Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Аудит в Windows
полный перечень журналов, работающих на сервере.
|
Системный журнал. |
Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки. |
|
Журнал безопасности. |
Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов. |
|
Журналы приложений. |
Фиксируют события, связанные с приложениями, выполняемыми на сервере. |
|
Журнал службы каталогов. |
Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу. |
|
Журнал сервера DNS. |
Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory. |
|
Журнал службы репликации файлов. |
Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена. |
|
Журнал IIS. |
Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.). |
Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе.
Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.
|
Информационные сообщения о событиях. |
Описывают успешное выполнение операций, таких как запуск службы. |
|
Предупреждающие сообщения о событиях. |
Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас. |
|
Сообщения о событиях ошибок. |
Описывают ошибки, возникшие из-за неудачного выполнения задач. |
|
Сообщения о событиях успешного выполнения той или иной операции. |
Описывают события безопасности, выполненные Windows 2000 согласно запросу. |
|
Сообщения о событиях неудачного выполнения операции. |
Описывают события безопасности, не выполненные Windows 2000 согласно запросу. |
Осуществляется аудит событий, входящих в следующие девять категорий.
|
События системы. |
События, связанные с безопасностью, такие как отключение системы и ее перезапуск; события, влияющие на журнал безопасности. |
|
Отслеживание процесса. |
Детализированное отслеживание вызова процесса, дубликатов процессов, непрямого доступа к объектам и уничтожения процесса. |
|
Изменение политики. |
Изменение политики безопасности, включая присвоение привилегий, модификацию политики аудита и параметров доверия. |
|
Использование привилегий. |
Использование привилегий, присвоение специальных привилегий. |
|
Управление учетной записью. |
Создание, изменение, удаление пользователей и групп; изменение паролей. |
|
Доступ к службе каталогов. |
Отслеживание доступа к Active Directory. Включается для разрешения аудита определенных объектов каталога, работает только на контроллерах домена. |
|
События входа в учетную запись. |
Аутентификация на локальном компьютере в консоли или через сеть. |
|
События входа. |
Интерактивный вход или сетевые подключения к локальному компьютеру; генерируются в том месте, где происходит вход. |
|
Доступ к объектам. |
Попытки доступа к определенным объектам: файлам, каталогам, учетным записям пользователей и параметрам реестра. |
Событие, для которого выполнен аудит, имеет два значения: успех и неудача. Для каждой категории событий возможен аудит успешных, неудачных или обоих типов событий. Тревожным признаком является высокая концентрация событий в журнале или необычная последовательность событий. Например, большое число событий ввода неправильного пароля означает, что сервер подвергся атаке на взлом пароля.
Цели и задачи аудита
События, помогающие идентифицировать проблемы безопасности
|
Потенциальная угроза |
Тип аудита |
Результирующие события |
|
Взлом пароля с использованием генератора случайных паролей |
Учетная запись пользователя |
Неудача процедуры аудита для событий входа/выхода из системы. Большое число событий означает повторяющиеся попытки входа, часто являющиеся результатом систематической атаки. |
|
Вход с использованием украденного пароля |
Учетная запись пользователя |
Успешный аудит событий входа/выхода для идентификации пользователей системы с целью определения места, откуда инициировано вторжение. |
|
Несанкционированный доступ к секретным файлам |
Файловая система |
Успех и неудача аудита для событий доступа к файлам и объектам в сильно защищенных ресурсах. Успех и неудача аудита доступа для чтения/записи секретных файлов подозреваемыми пользователями или группами. |
|
Злоупотребление привилегиями |
Файловая система и реестр |
Успешный аудит прав пользователей, управления пользователями и группами, изменения политики безопасности, перезапуска, выключения и системных событий для выявления пользователей, внесших изменения, и определения этих изменений. |
Управление журналами
Каждый файл журнала Windows 2000 имеет свои параметры конфигурации. Они позволяют изменять объем пространства, отводимого для файлов журналов на диске, и указывать действие, выполняемое после заполнения журнала. Эти параметры приведены ниже.
|
Максимальный размер файла журнала. |
Настраивается при помощи приложения Event Viewer (Просмотр событий), значение по умолчанию – 512 Кб. |
|
Перезапись файла журнала после его заполнения. |
Имеет три значения: перезапись событий при необходимости, перезапись событий, возраст которых превышает определенное число дней, и запрет перезаписи. |
|
Отключение сервера при ошибке аудита. |
Вызывает остановку сервера в случае заполнения журнала безопасности при отсутствии перезаписи событий. В материалах Microsoft он называется "CrashOnAuditFail" и соответствует значению, устанавливаемому политикой безопасности в системном реестре. |
Обеспечение безопасности журналов
Безопасность журналов важна так же, как аудит и анализ файлов журнала. К файлам журнала должны иметь доступ только уполномоченные пользователи с привилегированным доступом к системе. Файл с зафиксированными системными событиями должен быть недоступен посторонним пользователям. Файлы журнала нужно защищать от атак опытных хакеров, направленных на изменение информации для скрытия следов злоумышленных действий.
Данные журнала событий передаются службе Windows 2000 Event Log другими компонентами системы или приложениями, работающими в системе. В таблице приведены пути для каждого файла журнала.
|
Журнал |
Путь |
|
Системный журнал |
<SystemRoot>\System32\Config\SysEvent.Evt |
|
Журнал приложений |
<SystemRoot>\System32\Config\AppEvent.Evt |
|
Журнал безопасности |
<SystemRoot>\System32\Config\SecEvent.Evt |
|
Журнал IIS |
<SystemEvent>\System32\LogFiles\W3SVC2\exyymmdd.log* |
*IIS автоматически присваивает имя файла с использованием даты вместо шаблона "yymmdd".
Для обеспечения безопасности используются две процедуры.
Первая из них является жизненно необходимой и заключается в ограничении доступа к файлам журнала Windows 2000 всем группам и учетным записям, кроме группы Administrators (Администраторы) и учетной записи System (Система).
Второй шаг является полезным, но не обязательным; он заключается в изменении расположения файлов журнала. Лучше всего разместить их в другом разделе (не в системном томе), в котором ничего не записано и имеется достаточный объем дискового пространства для хранения файлов больших размеров.
При перемещении файлов журнала в изолированное место легче управлять доступом для запрета просмотра и изменения их посторонними пользователями. Рассмотрим процедуру перемещения файлов журнала.
Настройка политики аудита
Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.
Параметры политики домена.
Параметры политики сайта.
Параметры локальной политики.
Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.
Список SACL. В списке SACL перечислены действия над объектом, подлежащие аудиту Windows 2000. SACL объекта состоит из элементов управления доступом (ACE). Элемент ACE точно определяет типы доступа, регистрируемые в журнале безопасности Windows 2000, когда конкретный пользователь или группа обращается к объекту. Специальный флаг каждого ACE показывает, к успешным или неудачным попыткам доступа относится данный элемент. Чтобы обратиться к SACL объекта, следует открыть диалоговое окно Access Control Settings и перейти к закладке Auditing. Каждый элемент в разделе Auditing Entries – это ACE.
Контроль попыток доступа к объекту
Windows 2000 производит аудит доступа в тот момент, когда пользователь пытается получить доступ к объекту через прикладную программу. Когда пользователь обращается к объекту из приложения, программа запрашивает у Windows 2000 дескриптор (handle) объекта. С помощью дескриптора приложение выполняет операции над объектом. Прежде чем предоставить дескриптор, Windows 2000 сопоставляет DACL объекта с учетной записью пользователя, запустившего прикладную программу, и типами доступа (например, запись или чтение), запрошенными приложением. Затем Windows 2000 определяет, предусмотрена ли системной политикой аудита запись результатов этого сравнения в журнал. Например, если попытка доступа неудачна, система выясняет, активизирована ли политика аудита для регистрации неудачных обращений к объектам.
Если системной политикой аудита предусмотрена запись результата в журнал, то Windows 2000 обрабатывает SACL объекта. Система исследует каждый элемент ACE, имеющий отношение к результату, и определяет, какие из элементов идентифицируют учетную запись пользователя, запустившего приложение, и все группы, к которым он принадлежит. Затем Windows 2000 исследует типы доступа, указанные в этих ACE. Если хотя бы один тип доступа в ACE совпадает с любым из типов доступа, запрошенных приложением, то Windows 2000 генерирует событие с ID 560 «объект открыт» с соответствующим типом события (Failure Audit или Success Audit). В оснастке Event Viewer консоли Microsoft Management Console (MMC) сообщения о неудачном завершении какой-либо операции отмечены пиктограммой замка, а записи об успешном завершении операции – изображением ключа.