Аудит и журналы безопасности
Удаление группы Everyone (Все пользователи). Обеспечив хранение файлов журналов в отдельном месте, измените разрешения доступа к разделу, удалив всех пользователей из списка контроля доступа (ACL) раздела, кроме группы Administrators (Администраторы) и учетной записи System (Система). Если файлы журнала не размещены в отдельном разделе, измените список контроля доступа ACL для папки с этими файлами. Эта процедура заключается в выполнении следующих шагов.
- В окне Administration Tools\Computer Management (Администрирование\Управление компьютером) найдите диски компьютера в дереве ресурсов. Либо откройте окно My Computer (Мой компьютер) на рабочем столе и найдите нужные диски там. Щелкните правой кнопкой мыши на диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).
- Откройте вкладку Security (Безопасность), показанную на рисунке. Удалите группу Everyone (Все пользователи), если она присутствует в списке ACL, выделив ее и выбрав команду Remove (Удалить). Если жесткие диски сервера содержат в списках ACL другие группы или учетные записи, помимо Everyone (Все пользователи), удалите эти группы и учетные записи.
- Нажмите на кнопку Apply (Применить), чтобы система сохранила изменения.
Предоставьте привилегии полного контроля пользователям группы System и аудиторам. После удаления ненужных групп из списков ACL добавьте нужные группы и учетные записи, а также установите права и разрешения. По умолчанию имеется группа System (Система) и содержит права и разрешения полного доступа.
Важно. Не нужно, чтобы группа аудита была группой администрирования Administrators (Администраторы). Кто-то должен вести аудит группы администраторов. Если в группе Administrators много пользователей, то имеет смысл создать отдельную группу с именем Auditors (Аудиторы), члены которой наряду с учетной записью System обладают правами полного доступа. В противном случае следует создать отдельную учетную запись.
- На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) нажмите на кнопку Add (Добавить) и добавьте новые группы в список ACL.
- В диалоговом окне (см. рисунок) выберите группу System (Система) и группу аудита и нажмите на кнопку Add (Добавить), чтобы внести изменение.
- Нажмите на OK, чтобы вернуться в окно Local Disk Properties (Свойства локального диска).
После успешного добавления групп и учетных записей присвойте разделу или папке файла журнала права и разрешения. Пользователю System и группе аудита предоставьте права полного доступа и настройте для них наследование разрешений при создании новых подкаталогов в этой папке (разделе).
Архивация журналов
Файлы журналов могут достигать довольно больших размеров. Процедуры архивирования перемещают файлы на резервный носитель, сохраняя их для будущих нужд и освобождая место для новой информации. Следует регулярно архивировать файлы журналов.
Архивирование файла журнала Windows 2000. Для архивации файла журнала Windows 2000 выполните следующие действия.
- Откройте программу Event Viewer (Просмотр событий) и щелкните правой кнопкой мыши на файле журнала, который нужно заархивировать. Выберите команду Save Log File As (Сохранить файл журнала как).
- В диалоговом окне Save As (Сохранить как) введите путь и имя файла для создаваемого архива. В идеале, необходим ресурс для длительного хранения заархивированных журналов, так как неизвестно, когда хакер произведет атаку. А в этом случае вам придется выяснить, в течение какого времени в системе выполнялись скрытые действия. Подходящим хранилищем является сетевой диск на внутреннем сервере. Не забывайте сохранять архивы в формате .evt (журнал событий), исключая тем самым наличие двоичных данных в записях журналов (чтобы файлы считывались программой Event Viewer).
- После архивации файлов, если не указана необходимость перезаписи событий в свойствах файла журнала, следует очистить журналы в программе Event Viewer (Просмотр событий) и освободить место для новых записей. Для очистки щелкните правой кнопкой мыши на файле журнала и в появившемся меню выберите команду Clear All Events (Удалить все события).
Архивация файла журнала IIS. Архивация файлов журнала IIS может производиться автоматически в зависимости от настройки параметров IIS Extended Logging (Расширенные параметры ведения журнала). Свойства файла журнала IIS можно настроить таким образом, чтобы новый файл журнала с новым именем создавался согласно одной из следующих временных схем:
- через каждый час;
- в конце каждого дня;
- в конце каждой недели;
- в конце каждого месяца;
- по достижении файлом определенного размера;
- никогда (т.е. неограниченный размер файла журнала).
При указанных настройках, за исключением опции Unlimited File Size (Неограниченный размер файла), старый файл журнала будет сохраняться, а взамен него по истечении периода действия будет автоматически создаваться новый файл журнала.
Ниже приведены шаги по архивации файлов журнала IIS.
- Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и щелкните правой кнопкой мыши на веб-сайте, для которого нужно изменить параметры архивации, либо щелкните правой кнопкой мыши на сервере (если требуется изменить параметры глобально для всех сайтов), затем выберите в появившемся меню команду Properties (Свойства).
- На вкладке Web-site (Веб-узел) окна Web Site Properties (Свойства веб-узла) (или окна Master Properties) нажмите на кнопку Properties рядом с полем для выбора формата файла журнала.
- В окне Extended Logging Properties (Расширенные параметры ведения журнала) на вкладке General (Общие) выберите нужный параметр в области Log Time Period (Период ведения журнала). Чуть ниже расположен параметр Use Local Time For File Naming And Rollover (Использовать местное время в именах файлов), который также можно выбрать для использования местного времени при определении окончания ведения журнала. По умолчанию значением данного параметра является 12:00 A.M. (0:00) по Гринвичу.
- В нижней части вкладки General Properties (Общие свойства) укажите новое расположение файлов журнала. Укажите нужную папку (а лучше – сетевой диск, расположенный на другом сервере), после чего нажмите на OK, чтобы закрыть окно и сохранить изменения.
Совет. Имена новых файлов журнала, создаваемых IIS, могут различаться в зависимости от выбранного значения параметра Log Time Period (Время ведения журнала). При ежедневном обновлении журнала имена файлов имеют вид exyymmdd.log; при ежемесячном обновлении – exyymm.log и т.д. При выборе параметра в области New Log Time Period (Новое время ведения журнала) на вкладке General (Общие) окна Extended Logging Properties (Расширенные параметры ведения журнала) внизу окна отображается вид имени файла для соответствующего формата. Помните, что старые файлы сохраняются при создании новых файлов в текущей папке, поэтому время от времени их нужно перемещать вручную в место длительного хранения.