Собственный инструмент для анализа безопасности Windows. Анализ журнала безопасности windows

НОУ ИНТУИТ | Лекция | Аудит и журналы безопасности

Аннотация: После укрепления системы и настройки безопасности веб-сайта Microsoft IIS необходимо отслеживать попытки нарушения защиты сайта и определять признаки атак или вторжений на сервер.

Отслеживание событий является обычной и необходимой частью работы системных администраторов (или менеджеров веб-сайтов). Для этого в Windows 2000 и IIS используются журналы и аудит. Процедуры управления сайтом включают в себя регулярную проверку, анализ и просмотр зафиксированной информации для выявления неудавшихся или успешных атак, направленные на сайт. При обнаружении проблемы следует выполнить аудит безопасности для определения нанесенного ущерба и способа проникновения в систему.

В любой политике безопасности имеются процедуры и стандартные приемы для этих случаев. Даже и не думайте о работе сайта, если такая политика еще не разработана. В лекции рассказывается о том, как настраивать журнал, осуществлять аудит, создавать резервные копии и производить восстановление. Все эти действия необходимы для обеспечения безопасной и надежной работы сервера и веб-сайта.

Отслеживание событий сайта

События, происходящие на веб-сервере Windows 2000/IIS, отслеживаются при помощи просмотра и анализа журнала, в который отправляются сообщения от других служб, приложений или операционной системы. Эти сообщения учитывают события, происходящие в системе: выключение, запуск, создание новой учетной записи и т.д. IIS дополнительно отслеживает события собственного набора служб, например, запросы от посетителей сайта, отправленные на сервер для осуществления анонимного входа.

В Windows 2000 имеются журналы шести различных типов. Если вы имеете опыт системного администрирования Windows 2000, то уже знакомы с некоторыми из них. IIS ведет свой собственный отдельный журнал. Ниже приведен полный перечень журналов, работающих на сервере.

• Системный журнал. Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки.
• Журнал безопасности. Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов.
• Журналы приложений. Фиксируют события, связанные с приложениями, выполняемыми на сервере.
• Журнал службы каталогов. Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу.
• Журнал сервера DNS. Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory.
• Журнал службы репликации файлов. Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена.
• Журнал IIS. Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.).

Для веб-сервера IIS не требуется работа всех без исключения журналов, например, не нужны журналы сервера DNS и службы репликации файлов. Журнал службы каталогов включается, если сервер является частью домена Windows Active Directory, причем ведется он на другом сервере. Веб-сервер работает с системным журналом, журналом приложений, журналом безопасности и журналом IIS.

Системный журнал Windows 2000 и журнал приложений активируются по умолчанию при установке IIS для автоматического фиксирования системных событий и событий приложений. Остальные журналы запускаются только после их непосредственной настройки и/или запуска. При выполнении IIS Lockdown автоматически активируется журнал безопасности Windows 2000 и IIS.

Информация журналов событий

Журналы Windows 2000 и IIS можно настроить на запись большого числа различных событий и действий. IIS по умолчанию сохраняет файлы журнала в текстовом формате, их можно просматривать в любом приложении, поддерживающем этот формат. Обычно файлы анализируются посредством их загрузки в программу генерации отчетов, которая осуществляет фильтрацию, сортировку и управление данными. На рисунке приведен пример содержимого файла журнала IIS.

Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе. На рисунке показана консоль программы Event Viewer.

Анализ аспектов безопасности при помощи файлов журналов требует некоторых навыков. Следует различать типы сообщений и понимать, что они означают. Когда ваш сервер начнет свою работу, внимательно следите за ним в течение некоторого времени и фиксируйте признаки нормальной работы, чтобы выявлять впоследствии отклонения от нормы.

Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.

• Информационные сообщения о событиях. Описывают успешное выполнение операций, таких как запуск службы.
• Предупреждающие сообщения о событиях. Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас.
• Сообщения о событиях ошибок. Описывают ошибки, возникшие из-за неудачного выполнения задач.
• Сообщения о событиях успешного выполнения той или иной операции. Описывают события безопасности, выполненные Windows 2000 согласно запросу.
• Сообщения о событиях неудачного выполнения операции. Описывают события безопасности, не выполненные Windows 2000 согласно запросу.

На рисунке 5.1 приведен пример сообщения об ошибке в системном журнале Windows 2000, зафиксировавшего неожиданное отключение сервера. Это событие выходит за рамки нормальной работы и его необходимо исследовать. По идентификационному номеру ID события его можно найти в базе данных Microsoft Knowledge Base, если не понятно, что оно означает.

Рис. 5.1. Сообщение системного журнала Windows 2000, информирующее о неожиданном отключении

Аудит

В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

Таблица 5.1. Типы аудита в Windows 2000 и IIS Тип аудита Системы, в которых применяется аудит

Система и реестр	Windows 2000 и IIS.
Файловая система	Windows 2000 и IIS.
Учетная запись пользователя	Windows 2000 и IIS.
Посетители домашней страницы	Только IIS.
Авторство	Только IIS.

При аудите отслеживаются события согласно правилам аудита, определенным в локальной политике безопасности сервера и/или параметрах веб-сайта. Осуществляется аудит событий, входящих в следующие девять категорий.

• События системы. События, связанные с безопасностью, такие как отключение системы и ее перезапуск; события, влияющие на журнал безопасности.
• Отслеживание процесса. Детализированное отслеживание вызова процесса, дубликатов процессов, непрямого доступа к объектам и уничтожения процесса.
• Изменение политики. Изменение политики безопасности, включая присвоение привилегий, модификацию политики аудита и параметров доверия.
• Использование привилегий. Использование привилегий, присвоение специальных привилегий.
• Управление учетной записью. Создание, изменение, удаление пользователей и групп; изменение паролей.
• Доступ к службе каталогов. Отслеживание доступа к Active Directory. Включается для разрешения аудита определенных объектов каталога, работает только на контроллерах домена.
• События входа в учетную запись. Аутентификация на локальном компьютере в консоли или через сеть.
• События входа. Интерактивный вход или сетевые подключения к локальному компьютеру; генерируются в том месте, где происходит вход.
• Доступ к объектам. Попытки доступа к определенным объектам: файлам, каталогам, учетным записям пользователей и параметрам реестра.

Событие, для которого выполнен аудит, имеет два значения: успех и неудача. Для каждой категории событий возможен аудит успешных, неудачных или обоих типов событий. Тревожным признаком является высокая концентрация событий в журнале или необычная последовательность событий. Например, большое число событий ввода неправильного пароля означает, что сервер подвергся атаке на взлом пароля.

www.intuit.ru

Собственный инструмент для анализа безопасности Windows

Собственный инструмент для анализа безопасности Windows

Автор: Скотт Данн

Источник: Мир ПК

В настоящее время тема безопасности укоренилась во всех умах и обосновалась на всех компьютерных экранах. Напоминания об опасности всплывают в веб-браузерах, в интерфейсах электронной почты, в антивирусном ПО, в сетевых настройках и в прочих программных приложениях. Однако исследование всех тех закоулков, где Windows прячет свои настройки безопасности, может оказаться такой работой, которая не оставит вам времени ни для чего другого.

К счастью, Windows XP Professional и 2000 содержат готовые строительные блоки для создания инструмента, способного провести всесторонний анализ безопасности и соответствующую настройку конфигурации. (Если установлена Windows XP Home, то ваши потребности должны удовлетворить средства обеспечения безопасности, встроенные в пакет обновлений Service Pack 2.) Но вот собрать имеющиеся блоки в единый инструментальный комплект придется самостоятельно. Я расскажу, как скомпоновать эту утилиту, как использовать ее для анализа системы и какие действия предпринять по полученным результатам. И хотя входящая в состав Windows утилита «Анализ и настройка безопасности» не имеет дела с безопасностью электронной почты и других приложений, она тем не менее позволяет задавать в одном месте все параметры безопасности Windows, относящиеся к системному уровню. Изменения в таких параметрах могут влиять на используемые вами подключения к локальной сети и к Интернету, на приложения и настройки Реестра Windows, так что прежде чем заниматься любыми серьезными перестройками системы, необходимо создать ее резервную копию. После каждого изменения настроек проверяйте приложения и сетевое подключение, дабы убедиться в том, что они работают корректно. При возникновении любой проблемы восстанавливайте Реестр.

Создаем свое ПО

Для создания собственного инструмента анализа безопасности войдите в систему как администратор, выберите «Пуск-Выполнить», введите команду mmc и нажмите клавишу <Enter>. В раскрывшемся окне задайте опции «Консоль-Добавить или удалить оснастку». Щелкните затем на кнопке «Добавить», выберите из раскрывшегося списка позицию «Анализ и настройка безопасности», опять щелкните на кнопке «Добавить», а потом на кнопках «Закрыть» и OK.

Теперь под маленьким значком «Корень консоли» появится подзначок «Анализ и настройка безопасности», но никаких других ветвей в дереве не будет. Чтобы их добавить, создайте базу данных параметров. Для этого щелкните правой кнопкой мыши на значке «Анализ и настройка безопасности» и выберите опцию «Открыть базу данных». В графу «Имя файла» введите название базы данных, например «Мои настройки безопасности», и нажмите <Enter>. После этого вам будет предложено импортировать какой-нибудь шаблон. (Если соответствующее диалоговое окно не появится или вы его случайно закроете, то снова щелкните правой кнопкой на значке «Анализ и настройка безопасности» и выберите опцию «Импорт шаблона».)

Разнообразие шаблонов варьирует, начиная от устанавливаемого в Windows по умолчанию шаблона setup security.inf до hisecws.inf, задающего высокую безопасность. Если вы не эксперт в области управления сетями и не специалист по безопасности (или вы не убеждены в том, что к системе определенно надо применить какой-то другой шаблон), то выберите setup security и щелкните на кнопке «Открыть» (рис. 1). (Если показываются расширения имен файлов, то имя будет отображаться на экране как setup security.inf.)

Рис. 1. Выберите подходящий для себя уровень безопасности, используя один из этих шаблонов

Сохраните созданный вами инструмент, чтобы в дальнейшем к нему можно было бы снова обращаться, не проходя перечисленные выше шаги. Для этого задайте опции «Консоль-Сохранить как» и укажите, где должен быть сохранен файл утилиты. Если вы сохраняете его в папке «Администрирование» меню «Пуск» (оно же Главное меню; такое место сохранения выбирается по умолчанию), то сможете запустить данную утилиту, выбрав ее из меню «Пуск-Все программы-Администрирование». В том случае, когда соответствующий значок там отсутствует, щелкните правой кнопкой мыши на экранной кнопке «Пуск», задайте опции «Свойства-Меню «Пуск»-Настроить-Дополнительно») и в списке элементов меню «Пуск» выберите нужный вариант отображения. Обычный путь к папке «Администрирование» таков:

C: Documents and SettingsAll UsersГлавное менюПрограммыАдминистрирование

(в графе «адрес Проводника» отображается как

C: Documents and Settings All UsersStart MenuProgramsAdministrative Tools).

Если вы не хотите, чтобы все посетители, вошедшие в систему, видели этот элемент, то измените путь, задаваемый по умолчанию. Введите имя, например Анализатор безопасности, и нажмите <Enter>.

Проводим проверку безопасности

Чтобы проанализировать систему и сравнить ее параметры безопасности с теми, что зафиксированы в вашем шаблоне, щелкните правой кнопкой мыши на значке «Анализ и настройка безопасности» и выберите опцию «Анализировать компьютер» (рис. 2). Укажите путь к файлу журнала ошибок или просто примите путь, предлагаемый по умолчанию.

Рис. 2. С помощью инструмента «Анализ и настройка безопасности» можно проанализировать состояние дел с параметрами безопасности вашего ПК одним щелчком мыши

Когда анализ будет завершен, то на левой створке окна должны будут отобразиться новые ветви. Чтобы увидеть, чем отличаются настройки безопасности компьютера от параметров, зафиксированных в шаблоне, последовательно щелкайте на маленьком значке «+» до тех пор, пока не доберетесь до конца ветви. Потом щелкните на значке в самом конце ветви — и увидите параметры безопасности для данной категории на правой створке окна (рис. 3).

Рис. 3. Сканирование безопасности показывает, как система выглядит на фоне настроек параметров безопасности, заданных в Windows по умолчанию

Значки, стоящие слева от многих из элементов, показывают, как соотносятся настройки вашего ПК с базой данных выбранного шаблона. Таблица «Экзамен по безопасности: оценки в ведомости» разъясняет значение этих значков (в Windows 2000 из них отображаются лишь три первых значка).

Столбцы на правой створке окна раскрывают, в чем заключается отличие настроек безопасности системы от параметров загруженного вами шаблона. Разделы «Политики учетных записей» и «Локальные политики» содержат по три столбца, которые расскажут вам про конкретный тип настройки («Политика»), про настройки, зафиксированные в шаблоне («Параметр базы данных»), и про конфигурацию вашей системы («Параметры компьютера»).

Изменяем параметры системы

Если все или почти все параметры помечены зеленой «галкой», то безопасность вашей системы практически соответствует рекомендациям базы данных выбранного шаблона. Можно расслабиться и попить кофейку. Но как быть тогда, когда есть много расхождений, помеченных красными косыми крестами? Здесь возможно несколько вариантов действий.

Не делать ничего. Если работа системы вас устраивает и нет резона считать, что в ее безопасности наличествуют какие-то бреши, просто махните на результаты анализа рукой. Зачем чинить то, что не сломалось? Это самый простой подход, и я рекомендую вам именно его — если, конечно, ничто не дает вам оснований думать, что у вашей системы действительно имеется какая-то проблема с безопасностью.

Применить другой шаблон. Обилие расхождений может указывать на то, что выбранный шаблон просто не подходит к вашей системе. Чтобы подыскать что-нибудь получше в Windows XP, выберите опции «Пуск-Справка и поддержка». В окно поиска введите последовательность «Готовые шаблоны безопасности» и нажмите <Enter>. Затем щелкните на позиции «Готовые шаблоны безопасности» на левой створке, дабы прочитать основные сведения о них на правой. В Windows 2000 щелкните на кнопке с вопросительным знаком «Справка» в правой части панели инструментов утилиты настройки безопасности. Щелкнув далее на закладке «Содержание», выберите опции «Анализ и настройка безопасности-Дополнительно-Готовые шаблоны». Нужная вам информация появится на правой створке окна.

Если вы найдете более подходящий шаблон, выделите на левой створке значок «Анализ и настройка безопасности», а потом задайте опции «Действие-Импорт шаблона» (или щелкните на этом значке правой кнопкой мыши и выберите «Импорт шаблона» из контекстного меню). В диалоговом окне импорта шаблона включите функцию «Очистить эту базу данных перед импортом», чтобы заменить текущий шаблон (в противном случае в результате опытов вы получите смесь настроек из различных шаблонов). Выделите нужный шаблон, нажмите кнопку «Открыть» и повторите анализ описанным выше способом.

Настройте отдельные параметры. Если вам свойственно дуть на воду и вы просто не можете все это так оставить, исследуйте те настройки компьютера, которые отличаются от параметров базы данных шаблона. Причем про каждый из параметров решите, стоит ли его изменять, и если стоит, то как именно. Самый безопасный способ сделать это — использовать для анализа другой инструмент, а не тот, что был применен для создания шаблона. Например, если параметры, которые вы хотите изменять, относятся к разделам «Политики учетных записей» или «Локальные политики» нового инструмента, то выберите опции «Пуск(Все) программы-Администрирование-Локальная политика безопасности» или щелкните на кнопке «Пуск», затем на «Выполнить» и введите команду secpol.msc /s, после чего нажмите <Enter>.

При использовании инструмента «Локальная политика безопасности» («Локальные параметры безопасности» в Windows 2000) к системе применяются только измененные параметры, а вот в случае инструмента «Анализ и настройка безопасности» вы рискуете получить для своей системы десятки всевозможных неизвестных шаблонов. Поэтому имеет смысл ограничить использование последней утилиты, определив то, какие элементы следует настраивать с помощью инструмента «Локальная политика безопасности».

В системе Windows XP каждый значок описывается в разделах «Политики учетных записей» и «Локальные политики» инструментов «Локальная политика безопасности» и «Анализ и настройка безопасности». Чтобы получить доступ к этим описаниям, укажите «Пуск-Справка и поддержка», введите в окно поиска последовательность «Политики учетных записей и локальные политики» и нажмите <Enter>. В окне результатов поиска выберите список, полученный после полнотекстового поиска, и щелкните на позиции «Политики учетных записей и локальные политики». Потом используйте текст и ссылки на правой створке окна для поиска нужной вам информации. Windows 2000 таких сведений не предоставляет, но можно щелкнуть на кнопке «Справка» в правой части панели инструментов, выбрать «Содержание-Анализ и настройка безопасности-Дополнительно» и получить там некоторые рекомендации.

Рискните всем. Если настройка всякого рода дополнительных параметров — для вас дело привычное, то используйте инструмент «Анализ и настройка безопасности» для применения всех или некоторых параметров какого-либо шаблона. Чтобы внести в текущую конфигурацию машины только отдельные изменения, дважды щелкните в правой створке окна на значке того параметра, который вы считаете необходимым изменить, например на помеченном косым крестом в красном кружочке. Затем включите или выключите функции в нужных позициях столбца параметров базы данных (точнее, в соответствующих диалоговых окнах, когда они раскроются) или подстройте другие параметры в диалоговом окне.

Завершив внесение изменений, щелкните на OK и укажите опции «Консо-Сохранить». Чтобы применить изменения к вашей системе, выделите значок «Анализ и настройка безопасности» на левой створке окна и выберите «Действие-Настроить компьютер». Затем введите путь файла журнала ошибок или щелкните на OK, чтобы принять путь, указанный по умолчанию. Когда применение новых параметров будет завершено, то повторите анализ. Вы должны будете увидеть меньшее число крестиков в красных кружочках, поскольку параметры системы теперь будут соответствовать параметрам текущей базы данных.

Проверьте подключения к локальной сети и к Интернету, а также электронную почту и другие приложения, которые могли затронуть внесенные изменения, а если возникнут проблемы, то восстановите Реестр.

Scott Dunn. Create Your Own Windows Security Analysis Tool. PC World, март 2005 г., с. 142.

Инструмент для настройки и обеспечения безопасности Windows

Новая версия Fresh UI, удобного первоклассного инструмента для конфигурирования Windows, отличается расширенными возможностями для настройки каждой мелочи в системе по вашему усмотрению. Кроме того, эта программа охраняет от вторжений в вашу личную сферу и делает ОС более безопасной. Доступ к десяткам различных опций осуществляется с помощью привычного дерева на левой створке окна, тогда как столбец в правой створке сообщает, какие версии Windows поддерживают выделенный вами параметр. На справочной створке отображаются краткие сведения о выделенных группах настроек. И при всем при этом Fresh UI — совершенно бесплатный продукт; правда, для получения регистрационного кода, нужного для установки, вам придется сообщить компании-производителю свой адрес электронной почты. Переписать программу можно по адресу find.pcworld.com/45634.

Экзамен по безопасности: оценки в ведомости

Для сравнения параметров безопасности Windows с шаблонами утилиты «Анализ и настройка безопасности» надо уметь интерпретировать значки тех политик, которые эта программа использует.

Поделитесь на страничке

Следующая глава >

it.wikireading.ru

Анализируем журнал безопасности Windows NT

2000 г

Анализируем журнал безопасности Windows NT

Журнал "Windows 2000 Magazine", #03/2000

Франклин Р. Смит

Журнал безопасности Security Log может использоваться для отслеживания (аудита) большинства действий пользователей в системе. Существует три основные категории такого аудита - это аудит сеансов работы пользователей, аудит доступа к объектам системы и аудит выполняющихся задач. Эти категории дают основную информацию при наблюдении за действиями пользователей. Системная политика аудита настраивается в меню Policies-Audit-Audit Policy, вызываемом из программы User Manager (см. Экран 1). Данное диалоговое окно позволяет выбрать, какие из семи категорий фиксировать в локальном журнале безопасности, а какие нет.

Сеансы работы пользователей

ЭКРАН 1. Настройка аудита системы.

Многие администраторы просматривают журнал безопасности Windows NT и видят события входа пользователей в систему и выхода из нее, однако часто не могут правильно оценить увиденное. Здесь следует обращать внимание на отдельные параметры событий. Так, событие успешной регистрации пользователя в системе имеет номер (ID) 528 (см. Рисунок 1). При отказе в регистрации пользователя фиксируется событие с другим номером, который зависит от причины отказа. Полный список событий можно найти в документе Microsoft "Описание событий аутентификации" (см. http://support.microsoft.com/support/kb/articles/q174/0/74.asp). Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528. Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Номер сеанса пользователя Logon ID - это уникальный для системы код, присваиваемый любому активному сеансу работы пользователя с системой. Именно он будет записан в событии завершения сеанса. Это позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одним и тем же номером сеанса.

РИСУНОК 1. Событие номер 528.

Событие входа в систему также фиксирует информацию о типе входа Logon Type, т. е. то, как пользователь вошел в систему. Тип входа 2 соответствует интерактивному входу с консоли, например, с помощью монитора и клавиатуры. Если пользователь подключается к диску на другом компьютере или как-либо еще использует сетевой ресурс, то выполняется сетевой вход с типом 3. Так, если был зафиксирован тип входа 2, то кто-то вошел в систему с локальной консоли именно этого компьютера, а если тип 3, значит, кто-то подключился к системе по сети. Тип входа 5 фиксируется при запуске службы с указанием конкретной учетной записи пользователя. При использовании планировщика задач производства независимых компаний, например Argent Queue Manager компании Argent Software, система фиксирует событие номер 528 с типом входа 4, что соответствует заданию на выполнение командного файла. При разблокировании рабочей станции записывается событие с типом входа 7.

Фиксируются также все неудачные попытки входа в систему Logon Failure. При этом чаще всего записывается системное событие 529, соответствующее указанию неверного имени пользователя или пароля - Unknown user name or bad password.

ЭКРАН 2. Выбор рабочих станций, с которых пользователь имеет право войти в систему.

Если учетная запись пользователя недоступна или заблокирована, то попытка входа отвергается, и записывается событие с номером соответственно 531 или 539. Событие номер 530 указывает, что пользователь пытался войти в систему в недозволенное ему время или день недели. Если учетная запись пользователя просрочена или устарел пароль, то фиксируется соответственно событие 532 или 535. Если пользователь ограничен входом лишь на некоторые рабочие станции (см. Экран 2), а он пытается войти с другого компьютера, то запишется событие номер 533. Можно ограничить права пользователя на выполнение определенных типов входа в различные системы. Если пользователь, которому запрещен доступ к какому-то компьютеру по сети, все же пытается обратиться к его ресурсу или реестру, то он получит отказ, а в журнал безопасности запишется событие с номером 534. Такое же событие будет зафиксировано при попытке пользователя войти в систему с консоли, если это ему запрещено. При попытке запустить службу с использованием учетной записи пользователя, не имеющей права на запуск служб (права Logon as a service), также будет зафиксировано событие номер 534. Кроме того, событие 534 запишется и при попытке запуска задания с исполнением командного файла от имени учетной записи без права Logon as a batch job. При всех других отказах в аутентификации фиксируется событие с номером 537, т. е. An unexpected error occurred during logon - отказ по неизвестной причине. Тип входа фиксируется при всех попытках входа в систему, независимо от их результата. Более подробную информацию можно найти в документе Microsoft "Аудит аутентификации пользователей" (см. http://support.microsoft.com/support/kb/articles/q174/0/73.asp).

Аутентификация в Windows NT имеет распределенную природу. Особенно ярко это проявляется при слежении за входом в систему и выходом из нее. Зачастую аудит на рабочей станции, имеющей учетную запись в домене, воспринимается уже как "вход в домен", вместо настоящего момента входа в домен или же входа на контроллер домена с использованием учетной записи домена. Аудит на рабочей станции означает лишь регистрацию на рабочей станции. Но поскольку используется учетная запись домена, сама рабочая станция не может аутентифицировать пользователя. Рабочая станция лишь посылает сведения о пользователе на контроллер домена по протоколу NTLM (NT LAN Manager). Контроллер домена проверяет правильность пароля и сразу же забывает о пользователе. Сеанс работы пользователя поддерживает сама рабочая станция до самого момента выхода из системы. Разумеется, именно рабочая станция и записывает в свой журнал системы безопасности информацию о сессии пользователя.

Для получения общей картины работы пользователей домена зачастую можно обойтись без анализа журналов безопасности на всех без исключения рабочих станциях. Дело в том, что сразу же после успешного входа пользователя обычно выполняется автоматическое подключение сетевых дисков, расположенных на файл-серверах. Именно журналы безопасности файл-серверов и следует просматривать, отслеживая события входа в систему с типом 3. Из-за отсутствия централизованной фиксации входов в систему для домена бывает трудно отследить попытки несанкционированного доступа. Однако, хотя контроллеры домена и не фиксируют все неудавшиеся попытки входа, они записывают все блокировки учетной записи (событие номер 644), которые являются следствием нескольких безуспешных попыток входа подряд. Подробнее о блокировках учетных записей рассказано в документе Microsoft "События при блокировках учетных записей хранятся в журнале безопасности контроллера домена" (см. http://support.microsoft.com/support/kb/articles/q182/9/18.asp).

Необходимо отслеживать использование локальных учетных записей на отдельных системах. Входящие в домен рабочие станции и обычные серверы аутентифицируют пользователей на контроллерах доменов, а также ведут собственные локальные базы пользователей (SAM). И пользователи, и взломщики могут задействовать эти локальные учетные записи, чтобы попытаться войти в систему локально или через сеть. Во всех системах существует встроенная административная учетная запись Administrator. О том, как предотвратить нежелательные попытки ее использования, рассказано в мартовском номере Windows NT Magazine/RE в статье Франклина Р. Смита "Защитим права администратора!".

Для эффективного наблюдения за сеансами работы пользователей нужно хорошо знать, что и где проверять. Для отслеживания входа в систему в первую очередь следует просматривать журналы безопасности на рабочих станциях и простых серверах и искать в них события с номерами 528 и 538. Возможные попытки незаконного проникновения в систему отслеживаются среди событий с номерами от 529 до 537, а также 539 на всех потенциально доступных для нападения компьютерах.

Доступ к объектам системы

Аудит доступа к объектам включает в себя всего три события, однако он очень важен, поскольку позволяет отслеживать обращения к любым объектам, включая каталоги, файлы, принтеры и ключи реестра. Для использования перечисленных возможностей необходимо включить опцию регистрации доступа к объектам в меню настройки аудита системы, а также указать все объекты, доступ к которым требуется регистрировать. Список регистрируемых действий для объекта очень напоминает список прав доступа к этому объекту (ACL). В таком списке указаны пользователи и их действия, подлежащие регистрации.

Аудит доступа к объектам ведется в журнале событий, а не в журнале транзакций. Поэтому Windows NT не фиксирует, что именно сделал пользователь с объектом, а указывает только тип доступа к данному объекту. Так, например, можно проследить, что пользователь Иванов открыл файл Зарплата.xls для чтения, записи, выполнения и удаления, однако совершенно невозможно выяснить, внес ли он какие-то изменения, а если да, то какие именно. К тому же при аудите доступа к объектам в журнал может быть записано неоправданно много событий. Так, при активизации двойным щелчком текстового файла из программы Windows Explorer происходит запуск программы WordPad. При этом фиксируется более 20 событий, связанных с доступом к данному файлу и к каталогу, где он находится.

Аудит объектов обычно используется применительно к обычным приложениям, которые работают с отдельными файлами, например к приложениям из комплекта Microsoft Office. Специальные клиент-серверные приложения, такие, как SAP, работают с таблицами, расположенными в нескольких больших файлах базы данных SQL Server. Аудит таких файлов обычно сводится к записи одного события при запуске информационной службы и одного - при ее остановке. При этом не остается сведений о том, какой пользователь выполнял те или иные транзакции или в каких таблицах он менял данные. Эту информацию могут сохранять только сами приложения. Зато аудит таких монолитных файлов помогает выяснить, не пытался ли кто-то заменить файлы базы данных в тот момент, когда SQL Server был остановлен. Это вполне возможно, а перезапущенная прикладная служба не способна заметить подмену.

РИСУНОК 2. Событие номер 560.

Основные два события аудита доступа к объектам: object opened и handle closed. Первое фиксирует открытие объекта (номер 560) , а второе - его закрытие (событие 562). Это взаимодополняющие друг друга события, подобные событиям входа и выхода из системы. Успешное событие номер 560 (см. Рисунок 2) записывает информацию об открытом объекте, а также имя пользователя и название приложения, которое воспользовалось объектом, тип доступа и дескриптор Handle ID.

Handle ID является уникальным кодом для контроля операционной системы за каждым объектом. Он напоминает описанный выше номер сессии пользователя. Найдя пару событий открытия и закрытия (560 и 562) с одним и тем же значением Handle ID, можно выяснить время работы пользователя с данным объектом. Вместе с этим дескриптором событие номер 560 записывает и номер сессии пользователя (см. Рисунок 2), что позволяет выяснить, в какой именно сессии тот обращался к объекту.

События хранят информацию о двух пользователях - об основном и о клиенте. При открытии файла на локальном компьютере с помощью обычного приложения, такого, как Microsoft Word, существенна только информация об основном пользователе. Однако при доступе к объекту из клиент-серверных приложений, которые разграничивают доступ к данным на основе базы пользователей системы, фиксируются оба типа пользователей: основной - соответствует учетной записи клиент-серверного приложения, а клиентский - соответствует пользователю, от имени которого работает сервер. Типичным примером является доступ к файловым ресурсам сервера. Так, при доступе к файлу на другом компьютере через сеть служба Workstation обращающегося к файлу компьютера соединяется со службой Server компьютера с предоставляемым ресурсом, при этом происходит тип 3 входа в систему. Перед обработкой любого запроса сервер аутентифицирует пользователя и записывает события доступа к объекту с указанием основного пользователя и клиента. В этом случае основным пользователем будет SYSTEM, поскольку именно под данной учетной записью запускается служба Server. Информация о клиенте соответствует имени пользователя, которое применялось для доступа к ресурсу; обычно это одна из учетных записей пользователей домена.

Поле типа доступа Accesses в событии номер 560 хранит вид использованного метода доступа к объекту. Значения этого поля соответствуют возможным типам полномочий доступа к объектам ACL. Так, при редактировании текстового файла в редакторе WordPad Windows NT фиксирует событие 560 с типом доступа для чтения ReadData, записи WriteData и добавления AppendData.

Событие 560 также сохраняет информацию о номере процесса Process ID. Этот номер позволяет определить, какая именно программа обратилась к объекту. Например, можно точно выяснить, использовалось ли при редактировании текстового файла приложение Word, WordPad или Notepad. Однако это при условии, что редактировался локальный файл. Если же пользователь обращался к объекту через сеть, фиксируется номер процесса, соответствующий серверному приложению.

Третьим важным событием в категории аудита объектов является событие номер 564, удаление объекта - object deleted. Оно записывает только дескриптор и номер процесса. Чтобы разобраться, какой именно объект и каким пользователем был удален, необходимо отыскать по значению Handle ID соответствующее событие 560 открытия объекта. В событии номер 560 есть вся необходимая информация о пользователе, так что событие 564 удаления объекта следует связывать именно с ним.

Аудит и анализ доступа к объектам представляется очень мощным средством. Однако анализ - процесс весьма трудоемкий, а аудит может снизить быстродействие системы при активном использовании и большом количестве регистрируемых объектов. Не следует злоупотреблять этим типом аудита. Кроме защиты особо важных ресурсов он часто используется службой безопасности предприятия для сбора сведений о неблагонадежных пользователях. Известны случаи, когда аудит ставился на специально подбрасываемые пользователям файлы типа Зарплата.xls только лишь с целью выявить потенциальных злоумышленников. Подобный подход требует строгой проработки. Ну и, конечно, не надо забывать включать аудит доступа к объектам системы в приложении User Manager на той системе, где эти объекты находятся, а не только на рабочей станции пользователя.

Аудит выполняющихся задач

РИСУНОК 3. Событие номер 592.

Эта категория аудита в приложении User Manager называется аудитом выполняющихся задач - process tracking, а в документации по Windows NT и в программе Event Viewer используется термин "детальный аудит" - detailed tracking. Как бы то ни было, данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере. В этой категории также существуют два основных события - создание нового процесса, событие номер 592, и завершение процесса, событие номер 593. Найдя пару событий 592 и 593, имеющих один и тот же номер процесса Process ID, можно определить общее время работы того или иного приложения. Поле названия исполнительного модуля Image File Name хранит имя файла, соответствующего приложению. Так, при запуске WordPad это поле будет содержать значение WORDPAD.EXE (см. Рисунок 3). К сожалению, событие не записывает полный путь, и судить о точном размещении исполняемого файла нельзя. В поле имени пользователя User Name хранится информация о том, кто запустил приложение. Кроме того, по значению поля номера сеанса Logon ID пользователя можно отыскать соответствующее событие номер 528 и выяснить все подробности о сеансе, в котором запускалось приложение. С помощью поля номера запустившего приложение процесса Creator Process ID можно найти соответствующее событие номер 592, из которого выяснить, какая программа инициировала запуск нового процесса.

Аудит выполняющихся задач может оказаться очень полезным на рабочих станциях, в особенности при изучении активности тех или иных пользователей. Если при этом задействовать аудит доступа к объектам на серверах, то можно построить довольно четкую картину работы пользователей.

Аудит сеансов работы пользователей, аудит доступа к объектам системы и аудит выполняющихся задач являются тремя важнейшими категориями в журнале безопасности Windows NT. Можно связать сеансы работы пользователей, процессы и доступ к объектам и построить точную картину деятельности пользователей (см. Рисунок 4). К сожалению, Event Viewer не способен фильтровать события по значениям их параметров, так что использовать номера Logon ID, Process ID и Handle ID весьма трудно. Однако можно применить функцию поиска по значению параметра и вручную составить необходимые цепочки событий. Можно также воспользоваться другими программами обработки журнала безопасности Windows NT, которые позволяют отфильтровывать события по различным критериям.

При настройке аудита журнала для этих трех категорий нужно знать, какие компьютеры (рабочие станции, серверы, контроллеры домена) в какие журналы будут записывать те или иные события. Следует помнить, что аудит доступа к объектам системы и аудит выполняющихся задач могут существенно понизить быстродействие системы. В следующий раз мы рассмотрим остальные категории аудита, как-то: аудит управления учетными записями пользователей, изменения системной политики, использования полномочий и системных событий.

 

archive.li

Анализ, просмотр и применение шаблонов безопасности в Windows Server 2008

Как уже говорилось, оснастка Анализ и настройка безопасности (Security Configuration and Analysis) используется для применения шаблонов, а также для сравнения параметров шаблона с текущими параметрами компьютера. Применение шаблона гарантирует приведение компьютера в соответствие с определенной конфигурацией безопасности. Сравнение параметров помогает найти любые несоответствия между текущей настройкой компьютера и настройкой, определенной в шаблоне безопасности. Оно также помогает выявить изменения, внесенные в параметры безопасности после применения шаблона.

Оснастка Анализ и настройка безопасности (Security Configuration and Analysis) использует рабочую базу данных для хранения параметров безопасности шаблона, после чего применяет параметры из этой базы данных. При анализе и сравнении параметров безопасности параметры из шаблона представлены как фактические параметры базы данных, а текущие параметры – как фактические параметры компьютера. Кстати, не забывайте, что важно сидеть на правильном кресле за хорошим компьютерным столом. Вот, например, в Белоруссии можно компьютерные столы купить онлайн на сайте wilema-mebel.by. В России тоже наверняка есть “достойные” мебельщики. Но, чтьо-то мы отвлеклись. Пойдём дальше – Чтобы произвести настройку и анализ нового или существующего шаблона, выполните следующие действия:

1. Откройте оснастку Анализ и настройка безопасности (Security Configuration and Analysis).

2. Щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Открыть базу данных (Open Database). Откроется одноименное диалоговое окно.

3. По умолчанию в этом окне открыта папка %SystemDrive%\Users\%User-Name%\Documents\Security\Database. При необходимости перейдите в другое расположение. Введите в поле Имя файла (File Name) имя базы данных, например, Current Config Comparison, и щелкните кнопку Открыть (Open). Будет создана база данных безопасности в формате Файлы базы данных безопасности (Security Database Files) с расширением sdb.

4. В диалоговом окне Импорт шаблона (Import Template) отображается стандартный маршрут поиска %SystemDrive%\Users\%UserName%\ Documents\Security\Templates. При необходимости перейдите в другое расположение. Выберите шаблон безопасности, которым хотите воспользоваться, и щелкните Открыть (Open). Файлы шаблонов безопасности имеют расширение .inf.

5. Щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Анализ компьютера (Analyze Computer Now). Введите путь для сохранения журнала ошибок или сразу щелкните ОК, чтобы использовать стандартный путь.

6. Дождитесь завершения анализа шаблона. Если во время анализа произойдет ошибка, просмотрите журнал ошибок, щелкнув правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выбрав команду Показать файл журнала (View Log File). В оснастке Анализ и настройка безопасности (Security Configuration and Analysis) вы можете просматривать различия между параметрами шаблона и текущими параметрами компьютера. Параметры шаблона, сохраненные в базе данных анализа, указаны в столбце Параметр базы данных (Database Setting). Текущие параметры компьютера указаны в столбце Параметр компьютера (Computer Setting). Если параметр не анализировался, у него стоит значение Не анализировано (Not Analyzed).

Чтобы внести изменения в параметры базы данных, выполните следующие действия:

1. В оснастке Анализ и настройка безопасности (Security Configuration and Analysis) дважды щелкните параметр, с которым хотите работать.

2. В диалоговом окне свойств, текущее значение параметра приведено в поле Параметр компьютера (Computer Setting). При необходимости прочитайте о назначении параметра на вкладке Объяснение (Explain).

3. Чтобы задать и применить параметр политики, установите флажок Определить следующую политику в базе данных (Define This Policy Setting In The Database). Чтобы нe применять политику, сбросьте этот флажок.

4. Задайте способ использования политики, настроив дополнительные параметры.

5. При необходимости измените другие политики. Чтобы сохранить изменения базы данных, щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Сохранить (Save).

Перед применением шаблона имеется смысл создать шаблон для отката, позволяющий удалить большинство параметров, примененных в составе шаблона. Восстановить не удастся только параметры, затрагивающие списки управления доступом к путям файловой системы и реестра.

Шаблон для отката создается при помощи утилиты командной строки Secedit. Введите команду:

secedit /generaterollback /cfg Шаблон /rbk ШаблонОтката /log Журнал

где Шаблон – имя шаблона безопасности, для которого создается шаблон отката, ШаблонОтката – имя шаблона безопасности, в котором будут сохранены восстанавливаемые параметры, Журнал – имя необязательного системного журнала.

В следующем примере мы создадим шаблон отката для шаблона dc security:

secedit /generaterollback /cfg “dc security.inf” /rbk dc-orig.inf /log rollback.log

Подготовившись к применению шаблона, щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Настроить компьютер (Configure Computer Now). Задайте путь к файлу журнала ошибок или сразу щелкните ОК, чтобы принять стандартный путь. Чтобы просмотреть журнал ошибок, щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Показать файл журнала (View Log File). Изучите возникшие проблемы и при необходимости примите меры.

Если перед применением шаблона безопасности вы создали шаблон отката, вы можете восстановить прежние значения параметров безопасности компьютера. Чтобы применить шаблон отката, выполните следующие действия:

1. В оснастке Анализ и настройка безопасности (Security Configuration and Analysis) щелкните правой кнопкой мыши узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Импорт шаблона (Import Template).

2. В диалоговом окне Импорт шаблона (Import Template) выберите шаблон отката.

3. Установите флажок Очистить эту базу данных перед импортом (Clear This Database Before Importing) и щелкните кнопку Открыть (Open).

4. Щелкните правой кнопкой узел Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Настроить компьютер (Configure Computer Now). Щелкните ОК. Восстановить не удастся только параметры, затрагивающие списки управления доступом к путям файловой системы и реестра. Отменять внесенные изменения придется вручную.

logi.cc

---

Смотрите также

• 
  Тормозит журнал регистрации 1с
• Текст книга книгоиздание журнал
• 
  Стажировка в журнале elle
• 
  Сноб журнал арина холина
• 
  Северная корея живой журнал
• 
  Редакция журнала атомная энергия
• 
  Редактор журнала vogue италия
• 
  Предварительное следствие журнал 2013
• 
  Недвижимость строительство право журнал
• 
  Мурзилка детский журнал википедия
• 
  Наноиндустрия научно технический журнал