучения по специальности 010501.65 – «Прикладная математика и информатика»

Научный руководитель:

/кандидат математических наук И.В. Нефедова/

_________________________

Москва – 2015

Содержание

ВВЕДЕНИЕ 3

Глава 1. УСТРОЙСТВО СЕРВЕРА. ПРИНЦИПЫ ЕГО РАБОТЫ. 7

1.1 Общие понятия 7

1.2 Основные элементы 9

1.3 Преимущества серверов на ОС Windows 11

1.4 Тенденции современного рынка серверов 14

1.5 Современные стандарты в области построения дата-центров 16

ГЛАВА 2. ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ МЕТОДОВ ПО ЗАЩИТЕ ЖУРНАЛА. 19

2.1 Знакомство с организацией 19

2.2 Формат журнала Windows EVTX, подробный анализ логов 22

2.3 Анализ возможностей подмены записей журнала Windows 26

2.4 Анализ возможностей подмены сетевых дампов 35

2.5 Методы борьбы с подменой записей журнала 41

ЗАКЛЮЧЕНИЕ 48

Список литературы 50

ВВЕДЕНИЕ

Актуальность. В современном обществе у любого человека и в любой компании есть устройство, связанное с интернетом: персональный компьютер, планшетный компьютер, смартфон и т.п. Любой пользователей хранит в интернете много личной информации и совершает разные операции, включая финансовые. Компании хранят в интернете данные о клиентах, бухгалтерию, базы данных и другую конфиденциальную информацию. Для этого используют серверы–компьютеры, выполняющие какие-либо сервисные задачи без прямого участия человека. Серверы бывают разных конфигураций, как и любой персональный компьютер. На конец 2014 года первая пятерка операционных систем на которых работают серверы:

1. Windows.

2. Linux.

3. FreeBSD.

4. F5BIG-IP.

5. Citrix.

Любая операционная система уникальна и требует особых знаний, как для пользования ею, так и для защиты информации. Один из общих элементов серверов - наличие журнала событий. Событием в Microsoft Windows, называется любое изменения состояния программы или системы, о котором нужно уведомить пользователя. Журнал событий - это определенные файлы, хранящие системную информацию работы сервера, в которых фиксируются: события приложений, системные события и события безопасности. При помощи журнала события, можно получить любые сведения о компьютере: об аппаратном обеспечении; о программном обеспечении; о системных компонентах и отлеживать события безопасности. Благодаря журналу событий, можно определить источник системных неполадок и предотвратить возможные неполадки в будущем.

На какой операционной системе должен быть сервер, зависит от многих факторов таких как:

1. какие функции будет он выполнять,

2. какой язык программирования