Руководство по выработке правил разграничения доступа к ЭВМ

Вход в АС


Большинство операционных систем хранят много информации в файлах-журналах входов в АС. Регулярное исследование этих файлов часто может послужить первой линией обороны при выявлении несанкционированного использования АС.

  • Сопоставьте списки пользователей, работающих сейчас, и предысторию входов в АС. Большинство пользователей обычно начинают и заканчивают работать приблизительно в одно и то же время каждый день. Если же пользователь вошел в АС в "необычное" время для этого пользователя, то возможно, что это злоумышленник.

  • Многие АС содержат записи о входах в АС для составления ведомостей о плате за пользование. Эти записи также могут быть использованы для выявления типового использования АС; необычные записи могут указывать на незаконное использование АС.

  • Следует проверять системные утилиты, связанные со входом в АС, такие как утилита UNIX "syslog", на наличие сообщений о необычных ошибках от системного программного обеспечения. Например, большое число аварийно завершившихся попыток входа в АС за короткий период времени может указывать на то, что кто-то пытается угадать пароль.

  • Команды операционной системы, которые выводят на экран список выполняющихся в данный момент процессов, могут быть использованы для обнаружения пользователей, запускающих программы, которые они не имеют права запускать, а также для обнаружения программ, которые были запущены злоумышленником.



    Содержание раздела