Россия, Москва, 1100, 2009 |
Аудит и журналы безопасности
Настройка параметров объектов IIS. Для настройки параметров ведения журнала и аудита этих объектов используйте консоль Internet Services Manager (Диспетчер служб интернета). В общем случае можно настроить параметры для всех веб-сайтов на сервере либо отдельно для каждого из имеющихся серверов. Исключением являются серверные расширения разработки, так как они настраиваются только для всего сервера в целом.
- В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на имени сервера, если нужно настроить свойства глобально для всех веб-сайтов, либо на конкретном веб-сайте, и в появившемся меню выберите Properties (Свойства). Если настраиваются параметры глобально для всех веб-сайтов, отобразится окно Properties, показанное ниже. Для отдельных сайтов сразу переходите к окнам Properties, показанным в шаге 4.
- Для настройки параметров серверных расширений разработки откройте вкладку Server Extensions (Серверные расширения) в окне Properties сервера и отметьте опцию Log Authoring Actions (Записывать в журнал действия по разработке), как показано на рисунке.
- Для установки параметров домашнего каталога и процессов приложений откройте вкладку Internet Information Services окна Properties, показанного в шаге 1. Затем убедитесь, что в области выделения Master Properties (Главные свойства) отображается WWW Services (Службы WWW), и нажмите на кнопку Edit (Изменить), чтобы открыть окно Properties рассматриваемого сайта.
- Откройте вкладку Home Directory (Домашний каталог) и убедитесь, что опция Log Visits (Вести учет посещений) отмечена, как показано на рисунке.
- Для настройки параметров на отслеживание неудачных процессов приложений нажмите на кнопку Configuration (Настройка) в нижней панели вкладки Home Directory (Домашний каталог), после чего откроется окно Application Configuration (Настройка приложения).
- Откройте вкладку Process Options (Параметры процессов) и отметьте опцию Write Unsuccessful Client Requests To Event Log (Записывать неудачные запросы клиентов в журнал событий).
Совет. Опция, о которой идет речь в шаге 6, доступна только тогда, когда на приложении установлена защита High Isolation (Высокий уровень изоляции). Данный параметр обеспечивает изоляцию пространства памяти, в котором выполняется приложение, для предотвращения работы вредоносных приложений, которые могут захватить контроль над системой.
Аудит событий, фиксируемых посредством настроек в расширенных параметрах ведения журнала. Расширенные параметры ведения журнала вкратце описаны в разделе "Настройка параметров файла журнала IIS" при обсуждении настройки журнала на веб-сайте IIS. Расширенные параметры настраиваются на вкладке Web Site (Веб-сайт) окна свойств сервера Properties (Свойства).
Список, приведенный ниже, содержит рекомендации Национальной службы безопасности США (NSA) по настройке дополнительных параметров для аудита веб-сервера.
- Дата и время события. Указывает время события.
- IP-адрес клиента. Указывает место, откуда клиент выполнял свои действия.
- Имя пользователя, осуществлявшего доступ к сайту. Отражает имя авторизованного пользователя, осуществившего доступ на сайт. К анонимным пользователям этот параметр не относится.
- Метод HTTP. Обозначает действие, которое пытался выполнить клиент (например, метод GET, используемый при загрузке файлов и при работе с формами).
- Ресурс URI. Записывает ресурс, к которому осуществлял доступ клиент (страница HTML, сценарий или приложение ISAPI).
- Запрос URI. Отображает запрос, который выполнял клиент.
- Время, затраченное на обработку запроса. Указывает время, в течение которого посетитель находился на сайте, или время, затраченное на выполнение события.
- Состояние запроса. Отображает состояние запроса (в терминах HTTP и/или в терминах Windows 2000).
- Предыдущий сайт. Указывает URL последнего сайта, посещенного клиентом (указывается путь, после которого указывается событие).
- Порт сервера. Фиксирует номер порта, к которому был подключен клиент.
Аудит резервных копий
Право на выполнение резервного копирования является очень весомой привилегией. Резервирование и восстановление прав игнорирует ограничения Windows NTFS на файлы, что позволяет операторам резервного копирования считывать и записывать данные в любой файл системы при их копировании на резервные носители или восстановлении.
Поэтому необходимо осуществлять аудит действий по резервированию файлов. Аудит резервирования, заключающийся в аудите действий группы пользователей под названием Backup Operators (Операторы резервного копирования), позволяет администраторам безопасности выявлять необычные действия. При запуске IIS Lockdown включается аудит резервирования файлов.
Для включения или проверки данного параметра используется средство MMC Local Security Policy (Локальная политика безопасности). Выполните следующие процедуры.
- Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administration Tools (Пуск\Администрирование). Или откройте в окне My Computer (Мой компьютер) папку Control Panel (Панель управления) и дважды щелкните на значке Local Security Policy (Локальная политика безопасности).
- Разверните перечень под элементом Local Policies (Локальные политики) в левой области консоли, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите в появившемся меню команду Open (Открыть) (либо просто дважды щелкните на папке). В правой области отобразятся опции политик безопасности, как показано на рисунке.
- Щелкните правой кнопкой мыши на политике Audit Use Of Backup And Restore Privilege (Вести аудит использования привилегии резервного копирования и восстановления) в правой области консоли и в появившемся меню выберите Security (Безопасность).
- Отобразится диалоговое окно, в котором можно включить и отключить аудит резервного копирования посредством соответствующей опции. Убедитесь, что включена политика аудита резервного копирования и восстановления.
С помощью аудита, помимо усиления мер безопасности резервирования (см. "Особенности процесса разработки" ), можно контролировать и отслеживать процесс резервного копирования, выполнение которого требует высокого уровня безопасности.
Сводный перечень действий, относящихся к ведению журналов и выполнению аудита
- Управление файлами журнала.
- Установка размера файла журнала Windows 2000 и параметров его перезаписи.
- Установка параметров политики "Отключение системы при ошибке аудита" в соответствии с требованиями политики безопасности.
- Настройка параметров файла журнала IIS:
- формата (рекомендуется использовать W3C);
- параметров присвоения имен;
- расширенных параметров.
- Настройка безопасности и архивации файлов журнала.
- Изменение расположения файла журнала.
- Удаление группы Everyone (Все пользователи) и присвоение прав полного доступа группам System (Система) и Auditors (Аудиторы).
- Определение политики и процедуры архивации журналов.
- Аудит: