Аудит и журналы безопасности
Аудит IIS
Аудит IIS дополняет аудит Windows 2000 широким спектром возможностей, гибких опций и высоким уровнем детализации. Аудит IIS можно настроить глобально для всех сайтов сервера, можно включить и выключить для каждого веб-сайта по отдельности. Можно указать, аудит каких событий необходимо осуществлять для каждого сайта, каталога, виртуального каталога или файла. Если ведение журнала включено для всего сайта, его можно отключить для отдельных объектов.
Журнал и аудит IIS фиксируют события, связанные с IIS и относящиеся к входящему и исходящему трафику HTTP (или FTP и NNTP), а также информацию об IP-адресах, которая не фиксируется в журналах и аудитом Windows 2000. По этой причине аудит IIS отслеживает действия посетителей сайта и идентифицирует их по IP-адресу. Можно фиксировать данные о попытках доступа посетителей к веб-страницам или к другой части сервера, а также записывать выполняемые ими действия.
Аудит IIS выявит действия посетителей, которые, как правило, являются признаками вторжения или попытки атаки:
- большое количество неудавшихся попыток входа с одного и того же IP-адреса;
- неудавшиеся попытки доступа или изменение файлов .bat или .cmd, запуск исполняемых файлов или сценариев;
- несанкционированные попытки доступа к защищенным каталогам или отгрузка файлов в папку с исполняемыми файлами.
Настройка параметров аудита IIS
Терминология IIS расплывчато описывает различие между ведением журнала и осуществлением аудита, и это обстоятельство вводит в некоторое заблуждение. Разобраться в терминах и разработать шаги по обеспечению аудита проще всего посредством включения журнала. Аудит IIS настраивается через параметры веб-сайта. Настройки аудита IIS дополняют параметры аудита Windows 2000. Параметры аудита IIS отвечают за отслеживание следующих объектов.
- Домашний каталог. Отслеживает посещения домашнего каталога сайта и его страниц.
- Процессы приложений. Осуществляет запись неудачных запросов клиентов в журналы событий.
- Изменения с помощью серверных расширений. Отслеживает изменения, вносимые в сайт при помощи серверных расширений FrontPage.
Совет. В "Подготовка и укрепление веб-сервера" не рекомендовалось использовать серверные расширения на создаваемом сервере, но они могут быть полезными на сервере разработки.