Опубликован: 16.10.2006 | Уровень: специалист | Доступ: свободно
Лекция 5:

Аудит и журналы безопасности

Регистрация процедур настройки и поддержки в журнале

Совместная работа журналов и аудита отслеживает работу системы, однако этого недостаточно для аудита безопасности. Для надежного аудита безопасности имеются процедуры просмотра файлов журнала для обеспечения их сохранности, архивного состояния и правильного функционирования. Только при правильной настройке журналов, их включении и регулярном обслуживании аудит безопасности осуществляется конфиденциально и с высокой степенью доверия. Журналы помогут восстановить цепь событий при нарушении безопасности, послужат официальными доказательствами в суде по искам в области информационной безопасности.

Ведение журналов и аудит в Windows 2000 и IIS настраиваются на фиксирование определенного числа событий. При настройке системы на запись слишком большого количества информации журналы событий быстро заполняются. Какой смысл записывать данные, которые никогда не понадобятся? С другой стороны, при фиксировании малого числа событий можно утерять важную информацию. Решение о записи тех или иных событий является очень ответственным и должно быть тщательно обдумано.

Цели и задачи аудита

Планирование, политика и поддержка являются ключевыми моментами для сбора важной информации, которая пригодится в критической ситуации. При четкой постановке целей легче определить тип фиксируемой информации и настроить журналы на запись необходимого количества данных. Параметры запуска IIS Lockdown и/или шаблона Hisecweb.inf обеспечивают надежную базовую политику. Их настройки можно изменить для фиксирования дополнительной информации.

Нужно решить, для каких ресурсов и объектов управления необходим аудит, затем для каждого класса ресурсов или объектов выявить отслеживаемые события. В таблице 5.2 приведена информация из официального издания " Security Auditing in Windows 2000 " ("Аудит безопасности в Windows 2000"), расположенного на веб-сайте Microsoft Technet (http://www.Microsoft.com/technet). Таблица содержит примеры событий, связанных с безопасностью различных ресурсов и объектов. Она показывает использование целенаправленного подхода к аудиту, но он может и не подойти вашей организации. Необходимо самостоятельно принять решение о необходимости аудита ресурсов и отслеживаемых событий. Например, при выполнении атаки на объект лучшими индикаторами будут события ошибок, так как они зафиксируют попытки доступа пользователя, не имеющего соответствующего разрешения.

Таблица 5.2. События, помогающие идентифицировать проблемы безопасности
Потенциальная угроза Тип аудита Результирующие события
Взлом пароля с использованием генератора случайных паролей Учетная запись пользователя Неудача процедуры аудита для событий входа/выхода из системы. Большое число событий означает повторяющиеся попытки входа, часто являющиеся результатом систематической атаки.
Вход с использованием украденного пароля Учетная запись пользователя Успешный аудит событий входа/выхода для идентификации пользователей системы с целью определения места, откуда инициировано вторжение.
Несанкционированный доступ к секретным файлам Файловая система Успех и неудача аудита для событий доступа к файлам и объектам в сильно защищенных ресурсах. Успех и неудача аудита доступа для чтения/записи секретных файлов подозреваемыми пользователями или группами.
Злоупотребление привилегиями Файловая система и реестр Успешный аудит прав пользователей, управления пользователями и группами, изменения политики безопасности, перезапуска, выключения и системных событий для выявления пользователей, внесших изменения, и определения этих изменений.

Управление журналами

Каждый файл журнала Windows 2000 имеет свои параметры конфигурации. Они позволяют изменять объем пространства, отводимого для файлов журналов на диске, и указывать действие, выполняемое после заполнения журнала. Эти параметры приведены ниже.

  • Максимальный размер файла журнала. Настраивается при помощи приложения Event Viewer (Просмотр событий), значение по умолчанию – 512 Кб.
  • Перезапись файла журнала после его заполнения. Имеет три значения: перезапись событий при необходимости, перезапись событий, возраст которых превышает определенное число дней, и запрет перезаписи.
  • Отключение сервера при ошибке аудита. Вызывает остановку сервера в случае заполнения журнала безопасности при отсутствии перезаписи событий. В материалах Microsoft он называется "CrashOnAuditFail" и соответствует значению, устанавливаемому политикой безопасности в системном реестре.

IIS имеет аналогичные параметры файла журнала, но они отличаются от рассмотренных выше. Параметры файла журнала IIS следующие.

  • Разрешение неограниченного размера файла журнала.
  • Создание нового файла журнала по достижении файлом определенного размера.
  • Создание нового файла журнала по прошествии определенного периода времени (час, день, неделя, месяц).

При управлении файлами журнала укажите для этих параметров соответствующие значения и действия. Убедитесь в их защищенности и обеспечьте периодическую архивацию для освобождения пространства под новые файлы и записи истории событий.

Настройка параметров журнала

Для отображения информации журнала, для установки и управления его параметрами используется программа Windows 2000 Event Viewer (Просмотр событий). Event Viewer позволяет устанавливать размер файла журнала, выбирать действие по перезаписи, включать и выключать параметр "CrashOnAuditFail". Для управления файлами журнала IIS используется консоль MMC Internet Services Manager (Диспетчер служб интернета).

Настройка размера и перезаписи файла журнала Windows 2000. Процедуры настройки размера файла журнала и параметров его перезаписи в Windows 2000 одинаковы для всех типов журнала.

  1. Откройте программу Event Viewer (Просмотр событий) в окне Administrative Tools (Администрирование).
  2. В левом окне консоли Event Viewer щелкните правой кнопкой мыши на записи Security Log (Журнал безопасности) и выберите Properties (Свойства). Откроется окно Security Log Properties (Свойства журнала безопасности) (см. рис. 5.2).
  3. На вкладке General (Общие) укажите размер файла журнала в области Log Size (Размер журнала). Значением по умолчанию является 1024 Кб. Введите нужное значение в зависимости от размера диска или раздела сервера, от объема получаемого сайтом трафика. Можете в течение некоторого времени отслеживать размер файла журнала, чтобы выяснить величину этого размера.
    Настройка свойств журнала безопасности в окне Security Log (Журнал безопасности)

    Рис. 5.2. Настройка свойств журнала безопасности в окне Security Log (Журнал безопасности)
  4. Определите параметр перезаписи файла посредством выбора одной из опций. Выбор опции зависит от периодичности, с которой планируется проводить архивацию данных журнала. При высоком уровне доступности сайта безопаснее всего использовать опцию Overwrite events as needed (Перезапись событий по мере надобности) и запретить заполнение журнала до отказа, так как в этом случае можно потерять данные.
  5. Нажмите на OK после выбора опции, чтобы сохранить изменения и закрыть окно.
Дмитрий Матвеев
Дмитрий Матвеев
Россия, Москва, 1100, 2009