Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2196 / 318 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 5:

Аудит и журналы безопасности

Установка политики Windows 2000 "Ошибка аудита при отключении". Рекомендуется осуществлять самоотключение сервера при заполнении файла журнала до отказа при работе с высокозащищенными веб-приложениями, так как лучше не выполнить приложение, чем выполнить его без аудита. Сервер будет отключаться, если в локальной политике безопасности включен параметр отключения, а параметр перезаписи файла журнала установлен на значение Do not overwrite (Не осуществлять перезапись). Данная опция по умолчанию отключена.

Для активизации политики отключения при ошибках аудита используется консоль MMC Local Security Policy (Локальная политика безопасности). Ниже приведена соответствующая процедура.

  1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Administrative Tools (Администрирование).
  2. Разверните список в элементе Local Policies (Локальные политики) в области слева, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите команду Open (Открыть) (либо дважды щелкните на папке, чтобы открыть ее). В правом окне средства Local Security Settings отобразятся параметры политик безопасности (см. рисунок).
  3. Щелкните правой кнопкой мыши на параметре Shut Down System Immediately If Unable To Log Security Audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) в правом окне консоли и в контекстном меню выберите Security (Безопасность), чтобы отобразить диалоговое окно Policy Setting (Настройка политики).
  4. В диалоговом окне Policy Setting (Настройка политики) включите политику, нажав на кнопку Enable (Включен).

Изменение параметров файла журнала IIS. Параметры файла журнала IIS аналогичны параметрам файла журнала Windows 2000, но осуществляют управление несколько иным образом. Параметры файла журнала IIS можно установить глобально для всех веб-сайтов на сервере либо отдельно для каждого сайта. Ниже приведены действия по установке параметров файла журнала IIS.

  1. Откройте консоль Internet Services Manager (Диспетчер служб интернета) в окне Administration Tools (Администрирование).
  2. При глобальной настройке параметров для всех сайтов выберите в окне имя сервера. В противном случае укажите в области слева конкретный веб-сайт. Щелкните правой кнопкой на сервере или сайте, после чего в появившемся меню выберите команду Properties (Свойства).

  3. В показанном ниже окне Properties откройте вкладку Web Site (Веб-сайт). Убедитесь, что на вкладке отмечена опция Enable Logging (Включить журнал).

    Совет. На вкладке Web Site (Веб-сайт) можно изменить формат файла журнала: указать форматы W3C Extended Log File Format (Расширенный файл журнала W3C), ODBC Logging (журналы ODBC) и NCSA Common Log File Format (Общий формат файла журнала NCSA). Расширенный формат W3C Extended является стандартом, определенным в интернете Консорциумом World Wide Web. Журналы ODBC (Открытый интерфейс доступа к базам данных) позволяют записывать информацию в базу данных на другом сервере вместо файла журнала IIS. Организации с большим объемом трафика иногда прибегают к этому. Формат NCSA является альтернативным текстовым форматом файла, разработанным другой организацией, утверждающей стандарты. Этот формат используется серверами UNIX.


  4. Щелкните на поле Properties в правом нижнем углу вкладки, чтобы открыть окно Extended Logging Properties (Расширенные параметры ведения журнала), показанное ниже.
  5. В верхней части вкладки General Properties (Общие свойства) можно указать неограниченный размер файла журнала, его максимальный размер либо автоматическое закрытие файла журнала по прошествии определенного промежутка времени. В каждом случае IIS будет создавать новый файл журнала IIS по достижении текущим файлом установленного предела и присваивать ему имя согласно шаблону даты "ггммдд", если используется формат W3C. При использовании другого формата вид даты будет другим.
  6. Отметьте опцию Use Local Time For File Naming And Rollover (Использовать местное время в имени файла), если нужно, чтобы день начинался в 12:00 по локальному времени вместо установленного по умолчанию в Windows 2000 времени по Гринвичу 12:00 A.M. (0:00).

  7. В IIS можно настроить дополнительные параметры. Они контролируют детали фиксируемой журналом IIS информации. Откройте вкладку Extended Properties (Расширенные параметры), показанную ниже, чтобы отобразить доступные параметры. Указанные Microsoft настройки по умолчанию, настройки IIS Lockdown достаточно всесторонни, однако в зависимости от ситуации можно отследить дополнительную информацию.

В таблице 5.3 приведен полный перечень расширенных параметров ведения журнала.

Таблица 5.3. Расширенные параметры файла журнала
Поле Вид Описание
Дата date Дата события.
Время time Время события.
IP-адрес клиента c-ip IP-адрес клиента, осуществившего доступ к серверу.
Имя пользователя c-username Имя авторизованного пользователя, осуществившего доступ к серверу, исключая анонимных пользователей, представляемых в виде дефиса.
Имя службы и номер события s-sitename Номер службы интернета и события, выполнявшиеся на компьютере-клиенте.
Имя сервера s-computername Имя сервера, на котором создана запись журнала.
IP-адрес сервера s-ip IP-адрес сервера, на котором создана запись журнала.
Метод cs-method Действие, выполняемое клиентом (например, метод GET).
Ресурс URI cs-uri-stem Ресурс, к которому осуществлялся доступ.
Запрос URI cs-uri-query Запрос (если есть), выполняемый клиентом.
Состояние HTTP sc-status Состояние действия в терминах HTTP.
Состояние Win32 sc-win32-status Состояние действия в терминах Windows 2000.
Байт отправлено sc-bytes Число байт, отправленное сервером.
Байт принято cs-bytes Число байт, полученное сервером.
Порт сервера s-port Номер порта, к которому подключен клиент.
Затрачено времени Time-taken Промежуток времени, который заняло действие.
Версия протокола cs-protocol Версия протокола (HTTP, FTP), используемая по умолчанию клиентом. В случае с HTTP - HTTP1.0 или HTTP 1.1.
Агент пользователя cs(User-Agent) Браузер, работающий на клиенте.
Cookie cs(Cookie) Содержимое, отправленное или принятое элементом cookie, если таковое имеется.
Предыдущий сайт cs(Referer) Предыдущий сайт, который посетил пользователь. Данный сайт содержит ссылку на текущий сайт.