Аудит и журналы безопасности
ПРОБЛЕМА
Если вы умеете работать с журналами, то узнаете много о действиях, выполняемых пользователями, посещающие сайт. Несколько лет назад был пойман и осужден Кевин Мытник, в судебном процессе над которым главным вещественным доказательством был файл журнала. В нем содержались данные о том, какие действия выполнялись Мытником на взломанных системах.
Ниже приведен пример этих данных, состоящих из полей: Время, IP-адрес клиента, Метод, Ресурс URI, Состояние HTTP и Версия HTTP.
#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 1998-05-02 17:42:15 #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version 17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0
Строка #Software означает программное обеспечение сервера, строка #Version – журнал, использующий расширенный формат файла. Строка #Date содержит информацию о дате. Для правильного прочтения файлов журнала необходимо знать следующие параметры:
Префикс | Значение |
---|---|
s- | Действия сервера. |
c- | Действия клиента. |
cs- | Действия клиент-сервер. |
sc- | Действия сервер-клиент. |
Руководствуясь приведенными данными, расшифруем две последние строки файла журнала.
В данном примере не показано, что при настройке параметров можно выбрать большее число полей для включения в журнал. Если в полях журнала нет данных, то вместо информации отображается прочерк (—).
Обеспечение безопасности журналов
Безопасность журналов важна так же, как аудит и анализ файлов журнала. К файлам журнала должны иметь доступ только уполномоченные пользователи с привилегированным доступом к системе. Файл с зафиксированными системными событиями должен быть недоступен посторонним пользователям. Файлы журнала нужно защищать от атак опытных хакеров, направленных на изменение информации для скрытия следов злоумышленных действий.
Данные журнала событий передаются службе Windows 2000 Event Log другими компонентами системы или приложениями, работающими в системе. В таблице приведены пути для каждого файла журнала.
*IIS автоматически присваивает имя файла с использованием даты вместо шаблона "yymmdd".
Для обеспечения безопасности используются две процедуры. Первая из них является жизненно необходимой и заключается в ограничении доступа к файлам журнала Windows 2000 всем группам и учетным записям, кроме группы Administrators (Администраторы) и учетной записи System (Система). Второй шаг является полезным, но не обязательным; он заключается в изменении расположения файлов журнала. Лучше всего разместить их в другом разделе (не в системном томе), в котором ничего не записано и имеется достаточный объем дискового пространства для хранения файлов больших размеров.
При перемещении файлов журнала в изолированное место легче управлять доступом для запрета просмотра и изменения их посторонними пользователями. Рассмотрим процедуру перемещения файлов журнала.
Изменение расположения файлов журнала. Изменить расположение файла журнала IIS достаточно легко. Изменить свойства сервера можно в консоли MMC Internet Services Manager (Диспетчер служб интернета) на той же вкладке, где устанавливались параметры файла журнала IIS.
Вернитесь к разделу "Настройка параметров файла журнала IIS" и выясните, какая консоль и какие окна использовались для изменения папки файла журнала.
Для изменения расположения файлов журнала Windows 2000 измените строку реестра, указывающую его текущее расположение. Для редактирования реестра используется утилита Regedit.
Совет. Некорректное изменение реестра может привести к переустановке операционной системы. Найдите в "Особенности процесса разработки" описание процедуры создания
резервной копии реестра, выполните эту процедуру и создайте диск экстренного восстановления.
- Выберите команду Start\Run (Пуск\Выполнить), чтобы открыть диалоговое окно Run.
- Введите Regedit, после чего нажмите на OK. Откроется окно программы Regedit.
- В окне Regedit убедитесь, что текущим местом работы является локальный компьютер. Щелкните на папке с именем HKEY_LOCAL_MACHINE, чтобы открыть ее и отобразить находящиеся в ней файлы.
- Откройте папку System\CurrentControlSet\Services\EventLog\. В ней находятся журналы событий Application, Security и System, как показано на рисунке.
- Выберите журнал Security Log. В правой области отобразится информация о значениях в файле журнала безопасности.
- Дважды щелкните на значении File, чтобы открыть диалоговое окно String Editor (Изменение строкового параметра), показанное на рисунке ниже. Укажите символ нового устройства, путь к новой папке, но имя файла оставьте прежним – \SecEvent.Evt. После этого нажмите на OK.
- Повторите эти шаги для других файлов журналов. Затем выйдите из программы и перезагрузите компьютер.