Windows қауіпсіздік журналы - Windows Security Log

The Қауіпсіздік журналы, жылы Microsoft Windows, жүйеге кіру / шығу әрекеттері немесе жүйенің аудиторлық саясатымен белгіленген қауіпсіздікке қатысты басқа оқиғалар туралы жазбаларды қамтитын журнал. Аудит әкімшілерге Windows жүйесін амалдық жүйенің әрекеттерін қауіпсіздік журналына жазу үшін теңшеуге мүмкіндік береді. Қауіпсіздік журналы - көруге болатын үш журналдың бірі Іс-шараны қарау құралы. Жергілікті қауіпсіздік органының ішкі жүйесі қызметі оқиғаларды журналға жазады. Қауіпсіздік журналы - бұл рұқсат етілмеген әрекеттерді табысты және тергеу және ақаулықтарды жою үшін Әкімшілер қолданатын негізгі құралдардың бірі; Microsoft оны «Сіздің ең жақсы және соңғы қорғанысыңыз» деп сипаттайды.[1] Журнал және оны басқаратын аудиторлық саясат сонымен қатар сүйікті мақсаттар болып табылады хакерлер және қаскөй жүйелік әкімшілер рұқсат етілмеген әрекеттерді жасағанға дейін және кейін олардың іздерін жабуға ұмтылу.[2]

Журналға енгізілген мәліметтер түрлері

Егер аудиторлық саясат кірулерді жазу үшін орнатылған болса, сәтті кіру нәтижесінде пайдаланушының аты мен компьютердің аты, сондай-ақ олар кіретін пайдаланушы аты жазылады.[3] Windows нұсқасына және кіру әдісіне байланысты IP мекен-жайы жазылуы немесе жазылмауы мүмкін. Мысалы, Windows 2000 веб-сервері сәтті кіру үшін IP-мекен-жайларды тіркемейді, бірақ Windows Server 2003-те бұл мүмкіндік бар.[4] Тіркеуге болатын оқиғалардың санаттары:[5]

Тіркеуге болатын оқиғалардың көптігі қауіпсіздік журналын талдау уақытты қажет ететін мәселе болатындығын білдіреді.[6] Күдікті тенденцияларды анықтауға көмектесетін үшінші тарап утилиталары әзірленді. Журналды теңшелген критерийлер арқылы сүзуге болады.

Шабуылдар мен қарсы шаралар

Әкімшілерге журналды қарауға және тазартуға рұқсат етіледі (журналды қарау және тазарту құқықтарын бөлудің мүмкіндігі жоқ).[7] Сонымен қатар, әкімші қолдана алады Винзаппер журналдан белгілі бір оқиғаларды жою үшін. Осы себепті, әкімші есептік жазбасын бұзғаннан кейін, қауіпсіздік журналында қамтылған оқиға тарихы сенімсіз.[8] Бұған қарсы қорғаныс пультті орнату болып табылады журнал сервері барлық қызметтер өшіп, тек консольға қол жеткізуге мүмкіндік береді.[9]

Журнал максималды өлшеміне жақындаған кезде ескі оқиғалардың үстінен жазуы немесе жаңа оқиғаларды тіркеуді тоқтатуы мүмкін. Бұл шабуылдаушыларға қауіп төндіреді, бұл шабуылдаушы көптеген жаңа оқиғалар жасау арқылы журналды басып қалуы мүмкін. Бұған қарсы ішінара қорғаныс журналдың максималды көлемін ұлғайту болып табылады, сондықтан журналды су басу үшін көптеген оқиғалар қажет болады. Бұрынғы оқиғаларды жазбайтын етіп журналды орнатуға болады, бірақ Крис Бентон атап өткендей, «жалғыз проблема - NT-дің журналдары толған кезде құлап кететін әдеті бар».[10]

Рэнди Франклин Смиттікі Windows қауіпсіздігі рұқсат етілмеген қызметті қамту үшін әкімшілердің қауіпсіздік журналымен манипуляциялау мүмкіндігі берілгендіктен, операциялар мен қауіпсіздікті бақылайтын АТ персоналы арасындағы міндеттерді бөлу, журналдың тек екіншісіне қол жетімді серверге жиі сақтық көшірмелер жасауымен бірге қауіпсіздікті жақсарта алады.[11]

Қауіпсіздік журналын жеңудің тағы бір әдісі - пайдаланушы әкімші ретінде кіріп, өзі жүргізуге рұқсат етілмеген әрекеттерді тіркеуді тоқтату үшін аудит саясатын өзгертуі. Саясатты өзгертудің өзін «аудиторлық саясатты өзгерту» параметріне байланысты жазуға болады, бірақ бұл оқиғаны Winzapper көмегімен журналдан жоюға болады; және сол сәттен бастап әрекет қауіпсіздік журналында із қалдырмайды.[5]

Майкрософт: «Қауіпсіздік мониторингінің шешімінен құтылу әрекеттерін осындай тәсілдермен анықтауға болады, бірақ бұл қиын, өйткені интрузивті әрекеттің іздерін жабу әрекеті кезінде орын алуы мүмкін көптеген оқиғалар орын алатын оқиғалар болып табылады үнемі кез-келген типтік бизнес-желіде ».[12]

Бентон атап өткендей, сәтті шабуылдардың алдын алудың бір әдісі қараңғылық арқылы қауіпсіздік. Ақпараттық технологиялар департаментінің қауіпсіздік жүйесі мен тәжірибесін құпия сақтау пайдаланушыларға өз жолдарын жабу тәсілдерін тұжырымдауына жол бермейді. Егер пайдаланушылар журналдың қашықтағы журнал серверіне әр сағаттың 00-де көшірілетінін білсе, мысалы, олар: 10-ға шабуыл жасап, содан кейін журналдың жоғарғы жағына дейін тиісті журнал оқиғаларын жою арқылы жүйені жеңу үшін шаралар қабылдауы мүмкін. келесі сағат.[10]

Журналды манипуляциялау барлық шабуылдар үшін қажет емес. Қауіпсіздік журналы қалай жұмыс істейтіні туралы білу, оны анықтауға қарсы шаралар қабылдауға жеткілікті болуы мүмкін. Мысалы, корпоративті желідегі әріптесінің тіркелгісіне кіргісі келетін пайдаланушы бақыланбайтын пайда табу үшін бірнеше сағат күте алады физикалық қол жетімділік олардың кабинасындағы компьютерге; жасырын түрде пайдалану а аппараттық Keylogger олардың паролін алу; кейінірек сол пайдаланушының есептік жазбасына кіріңіз Терминалды қызметтер а Wi-Fi ыстық нүктесі оның IP мекенжайын бұзушыдан іздеу мүмкін емес.

Журнал Event Viewer арқылы тазартылғаннан кейін, жаңа журналдағы тазартылған уақыт пен оны тазартқан әкімнің атымен бір журнал жазбасы дереу жасалады. Бұл ақпарат күдікті әрекетті тергеудің бастапқы нүктесі бола алады.

Windows қауіпсіздік журналынан басқа, әкімшілер Интернетке қосылу брандмауэрі кеңестерге арналған қауіпсіздік журналы.

Журналға жалған оқиғаларды жазу

Журналға жалған оқиғаларды жазу теориялық тұрғыдан мүмкін. Майкрософт «Қауіпсіздік журналына жазу үшін SeAuditPrivilege қажет. Әдепкі бойынша, мұндай артықшылыққа тек Жүйелік және Желілік қызмет тіркелгілері ғана ие» деп ескертеді.[13] Microsoft Windows Internals «Аудиторлық жүйенің қызметтерін шақыратын процестер ... аудиторлық жазбаны сәтті жасау үшін SeAuditPrivilege артықшылығына ие болуы керек» дейді.[14] Сұрақ-жауап Winzapper «журналға өзіңіздің» жасалған «оқиғалар жазбаңызды қосуға болатындығын» ескертеді, бірақ бұл функция «тым жағымсыз» деп есептелінгендіктен қосылмаған, бұл әкімшіге кіруге рұқсаты бар адамның пайдалана алатындығына сілтеме рұқсатсыз қызмет үшін кінәні кінәсіз тарапқа аудару үшін осындай функционалдылық.[8] Бағдарламалар қауіпсіздік оқиғалары журналына тіркеліп, қауіпсіздік аудит жазбаларын жаза алатындай етіп Server 2003 кейбір API қоңырауларын қосты. Атап айтқанда, AuthzInstallSecurityEventSource функциясы көрсетілген қайнар көзді қауіпсіздік оқиғасының көзі ретінде орнатады.[15]

Сотта рұқсат

EventTracker ақпараттық бюллетенінде «журналдарды жол берілмеуі үшін бұрмалау мүмкіндігі жеткіліксіз, журналдарды рұқсат етілмеген деп санау үшін оны бұзудың нақты дәлелдері болуы керек» делінген.[16]

Сондай-ақ қараңыз

Пайдаланылған әдебиеттер

  1. ^ NT қауіпсіздік журналы - сіздің ең жақсы және соңғы қорғанысыңыз, Рэнди Франклин Смит
  2. ^ NT қауіпсіздік журналын қорғау, Рэнди Франклин Смит, Windows IT Pro, 2000 ж. Шілде.
  3. ^ Windows 2000 жүйесінде жүйеге кіру және шығу әрекеттерін бақылау, Microsoft.
  4. ^ Веб-серверге кіру оқиғалары үшін IP мекенжайларын түсіру, Рэнди Франклин Смит, Windows IT Pro, Қазан 2003 ж.
  5. ^ а б Аудиторлық саясат, Microsoft.
  6. ^ «Қауіпсіздік журналын талдаудың бес қателігі», Антон Чувакин, PhD докторы, GCIA, GCIH.
  7. ^ Кіруге тыйым салынды: Пайдаланушыларға қауіпсіздік журналдарын қарауға рұқсат беру, Рэнди Франклин Смит, 2004 ж. Шілде - 2007-9-27 ж.ж. арасындағы үзілістер үзілді.
  8. ^ а б Winzapper туралы жиі қойылатын сұрақтар, NTS қауіпсіздік.
  9. ^ Дұшпаныңды біл: II, Honeynet жобасы.
  10. ^ а б Windows NT аудиті, Крис Бентон.
  11. ^ Windows қауіпсіздігі, Рэнди Франклин Смит.
  12. ^ Қауіпсіздікті бақылау және шабуылдарды анықтау, Microsoft, 29 тамыз, 2006 ж.
  13. ^ Қауіпсіздік шараларын тексеру, Microsoft.
  14. ^ Microsoft Windows Internals, Microsoft.
  15. ^ AuthzInstallSecurityEventSource функциясы, Microsoft.
  16. ^ EventTracker ақпараттық бюллетені, Сәуір 2006 ж., Сіздің журналдарыңыз сотта қаралмай ма? Аутентификация кіру оқиғаларына қарсы ма?

Сыртқы сілтемелер