Безопасность Windows Server 2003
Реализация аудита
Аудит - это основное средство для администраторов, позволяющее выявлять и отслеживать потенциальные проблемы безопасности, обеспечивать учет пользователей и обнаруживать признаки проникновения в систему безопасности. Для реализации политики аудита требуется, чтобы вы определили, какие события и объекты нужно включить в аудит. Наиболее часто в аудит включаются следующие типы событий.
- Вход и выход пользователей из системы.
- Изменения в пользовательских учетных записях и группах.
- Доступ пользователей к важным объектам, таким как файлы и папки.
- Изменения политик.
Для эффективного аудита Windows Server 2003 вы должны выработать стратегию аудита, которая определяет следующее.
- События безопасности сервера, которые следует включить в аудит.
- Максимальный размер и срок хранения записей для журнала Windows Security. Эти значения можно задать в Event Viewer (выберите Start/Settings/Control Panel/ Administrative Tools/Event Viewer, щелкните правой кнопкой на конкретном журнале и выберите пункт Properties).
- Объекты, такие как файлы и папки, которые должны быть включены в мониторинг. Администраторам следует включать в аудит только необходимые объекты, иначе это вызовет очень быстрое заполнение журналов аудита.
- Развертывание политики аудита (Auditing Policy) с помощью средства Local Security Policy (Start/Settings/Control Panel/Administrative Tools/Local Security Policy) на автономной машине или (с помощью Group Policy) в домене.
- Регулярный просмотр журналов безопасности. Ценность аудита заключается именно в том, что вы можете просматривать журналы безопасности для выявления проникновений в систему безопасности. Ниже приводится местоположение журналов Windows Server 2003.
- %SYSTEMROOT%\system32\config\SysEvent.Evt
- %SYSTEMROOT%\system32\config\SecEvent.Evt
- %SYSTEMROOT%\system32\config\AppEvent.Evt
- Обновление политики аудита по мере необходимости. После просмотра журналов за определенный период времени может потребоваться сбор большего или меньшего объема информации.
Чтобы активизировать локальный аудит безопасности Windows с помощью Local Security Policy, выполните следующие шаги.
- Выполните вход в качестве администратора в Windows Server 2003.
- Выберите Start/Settings/Control Panel.
- Дважды щелкните на Administrative Tools.
- Дважды щелкните на Local Security Policy, чтобы запустить оснастку MMC Local Security Settings.
- Дважды щелкните на Local Policies, чтобы раскрыть этот контейнер, и затем дважды щелкните на Audit Policy (Политика аудита).
- В правой панели дважды щелкните на политике, которую хотите активизировать или отключить.
- Установите флажки Success (Успешные) и Fail (Неуспешные).
Чтобы активизировать аудит безопасности с помощью консоли MMC, выполните следующие шаги.
- Выполните вход в качестве администратора в Windows Server 2003.
- Выберите Start/Run, введите mmc и затем щелкните на кнопке OK.
- Добавьте оснастку Group Policy.
- В поле Select Group Policy Object щелкните на Local Computer, щелкните на кнопке Finish, щелкните на кнопке Close и затем щелкните на кнопке OK.
- Раскройте Local Computer Policy\Computer Configuration\Windows Settings\ Security Settings\Local Policies и затем щелкните на Audit Policy.
- В правой панели дважды щелкните на политике, которую хотите активизировать или отключить.
- Установите флажки Success и Fail.
Имеется несколько политик аудита, которые можно реализовать для повышения безопасности Windows Server 2003.
- Audit Account Logon Events (Аудит событий входа по учетным записям). Аудит событий входа, связанных с аутентификацией пользователя. Рекомендуется аудит успешных и неудачных попыток входа (SUCCESS и FAILURE).
- Audit Account Management (Аудит управления учетными записями). Аудит таких событий, как создание учетной записи, блокировка учетной записи и удаление учетной записи. Рекомендуется аудит событий типа SUCCESS и FAILURE.
- Audit Directory Service Access (Аудит доступа к службе каталога).Активизирует аудит доступа к объектам Active Directory. Рекомендуется аудит событий типа SUCCESS и FAILURE.
- Audit Logon Events (Аудит событий входа). Аудит событий входа в систему, к которой применяется данная политика. Рекомендуется аудит событий типа SUCCESS и FAILURE.
- Audit Object Access (Аудит доступа к объектам). Активизирует аудит доступа ко всем объектам, которые можно включать в аудит, например, объекты файловой системы и реестра. Рекомендуется аудит событий типа SUCCESS и FAILURE.
- Audit Policy Change (Проверка изменений политик). Определяет, нужен ли аудит изменений, вносимых в политики назначения прав пользователей, в политики аудита или в политики доверия. Рекомендуется аудит событий типа SUCCESS.
- Audit System Events (Аудит системных событий). Аудит таких событий, как завершение работы системы и загрузка системы, или событий, влияющих на системный журнал и/или журнал безопасности, например, очистка этих журналов. Рекомендуется аудит событий типа SUCCESS.
После задания аудита, направленного на обнаружение и запись доступа через систему безопасности к файлам или папкам, вы можете отслеживать пользователей, которые выполняют доступ к определенным объектам, и анализировать проникновения в систему безопасности. Анализ аудита может показать, кто выполнил действия и кто пытался выполнить действия, которые не разрешены.
Чтобы задать аудит по файлу или папке, выполните следующие шаги.
- Запустите Windows Explorer и затем найдите файл или папку, для которой хотите задать аудит.
- Щелкните правой кнопкой на этом файле или папке, выберите пункт Properties и затем щелкните на вкладке Security.
- Щелкните на кнопке Advanced и затем щелкните на вкладке Auditing.
- Определите тип изменений в аудите, которые нужно выполнить.
Чтобы задать аудит для новой группы или нового пользователя, щелкните на кнопке Add. В поле Name введите имя пользователя или используйте кнопку Advanced, чтобы найти конкретного пользователя.
Для просмотра или изменения аудита для существующей группы или пользователя щелкните на имени и затем щелкните на кнопке View/Edit.
Чтобы отменить аудит для существующей группы или пользователя, щелкните на имени и затем щелкните на кнопке Remove.
- В панели Access (Доступ) щелкните на флажках Successful (Успешные) и/или Failed (Безуспешные) в зависимости от типа доступа, аудит которого вам нужен.
- Если вы хотите, чтобы файлы и подпапки в данной папке не наследовали настройки аудита, сбросьте флажок Apply these auditing entries.
Выявление проникновений в систему безопасности путем аудита журналов
Попытки несанкционированного доступа, записанные в журнале Windows Security, можно видеть как записи предупреждений или ошибок. Чтобы выявить возможные проблемы безопасности, просмотрите журнал Windows Security.
- Выберите Start/Settings/Control Panel.
- Дважды щелкните на Administrative Tools и затем дважды щелкните на Computer Management.
- Раскройте System Tools и затем раскройте Event Viewer.
- Щелкните на Security.
- Просмотрите, нет ли в журналах "подозрительных" событий безопасности, включая следующие события.
- Неверные попытки входа.
- Безуспешное использование привилегий.
- Безуспешные попытки доступа и изменения файлов .bat или .cmd.
- Попытки изменить привилегии безопасности или журнал аудита.
- Попытки завершить работу сервера.
Защита журналов событий
Важно ограничить доступ к журналам событий, чтобы защитить их от изменения. Злоумышленник может попытаться изменить журналы безопасности, отключить аудит во время атаки или очистить журнал безопасности, чтобы воспрепятствовать обнаружению.
Журналам безопасности можно назначить права доступа, чтобы ограничить круг пользователей, которые могут читать эти файлы. По умолчанию эти файлы могут читать члены группы Everyone. Для обеспечения защиты записей журналов событий, вы должны предпринять соответствующие шаги.
- Отмените права доступа группы Everyone и ограничьте доступ группами Administrators и System. Определите политику для хранения, перезаписи и обслуживания всех журналов событий. Эта политика должна определять все требуемые настройки журналов событий и поддерживаться Group Policy.
- Проследите, чтобы в политике указывалось, что делать в случае заполнения всего журнала событий, особенно журнала безопасности. В этом случае рекомендуется требовать, чтобы по возможности была завершена работа сервера.
- Задайте настройки политики безопасности, чтобы локальные учетные записи Guest не могли получать доступ к системному журналу и к журналам приложений и безопасности.
- Проследите, чтобы для системных событий выполнялся аудит как успешных, так и безуспешных попыток, чтобы выявить возможные попытки стирания содержимого журнала безопасности.
- Все администраторы, которые имеют возможность просматривать или модифицировать настройки аудита, должны использовать сложные пароли или двух-факторные методы аутентификации, например, вход по смарт-карте, чтобы предотвратить атаки на эти учетные записи для получения доступа к информации аудита.