Жизненный цикл управления безопасностью
Настройка предупреждений Windows 2000 и IIS
Помимо изучения файлов журналов, которое представляет собой обработку уже произошедшего события, используется интерактивное отслеживание и обнаружение посредством предупреждений. Индикатор производительности Windows 2000 содержит функцию counters (счетчики), которая выявляет возможные атаки хакеров и автоматически сообщает о неполадках.
Performance Monitor (Индикатор производительности), как видно из названия программы, используется для отслеживания вопросов, связанных с производительностью системы. Эта программа обеспечивает безопасность, если созданы отдельные правила отслеживания системных событий или событий служб интернета. Правила инициируют определенное действие, когда встречается указанное условие. Например, с помощью функции counters для установки порога события можно отобразить через сеть сообщение в случае преодоления порога. При инициировании оповещения сервером предпринимаются следующие действия.
- Отправка сетевого сообщения.
- Создание записи в журнале событий приложений.
- Запуск журнала данных о производительности.
- Запуск указанной программы.
Установка оповещения операционной системы
Один из подходов к использованию счетчиков производительности и оповещений на веб-сервере без анонимной аутентификации заключается в выдаче уведомления при возникновении большого числа ошибок входа в систему, означающего атаку злоумышленника. Так, например, если установить порог, равный 25 ошибкам входа, то после превышения этого порога система будет выдавать сообщение.
Ниже приведена процедура настройки данного типа оповещения.
- Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2). Щелкните правой кнопкой мыши на значке Alerts (Оповещения) и в появившемся меню выберите New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее параметр, например, Logon Failures (Ошибки входа).
- После присвоения правилу имени появится диалоговое окно Logon Failures (Ошибки входа), в котором определяется правило для создаваемого оповещения (см. рис. 7.3) с пустыми полями. Эта процедура начинается на вкладке General (Общие). Добавьте комментарий в верхнее поле, после чего нажмите на кнопку Add (Добавить) для начала создания правила.
- Счетчики являются первым параметром правила, который необходимо определить. Диалоговое окно Select Counters (Добавить счетчики) изображено на рис. 7.4. При подсчете событий на локальном компьютере выберите опцию Use Local Computer Counters (Использовать локальные счетчики). При подсчете событий на другом сервере в домене Windows укажите имя компьютера, выбрав опцию Select Counters From Computer (Выбрать счетчики с компьютера).
- Выберите тип объекта производительности, отслеживаемого компьютером, в ниспадающем списке Performance Object (Объект). В нашем примере выберите Server Object (Сервер).
- Определите сам счетчик. Внизу диалогового окна выберите опцию Select Counters From List (Выбрать счетчики из списка) и в списке выберите опцию Errors Logon (Ошибок входа). Будет доступна и другая опция – All Counters (Все счетчики), но правило столь широкого действия не потребуется для нашего примера.
- Нажмите на кнопку Add (Добавить) для создания счетчика, после чего нажмите на Close (Закрыть) для выхода из окна и возврата к предыдущему окну.
- В окне Logon Failures (Ошибки входа) (см. рис. 7.3) определите способ применения счетчика. Щелкните на ниспадающем меню рядом с полем Alert When The Value Is (Оповещать, когда значение) и выберите Over (Больше). Установите предел, равный 25.
- Внизу диалогового окна показано, что правило установлено на съем показаний счетчика через каждые 5 с (значение по умолчанию). Так как это обеспечивает слишком частый съем показаний (даже автоматизированная программа вряд ли сможет осуществить столько попыток входа за 5 с), укажите более подходящее значение, равное 60 с, для уменьшения затрачиваемых ресурсов и повышения чувствительности счетчика.
- Теперь определите действие, инициирующее оповещение. Откройте вкладку Action (Действие) (см. рис. 7.5). В появившемся диалоговом окне выберите параметры действий, которые необходимо предпринимать. В данном случае разумно установить всплывающее сетевое сообщение, отправляемое в консоль управления сервером (сервер будет отправлять сообщение самому себе для немедленного предупреждения администратора). Более того, при удаленном управлении нужно отправлять сообщение на вашу рабочую станцию, для чего необходимо указать имя вашего рабочего компьютера.
- После определения действия правило готово к работе. Можно создать расписание работы правила с помощью вкладки Schedule (Расписание), однако Windows 2000 по умолчанию предусматривает немедленный запуск правила, если не указаны другие параметры.
- Нажмите на кнопку Apply (Применить), чтобы созданное правило вступило в силу, после чего нажмите на OK для выхода из окна.
Очевидно, что определить правила для отслеживания всех объектов операционной системы просто нереально. Наиболее важные объекты, для которых необходимо выдавать оповещения, относятся именно к неудачным попыткам доступа к ресурсу, так как в этом случае у вас появится возможность остановить атаку или наблюдать за ее действием.
В таблице 7.2 приведены параметры, используемые при определении правил оповещения.
Совет. Оповещения и предупреждающие сообщения, встроенные в Windows 2000, довольно стандартны. Такие средства, как системы обнаружения вторжений (IDS), имеют более широкие возможности по оповещению и могут отправлять сообщения на пейджеры или в другие места.