Л.С. Гуржапова
Известно, что игра является одном из наиболее эффективных, гибких и универсальных приемов обучения. Она призвана активизировать процесс обучения, сделать его более продуктивным, а также формировать и далее развивать мотивацию учения. Автор статьи показывает как детально-продуманная и методически-грамотно организованная игра позволяет комплексно решать задачи как практического, так и воспитательного, развивающего и образовательного характера на начальной ступени обучения английскому языку.
«Я буду изучать иностранный язык! Я смогу общаться с настоящими иностранцами!» - такие восторженный мысли обычно возникают у школьников, начинающих изучать иностранный язык. Но получается так, что английский, который казался вроде бы простым, вдруг на самом деле является очень трудным языком (Курт Тухольский).
И то радостное настроение, с которым они начинали посещать уроки иностранного языка постепенно угасает, а иногда и вовсе пропадает. И часто мы слышим: «Я не могу запомнить слова. Мне трудно произнести».
Для нас, преподавателей, это огромная проблема. Настоящий урок – это не тот, что просто прошел, а тот, что запомнился. Запомнился детям, как интересный, познавательный; урок, который оставил след в памяти учеников. Урок, на который хочется прийти еще раз.
Поэтому преподаватели постоянно ищут наилучшие способы взаимодействия с учащимися и преподавания материала.
Одним из таких приемов является игра.
Общение на любом языке требует большого словарного запаса, который накапливается в течение нескольких лет. Отсюда следует, что изучать язык следует начинать с раннего детства. Игра позволяет детям эффективно и качественно, а главное с интересом изучать иностранные языки. Учитывая тот факт, что интерес является лучшим стимулом к обучению, необходимо стараться использовать каждую возможность, чтобы разгрузить ребёнка посредством игровой деятельности в процессе обучения языку.
Психологами и педагогами установлено, что, прежде всего, в игре развивается способность к воображению, образному мышлению.
Большое влияние оказывает игра на развитие у детей способности взаимодействовать с другими людьми. Кроме того, что ребёнок, воспроизводя в игре взаимодействие и взаимоотношения взрослых, осваивает правила, способы этого взаимодействия в совместной игре со сверстниками он приобретает опыт взаимопонимания, учится пояснять свои действия и намерения, согласовать их с другими детьми.
Игра очень эффективна при обучении английскому языку детей младшего школьного возраста.
В этом возрасте происходят большие изменения в познавательной сфере ребенка [2]. Память приобретает ярко выраженный познавательный характер. В этот период развиваются формы мышления, обеспечивающие в дальнейшем усвоение системы научных знаний, развитие научного, теоретического мышления [12].
Во – вторых, в младшем школьном возрасте идет интенсивное формирование приемов запоминания.
В области восприятия происходит переход от непроизвольного восприятия к целенаправленному произвольному наблюдению за объектом.
В этом возрасте формируется способность сосредотачивать внимание на малоинтересных вещах. Эмоциональные переживания приобретают более обобщающий характер.
Таким образом, младший школьный возраст – это возраст интенсивного развития [15; 16].
В то же время иностранный язык – сложный предмет, требующий от учащихся напряженной умственной деятельности. Специфика иностранного языка такова, что он, характеризуясь чертами, присущими вообще языку как знаковой системе, также определяется целым рядом отличительных от родного языка особенностей овладения и владения им.
Специфической особенностью иностранного языка является сформированное к нему негативное, субъективное отношение учащихся как к очень трудному, практически не поддающемуся в условиях школьного обучения овладению предмету.
Иностранный язык, действительно, требует работы – ежедневной и систематической. Он требует работы, которая мотивирована. Ученик должен знать, ради чего он делает, и иметь четко поставленную конкретную цель изучения иностранного языка.
Поэтому игра – наилучший способ обучения детей. Она оказывает огромное влияние на развитие и становление личности. Многие психологи считают, что в игре происходят главнейшие изменения в психике ребенка. Игра формирует качества, нужные для успешного обучения ребенка иностранному языку.
С помощью игры хорошо отрабатывается произношение, активизируется лексический и грамматический материал, развиваются навыки аудирования, устной речи.
В игре развиваются творческие, мыслительные способности ребенка. В ней предполагается принятие решения: как поступить, что сказать, как выиграть.
Обучающие игры помогают сделать процесс обучения иностранному языку интересным и увлекательным. Чувство равенства, атмосфера увлеченности дают возможность ребятам преодолеть стеснительность, скованность, снять языковой барьер, усталость.
В любой вид деятельности на уроке можно внести элементы игры, и тогда даже самое скучное занятие приобретает увлекательную форму.
Д. Б. Эльконин [21] считает, что игра выполняет четыре важнейшие для человека функции:
• средство развития мотивационно-потребностной сферы;
• средство познания;
• средство развития умственных действий;
• средство развития произвольного поведения.
Игра всегда предполагает принятие решения – как поступить, что сказать, как выиграть. Это обостряет мыслительную деятельность учащихся. Именно в игре дети усваивают общественные функции, нормы поведения. Игра, как говорил Л.С.Выготский [4], ведет за собой развитие. Развивающее значение игры заложено в самой ее природе, ибо игра – это всегда эмоции, а там, где эмоции, - там активность, там внимание и воображение, там работает мышление.
Таким образом, игра – это:
1) деятельность;
2) мотивированность;
3) индивидуализированная деятельность, личная;
4) обучение и воспитание в коллективе и через коллектив;
5) развитие психических функций и способностей;
6) «учение с увлечением» (С.Л. Соловейчик) [7].
Применять игру как средство обучения можно при прохождении любой темы, грамматической структуры. Таким образом, и классификация игр может быть разная.
В данной классификации главным принципом послужили определенные уровни или аспекты языка:
1. Игры с буквами;
2. Игры со словами;
3. Игры с предметами;
4. Грамматические игры;
5. Поэтические игры;
6. Загадки, ребусы.
Эта классификация может быть расширена, так как на уровне слова, предложений, текстов могут выполняться и лексические, и грамматические, и стилистические, и орфографические, и фонетические игры. Применяя языковые и речевые игры на уроке, учитель должен помнить следующее:
1) Выбор формы игры должен быть педагогически и дидактически обоснован. Учитель должен знать, с какой целью он проводит ту или иную игру.
2) В играх должно быть задействовано как можно больше учащихся.
3) Игры должны соответствовать возрастным и языковым возможностям учащихся.
4) Языковые игры служат развитию всех видов речевой деятельности. На первом плане – говорение. Есть игры, предполагающие письменное выполнение, а также ряд заданий, которые могут по усмотрению учителя выполняться устно или письменно.
5) Не всегда удаётся “вписать” языковую игру в тематику урока. Но учитель должен стараться это сделать.
6) Ведущий, обычно учитель, должен быть по возможности на заднем плане. Роль ведущего могут играть и ученики.
7) Затраты времени на подготовку и проведение игры и её польза должны находиться в оправданном соотношении друг с другом.
8) Среди многих видов упражнений есть такие, которые являются предметом педагогических дискуссий: корректировочные упражнения. Упражнения, включающие в себя поиск ошибок, полезны тем, что они дарят радость открытия и стимулируют активность учащихся.
9) Языковые игры должны проводиться преимущественно на иностранном языке.
Поскольку целью обучения иностранному языку является формирование навыков и развитие умений, можно классифицировать игры и игровые упражнения в соответствии с этой целью обучения [14].
I. Языковые упражнения, направленные на формирования навыков и развитие умений:
1. Игры для обучения произношению.
2. Игры для обучения слушанию и говорению.
II. Игры, направленные на усвоение определенной лексики.
Куда интереснее вместо обычного заучивания слов по теме, например, на уроке наряжать елку разноцветными шарами, садить бумажные цветы, искать сбежавших из зоопарка зверей, кормить голодного Робина Бобина или считать веснушки у Незнайки.
Будучи на практике в Вятской Гуманитарной Гимназии нас попросили провести уроки английского языка в 7 классах, так как преподаватель заболела. За день до уроков нам сообщили тему урока, дали учебник, рабочую тетрадь и добрые напутствия. Весь оставшийся вечер мы придумывали, как занять ребят, привлечь их внимание и преподнести материал. Ведь это был мой первый опыт преподавания английского языка.
На помощь пришла игра.
В течение нескольких уроков мы играли с ребятами, изучая тему «Животные». Результат превзошел все наши ожидания.
Ребята с удовольствием рассказывали о своих домашних любимцах, изображали различных зверюшек, загадывали друг другу загадки, участвовали в «Поле Чудес», «Угадайке».
По собственному желанию школьники выучили названия других животных и приготовили интересные доклады.
Достаточно лишь внести элемент игры или создать игровую ситуацию, чтобы ребенок сам захотел овладеть изучаемой темой, структурой, запомнить нужные правила.
Игра позволяет сделать учебный процесс привлекательным и интересным, заставляет учащихся волноваться и переживать.
Это мощный стимул к овладению языком.
Список литературы
1. Берн Э. «Игры, в которые играют люди. Люди, которые играют в игры»: Пер. с англ. Берн Э. Л., Лениздат – 1992.
2. Возрастная и педагогическая психология. Под ред. Петровского А.В. – М., Просвещение – 1973.
3. Верхогляд В.А. «Английские стихи для детей » - М., 1985.
4. Выготский Л.С. «Педагогическая психология» - М., 1985.
5. Ж. «Иностранные языки в школе» №5 1981 г./ Верхогляд В.А. «Игры на английском языке для внеклассной работы».
6. Ж. «Иностранные языки в школе» №3 1987 г./Семахина Т.В. «Игры на уроках английского языка на начальной ступени обучения »
7. Ж. «Иностранные языки в школе» №2 1992 г./ Савченко О.Ю. «Игры на уроках английского языка».
8. Ж. «Иностранные языки в школе» №3 1996 г./ Бочарова Л.Н. «Игры на уроках английского языка».
9. Ж. «Иностранные языки в школе» №4 1999 г./ Перкас «Ролевые игры на уроке английского языка».
10. Ж. «Иностранные языки в школе» №6 1995 г./ Бурдина М.И. «Языковые и речевые игры на уроках английского языка»
11. Покровский Е.А. «Детские игры» М., Терра-Терра, 1997.
12. Зимняя И.А. «Психология обучения иностранным языкам в школе» - М., Просвещение, 1991.
13. Зимняя И.А. «Психологические аспекты говорения на иностранном языке» - М., Просвещение, 1985.
14. Колесникова И.Е. «Игры на уроках английского языка в 5 классе» - М., Народная Асвета, 1990.
15. Обухова Л.Ф. «Возрастная психология» - М., Роспедагентство, 1996.
16. Петрунек П.,Таран Л. «Младший школьный возраст» - М., Знание, 1981.
17. Петрусинский В.В. «Игры – обучение, тренинг, досуг» - М., Новая школа, 1994.
18. Психология. Выпуск 8. «Психология формирования личности детей школьного возраста» - Минск, Народная Асвета, 19880.
19. Рабочая тетрадь «Happy English» - ч.2, 1995.
20. Шмаков С.А. «Её величество игра. Забавы, потехи, розыгрыши для детей, родителей, воспитателей» – М., Магистр – 1992
21. Эльконин Д.Б. «Психология игры» - М., Педагогика, 1978.
Сплайны
Сплайны
В практической жизни и деятельности кривые встречаются достаточно часто. Мы уже подробно рассмотрели классические виды кривых: эллипс, гиперболу, параболу и их свойства. А сегодняшнее занятие будет посвящено кривым, без которых немыслима никакая современная графическая система. Даже всем известный стандартный графический редактор Paint.
Задание: изобразить в графическом редакторе кривые различной формы и убедиться, что для того, чтобы создать нужную форму, надо знать принципы построения произвольных кривых, а также их аналитического описания.
Но точное описание произвольной кривой практически невозможно, но можно подобрать такую функцию, которая бы задавала кривую, проходящую через заданные точки и максимально близкую к заданной. Это фактически задача аппроксимации.
Функции, используемые для аппроксимации произвольных гладких кривых называются математическими сплайнами.
Термин «сплайн» происходит от английского spline, что означает гибкую полоску стали, которую применяли чертежники для проведения плавных кривых, например, для построения обводов или самолетов.
Свойства таких функций:
1) функция должна проходить через все заданные точки;
2) функция должна иметь непрерывную вторую производную на всей области определения.
Сплайн – это такая кривая или поверхность, для которой сравнительно просто вычислить координаты ее точек.
Будем искать описание кривой в параметрическом виде. Преимущества параметрического описания – легко описываются кривые и поверхности, отвечающие неоднозначным функциям. Описание можно сделать таким образом, что формула не будет существенно изменяться при поворотах и масштабировании.
Одним из способов задания сплайновой кривой является указание координат ключевых точек. Его придумал француз Пьер Безье. Он предложил разбить кривую на куски, каждый из которых задать четырьмя точками.
Гладкая кривая, состоящая из серий по четыре контрольные точки, которые в разной мере определяют ее направление. Совершенно необязательно условие прохождения кривой через все контрольные точки.
P1, P4 – начальная и конечная точки
P2, P3 – ключевые точки, определяющие направление кривой.
Возможен случай: P2=P3
С него и начнем изучение кривых Безье.
Квадратичная кривая Безье
Заданы три контрольные точки P0, P1 и P2. Применим процедуру деления, используя параметр t – число от 0 до 1 (например t=0,75):
1) Вычислим точку P1(1) на отрезке P0P1 по следующей формуле:
P1(1) = (1-t) P0 + t P1
2) Вычислим точку P2(1) на отрезке P1P2 по формуле:
P2(1) = (1-t) P1 + t P2
3) Вычислим точку P2(2) на отрезке P1(1)P2(1) по формуле:
P2(2)=(1-t)P1(1)+tP2(1)
5) Обозначим P(t)=P2(2)
Уравнение кривой
Рассмотрим эту процедуру с точки зрения использования параметров. Каждая из точек P1(1), P2(1) и P2(2) зависит от параметра t , и P2(2) принимает значение, соответствующее значению параметра t. Таким образом, P(t) является функциональным представлением кривой Безье.
Запишем это алгебраически:
P(t) = P2(2)(t) = (1-t)P1(1)(t)+tP2(1)(t), где P1(1)=(1-t)P0+tP1
P2(1)=(1-t)P1+tP2
(Заметим, что мы обозначили P1(1), P2(1) как функции от t).
Подставив эти два выражения в первоначальное, получим
P(t) = (1-t) ((1-t) P0 + tP1) + t((1-t)P1+tP2) =
= (1-t)[(1-t)P0+tP1]+t[(1-t)P1+tP2] =
= (1-t)2P0+(1-t)tP1+t(1-t)P1+t2P2 =
= (1-t)2P0+ 2t(1-t)P1+t2P2
Это квадратичный полином (или линейная комбинация квадратичных полиномов), следовательно, это параболическая кривая. Она и получила название квадратичной кривой Безье.
Свойства квадратичной кривой
1) P(0)=P0 и P(1)=P2, кривая проходит через контрольные точки P0 и P2
2) Кривая P(t) является непрерывной и все ее производные так же непрерывны (это следует из свойств полиномов)
3) Продифференцируем P(t) по t и получим: = 2[(1-t)(P1-P0)+t(P2-P1)]
Таким образом, , при t=0 и это тангенс вектор при t=1. Это означает, что наклон кривой при t=0 такой же, как и у вектора 2(P1-P0) , а наклон кривой при t=1 такой же, как и у вектора 2(P2-P1).
4) Функции (1-t)2, 2t(1-t) и t2 являются полиномами Бернштейна 2-й степени. Сами функции и их сумма неотрицательны: (1-t)2+2t(1-t)+t2=1-2t+t2+2t-2t2+t2=1
5) Кривая лежит внутри треугольника P0P1P2.
P(t) является аффинной комбинацией точек P0, P1 и P2. Таким образом, P(t) будет лежать в выпуклой области контрольных точек при всех , а выпуклая область треугольника и есть сам треугольник.
6) Если точки P0, P1, P2 коллинеарны, то кривая есть прямая линия.
Если точки коллинеарны, то выпуклой областью является прямая, и, следовательно, квадратичная кривая будет прямой линией.
Вывод:
1.Геометрический метод построения квадратичной кривой Безье
2.Аналитический метод построения квадратичной кривой Безье
Кубическая кривая Безье
Заданы четыре контрольные точки P0, P1, P2, P3 .
Пусть P1(1)(t)=tP1+(1-t)P0
P2(1)(t)=tP2+(1-t)P1
P3(1)(t)=tP3+(1-t)P2
P2(2)(t)=tP2(1)(t)+(1-t)P1(1)(t)
P3(2)(t)=tP3(1)(t)+(1-t)P2(1)(t)
P3(3)(t)=tP3(2)(t)+(1-t)P2(2)(t)
Обозначим P3(3)(t) как P(t)
Заметим, что процесс построения такой же, как и квадратичной кривой Безье, добавился лишь один уровень.
Упрощая написанную выше конструкцию, получим:
Свойства кубической кривой Безье
Кубическая кривая Безье имеет свойства, схожие со свойствами квадратичной кривой.
, где .
Вывод:
1.Геометрический метод построения квадратичной кривой Безье
Задав точки P0, P1, P2, P3 и выбрав значение t из [0,1] сгенерировать точку P(t) на кривой Безье:
P(t)=P3(3)(t) , где
2.Аналитический метод построения квадратичной кривой Безье
, где B0(t)=(1-t)3
B1(t)=3t(1-t)2 - полиномы Бернштейна
B2(t)=3t2(1-t) третьей степени
B3(t)=t3
Кубические сплайны находят самое большое применение в практике, так как третья степень – наименьшая из степеней, позволяющих описать любую форму (любой сложности), и при стыковке различных сплайнов можно обеспечить непрерывную первую производную (кривая или поверхность будет без изломов в местах стыка).
Можно для аппроксимации использовать и квадратичные кривые. Они гораздо проще, чем кубический сплайн, но тогда для аппроксимации произвольных линий таких кривых понадобилось бы больше.
Так, например, для построения окружности (или эллипса) с хорошей точностью достаточно четырех кубических сплайнов, а квадратичных надо как минимум 10-12 (см. рис.).
На рисунке эллипс – светло-серая кривая – практически невозможно отличить от кубического сплайна (тонкая черная кривая), построенного по точкам A, Aζ, Bξ и B. Контрольные точки Aζ и Bξ подбирались так, чтобы в точках A и B совпадали радиусы кривизны сплайна и исходной кривой (эллипса).
Квадратичный сплайн (кривая Безье второго порядка, построенная по точкам A, C и B), как видно на рисунке, в точках A и B касается исходной кривой, но в промежутке между этими точками существенно от нее отклоняется.
Геометрические сплайны
Задание
1. Проверить точность аппроксимации в рамках реализованного алгоритма.
Исходными данными на выполнение работы являются: метод аппроксимации и вид кривой (график). Необходимо аппроксимировать заданную кривую с помощью кубической.
Результаты работы: значения параметров построенной кубической кривой, графики промежуточных результатов и график конечного результата.
2. Написать программу построения кривой Безье на экране компьютера. При этом необходимо предусмотреть работу программы в следующих режимах:
- построение кубической кривой по заданным параметрам;
- аппроксимация заданной кривой с кубической путем подбора параметров.
Исходные данные:
№
вари-анта Параметры кубической кривой
Р1х Р1y Р2х Р2y Р3х Р3y Р4х Р4y
1 -30 10 -30 -20 20 30 20 -10
2 -30 10 0 10 20 30 20 -10
3 -20 20 -60 60 50 50 10 10
4 -20 20 20 -20 -30 -30 10 10
Варианты заданий:
В практической жизни и деятельности кривые встречаются достаточно часто. Мы уже подробно рассмотрели классические виды кривых: эллипс, гиперболу, параболу и их свойства. А сегодняшнее занятие будет посвящено кривым, без которых немыслима никакая современная графическая система. Даже всем известный стандартный графический редактор Paint.
Задание: изобразить в графическом редакторе кривые различной формы и убедиться, что для того, чтобы создать нужную форму, надо знать принципы построения произвольных кривых, а также их аналитического описания.
Но точное описание произвольной кривой практически невозможно, но можно подобрать такую функцию, которая бы задавала кривую, проходящую через заданные точки и максимально близкую к заданной. Это фактически задача аппроксимации.
Функции, используемые для аппроксимации произвольных гладких кривых называются математическими сплайнами.
Термин «сплайн» происходит от английского spline, что означает гибкую полоску стали, которую применяли чертежники для проведения плавных кривых, например, для построения обводов или самолетов.
Свойства таких функций:
1) функция должна проходить через все заданные точки;
2) функция должна иметь непрерывную вторую производную на всей области определения.
Сплайн – это такая кривая или поверхность, для которой сравнительно просто вычислить координаты ее точек.
Будем искать описание кривой в параметрическом виде. Преимущества параметрического описания – легко описываются кривые и поверхности, отвечающие неоднозначным функциям. Описание можно сделать таким образом, что формула не будет существенно изменяться при поворотах и масштабировании.
Одним из способов задания сплайновой кривой является указание координат ключевых точек. Его придумал француз Пьер Безье. Он предложил разбить кривую на куски, каждый из которых задать четырьмя точками.
Гладкая кривая, состоящая из серий по четыре контрольные точки, которые в разной мере определяют ее направление. Совершенно необязательно условие прохождения кривой через все контрольные точки.
P1, P4 – начальная и конечная точки
P2, P3 – ключевые точки, определяющие направление кривой.
Возможен случай: P2=P3
С него и начнем изучение кривых Безье.
Квадратичная кривая Безье
Заданы три контрольные точки P0, P1 и P2. Применим процедуру деления, используя параметр t – число от 0 до 1 (например t=0,75):
1) Вычислим точку P1(1) на отрезке P0P1 по следующей формуле:
P1(1) = (1-t) P0 + t P1
2) Вычислим точку P2(1) на отрезке P1P2 по формуле:
P2(1) = (1-t) P1 + t P2
3) Вычислим точку P2(2) на отрезке P1(1)P2(1) по формуле:
P2(2)=(1-t)P1(1)+tP2(1)
5) Обозначим P(t)=P2(2)
Уравнение кривой
Рассмотрим эту процедуру с точки зрения использования параметров. Каждая из точек P1(1), P2(1) и P2(2) зависит от параметра t , и P2(2) принимает значение, соответствующее значению параметра t. Таким образом, P(t) является функциональным представлением кривой Безье.
Запишем это алгебраически:
P(t) = P2(2)(t) = (1-t)P1(1)(t)+tP2(1)(t), где P1(1)=(1-t)P0+tP1
P2(1)=(1-t)P1+tP2
(Заметим, что мы обозначили P1(1), P2(1) как функции от t).
Подставив эти два выражения в первоначальное, получим
P(t) = (1-t) ((1-t) P0 + tP1) + t((1-t)P1+tP2) =
= (1-t)[(1-t)P0+tP1]+t[(1-t)P1+tP2] =
= (1-t)2P0+(1-t)tP1+t(1-t)P1+t2P2 =
= (1-t)2P0+ 2t(1-t)P1+t2P2
Это квадратичный полином (или линейная комбинация квадратичных полиномов), следовательно, это параболическая кривая. Она и получила название квадратичной кривой Безье.
Свойства квадратичной кривой
1) P(0)=P0 и P(1)=P2, кривая проходит через контрольные точки P0 и P2
2) Кривая P(t) является непрерывной и все ее производные так же непрерывны (это следует из свойств полиномов)
3) Продифференцируем P(t) по t и получим: = 2[(1-t)(P1-P0)+t(P2-P1)]
Таким образом, , при t=0 и это тангенс вектор при t=1. Это означает, что наклон кривой при t=0 такой же, как и у вектора 2(P1-P0) , а наклон кривой при t=1 такой же, как и у вектора 2(P2-P1).
4) Функции (1-t)2, 2t(1-t) и t2 являются полиномами Бернштейна 2-й степени. Сами функции и их сумма неотрицательны: (1-t)2+2t(1-t)+t2=1-2t+t2+2t-2t2+t2=1
5) Кривая лежит внутри треугольника P0P1P2.
P(t) является аффинной комбинацией точек P0, P1 и P2. Таким образом, P(t) будет лежать в выпуклой области контрольных точек при всех , а выпуклая область треугольника и есть сам треугольник.
6) Если точки P0, P1, P2 коллинеарны, то кривая есть прямая линия.
Если точки коллинеарны, то выпуклой областью является прямая, и, следовательно, квадратичная кривая будет прямой линией.
Вывод:
1.Геометрический метод построения квадратичной кривой Безье
2.Аналитический метод построения квадратичной кривой Безье
Кубическая кривая Безье
Заданы четыре контрольные точки P0, P1, P2, P3 .
Пусть P1(1)(t)=tP1+(1-t)P0
P2(1)(t)=tP2+(1-t)P1
P3(1)(t)=tP3+(1-t)P2
P2(2)(t)=tP2(1)(t)+(1-t)P1(1)(t)
P3(2)(t)=tP3(1)(t)+(1-t)P2(1)(t)
P3(3)(t)=tP3(2)(t)+(1-t)P2(2)(t)
Обозначим P3(3)(t) как P(t)
Заметим, что процесс построения такой же, как и квадратичной кривой Безье, добавился лишь один уровень.
Упрощая написанную выше конструкцию, получим:
Свойства кубической кривой Безье
Кубическая кривая Безье имеет свойства, схожие со свойствами квадратичной кривой.
, где .
Вывод:
1.Геометрический метод построения квадратичной кривой Безье
Задав точки P0, P1, P2, P3 и выбрав значение t из [0,1] сгенерировать точку P(t) на кривой Безье:
P(t)=P3(3)(t) , где
2.Аналитический метод построения квадратичной кривой Безье
, где B0(t)=(1-t)3
B1(t)=3t(1-t)2 - полиномы Бернштейна
B2(t)=3t2(1-t) третьей степени
B3(t)=t3
Кубические сплайны находят самое большое применение в практике, так как третья степень – наименьшая из степеней, позволяющих описать любую форму (любой сложности), и при стыковке различных сплайнов можно обеспечить непрерывную первую производную (кривая или поверхность будет без изломов в местах стыка).
Можно для аппроксимации использовать и квадратичные кривые. Они гораздо проще, чем кубический сплайн, но тогда для аппроксимации произвольных линий таких кривых понадобилось бы больше.
Так, например, для построения окружности (или эллипса) с хорошей точностью достаточно четырех кубических сплайнов, а квадратичных надо как минимум 10-12 (см. рис.).
На рисунке эллипс – светло-серая кривая – практически невозможно отличить от кубического сплайна (тонкая черная кривая), построенного по точкам A, Aζ, Bξ и B. Контрольные точки Aζ и Bξ подбирались так, чтобы в точках A и B совпадали радиусы кривизны сплайна и исходной кривой (эллипса).
Квадратичный сплайн (кривая Безье второго порядка, построенная по точкам A, C и B), как видно на рисунке, в точках A и B касается исходной кривой, но в промежутке между этими точками существенно от нее отклоняется.
Геометрические сплайны
Задание
1. Проверить точность аппроксимации в рамках реализованного алгоритма.
Исходными данными на выполнение работы являются: метод аппроксимации и вид кривой (график). Необходимо аппроксимировать заданную кривую с помощью кубической.
Результаты работы: значения параметров построенной кубической кривой, графики промежуточных результатов и график конечного результата.
2. Написать программу построения кривой Безье на экране компьютера. При этом необходимо предусмотреть работу программы в следующих режимах:
- построение кубической кривой по заданным параметрам;
- аппроксимация заданной кривой с кубической путем подбора параметров.
Исходные данные:
№
вари-анта Параметры кубической кривой
Р1х Р1y Р2х Р2y Р3х Р3y Р4х Р4y
1 -30 10 -30 -20 20 30 20 -10
2 -30 10 0 10 20 30 20 -10
3 -20 20 -60 60 50 50 10 10
4 -20 20 20 -20 -30 -30 10 10
Варианты заданий:
биогр
Елена Олеговна Галицких – доктор педагогических наук, профессор, член диссертационного совета по педагогике, заведующая кафедрой русской литературы ВятГГУ, «Отличник просвещения РФ» (1996 г.); награждена в 1998 г. Почетной грамотой Министерства общего и профессионального образования, а в 2004 г. – медалью Януша Корчака во Всероссийском конкурсе инновационных проектов за книгу «От сердца к сердцу: мастерские ценностных ориентаций», действительный член Петровской академии наук и искусств (2004 г.), автор многочисленных статей и монографий, вышедших в местных и центральных издательствах.
Родилась Елена Олеговна 31 августа 1957 г. в г. Яранске Кировской области, а её детские годы прошли в с. Русские Краи Кикнурского района. Ее родители были педагогами: отец – Олег Андрианович Белоусов – заслуженный учитель СССР, историк, директор школы, мать – Тамара Михайловна – учитель литературы.
Желание стать учителем литературы было мечтой детства. Однажды ей даже приснился сон: идёт по липовой аллее к институту, хотя никогда наяву этой местности не видела. А приехала поступать – поняла: это её судьба. Студенческие годы прошли ярко и насыщенно. Увлекалась спортивной гимнастикой, выступала с агитбригадой, участвовала в работе Школы вожатых и комсомольского актива института, была старостой группы.
В 1978 г. Елена Олеговна Галицких с отличием окончила факультет русского языка и литературы Кировского государственного педагогического института и в течение 10 лет работала в школе № 16 г. Кирова. Она говорит, что ей в жизни везло на встречи с талантливыми, интеллигентными, мудрыми педагогами, на общение с хорошими людьми.
В 1988 г. возвратилась на родной филологический факультет ВятГГУ.
Учеба в аспирантуре и докторантуре на кафедре педагогики при РГГУ им А. Герцена завершилась защитой докторской диссертации на тему «Интегративный подход как теоретическая основа профессионально личностного становления будущего педагога в университете» (2002 г.)
В настоящее время доктор педагогических наук, профессор Е. О. Галицких – автор более 115 публикаций, среди которых монографии и учебные пособия, статьи в журналах «Высшее образование в России», «Воспитание школьников», «Литература в школе», «Вестник ВятГГУ». Она автор книг «Духовное развитие личности», «Конспекты уроков для учителя литературы. 8 класс. Творчество А. С. Грина» (М., 2002), «От сердца к сердцу: мастерские ценностных ориентаций» (СПб., 2003), Интегративный подход к профессионально личностному становлению будущего педагога в университете» (СПб., 2001), «Диалог в образовании как способ становления толерантности» (М., 2004), «Профессия – учитель» (М., 2005) и др.
Область научных интересов профессора Е. О. Галицких носит интегративный характер: это дидактика высшей школы, технологии гуманитарного образования, возможности диалога автора и читателя, проблемы профессионально личностного становления студентов, педагогов и специалистов в сфере профессионального образования и повышения квалификации.
Являясь специалистом по теории и методике профессионального образования и педагогическим технологиям, Елена Олеговна активно проводит семинары и мастер классы в различных городах России: Кирове, Ярославле, Оренбурге, Санкт Петербурге, Челябинске, Нижнем Тагиле, Москве, Усть Илимске. Лекционные курсы Елены Олеговны не только интересны, современны и содержательны. В преподавательской деятельности Елена Олеговна осуществляет интеграцию науки и практики в школах города и области, проводя большую работу с педагогическими коллективами школ по духовно нравственному воспитанию учащихся.
Большой вклад внесла Е. О. Галицких в разработку региональной модели современного гимназического образования, осуществляя научное руководство Федеральной экспериментальной площадкой Министерства образования и науки Российской Федерации – Вятской гуманитарной гимназией, признанной в 2004 г. одной из лучших школ России. Под руководством Е. О. Галицких гимназией изданы 6 пособий и разработаны две образовательные технологии: «Интегративные образовательные экспедиции» и «Мастерские ценностных ориентаций».
Занимаясь повышением квалификации педагогов Кировской области, она более 10 лет успешно руководит лабораторией профессионально личностного становления педагогов при Департаменте образования, читает лекции в областном институте повышения квалификации и переподготовки кадров работников образования, пользуясь у слушателей большим авторитетом.
В 2003 г. Е. О. Галицких была делегатом от Кировской области на Всероссийском съезде методистов и учителей словесников в Санкт Петербурге, представителем педагогов высшей школы на 1 ом межрегиональном образовательном форуме в Москве в мае 2004 г., представляла высшую школу Вятки на конгрессах интеллигенции в Санкт Петербурге в 2005 и 2006 гг. В 2005 г. Е. О. Галицких стала победителем областного конкурса и ей присвоено звание «Лучший работник по профессии». Девиз педагогической деятельности Елены Олеговны – «Нужно жить увлеченно, творчество украшает жизнь!».
Е. О. Галицких разносторонний, увлеченный человек, обладающий активной жизненной позицией, любящий свою профессию, людей, мир. Ей интересен духовный и жизненный опыт каждого человека и разные сферы творчества: литература, музыка, театр, живопись, кинематограф. Елена Олеговна верит в неисчерпаемость и силу «живого знания», в «улыбку, прощение и вовремя сказанное нужное слово» (А. Грин).
Родилась Елена Олеговна 31 августа 1957 г. в г. Яранске Кировской области, а её детские годы прошли в с. Русские Краи Кикнурского района. Ее родители были педагогами: отец – Олег Андрианович Белоусов – заслуженный учитель СССР, историк, директор школы, мать – Тамара Михайловна – учитель литературы.
Желание стать учителем литературы было мечтой детства. Однажды ей даже приснился сон: идёт по липовой аллее к институту, хотя никогда наяву этой местности не видела. А приехала поступать – поняла: это её судьба. Студенческие годы прошли ярко и насыщенно. Увлекалась спортивной гимнастикой, выступала с агитбригадой, участвовала в работе Школы вожатых и комсомольского актива института, была старостой группы.
В 1978 г. Елена Олеговна Галицких с отличием окончила факультет русского языка и литературы Кировского государственного педагогического института и в течение 10 лет работала в школе № 16 г. Кирова. Она говорит, что ей в жизни везло на встречи с талантливыми, интеллигентными, мудрыми педагогами, на общение с хорошими людьми.
В 1988 г. возвратилась на родной филологический факультет ВятГГУ.
Учеба в аспирантуре и докторантуре на кафедре педагогики при РГГУ им А. Герцена завершилась защитой докторской диссертации на тему «Интегративный подход как теоретическая основа профессионально личностного становления будущего педагога в университете» (2002 г.)
В настоящее время доктор педагогических наук, профессор Е. О. Галицких – автор более 115 публикаций, среди которых монографии и учебные пособия, статьи в журналах «Высшее образование в России», «Воспитание школьников», «Литература в школе», «Вестник ВятГГУ». Она автор книг «Духовное развитие личности», «Конспекты уроков для учителя литературы. 8 класс. Творчество А. С. Грина» (М., 2002), «От сердца к сердцу: мастерские ценностных ориентаций» (СПб., 2003), Интегративный подход к профессионально личностному становлению будущего педагога в университете» (СПб., 2001), «Диалог в образовании как способ становления толерантности» (М., 2004), «Профессия – учитель» (М., 2005) и др.
Область научных интересов профессора Е. О. Галицких носит интегративный характер: это дидактика высшей школы, технологии гуманитарного образования, возможности диалога автора и читателя, проблемы профессионально личностного становления студентов, педагогов и специалистов в сфере профессионального образования и повышения квалификации.
Являясь специалистом по теории и методике профессионального образования и педагогическим технологиям, Елена Олеговна активно проводит семинары и мастер классы в различных городах России: Кирове, Ярославле, Оренбурге, Санкт Петербурге, Челябинске, Нижнем Тагиле, Москве, Усть Илимске. Лекционные курсы Елены Олеговны не только интересны, современны и содержательны. В преподавательской деятельности Елена Олеговна осуществляет интеграцию науки и практики в школах города и области, проводя большую работу с педагогическими коллективами школ по духовно нравственному воспитанию учащихся.
Большой вклад внесла Е. О. Галицких в разработку региональной модели современного гимназического образования, осуществляя научное руководство Федеральной экспериментальной площадкой Министерства образования и науки Российской Федерации – Вятской гуманитарной гимназией, признанной в 2004 г. одной из лучших школ России. Под руководством Е. О. Галицких гимназией изданы 6 пособий и разработаны две образовательные технологии: «Интегративные образовательные экспедиции» и «Мастерские ценностных ориентаций».
Занимаясь повышением квалификации педагогов Кировской области, она более 10 лет успешно руководит лабораторией профессионально личностного становления педагогов при Департаменте образования, читает лекции в областном институте повышения квалификации и переподготовки кадров работников образования, пользуясь у слушателей большим авторитетом.
В 2003 г. Е. О. Галицких была делегатом от Кировской области на Всероссийском съезде методистов и учителей словесников в Санкт Петербурге, представителем педагогов высшей школы на 1 ом межрегиональном образовательном форуме в Москве в мае 2004 г., представляла высшую школу Вятки на конгрессах интеллигенции в Санкт Петербурге в 2005 и 2006 гг. В 2005 г. Е. О. Галицких стала победителем областного конкурса и ей присвоено звание «Лучший работник по профессии». Девиз педагогической деятельности Елены Олеговны – «Нужно жить увлеченно, творчество украшает жизнь!».
Е. О. Галицких разносторонний, увлеченный человек, обладающий активной жизненной позицией, любящий свою профессию, людей, мир. Ей интересен духовный и жизненный опыт каждого человека и разные сферы творчества: литература, музыка, театр, живопись, кинематограф. Елена Олеговна верит в неисчерпаемость и силу «живого знания», в «улыбку, прощение и вовремя сказанное нужное слово» (А. Грин).
Все о журнале безопасности Windows 2000
Рэнди Франклин Смит
Windows IT Pro :: Безопасность
Информация о программах, запускавшихся взломщиком, нередко помогает восстановить полную картину действий постороннего лица, проникшего в сеть. Другими свидетельствами могут служить изменения полномочий и политик или несанкционированная перезагрузка системы.
Контролировать выполнение программ можно с помощью категории Audit process tracking (аудит запуска процесса) Windows 2000. Могут пригодиться и категории аудита действий операционной системы Audit privilege use (аудит использования привилегий), Audit policy change (аудит изменения политики) и Audit system events (аудит системных событий). Наряду с другими категориями аудита, представленными в данной серии статей о журнале безопасности Windows 2000, эти события помогут понять, какие действия предпринимал взломщик, пытавшийся нарушить целостность сети. Список предыдущих статей данной серии о журнале Windows NT Security приведен во врезке «В предыдущих выпусках».
Audit process tracking
Audit process tracking не отслеживает неудачных событий, но когда категория настроена на контроль успешных действий, то фиксируются два события: с ID 592 (создан новый процесс) и с ID 593 (процесс завершен). Категория Audit process tracking указана как Detailed tracking в списке Category оснастки Event Viewer консоли Microsoft Management Console (MMC). Подробнее о том, как активизировать категории аудита, настроить системный журнал Security и использовать оснастку Event Viewer для просмотра журнала безопасности, рассказано в статье «Контроль событий регистрации в Windows 2000» на http://www.osp.ru/win2000/worknt/2001/03/302.htm.
Когда пользователь запускает исполняемый файл, такой, как Microsoft Excel, Windows 2000 регистрирует событие с ID 592. Данное событие указывает, какая программа была запущена и когда. Пример сообщения о событии показан на Экране 1; поля Time, User и Image File Name указывают, что пользователь Билл запустил Excel в 5 ч 51 мин пополудни. Следует обратить внимание, что Windows 2000 регистрирует полный путь к выполняемому файлу, в отличие от NT, регистрирующей только имя файла.
Поле Logon ID соответствует ID регистрации, который был назначен Биллу при входе в систему. Данный идентификатор позволяет связать событие создания процесса с событием успешной регистрации с ID 528. Справочный список событий журнала безопасности, упоминаемых в данной серии статей, приведен в Таблице 1. Подробное объяснение событий регистрации дано в статье «Контроль событий регистрации в Windows 2000» (см. ссылку).
Начиная новый процесс, Windows 2000 присваивает ему уникальный номер, Process ID. Этот номер показан в поле New Process ID события с ID 592. Обычно следующим действием после запуска приложения является открытие пользователем данной программы какого-либо файла. В статье «Аудит доступа к объектам» (опубликованной в предыдущем номере — прим. ред.) я отмечал, что в описании события с ID 560 также имеется поле Process ID, которое можно использовать для идентификации связанных событий с ID 560 и ID 592. Однако в событии с ID 592 Windows 2000 регистрирует иной ID процесса, нежели в событии с ID 560 или любом другом. Событие с ID 592 отображает ID процесса как десятизначное число, тогда как другие события (и закладка Processes диалогового окна Task Manager) показывают ID процесса как трех- или четырехзначное число. По некоторым сведениям, разработчики Microsoft устранили это противоречие в операционных системах Windows 2002 и Windows XP.
Для идентификации процесса, запустившего новый процесс, можно воспользоваться полем Creator Process ID события с ID 592. Достаточно отыскать предыдущее событие с ID 592 с идентификатором Process ID, совпадающим с полем Creator Process ID избранного события. Оба поля события с ID 592 имеют десятизначный формат.
В программе Event Viewer нет фильтра для сортировки событий журнала безопасности по ID регистрации или ID процесса, но можно отыскивать события с конкретным ID. Чтобы найти события, содержащие определенные ID, следует открыть оснастку Event Viewer, щелкнуть правой кнопкой мыши на журнале Security и выбрать пункты View, Find. Затем нужно ввести идентификатор в поле Description и щелкнуть на кнопке Find Next.
Когда пользователь закрывает приложение, Windows 2000 регистрирует событие с ID 593. Событие с ID 593 располагает полем Process ID, но, как указано выше, этот идентификатор не совпадает с ID процесса соответствующего события 592, зарегистрированного операционной системой, когда пользователь открыл прикладную программу.
Наряду с решением проблемы соответствия Process ID, пользователям предстоит связать события образования процессов, доступа к объектам и регистрации — с документом, учитывая необходимость проверки времени, когда пользователь зарегистрировался; приложения, открытого пользователем; файлов и других объектов, к которым пользователь обращался из каждого приложения. Найти связь между событиями нетрудно при работе на автономном компьютере, где пользователь регистрируется, запускает приложения и обращается к файлам только на одной системе. Но в реальной сети задача не столь проста. Windows 2000 регистрирует события образования процессов на компьютере, выполняющем программу (на локальной станции пользователя), а события доступа к объектам регистрируются на компьютере, на котором хранится объект. Например, если пользователь через сеть открывает файл на файл-сервере FS1, то служба Server открывает файл на FS1 от имени пользователя. Поэтому невозможно напрямую идентифицировать приложения, с помощью которых пользователь открыл файлы, хранящиеся на удаленном файл-сервере.
Например, пользователь регистрируется на рабочей станции, запускает Excel и редактирует электронную таблицу, расположенную на файл-сервере. Windows 2000 регистрирует событие с ID 592 в журнале безопасности рабочей станции, а событие с ID 560 — в журнале безопасности сервера. Идентификаторы процессов этих двух событий не совпадают (и не совпали бы, даже если бы Windows 2000 использовала один и тот же ID процесса для обоих событий). Необходимо отыскать событие с ID 592 в журнале безопасности рабочей станции, соответствующее событию с ID 560 в журнале безопасности сервера.
Активизация на сервере категории Audit process tracking не поможет получить дополнительные сведения о приложениях, выполняемых на рабочей станции пользователя. Однако благодаря событиям этой категории можно следит за использованием серверных программ, таких, как Microsoft SQL Server и Microsoft Exchange Server, и любых программ, исполняемых администраторами и операторами при локальной регистрации на сервере. Активизация данной категории создает нагрузку на ресурсы сервера, поэтому необходимо внимательно следить за ее влиянием на производительность.
Отслеживание процедур регистрации и использования процессов и объектов поможет контролировать действия вероятного взломщика. А наблюдая за попытками использования полномочий, можно вовремя заметить подозрительные действия. Подобные действия помогает обнаружить категория Audit privilege use.
Audit privilege use
Категория Audit privilege use отслеживает успешные и неудачные попытки использования полномочий, предоставленных пользователю (в статьях и документации Microsoft не выработано единой терминологии, и термины privileges и rights используются как равнозначные). Существует более 34 полномочий: от мощных, таких, как Act as part of the operating system (работать как часть операционной системы), до довольно безобидных прав, как Bypass traverse checking (обойти перекрестную проверку). После активизации категории Audit privilege use в журнале безопасности начинают регистрироваться три события: с ID 577 (вызов привилегированной службы), ID 578 (привилегированная операция с объектом) и ID 576 (специальная привилегия, предоставленная новой учетной записи).
Когда пользователь пытается применить полномочия, Windows 2000 регистрирует событие с ID 577 или ID 578, в зависимости от типа полномочий (Windows 2000 контролирует одни полномочия по службам, а другие — по объектам). В обоих случаях в поле Privileges указывается использованное полномочие. Windows 2000 регистрирует краткое имя полномочия, которое всегда начинается с Se и заканчивается на Privilege. Но эти краткие имена нельзя увидеть, оперируя полномочиями в оснастке MMC Group Policy Editor (GPE). Вместо них приводятся полные описания полномочий. Например, на Экране 2 показано событие с ID 577, зарегистрированное операционной системой, когда я перевел часы компьютера. Полномочие SeSystemtimePrivilege соответствует полномочию Change the system time в редакторе GPE.
Если пользователю разрешено применять полномочия, то операционная система регистрирует успешное событие с ID 577 или событие ID 578. Если пользователь пытается выполнить действие, не имея соответствующих прав, то Windows 2000 регистрирует неудачное событие. Для некоторых полномочий поля Primary User Name и Primary Domain Name идентифицируют пользователя, вызвавшего событие. Однако для полномочий, которые использует серверный процесс, эти поля соответствуют учетной записи данного компьютера. Отличительный признак таких полномочий — совпадение поля Primary User Name с полем Computer со знаком «$» в конце.
В таких случаях определить пользователя, применившего полномочие, можно по данным полей Client User Name и Client Domain. Поля Primary Logon ID и Client Logon ID соответствуют полю Logon ID события с ID 528 или ID 540, зафиксированного операционной системой при регистрации пользователя.
Поле Process ID события с ID 578 идентифицирует процесс, непосредственно вызвавший событие. Например, при просмотре журнала безопасности процесс Services от имени администратора использует полномочие Se-SecurityPrivilege (т. е. Manage auditing and security log). Соответствующий идентификатор процесса в событии с ID 578 принадлежит процессу Services.
Категория Audit logon events содержит специальные идентификаторы событий для действий при регистрации пользователей, поэтому по умолчанию Windows 2000 не записывает успешные и неудачные попытки применения полномочий на регистрацию. Эти полномочия — за исключением Access this computer from the network и Deny access to this computer from the network — начинаются словами Logon as или Deny logon. Windows 2000 также не заносит в журнал информацию о некоторых других полномочиях — например, SeBackupPrivilege (резервное копирование файлов и каталогов) и SeRestorePrivilege (восстановление файлов и каталогов), — вызываемых так часто, что они быстро переполнили бы журнал безопасности. Чтобы система выполняла аудит использования этих полномочий, следует изменить параметр реестра HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa: Set the FullPri-vilegeAuditing, имеющий тип REG_DWORD, и присвоить ему значение 1.
Windows 2000 никогда не регистрирует использование полномочий SeAudit-Privilege (Generate security audits — генерировать проверку безопасности), SeCreateTokenPrivilege (Create a token object — создать маркерный объект), SeDebugPrivilege (Debug programs — отладка программ), SeChangeNotify-Privilege (Bypass traverse checking — пропуск проверки) и SeAssignPrimary-TokenPrivilege (Replace a process level token — изменить маркер уровня процесса). Но если регистрируется пользователь, обладающий одним или несколькими из этих полномочий, то Windows 2000 записывает в журнал событие с ID 576 (новой учетной записи назначены специальные полномочия; данное событие обычно близко следует за успешным событием регистрации с ID 528 или ID 540). Чтобы определить, какими полномочиями обладает пользователь во время регистрации, следует обратить внимание на поле Logon ID события с ID 576, которое идентифицирует пользователя, и поле Assigned, где перечислены краткие имена полномочий.
Audit Policy Change
С помощью категории Audit privilege use можно проследить, кто и когда использует полномочия, а категория Audit policy change позволяет узнать об изменениях, вносимых администраторами в назначенные полномочия. Данная категория обеспечивает контроль нескольких типов изменений политики.
Во-первых, Audit policy change сообщает, когда были изменены назначенные привилегии. Когда администратор предоставляет пользователю полномочия, Windows 2000 регистрирует событие с ID 608 (пользователю назначены полномочия). В поле User Right перечислены сокращенные имена назначенных полномочий (одного или нескольких). Поле Assigned to идентифицирует пользователя или группу, которой администратор назначил полномочия. На Экране 3 показано событие с ID 608, зарегистрированное Win-dows 2000, когда я назначил группе Administrators полномочия SeCreate-TokenPrivilege (Create a token object) и SeCreatePermanentPrivilege (Create permanent shared objects — создавать постоянные разделяемые объекты).
Поля User Name, Domain и Logon ID под заголовком Assigned By явно указывают, кто назначил полномочия. Но если администраторы NT назначают полномочия напрямую через User Manager, то администраторы Windows 2000 предоставляют или отзывают полномочия не прямо, а через объекты групповой политики (Group Policy Objects, GPO). В силу этих различий, а также поскольку локальная система пользователя читает Group Policy и вносит соответствующие изменения в назначенные полномочия, событие с ID 608 указывает в поле Assigned By учетную запись локального компьютера. Чтобы выяснить, каким образом администратор изменил полномочия, необходимо активизировать категорию Audit directory service для проверки изменений в объектах GPO в Active Directory (AD). Более подробная информация об аудите таких изменений приведена в статье «Заглянем в журнал безопасности Windows 2000».
Если полномочия пользователя отменены, то в следующий раз, когда Win-dows 2000 применит групповую политику, будет зарегистрировано событие с ID 609 (отмена полномочий пользователя). Поле User Right этого события похоже на поле User Right события с ID 608. Поле Removed From указывает пользователей и группы, лишенные одного или нескольких полномочий. Поля User Name, Domain и Logon ID в разделе Removed By указывают учетную запись локального компьютера точно так же, как поля Assigned By события с ID 608. Оба события регистрируются на компьютерах, на которых был применен GPO, содержащий назначенные полномочия. Однако изменения, произведенные в объектах GPO, регистрируются на контроллере домена (DC), к которому подсоединялся администратор, редактировавший GPO.
Audit policy change позволяет отслеживать изменения в доверительных отношениях с другими доменами. Если администратор добавляет новый доверенный домен с помощью оснастки Active Directory Domains and Trusts, то Windows 2000 регистрирует два идентичных события с ID 610 (новый доверенный домен) на DC, к которому подсоединялся администратор. Поле Do-main Name события с ID 610 идентифицирует новый доверенный домен. Чтобы выяснить, кто установил доверительное отношение, нужно посмотреть на поля User Name, Domain и Lo-gon ID под заголовком Established By.
Windows 2000 также регистрирует на DC один экземпляр события с ID 620 (изменена информация о доверенном домене). Однако данное событие не содержит никакой дополнительной информации. При удалении доверенного домена Windows 2000 регистрирует два события с ID 611 (удаление доверенного домена). Данное событие содержит те же поля, что и событие с ID 610, но поля User Name, Domain и Logon ID находятся под заголовком Removed By вместо Established By.
В событиях с ID 610, ID 611 и ID 620 проявляется еще один изъян системы аудита Windows 2000: события регистрируются при удалении и добавлении как доверяющих, так и доверенных доменов. Событие говорит лишь о том, что было установлено или прекращено доверительное отношение, но не указывает, был ли домен доверенным или доверяющим.
Windows 2000 регистрирует событие с ID 612 (изменение политики аудита) всякий раз, когда применение Group Policy приводит к изменению политики аудита компьютера. Поле New Policy данного события указывает, какие категории аудита были активизированы для регистрации успешных и неудачных действий. Например, на Экране 4 показано, что активизирован аудит успешных и неудачных изменений политики. Как и в событии с ID 608, в полях User Name, Domain и Logon ID в подразделе Changed By события с ID 612 не указано, какой администратор изменил политику аудита, так как Windows 2000 не обнаруживает изменения до тех пор, пока групповая политика не применена. Тем не менее событие с ID 612 полезно для поиска изменений в политике аудита.
Категорией Audit policy change можно воспользоваться и для отслеживания некоторых других изменений политики. Событие с ID 617 свидетельствует об изменении политики Kerberos, определяющей срок действия и обновление билета. Windows 2000 не ограничивается регистрацией события с ID 617 при явных изменениях политики Kerberos, а записывает событие в журнал всякий раз, когда DC применяет Group Policy. При изменении раздела Encrypted Data Recovery Agents групповой политики, в котором определены лица, уполномоченные восстанавливать файлы, зашифрованные с помощью EFS (Encrypting File System), Windows 2000 регистрирует событие с ID 618 (изменение политики восстановления данных). И опять, в полях User Name, Domain и Logon ID в подразделе Changed By нет информации о том, кто в действительности изменил политику; в них просто указана учетная запись локального компьютера.
Администратор может контролировать изменения политики IP Security (IPSec) компьютера, однако существуют разночтения относительно событий, обеспечивающих эту возможность. В документации Windows 2000 (по адресу: http://www.microsoft.com/technet/security/monito.asp) приводится список событий аудита IPSec — с ID 615 и ID 616 — входящих в категорию Audit policy change, но Event Viewer относит эти события к Detail tracking (категория Audit process tracking). Кроме того, Windows 2000 регистрирует подобные события, даже если категории Audit policy change и Audit process tracking не активизированы. В любом случае, при назначении политики IPSec через GPO в AD или через локальный GPO компьютера, Win-dows 2000 заносит в журнал событие с ID 615. Если используется GPO в AD, то в описании события с ID 615 указывается: IPSec PolicyAgent Service: Using the Active Local Registry policy, as (i) there’s no Active Directory Storage policy or (ii) the Active Directory Storage policy couldn’t be applied successfully and there’s no Cached policy (используется локальная политика Active Local Re-gistry, так как (i) не существует политики Active Directory или (ii) политика Active Directory не может успешно применяться и нет сохраненной политики). Если при применении политики Windows 2000 сталкивается с трудностями, она регистрирует событие с ID 616 (агент политики IPSec встретил потенциально серьезную проблему).
Контроль изменений в групповой политике — важное условие сохранения целостности сети. Но необходимо быть внимательным и при контроле за физическим доступом к системам по сети. Windows 2000 поможет решить эту задачу.
Audit system events
Категория Audit system events содержит несколько полезных событий. Всякий раз при начальной загрузке Windows 2000 регистрирует событие с ID 512 (начало работы Windows NT). С помощью данного события можно обнаружить несанкционированные попытки перезагрузки системы, которые потенциально опасны, так как Windows 2000 уязвима, когда работу завершают пользователи, имеющие физический доступ к машине. Подробнее о потенциальных пробелах в системе безопасности и о том, как избежать риска, рассказывается в статье «Защитим права администратора!» (Windows 2000 Maga-zine/RE, № 2, 2000 г. — прим. ред.).
В документации Windows 2000 указывается, что операционная система регистрирует событие с ID 513 каждый раз при завершении работы, но это утверждение неверно. Чтобы определить, как долго система была в нерабочем состоянии, нужно сравнить время и дату события с ID 512 и предыдущего события, зарегистрированного Windows 2000.
Windows 2000 отмечает в журнале событие с ID 517 (журнал аудита очищен) всегда, когда кто-нибудь очищает журнал безопасности. Windows 2000 записывает это событие в новом журнале. Событие с ID 517 может указать на взломщика, который пытался замести следы.
В процессе начальной загрузки Win-dows 2000 регистрирует и несколько других событий. Операционная система фиксирует событие c ID 515 (доверенный процесс Logon зарегистрирован в LSA) для каждой запущенной процедуры входа в систему (процедуры входа в систему обслуживаются процессом Logon, компонентом подсистемы безопасности Windows 2000). Windows 2000 также регистрирует событие с ID 514 (пакет аутентификации, загруженный LSA) для каждого пакета аутентификации, загружаемого операционной системой (пакеты аутентификации совместимы с различными протоколами аутентификации, такими, как Kerberos, NT LAN Manager (NTLM) и Secure sockets Layer (SSL)). Операционная система записывает событие с ID 518 (SAM загрузила пакет оповещения) для каждого пакета оповещения, загруженного Windows 2000; стандартные пакеты оповещения — scecli, kdcsvc и rassfm. Пакеты оповещения — это специальные DLL, которые проектируются и устанавливаются для синхронизации паролей с другими системами или реализуют специальные правила применения паролей. Однако взломщики могут использовать пакеты оповещения для кражи паролей. В любом случае к нестандартным пакетам оповещения следует относиться с осторожностью.
Полный арсенал
Windows 2000 предоставляет впечатляющий набор функций аудита, усовершенствованных по сравнению с возможностями Windows NT. Однако в системе аудита Windows 2000 имеются и значительные недостатки, а применение политик Group Policy не всегда позволяет идентифицировать пользователя, изменившего политику, так как администраторы более не изменяют политики напрямую. Хочется верить, что в дальнейшем разработчики Microsoft устранят подобные недостатки и обеспечат более полный аудит изменений политик, вносимых через GPO.
Рэнди Франклин Смит — редактор Windows 2000 Magazine и президент компании Monterey Technology Group. Он автор публикуемой два раза в месяц колонки Win2K Security для электронного издания Windows IT Security Channel в сети Windows 2000 Magazine Network. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.
________________________________________
В предыдущих выпусках
Это пятая статья Рэнди Франклина Смита из серии, посвященной журналу безопасности Windows 2000. Информацию о журнале безопасности Windows NT можно найти в предыдущей серии статей. Ниже приведен список статей обеих серий.
Статьи, посвященные журналу безопасности Windows 2000:
«Контроль событий регистрации в Windows 2000» – http://www.osp.ru/win2000/worknt/2001/03/302.htm
«Аудит событий регистрации пользователя» – Windows 2000 Magazine, 03/2001
«Заглянем в журнал безопасности Windows 2000» – Windows 2000 Magazine, 04/2001
«Аудит доступа к объектам» – Windows 2000 Magazine, 05/2001
Статьи, посвященные журналу безопасности Windows NT:
«Анализируем журнал безопасности Windows NT» – Windows 2000 Magazine, 03/2000
«Контроль использования административных привилегий» – Windows 2000 Magazine, 04/2000
«Инструменты для работы с журналами безопасности» – Windows 2000 Magazine, 06/2000
Windows IT Pro :: Безопасность
Информация о программах, запускавшихся взломщиком, нередко помогает восстановить полную картину действий постороннего лица, проникшего в сеть. Другими свидетельствами могут служить изменения полномочий и политик или несанкционированная перезагрузка системы.
Контролировать выполнение программ можно с помощью категории Audit process tracking (аудит запуска процесса) Windows 2000. Могут пригодиться и категории аудита действий операционной системы Audit privilege use (аудит использования привилегий), Audit policy change (аудит изменения политики) и Audit system events (аудит системных событий). Наряду с другими категориями аудита, представленными в данной серии статей о журнале безопасности Windows 2000, эти события помогут понять, какие действия предпринимал взломщик, пытавшийся нарушить целостность сети. Список предыдущих статей данной серии о журнале Windows NT Security приведен во врезке «В предыдущих выпусках».
Audit process tracking
Audit process tracking не отслеживает неудачных событий, но когда категория настроена на контроль успешных действий, то фиксируются два события: с ID 592 (создан новый процесс) и с ID 593 (процесс завершен). Категория Audit process tracking указана как Detailed tracking в списке Category оснастки Event Viewer консоли Microsoft Management Console (MMC). Подробнее о том, как активизировать категории аудита, настроить системный журнал Security и использовать оснастку Event Viewer для просмотра журнала безопасности, рассказано в статье «Контроль событий регистрации в Windows 2000» на http://www.osp.ru/win2000/worknt/2001/03/302.htm.
Когда пользователь запускает исполняемый файл, такой, как Microsoft Excel, Windows 2000 регистрирует событие с ID 592. Данное событие указывает, какая программа была запущена и когда. Пример сообщения о событии показан на Экране 1; поля Time, User и Image File Name указывают, что пользователь Билл запустил Excel в 5 ч 51 мин пополудни. Следует обратить внимание, что Windows 2000 регистрирует полный путь к выполняемому файлу, в отличие от NT, регистрирующей только имя файла.
Поле Logon ID соответствует ID регистрации, который был назначен Биллу при входе в систему. Данный идентификатор позволяет связать событие создания процесса с событием успешной регистрации с ID 528. Справочный список событий журнала безопасности, упоминаемых в данной серии статей, приведен в Таблице 1. Подробное объяснение событий регистрации дано в статье «Контроль событий регистрации в Windows 2000» (см. ссылку).
Начиная новый процесс, Windows 2000 присваивает ему уникальный номер, Process ID. Этот номер показан в поле New Process ID события с ID 592. Обычно следующим действием после запуска приложения является открытие пользователем данной программы какого-либо файла. В статье «Аудит доступа к объектам» (опубликованной в предыдущем номере — прим. ред.) я отмечал, что в описании события с ID 560 также имеется поле Process ID, которое можно использовать для идентификации связанных событий с ID 560 и ID 592. Однако в событии с ID 592 Windows 2000 регистрирует иной ID процесса, нежели в событии с ID 560 или любом другом. Событие с ID 592 отображает ID процесса как десятизначное число, тогда как другие события (и закладка Processes диалогового окна Task Manager) показывают ID процесса как трех- или четырехзначное число. По некоторым сведениям, разработчики Microsoft устранили это противоречие в операционных системах Windows 2002 и Windows XP.
Для идентификации процесса, запустившего новый процесс, можно воспользоваться полем Creator Process ID события с ID 592. Достаточно отыскать предыдущее событие с ID 592 с идентификатором Process ID, совпадающим с полем Creator Process ID избранного события. Оба поля события с ID 592 имеют десятизначный формат.
В программе Event Viewer нет фильтра для сортировки событий журнала безопасности по ID регистрации или ID процесса, но можно отыскивать события с конкретным ID. Чтобы найти события, содержащие определенные ID, следует открыть оснастку Event Viewer, щелкнуть правой кнопкой мыши на журнале Security и выбрать пункты View, Find. Затем нужно ввести идентификатор в поле Description и щелкнуть на кнопке Find Next.
Когда пользователь закрывает приложение, Windows 2000 регистрирует событие с ID 593. Событие с ID 593 располагает полем Process ID, но, как указано выше, этот идентификатор не совпадает с ID процесса соответствующего события 592, зарегистрированного операционной системой, когда пользователь открыл прикладную программу.
Наряду с решением проблемы соответствия Process ID, пользователям предстоит связать события образования процессов, доступа к объектам и регистрации — с документом, учитывая необходимость проверки времени, когда пользователь зарегистрировался; приложения, открытого пользователем; файлов и других объектов, к которым пользователь обращался из каждого приложения. Найти связь между событиями нетрудно при работе на автономном компьютере, где пользователь регистрируется, запускает приложения и обращается к файлам только на одной системе. Но в реальной сети задача не столь проста. Windows 2000 регистрирует события образования процессов на компьютере, выполняющем программу (на локальной станции пользователя), а события доступа к объектам регистрируются на компьютере, на котором хранится объект. Например, если пользователь через сеть открывает файл на файл-сервере FS1, то служба Server открывает файл на FS1 от имени пользователя. Поэтому невозможно напрямую идентифицировать приложения, с помощью которых пользователь открыл файлы, хранящиеся на удаленном файл-сервере.
Например, пользователь регистрируется на рабочей станции, запускает Excel и редактирует электронную таблицу, расположенную на файл-сервере. Windows 2000 регистрирует событие с ID 592 в журнале безопасности рабочей станции, а событие с ID 560 — в журнале безопасности сервера. Идентификаторы процессов этих двух событий не совпадают (и не совпали бы, даже если бы Windows 2000 использовала один и тот же ID процесса для обоих событий). Необходимо отыскать событие с ID 592 в журнале безопасности рабочей станции, соответствующее событию с ID 560 в журнале безопасности сервера.
Активизация на сервере категории Audit process tracking не поможет получить дополнительные сведения о приложениях, выполняемых на рабочей станции пользователя. Однако благодаря событиям этой категории можно следит за использованием серверных программ, таких, как Microsoft SQL Server и Microsoft Exchange Server, и любых программ, исполняемых администраторами и операторами при локальной регистрации на сервере. Активизация данной категории создает нагрузку на ресурсы сервера, поэтому необходимо внимательно следить за ее влиянием на производительность.
Отслеживание процедур регистрации и использования процессов и объектов поможет контролировать действия вероятного взломщика. А наблюдая за попытками использования полномочий, можно вовремя заметить подозрительные действия. Подобные действия помогает обнаружить категория Audit privilege use.
Audit privilege use
Категория Audit privilege use отслеживает успешные и неудачные попытки использования полномочий, предоставленных пользователю (в статьях и документации Microsoft не выработано единой терминологии, и термины privileges и rights используются как равнозначные). Существует более 34 полномочий: от мощных, таких, как Act as part of the operating system (работать как часть операционной системы), до довольно безобидных прав, как Bypass traverse checking (обойти перекрестную проверку). После активизации категории Audit privilege use в журнале безопасности начинают регистрироваться три события: с ID 577 (вызов привилегированной службы), ID 578 (привилегированная операция с объектом) и ID 576 (специальная привилегия, предоставленная новой учетной записи).
Когда пользователь пытается применить полномочия, Windows 2000 регистрирует событие с ID 577 или ID 578, в зависимости от типа полномочий (Windows 2000 контролирует одни полномочия по службам, а другие — по объектам). В обоих случаях в поле Privileges указывается использованное полномочие. Windows 2000 регистрирует краткое имя полномочия, которое всегда начинается с Se и заканчивается на Privilege. Но эти краткие имена нельзя увидеть, оперируя полномочиями в оснастке MMC Group Policy Editor (GPE). Вместо них приводятся полные описания полномочий. Например, на Экране 2 показано событие с ID 577, зарегистрированное операционной системой, когда я перевел часы компьютера. Полномочие SeSystemtimePrivilege соответствует полномочию Change the system time в редакторе GPE.
Если пользователю разрешено применять полномочия, то операционная система регистрирует успешное событие с ID 577 или событие ID 578. Если пользователь пытается выполнить действие, не имея соответствующих прав, то Windows 2000 регистрирует неудачное событие. Для некоторых полномочий поля Primary User Name и Primary Domain Name идентифицируют пользователя, вызвавшего событие. Однако для полномочий, которые использует серверный процесс, эти поля соответствуют учетной записи данного компьютера. Отличительный признак таких полномочий — совпадение поля Primary User Name с полем Computer со знаком «$» в конце.
В таких случаях определить пользователя, применившего полномочие, можно по данным полей Client User Name и Client Domain. Поля Primary Logon ID и Client Logon ID соответствуют полю Logon ID события с ID 528 или ID 540, зафиксированного операционной системой при регистрации пользователя.
Поле Process ID события с ID 578 идентифицирует процесс, непосредственно вызвавший событие. Например, при просмотре журнала безопасности процесс Services от имени администратора использует полномочие Se-SecurityPrivilege (т. е. Manage auditing and security log). Соответствующий идентификатор процесса в событии с ID 578 принадлежит процессу Services.
Категория Audit logon events содержит специальные идентификаторы событий для действий при регистрации пользователей, поэтому по умолчанию Windows 2000 не записывает успешные и неудачные попытки применения полномочий на регистрацию. Эти полномочия — за исключением Access this computer from the network и Deny access to this computer from the network — начинаются словами Logon as или Deny logon. Windows 2000 также не заносит в журнал информацию о некоторых других полномочиях — например, SeBackupPrivilege (резервное копирование файлов и каталогов) и SeRestorePrivilege (восстановление файлов и каталогов), — вызываемых так часто, что они быстро переполнили бы журнал безопасности. Чтобы система выполняла аудит использования этих полномочий, следует изменить параметр реестра HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa: Set the FullPri-vilegeAuditing, имеющий тип REG_DWORD, и присвоить ему значение 1.
Windows 2000 никогда не регистрирует использование полномочий SeAudit-Privilege (Generate security audits — генерировать проверку безопасности), SeCreateTokenPrivilege (Create a token object — создать маркерный объект), SeDebugPrivilege (Debug programs — отладка программ), SeChangeNotify-Privilege (Bypass traverse checking — пропуск проверки) и SeAssignPrimary-TokenPrivilege (Replace a process level token — изменить маркер уровня процесса). Но если регистрируется пользователь, обладающий одним или несколькими из этих полномочий, то Windows 2000 записывает в журнал событие с ID 576 (новой учетной записи назначены специальные полномочия; данное событие обычно близко следует за успешным событием регистрации с ID 528 или ID 540). Чтобы определить, какими полномочиями обладает пользователь во время регистрации, следует обратить внимание на поле Logon ID события с ID 576, которое идентифицирует пользователя, и поле Assigned, где перечислены краткие имена полномочий.
Audit Policy Change
С помощью категории Audit privilege use можно проследить, кто и когда использует полномочия, а категория Audit policy change позволяет узнать об изменениях, вносимых администраторами в назначенные полномочия. Данная категория обеспечивает контроль нескольких типов изменений политики.
Во-первых, Audit policy change сообщает, когда были изменены назначенные привилегии. Когда администратор предоставляет пользователю полномочия, Windows 2000 регистрирует событие с ID 608 (пользователю назначены полномочия). В поле User Right перечислены сокращенные имена назначенных полномочий (одного или нескольких). Поле Assigned to идентифицирует пользователя или группу, которой администратор назначил полномочия. На Экране 3 показано событие с ID 608, зарегистрированное Win-dows 2000, когда я назначил группе Administrators полномочия SeCreate-TokenPrivilege (Create a token object) и SeCreatePermanentPrivilege (Create permanent shared objects — создавать постоянные разделяемые объекты).
Поля User Name, Domain и Logon ID под заголовком Assigned By явно указывают, кто назначил полномочия. Но если администраторы NT назначают полномочия напрямую через User Manager, то администраторы Windows 2000 предоставляют или отзывают полномочия не прямо, а через объекты групповой политики (Group Policy Objects, GPO). В силу этих различий, а также поскольку локальная система пользователя читает Group Policy и вносит соответствующие изменения в назначенные полномочия, событие с ID 608 указывает в поле Assigned By учетную запись локального компьютера. Чтобы выяснить, каким образом администратор изменил полномочия, необходимо активизировать категорию Audit directory service для проверки изменений в объектах GPO в Active Directory (AD). Более подробная информация об аудите таких изменений приведена в статье «Заглянем в журнал безопасности Windows 2000».
Если полномочия пользователя отменены, то в следующий раз, когда Win-dows 2000 применит групповую политику, будет зарегистрировано событие с ID 609 (отмена полномочий пользователя). Поле User Right этого события похоже на поле User Right события с ID 608. Поле Removed From указывает пользователей и группы, лишенные одного или нескольких полномочий. Поля User Name, Domain и Logon ID в разделе Removed By указывают учетную запись локального компьютера точно так же, как поля Assigned By события с ID 608. Оба события регистрируются на компьютерах, на которых был применен GPO, содержащий назначенные полномочия. Однако изменения, произведенные в объектах GPO, регистрируются на контроллере домена (DC), к которому подсоединялся администратор, редактировавший GPO.
Audit policy change позволяет отслеживать изменения в доверительных отношениях с другими доменами. Если администратор добавляет новый доверенный домен с помощью оснастки Active Directory Domains and Trusts, то Windows 2000 регистрирует два идентичных события с ID 610 (новый доверенный домен) на DC, к которому подсоединялся администратор. Поле Do-main Name события с ID 610 идентифицирует новый доверенный домен. Чтобы выяснить, кто установил доверительное отношение, нужно посмотреть на поля User Name, Domain и Lo-gon ID под заголовком Established By.
Windows 2000 также регистрирует на DC один экземпляр события с ID 620 (изменена информация о доверенном домене). Однако данное событие не содержит никакой дополнительной информации. При удалении доверенного домена Windows 2000 регистрирует два события с ID 611 (удаление доверенного домена). Данное событие содержит те же поля, что и событие с ID 610, но поля User Name, Domain и Logon ID находятся под заголовком Removed By вместо Established By.
В событиях с ID 610, ID 611 и ID 620 проявляется еще один изъян системы аудита Windows 2000: события регистрируются при удалении и добавлении как доверяющих, так и доверенных доменов. Событие говорит лишь о том, что было установлено или прекращено доверительное отношение, но не указывает, был ли домен доверенным или доверяющим.
Windows 2000 регистрирует событие с ID 612 (изменение политики аудита) всякий раз, когда применение Group Policy приводит к изменению политики аудита компьютера. Поле New Policy данного события указывает, какие категории аудита были активизированы для регистрации успешных и неудачных действий. Например, на Экране 4 показано, что активизирован аудит успешных и неудачных изменений политики. Как и в событии с ID 608, в полях User Name, Domain и Logon ID в подразделе Changed By события с ID 612 не указано, какой администратор изменил политику аудита, так как Windows 2000 не обнаруживает изменения до тех пор, пока групповая политика не применена. Тем не менее событие с ID 612 полезно для поиска изменений в политике аудита.
Категорией Audit policy change можно воспользоваться и для отслеживания некоторых других изменений политики. Событие с ID 617 свидетельствует об изменении политики Kerberos, определяющей срок действия и обновление билета. Windows 2000 не ограничивается регистрацией события с ID 617 при явных изменениях политики Kerberos, а записывает событие в журнал всякий раз, когда DC применяет Group Policy. При изменении раздела Encrypted Data Recovery Agents групповой политики, в котором определены лица, уполномоченные восстанавливать файлы, зашифрованные с помощью EFS (Encrypting File System), Windows 2000 регистрирует событие с ID 618 (изменение политики восстановления данных). И опять, в полях User Name, Domain и Logon ID в подразделе Changed By нет информации о том, кто в действительности изменил политику; в них просто указана учетная запись локального компьютера.
Администратор может контролировать изменения политики IP Security (IPSec) компьютера, однако существуют разночтения относительно событий, обеспечивающих эту возможность. В документации Windows 2000 (по адресу: http://www.microsoft.com/technet/security/monito.asp) приводится список событий аудита IPSec — с ID 615 и ID 616 — входящих в категорию Audit policy change, но Event Viewer относит эти события к Detail tracking (категория Audit process tracking). Кроме того, Windows 2000 регистрирует подобные события, даже если категории Audit policy change и Audit process tracking не активизированы. В любом случае, при назначении политики IPSec через GPO в AD или через локальный GPO компьютера, Win-dows 2000 заносит в журнал событие с ID 615. Если используется GPO в AD, то в описании события с ID 615 указывается: IPSec PolicyAgent Service: Using the Active Local Registry policy, as (i) there’s no Active Directory Storage policy or (ii) the Active Directory Storage policy couldn’t be applied successfully and there’s no Cached policy (используется локальная политика Active Local Re-gistry, так как (i) не существует политики Active Directory или (ii) политика Active Directory не может успешно применяться и нет сохраненной политики). Если при применении политики Windows 2000 сталкивается с трудностями, она регистрирует событие с ID 616 (агент политики IPSec встретил потенциально серьезную проблему).
Контроль изменений в групповой политике — важное условие сохранения целостности сети. Но необходимо быть внимательным и при контроле за физическим доступом к системам по сети. Windows 2000 поможет решить эту задачу.
Audit system events
Категория Audit system events содержит несколько полезных событий. Всякий раз при начальной загрузке Windows 2000 регистрирует событие с ID 512 (начало работы Windows NT). С помощью данного события можно обнаружить несанкционированные попытки перезагрузки системы, которые потенциально опасны, так как Windows 2000 уязвима, когда работу завершают пользователи, имеющие физический доступ к машине. Подробнее о потенциальных пробелах в системе безопасности и о том, как избежать риска, рассказывается в статье «Защитим права администратора!» (Windows 2000 Maga-zine/RE, № 2, 2000 г. — прим. ред.).
В документации Windows 2000 указывается, что операционная система регистрирует событие с ID 513 каждый раз при завершении работы, но это утверждение неверно. Чтобы определить, как долго система была в нерабочем состоянии, нужно сравнить время и дату события с ID 512 и предыдущего события, зарегистрированного Windows 2000.
Windows 2000 отмечает в журнале событие с ID 517 (журнал аудита очищен) всегда, когда кто-нибудь очищает журнал безопасности. Windows 2000 записывает это событие в новом журнале. Событие с ID 517 может указать на взломщика, который пытался замести следы.
В процессе начальной загрузки Win-dows 2000 регистрирует и несколько других событий. Операционная система фиксирует событие c ID 515 (доверенный процесс Logon зарегистрирован в LSA) для каждой запущенной процедуры входа в систему (процедуры входа в систему обслуживаются процессом Logon, компонентом подсистемы безопасности Windows 2000). Windows 2000 также регистрирует событие с ID 514 (пакет аутентификации, загруженный LSA) для каждого пакета аутентификации, загружаемого операционной системой (пакеты аутентификации совместимы с различными протоколами аутентификации, такими, как Kerberos, NT LAN Manager (NTLM) и Secure sockets Layer (SSL)). Операционная система записывает событие с ID 518 (SAM загрузила пакет оповещения) для каждого пакета оповещения, загруженного Windows 2000; стандартные пакеты оповещения — scecli, kdcsvc и rassfm. Пакеты оповещения — это специальные DLL, которые проектируются и устанавливаются для синхронизации паролей с другими системами или реализуют специальные правила применения паролей. Однако взломщики могут использовать пакеты оповещения для кражи паролей. В любом случае к нестандартным пакетам оповещения следует относиться с осторожностью.
Полный арсенал
Windows 2000 предоставляет впечатляющий набор функций аудита, усовершенствованных по сравнению с возможностями Windows NT. Однако в системе аудита Windows 2000 имеются и значительные недостатки, а применение политик Group Policy не всегда позволяет идентифицировать пользователя, изменившего политику, так как администраторы более не изменяют политики напрямую. Хочется верить, что в дальнейшем разработчики Microsoft устранят подобные недостатки и обеспечат более полный аудит изменений политик, вносимых через GPO.
Рэнди Франклин Смит — редактор Windows 2000 Magazine и президент компании Monterey Technology Group. Он автор публикуемой два раза в месяц колонки Win2K Security для электронного издания Windows IT Security Channel в сети Windows 2000 Magazine Network. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.
________________________________________
В предыдущих выпусках
Это пятая статья Рэнди Франклина Смита из серии, посвященной журналу безопасности Windows 2000. Информацию о журнале безопасности Windows NT можно найти в предыдущей серии статей. Ниже приведен список статей обеих серий.
Статьи, посвященные журналу безопасности Windows 2000:
«Контроль событий регистрации в Windows 2000» – http://www.osp.ru/win2000/worknt/2001/03/302.htm
«Аудит событий регистрации пользователя» – Windows 2000 Magazine, 03/2001
«Заглянем в журнал безопасности Windows 2000» – Windows 2000 Magazine, 04/2001
«Аудит доступа к объектам» – Windows 2000 Magazine, 05/2001
Статьи, посвященные журналу безопасности Windows NT:
«Анализируем журнал безопасности Windows NT» – Windows 2000 Magazine, 03/2000
«Контроль использования административных привилегий» – Windows 2000 Magazine, 04/2000
«Инструменты для работы с журналами безопасности» – Windows 2000 Magazine, 06/2000
Подписаться на:
Сообщения (Atom)