Журнал безопасности Windows

Журнал безопасности в Microsoft Windows - это журнал, который содержит записи об активности входа / выхода или других связанных с безопасностью событий, указанных в политике аудита системы. Аудит позволяет администраторам настраивать Windows для записи активности операционной системы в журнал безопасности. Журнал безопасности - это один из трех журналов, доступных для просмотра в средстве просмотра событий . Служба подсистемы Local Security Authority записывает события в журнал. Журнал безопасности - один из основных инструментов, используемых администраторами для обнаружения и расследования попыток и успешных несанкционированных действий, а также для устранения проблем; Microsoft описывает это как «вашу лучшую и последнюю защиту». ^[1]Журнал и управляющие им политики аудита также являются излюбленными целями хакеров и системных администраторов- мошенников, стремящихся замести следы до и после совершения несанкционированных действий. ^[2]

Типы регистрируемых данных [ править ]

Если политика аудита настроена на запись входов в систему, успешный вход в систему приводит к регистрации имени пользователя и имени компьютера, а также имени пользователя, в который он входит. ^[3] В зависимости от версии Windows и метода входа в систему IP-адрес может быть записан или нет. Например, Windows 2000 Web Server не регистрирует IP-адреса для успешного входа в систему, но Windows Server 2003 включает эту возможность. ^[4] Категории событий, которые можно регистрировать, следующие: ^[5]

Огромное количество регистрируемых событий означает, что анализ журнала безопасности может занять много времени. ^[6] Сторонние утилиты были разработаны для выявления подозрительных тенденций. Также можно фильтровать журнал, используя настраиваемые критерии.

Атаки и контрмеры [ править ]

Администраторам разрешено просматривать и очищать журнал (нет возможности разделить права на просмотр и очистку журнала). ^[7] Кроме того, администратор может использовать Winzapper для удаления определенных событий из журнала. По этой причине после взлома учетной записи администратора история событий, содержащаяся в журнале безопасности, становится ненадежной. ^[8] Защитой от этого является установка удаленного сервера журналов с отключенными всеми службами, разрешающим только консольный доступ. ^[9]

Когда журнал приближается к своему максимальному размеру, он может либо перезаписать старые события, либо прекратить регистрацию новых событий. Это делает его уязвимым для атак, при которых злоумышленник может переполнить журнал, создав большое количество новых событий. Частичной защитой от этого является увеличение максимального размера журнала, чтобы для заполнения журнала требовалось большее количество событий. Можно настроить журнал так, чтобы он не перезаписывал старые события, но, как отмечает Крис Бентон, «единственная проблема заключается в том, что NT имеет очень плохую привычку давать сбой при заполнении журналов». ^[10]

В книге Ultimate Windows Security Рэнди Франклина Смита отмечается, что, учитывая способность администраторов манипулировать журналом безопасности, чтобы скрыть несанкционированные действия, разделение обязанностей между операциями и ИТ-персоналом, осуществляющим мониторинг безопасности, в сочетании с частым резервным копированием журнала на сервер, доступный только для последнее может повысить безопасность. ^[11]

Другой способ обойти журнал безопасности - это войти в систему как администратор и изменить политики аудита, чтобы прекратить регистрацию неавторизованных действий, которые он намеревается выполнить. Само изменение политики может регистрироваться в зависимости от параметра «изменение политики аудита», но это событие может быть удалено из журнала с помощью Winzapper; и с этого момента действие не будет создавать след в журнале безопасности. ^[5]

Microsoft отмечает: «С помощью таких методов можно обнаружить попытки ускользнуть от решения по мониторингу безопасности, но это сложно сделать, потому что многие из тех же событий, которые могут произойти во время попытки скрыть следы вторженной активности, являются событиями, которые происходят. регулярно в любой типичной бизнес-сети ». ^[12]

Как указывает Бентон, одним из способов предотвращения успешных атак является безопасность через неизвестность . Сохранение конфиденциальности систем и методов обеспечения безопасности ИТ-отдела помогает предотвратить создание пользователями способов замести следы. Если пользователи знают, что журнал копируется на удаленный сервер журнала в: 00 каждого часа, например, они могут принять меры для поражения этой системы, атакуя в: 10, а затем удалив соответствующие события журнала до начала в следующий час. ^[10]

Обработка журналов требуется не для всех атак. Простого знания того, как работает журнал безопасности, может быть достаточно, чтобы принять меры против обнаружения. Например, пользователь, желающий войти в учетную запись коллеги-сотрудника в корпоративной сети, может подождать до позднего времени, чтобы получить незаметный физический доступ к компьютеру в своем кабинете; тайком использовать аппаратный кейлоггер, чтобы получить свой пароль; а затем войдите в учетную запись этого пользователя через службы терминалов из точки доступа Wi-Fi, чей IP-адрес не может быть отслежен до злоумышленника.

После очистки журнала с помощью средства просмотра событий в только что очищенном журнале немедленно создается одна запись с указанием времени очистки и администратора, который ее очистил. Эта информация может стать отправной точкой в расследовании подозрительной деятельности.

Помимо журнала безопасности Windows, администраторы могут проверить журнал безопасности брандмауэра подключения к Интернету на предмет подсказок.

Запись ложных событий в журнал [ править ]

Теоретически можно записывать в журнал ложные события. Microsoft отмечает: «Для возможности записи в журнал безопасности требуется SeAuditPrivilege. По умолчанию только учетные записи локальной системы и сетевой службы имеют такую привилегию». ^[13] Microsoft Windows Internals гласит: «Процессы, вызывающие системные службы аудита ... должны иметь привилегию SeAuditPrivilege для успешного создания записи аудита». ^[14] В FAQ по Winzapper отмечается, что «можно добавить в журнал свои собственные« выдуманные »записи о событиях», но эта функция не была добавлена, потому что она была сочтена «слишком неприятной». Access может использовать такую функциональность, чтобы переложить вину за несанкционированную деятельность на невиновную сторону.^[8]В Server 2003 добавлены некоторые вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. В частности, функция AuthzInstallSecurityEventSource устанавливает указанный источник в качестве источника событий безопасности. ^[15]

Допустимость в суде [ править ]

В информационном бюллетене EventTracker говорится, что «возможности подделки недостаточно, чтобы сделать журналы недопустимыми, должны быть конкретные доказательства подделки, чтобы журналы считались недопустимыми». ^[16]

См. Также [ править ]

Общий формат журнала
Управление журналом
Системный журнал

Ссылки [ править ]

↑ Журнал безопасности NT - Ваша лучшая и последняя защита , Рэнди Франклин Смит
^ Защита журнала безопасности NT , Рэнди Франклин Смит, Windows IT Pro, июль 2000 г.
^ Отслеживание активности входа и выхода в Windows 2000 , Microsoft.
^ Захват IP-адресов для событий входа на веб-сервер , Рэнди Франклин Смит, Windows IT Pro , октябрь 2003 г.
^ a b Политика аудита , Microsoft. ^{[ мертвая ссылка ]}
^ «Пять ошибок анализа журнала безопасности» , Антон Чувакин, доктор философии, GCIA, GCIH.
↑ Доступ запрещен: разрешение пользователям просматривать журналы безопасности , Рэнди Франклин Смит, июль 2004 г. - ссылка периодически не работает, начиная с 2007-9-27.
^ a b FAQ по Winzapper, NTSecurity.
^ Знай своего врага: II , Проект Honeynet. ^{[ мертвая ссылка ]}
^ a b Аудит Windows NT , Крис Бентон.
^ Максимальная безопасность Windows , Рэнди Франклин Смит. ^{[ мертвая ссылка ]}
↑ Мониторинг безопасности и обнаружение атак , Microsoft, 29 августа 2006 г.
^ Аудит событий безопасности , Microsoft.
^ Внутренние компоненты Microsoft Windows , Microsoft.
^ Функция AuthzInstallSecurityEventSource , Microsoft. ^{[ мертвая ссылка ]}
^ Информационный бюллетень EventTracker , апрель 2006 г. Будут ли ваши файлы журналов доказаны в суде? Аутентификация против событий входа в систему? ^{[ мертвая ссылка ]}

Внешние ссылки [ править ]

Описание событий безопасности в Windows Vista и Windows Server 2008
Описание событий безопасности в Windows Vista и Windows Server 2008 (XLS)

[1] Журнал безопасности NT - Ваша лучшая и последняя защита , Рэнди Франклин Смит

[2] Защита журнала безопасности NT , Рэнди Франклин Смит, Windows IT Pro, июль 2000 г.

[3] Отслеживание активности входа и выхода в Windows 2000 , Microsoft.

[4] Захват IP-адресов для событий входа на веб-сервер , Рэнди Франклин Смит, Windows IT Pro , октябрь 2003 г.

[Auditing_Policy-5] Политика аудита , Microsoft. ^{[ мертвая ссылка ]}

[6] «Пять ошибок анализа журнала безопасности» , Антон Чувакин, доктор философии, GCIA, GCIH.

[7] Доступ запрещен: разрешение пользователям просматривать журналы безопасности , Рэнди Франклин Смит, июль 2004 г. - ссылка периодически не работает, начиная с 2007-9-27.

[Winzapper-8] FAQ по Winzapper, NTSecurity.

[9] Знай своего врага: II , Проект Honeynet. ^{[ мертвая ссылка ]}

[Benton-10] Аудит Windows NT , Крис Бентон.

[11] Максимальная безопасность Windows , Рэнди Франклин Смит. ^{[ мертвая ссылка ]}

[12] Мониторинг безопасности и обнаружение атак , Microsoft, 29 августа 2006 г.

[13] Аудит событий безопасности , Microsoft.

[14] Внутренние компоненты Microsoft Windows , Microsoft.

[15] Функция AuthzInstallSecurityEventSource , Microsoft. ^{[ мертвая ссылка ]}

[16] Информационный бюллетень EventTracker , апрель 2006 г. Будут ли ваши файлы журналов доказаны в суде? Аутентификация против событий входа в систему? ^{[ мертвая ссылка ]}

[1]