Vvmebel.com

Новости с мира ПК
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Аудит безопасности операционных систем

Аудит событий безопасности в операционных системах Microsoft Windows и Unix: определение параметров аудита, просмотр файлов аудита, достоинства и недостатки

Аудит безопасности в ОС Windows

Журнал аудита содержится в файле windows System32 Config secevent.evt, а доступ к нему осуществляется с помощью административной функции «Просмотр событий» Панели управления Windows.

o Вход пользователей в систему;

o доступ субъектов к объектам;

o доступ к службе каталогов Active Directory;

o изменение политики безопасности;

o использование привилегий;

o отслеживание процессов;

o системные события;

o попытки входа в систему;

o управление учетными записями пользователей и групп;

o доступ к глобальным системным объектам;

o использование прав на архивацию и восстановление объектов.

o Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита.

Аудит использования привилегий

o Регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности). Следует отметить, что не все объективно опасные привилегии входят в этот список.

Аудит системных событий

К системным событиям, которые могут регистрироваться в журнале аудита, относятся:

o перезагрузка операционной системы;

o завершение работы операционной системы;

o загрузка пакета аутентификации;

o запуск процесса входа (Winlogon);

o сбой при регистрации события в журнале аудита;

o очистка журнала аудита;

o загрузка пакета оповещения об изменении в списке пользователей.

Другие параметры аудита

o Максимальный размер журнала аудита.

o Реакция операционной системы на его переполнение:

n затирать старые события при необходимости;

n затирать старые события, которые произошли ранее установленного количества дней (в этом случае новые события не регистрируются, пока не истечет заданное количество дней с момента регистрации самого старого события) − реакция по умолчанию;

n не затирать события (очистка журнала вручную).

Аудит событий безопасности в ОС Unix

Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:

o acct – регистрация команд, выполненных пользователем;

o loginlog – регистрация неудачных попыток входа;

o sulog – регистрация использования команды su;

o wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;

o security – сообщения подсистемы безопасности;

o vold.log – регистрация ошибок внешних устройств и др.

— Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.

— В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.

— Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).

Сообщение аудита в ОС Unix:

o дата и время генерации сообщения;

o имя компьютера;

o имя программы, при выполнении которой было сгенерировано сообщение;

o источник сообщения (модуль операционной системы);

o приоритет (важность) сообщения;

o содержание сообщения.

Параметры аудита в ОС Unix:

Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:

o селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);

o описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).

Пример параметра аудита:

Сообщения приоритета err от всех служб, приоритета debug от ядра операционной системы, сообщения службы авторизации приоритета notice, а также сообщения приоритета crit почтовых программ выводятся на системную консоль.

Просмотр файлов аудита:

o Для просмотра файлов системных журналов может применяться программа Swatch, работа которой также управляется конфигурационным файлом.

o Программа Swatch способна обнаруживать определенные события и выполнять различные действия на их основе. Кроме того, она в состоянии удалять из файла ненужные записи, которые просто занимают место в нем.

Бронируем Windows. Комплексный аудит безопасности — от файрвола до Active Directory

Содержание статьи

Особенности аудита безопасности Windows-систем

Если ты еще не читал, то в нашей прошлой статье мы разбирали схожие утилиты, служащие для оценки исходного уровня защищенности и форсирования native-опций безопасности в Linux. Сегодня же в материале речь пойдет о десктопных и серверных версиях Windows-систем. И прежде чем перейдем непосредственно к обзору, мы отметим несколько очень важных особенностей аудита безопасности всем известных «окон».

Винда «дырявая»

Давно бытует мнение, будто Windows-системы менее надежны и безопасны по сравнению с Linux. Это мнение, безусловно, небеспочвенно. Но Microsoft в последние несколько лет прилагает большие усилия для того, чтобы продукты компании были не только красивы, но и достаточно безопасны. Наглядный тому пример — Windows 10, операционная система, впитавшая в себя все самое лучшее от ее предшественников (к примеру, UAC, DEP, BitLocker, DirectAccess, WFP и NAP, AppLocker, бывший Restrict Policy) и предлагающая передовые опции технологии безопасности.

Речь прежде всего идет о таких фичах, как обновленный SmartScreen, защита ядра Credential Guard, Device Guard, технологии аутентификации (в том числе биометрической) Windows Hello и Microsoft Passport, изоляция процессов IUM, Advanced Threat Protection в «Защитнике Windows», облачная аналитика Windows Analytics, а также дополнительные опции защиты от нашумевших в прошлом году вирусов шифровальщиков WannaCry, Petya и Bad Rabbit. Подробный обзор всех нововведений в технологиях безопасности Windows 10 можно почитать на официальном ресурсе Microsoft.

Однако, как показывает практика, большинство обычных пользователей домашних систем после первого запуска ОС сразу же отключают если не все, то уж точно половину опций безопасности, надеясь в основном на установленное антивирусное ПО. Другая же часть пользователей и вовсе устанавливает на свой компьютер неофициальные сборки Windows, в которых зачастую уже вырезаны отдельные компоненты ОС или дефорсированы политики безопасности еще на этапе инсталляции. Но даже те, кто использует какие-то native-технологии безопасности, редко вникают в подробности и тем более занимаются тонкой настройкой.

Отсюда и рождается часть мифов о том, что Windows по защищенности извечно проигрывает в противостоянии с Linux.

Windows 10 обладает большим количеством технологий обеспечения безопасности. Это и доставшиеся от предков UAC, DEP, BitLocker, DirectAccess, NAP, AppLocker (бывший Restrict Policy), WFP, и совершенно новые SmartScreen, Credential Guard, Device Guard, Hello, Microsoft Passport, Advanced Threat Protection или Windows Analytics. Есть даже дополнительные опции защиты от изменения папок, полезные, к примеру, в борьбе с вирусами-шифровальщиками типа WannaCry, Petya или Bad Rabbit.

Популярность как уязвимость

Несомненная популярность и широкая распространенность Windows как среди домашних пользователей, так и среди корпоративного сегмента автоматически делает ее мишенью для злоумышленников. Стоит ли говорить, что абсолютное большинство сотрудников компаний работают на Windows-системах. Исключение могут составить разве что разработчики, DevOps-инженеры и системные администраторы, число которых по отношению к основному пулу юзеров просто статистически несравнимо (вспомни наше старое интервью с парнями из «Лаборатории Касперского», которые в полном составе сидят на винде. — Прим. ред.).

Так что заявления в стиле «переходи на Linux и живи спокойно» здесь неуместны. Ты можешь себе представить рядового бухгалтера или менеджера по продажам, работающих в 1С на Linux? Наверное, это возможно, но все-таки не для большинства. Поэтому Windows сегодня стала де-факто неким стандартом рабочего места по умолчанию.

Если учитывать таргетированные атаки (мы уже о них рассказывали здесь и здесь), ставящие своей целью получение конечного результата любой ценой, то в арсенал средств, с помощью которых ведется атака, входят не только 0day-уязвимости и сложные технические приемы, но также и методы социальной инженерии. Для борьбы с подобными угрозами базового уровня защиты, предоставляемого штатными средствами, уже не хватает, и в ход идут сложные технические решения корпоративной безопасности, такие как NGFW, SIEM, WAF, SandBox, IDS/IPS-системы.

Универсальность против лицензионной политики

Если Linux по сути универсальная система, в которую в любой момент можно доустановить нужные пакеты, активировать сетевые службы, настроить маршрутизацию и получить из «домашней версии» настоящий сервер, то с Windows такой трюк в чистом виде не пройдет. Лицензионная политика Microsoft разделяет пользовательский домашний и корпоративные сегменты. Поэтому и инструменты, и чек-листы проверки тоже будут разниться.

Читать еще:  Система обработки событий безопасности

К примеру, если стандартный набор проверок для домашней системы будет включать такие вещи, как контроль учетных записей, настройки файрвола, установка обновлений и разделение привилегий для учетных записей, то аудит безопасности Windows Server потребует гораздо большего внимания. К примеру, в него стоит отнести:

  • контроль изменений ключевых объектов Active Directory (OU, GPO и так далее);
  • аккаунты доменных пользователей с просроченными паролями;
  • аккаунты доменных пользователей с паролями, которые никогда не истекают;
  • обезличенные (неперсонифицированные) административные учетные записи на серверах Windows Server, MS SQL Server и подобных;
  • некоторые настройки MS Exchange Server и SharePoint, зависающие от установленной в AD политики безопасности;
  • членство в группах безопасности.

Поскольку Windows Server — продукт проприетарный, то в отличие от Linux большинство Enterprise-утилит для аудита безопасности Active Direcroty и других инфраструктурных элементов будут коммерческими (а значит, платными).

Что касается настроек безопасности, рекомендованных Microsoft, то они существуют для всех актуальных сегодня версий Windows — 7, 8, 10, Server 2012, Server 2016. Помимо этого, внимание также можно обратить на набор CIS-рекомендаций для десктопов и серверных редакций операционных систем.

Обзор инструментов

Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows. В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Иван Пискунов

Технический эксперт, ресерчер, участник CTF-команды CraZY Geek$, 10 лет в индустрии ИБ. Автор блога ipiskunov.blogspot.com. Канал в telegram @w2hack или t.me/w2hack. Увлекается миром Unix, malware analysis, reverse engineering и тестированием сетей на проникновение

Check Also

Захват поддоменов. Как я захватил поддомены Microsoft и как работают такие атаки

Несколько лет назад мне удалось захватить поддомены на сайтах компании Microsoft и получит…

8 комментариев

Antek

Ссылка на MBSA неактивна, обновите её, пожалуйста.

Иван Пискунов

Aslan

«Запуск MBSA в CLI-режиме с ключом вызова справки» — указали неверный ключ, или справка не предусмотрена?

Иван Пискунов

Скорее всего это какой то глюк, версию программы показал, а вот справку не отобразил. Для вызова хелпа можно так же использовать ключ /? проверял, он работает

Аудит и журналы безопасности

Отслеживание событий является обычной и необходимой частью работы системных администраторов (или менеджеров веб-сайтов). Для этого в Windows 2000 и IIS используются журналы и аудит . Процедуры управления сайтом включают в себя регулярную проверку, анализ и просмотр зафиксированной информации для выявления неудавшихся или успешных атак, направленные на сайт . При обнаружении проблемы следует выполнить аудит безопасности для определения нанесенного ущерба и способа проникновения в систему.

В любой политике безопасности имеются процедуры и стандартные приемы для этих случаев. Даже и не думайте о работе сайта, если такая политика еще не разработана. В лекции рассказывается о том, как настраивать журнал, осуществлять аудит , создавать резервные копии и производить восстановление. Все эти действия необходимы для обеспечения безопасной и надежной работы сервера и веб-сайта.

Отслеживание событий сайта

События, происходящие на веб-сервере Windows 2000/ IIS , отслеживаются при помощи просмотра и анализа журнала, в который отправляются сообщения от других служб, приложений или операционной системы. Эти сообщения учитывают события, происходящие в системе: выключение, запуск , создание новой учетной записи и т.д. IIS дополнительно отслеживает события собственного набора служб, например, запросы от посетителей сайта, отправленные на сервер для осуществления анонимного входа.

В Windows 2000 имеются журналы шести различных типов. Если вы имеете опыт системного администрирования Windows 2000, то уже знакомы с некоторыми из них. IIS ведет свой собственный отдельный журнал. Ниже приведен полный перечень журналов, работающих на сервере.

  • Системный журнал. Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки.
  • Журнал безопасности. Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов.
  • Журналы приложений. Фиксируют события, связанные с приложениями, выполняемыми на сервере.
  • Журнал службы каталогов. Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу.
  • Журнал сервера DNS. Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory.
  • Журнал службы репликации файлов. Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена.
  • Журнал IIS. Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.).

Для веб-сервера IIS не требуется работа всех без исключения журналов, например, не нужны журналы сервера DNS и службы репликации файлов. Журнал службы каталогов включается, если сервер является частью домена Windows Active Directory , причем ведется он на другом сервере. Веб- сервер работает с системным журналом, журналом приложений, журналом безопасности и журналом IIS .

Системный журнал Windows 2000 и журнал приложений активируются по умолчанию при установке IIS для автоматического фиксирования системных событий и событий приложений. Остальные журналы запускаются только после их непосредственной настройки и/или запуска. При выполнении IIS Lockdown автоматически активируется журнал безопасности Windows 2000 и IIS .

Информация журналов событий

Журналы Windows 2000 и IIS можно настроить на запись большого числа различных событий и действий. IIS по умолчанию сохраняет файлы журнала в текстовом формате, их можно просматривать в любом приложении, поддерживающем этот формат. Обычно файлы анализируются посредством их загрузки в программу генерации отчетов, которая осуществляет фильтрацию, сортировку и управление данными. На рисунке приведен пример содержимого файла журнала IIS.

Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе. На рисунке показана консоль программы Event Viewer.

Анализ аспектов безопасности при помощи файлов журналов требует некоторых навыков. Следует различать типы сообщений и понимать, что они означают. Когда ваш сервер начнет свою работу, внимательно следите за ним в течение некоторого времени и фиксируйте признаки нормальной работы, чтобы выявлять впоследствии отклонения от нормы.

Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.

  • Информационные сообщения о событиях. Описывают успешное выполнение операций, таких как запуск службы.
  • Предупреждающие сообщения о событиях. Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас.
  • Сообщения о событиях ошибок. Описывают ошибки, возникшие из-за неудачного выполнения задач.
  • Сообщения о событиях успешного выполнения той или иной операции. Описывают события безопасности, выполненные Windows 2000 согласно запросу.
  • Сообщения о событиях неудачного выполнения операции. Описывают события безопасности, не выполненные Windows 2000 согласно запросу.

На рисунке 5.1 приведен пример сообщения об ошибке в системном журнале Windows 2000, зафиксировавшего неожиданное отключение сервера. Это событие выходит за рамки нормальной работы и его необходимо исследовать. По идентификационному номеру ID события его можно найти в базе данных Microsoft Knowledge Base , если не понятно, что оно означает.

Аудит

В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Читать еще:  Политика безопасности сети предприятия

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

Аудит, учет использования системы защиты

Аудит — заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий относятся:

  • вход или выход из системы;
  • операции с файлами (открыть, закрыть, переименовать, удалить);
  • обращение к удаленной системе;
  • смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Следует предусматривать наличие средств выборочного протоколирования, как в отношении пользователей, когда слежение осуществляется только за подозрительными личностями, так и в отношении событий. Слежка важна в первую очередь как профилактическое средство. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.

Помимо протоколирования можно сканировать систему периодически на наличие брешей в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:

  • Короткие или легкие пароли
  • Hеавторизованные set-uid программы, если система поддерживает этот механизм
  • Hеавторизованные программы в системных директориях
  • Долго выполняющиеся программы
  • Нелогичная защита как пользовательских, так и системных директорий, системных файлов данных, таких как файлы паролей, драйверов, ядра
  • Потенциально опасные списки поиска файлов, могущие привести к запуску троянского коня.
  • Изменения в системных программах, обнаруженные при помощи контрольных сумм.

Любая проблема, обнаруженная сканером безопасности, может быть, как исправлена автоматически, так и доложена менеджеру системы.

Итак, ОС должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подобных решений в рамках аппаратуры и операционной системы — разделение команд по уровням привилегированности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС, контроль за повторным использованием объекта.

Большое значение имеет структура файловой системы. Hапример, в ОС с дискреционным контролем доступа каждый файл должен храниться вместе с дискреционным списком прав доступа к нему, а, например, при копировании файла все атрибуты, в том числе и ACL, должны быть автоматически скопированы вместе с телом файла.

В принципе меры безопасности не обязательно должны быть заранее встроены в ОС — достаточно принципиальной возможности дополнительной установки защитных продуктов. Так, сугубо ненадежная система MS-DOS может быть улучшена за счет средств проверки паролей доступа к компьютеру и/или жесткому диску, за счет борьбы с вирусами путем отслеживания попыток записи в загрузочный сектор CMOS-средствами и т.п. Тем не менее, по-настоящему надежная система должна изначальнопроектироваться с акцентом на механизмы безопасности.

Среди архитектурных решений, с точки зрения информационной безопасности, целесообразны также следующие:

  • деление аппаратных и системных функций по уровням привилегированности и контроль обмена информацией между уровнями;
  • защита различных процессов от взаимного влияния за счет механизма виртуальной памяти;
  • наличие средств управления доступом;
  • структурированность системы, явное выделение надежной вычислительной базы, обеспечение компактности этой базы;
  • следование принципу минимизации привилегий — каждому компоненту дается ровно столько привилегий, сколько необходимо для выполнения им своих функций;
  • сегментация (в частности, сегментация адресного пространства процессов) как средство повышения надежности компонентов.

Система безопасности Windows XP/NT/2000.

Компоненты защиты NT частично встроены в ядро, а частично реализуются подсистемой защиты. Подсистема защиты регистрирует правила контроля доступа и контролирует учетную информацию.

Кроме того, Windows NT имеет встроенные средства, такие как поддержка резервных копий данных и управление источниками бесперебойного питания, которые не требуются Оранжевой книгой, но в целом повышают общий уровень безопасности.

3 Система защиты ОС Windows NT состоит из следующих компонентов:

  • Процедуры регистрации (Logon Processes), которые обрабатывают запросы пользователей на вход в систему. Они включают в себя начальную интерактивную процедуру, которая отображает начальный диалог с пользователем на экране и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT.
  • Подсистемы локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему.

Эта компонента — центральная для системы защиты Windows NT. Она порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются аудитные сообщения, порождаемые диспетчером доступа.

  • Менеджера учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. SAM предоставляет услуги по легализации пользователей, которые используются в LSA.
  • Диспетчера доступа (Security Reference Monitor, SRM), который проверяет, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить с объектом. Эта компонента проводит в жизнь легализацию доступа и политику аудита, определяемые LSA. Она предоставляет услуги для программ супервизорного и пользовательского режимов для того, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Эта компонента также порождает аудитные сообщения, когда это необходимо.

Ключевая цель системы защиты Windows NT — мониторинг и контроль того, кто и к каким объектам осуществляет доступ. Система защиты хранит информацию, относящуюся к безопасности для каждого пользователя, группы пользователей и объекта. Она может идентифицировать попытки доступа, которые производятся прямо пользователем или непрямо программой или другим процессом, инициированным пользователем. Windows NT также отслеживает и контролирует доступ и к тем объектам, которые пользователь может видеть посредством пользовательского интерфейса (такие как файлы и принтеры), и к объектам, которые пользователь не может видеть (такие как процессы и именованные каналы).

Выводы.

Информационная безопасность относится к числу дисциплин, развивающихся чрезвычайно быстрыми темпами. Только комплексный, систематический, современный подход способен успешно противостоять нарастающим угрозам.

Ключевые понятия информационной безопасности: конфиденциальность, целостность и доступность информации, а любое действие, направленное на их нарушение называется угрозой.

Существует несколько базовых технологий безопасности, среди которых можно выделить криптографию.

Решение вопросов безопасности операционных систем обусловлено их архитектурными особенностями и связано с правильной организацией аутентификации, авторизации и аудита.

Аудит системных процессов и событий в ОС Windows XP

Практика 9.

Цель работы:Создание пользовательской консоли администрирования ММС, выполняющей функции аудита системных процессов и событий в ОС Windows XP.

I.В широком смысле аудитом называется регистрация каких-либо действий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего аудиту, является неудачная попытка доступа к системе. Наиболее общими типами событий, подлежащих аудиту в ОС, являются:

– доступ к таким объектам, как файлы и папки;

– управление учетными записями пользователей и групп;

– вход пользователей в систему и выход из нее.

Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий аудита, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно, администратор может создать политику аудита, удовлетворяющую всем требованиям организации.

К числу категорий событий, предназначенных для контроля, относятся:

– аудит событий входа в систему;

– аудит управления учетными записями;

– аудит доступа к службе каталогов;

– аудит входа в систему;

– аудит доступа к объектам;

– аудит изменения политики;

– аудит использования привилегий;

Читать еще:  Безопасность почтовых сообщений

– аудит отслеживания процессов и системных событий.

В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию). Кроме того, с целью уменьшения риска угроз системной безопасности в целом администратор должен предпринять следующие базовые шаги, направленные на обеспечение аудита в системе.

Основные события аудита и угрозы безопасности, отображаемые при помощи этого события, сведены в табл. 9.1. Дополнительная информация по данной тематике доступна в соответствующих разделах справки ОС Windows XP (Пуск | Справка и поддержка).

Задание №9.1. Изучить основные возможности оснасток, предназначенных для обеспечения аудита системных процессов и событий в ОС Windows XP на конкретных примерах.

Секция A. Ознакомление с основными возможностями оснастки «Групповая политика», предназначенными для функций аудита ОС Windows XP.

Таблица 9.1. Основные события аудита в ОС Windows XP

Формирование политики аудита объектов в системе осуществляется посредством оснастки «Групповая политика»; в частности, с ее помощью устанавливаются и настраиваются параметры политики аудита.

Для ознакомления с возможностями оснастки «Групповая политика» выполните следующее.

1. Локально добавьте на вновь созданную консоль администрирования, системную оснастку «Редактор объекта групповая политика».

2. В дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита» для настройки локальных политик аудита.

3. Настройте политики аудита. Для этого в области сведений дважды щелкните на политике аудита, для которой необходимо изменить параметры аудита и установите один или оба флажка («успех»или «отказ») для успешных или неуспешных системных событий, которые необходимо регистрировать. Повторите действия указанные в текущем пункте секции для других политик аудита в случае необходимости.

4. Настройте аудит файлов и папок. Для этого измените параметры «успех»или «отказ» категории событий «Аудит доступа к объектам».

Выберите папку для аудита. Если в «Свойствах» объекта отсутствует вкладка «Безопасность», выполните следующее:

– в дереве консоли «Политика «Локальный компьютер» щелкните манипулятором мышь по папке «Конфигурация пользователя | Административные шаблоны | Компоненты Windows | Проводник»;

– в области сведений дважды щелкните на «Удалить вкладку «Безопасность», измените системный параметр на «Отключено» на одноименной вкладке и подтвердите выбор, кликнув OK;

– выберите команду Панель управления в меню Пуск, откройте компонент «Свойства папки» на панели управления, дважды щелкнув по нему мышью, и на вкладке «Вид» в группе «Дополнительные параметры | Файлы и папки» снимите флажок «Использовать простой общий доступ к файлам (рекомендуется)».

Далее укажите файлы или папки для аудита, выполнив следующие действия:

– на вкладке «Безопасность» команды «Свойства» файла или папки нажмите кнопку «Дополнительно»,

– на вкладке «Аудит» нажмите кнопку «Добавить»,

– в диалоговом окне «Выбор: пользователь, компьютер или группа»выберите имя пользователя или группы, для действий которых требуется производить аудит файлов и папок, и нажмите кнопку OK для подтверждения выбора;

– в появившемся диалоговом окне «Элемент аудита» в группе «Доступ» установите флажки «успех», «отказ»или оба эти флажка одновременно напротив действий, для которых требуется провести аудит,

– выберите из выпадающего меню «Применить:» опцию «Для этой папки и ее подпапок» (или любую другую опцию на Ваш выбор), а затем нажмите кнопку OKи Применить для подтверждения ввода.

5. Не закрывая консоль администрирования ММС, сохраните ее.

Секция B. Ознакомление с основными возможностями оснастки «Просмотр событий» в ОС Windows XP.

В предыдущей секции был изучен вопрос организации и настройки аудита системных событий различных категорий, в частности, событий, связанных с обеспечением безопасности ОС. Однако помимо указанных в ОС Windows XP дополнительно имеются события других категорий, например, события, связанные с работой приложений и программ. Поскольку, аудит предполагает регистрацию различного рода системных событий (табл. 9.2), имеющих место в операционной среде, их регистрация в ОС Windows XP осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале приложений содержатся данные, относящиеся к работе приложений. Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствующих приложений. Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в ОС, а также о событиях, относящихся к использованию системных ресурсов. В частности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущей секции учебного задания. В журнале системы содержатся события системных компонентов ОС. Так, например, в журнале системы регистрируются сбои при загрузке драйвера или других программных компонентов в момент запуска системы. В дополнение к существующим ОС Windows XP имеет в своем распоряжении еще два журнала: службы каталогов и службы репликации файлов, запись событий в которые выполняется в случае, если компьютер настроен в качестве контроллера домена.

Таблица 9.2. Типы системных событий в ОС Windows XP

В журнале службы каталогов содержатся события, заносимые службой каталогов ОС Windows XP. Например, проблемы соединения между сервером и общим каталогом записываются в этот журнал. Журнал службы репликации файлов содержит записи о системных событиях, внесенных службой репликации файлов ОС Windows XP. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена обновляются данными об изменениях из общей папки Sysvol, где хранится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журнал DNS-сервера, в который записываются сообщения о системных событиях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.

В ОС Windows XP за регистрацию системных событий в описанных выше журналах отвечает специальная служба, называемая службой журнала событий, которая загружается автоматически при старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользователь может просматривать журналы приложений и системы, однако журналы безопасности доступны только системному администратору, который предварительно должен настроить параметры системных событий аудита (табл. 9.1), воспользовавшись компонентом «Групповая политика». В настоящей секции предполагается изучить основные возможности регистрации системных событий различных категорий посредством имеющегося в ОС Windows XP служебного инструмента – оснастки «Просмотр событий».

Для ознакомления с возможностями данной оснастки выполните следующее.

1. Локально добавьте на открытую консоль администрирования новую системную оснастку «Просмотр событий».

2. В дереве консоли щелкните манипулятором мышь по оснастке «Просмотр событий» и обратите внимание на появившиеся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов системных событий (табл. 9.2). При этом обратите внимание на то, что такие типы событий как аудиты отказов и успехов присущи только журналу безопасности, который был Вами настроен в предыдущей секции. Остальные типы событий встречаются как в журнале приложений, так и в журнале системы.

3. Воспользовавшись меню «Вид» изучаемой оснастки, отфильтруйте:

– в журнале Приложение событие «Уведомление» за прошедшее время,

– в журнале Безопасность событие «Аудит отказов»,

– в журнале Система событие «Ошибка» за последние 30 минут, с сортировкой по времени «от новых к старым».

4. В окне журнала событий системы удалите столбцы «Пользователь», «Компьютер» и «Категория», оставив остальные.

5. Воспользовавшись системой поиска, найдите событие типа «Уведомление» с кодом 1800 от источника SecurityCenter в журнале Приложение.

6. Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность затирания старых событий по необходимости. Сохраните созданный журнал в двоичном виде с расширением .evt.

7. Не закрывая консоль администрирования ММС, сохраните ее.

Ссылка на основную публикацию
Adblock
detector
×
×