Windows xavfsizlik jurnali - Windows Security Log

The Xavfsizlik jurnali, yilda Microsoft Windows, tizimga kirish / chiqish faoliyati yoki tizimning auditorlik siyosatida belgilangan xavfsizlik bilan bog'liq boshqa voqealar yozuvlarini o'z ichiga olgan jurnal. Audit ma'murlarga xavfsizlik jurnalida operatsion tizim faoliyatini yozib olish uchun Windows-ni sozlash imkoniyatini beradi. Xavfsizlik jurnali - ko'rish mumkin bo'lgan uchta jurnaldan biri Voqeani tomosha qiluvchi. Mahalliy xavfsizlik idorasi quyi tizim xizmati voqealarni jurnalga yozadi. Xavfsizlik jurnali - bu ma'murlar tomonidan ruxsatsiz harakatlarning muvaffaqiyatli va muvaffaqiyatli bajarilishini aniqlash va tekshirish uchun ishlatiladigan asosiy vositalardan biri; Microsoft uni "Sizning eng yaxshi va so'nggi himoyangiz" deb ta'riflaydi.^[1] Jurnal va uni boshqaradigan auditorlik siyosati ham sevimli maqsadlardan hisoblanadi xakerlar va yolg'on tizim ma'murlari ruxsatsiz faoliyatni amalga oshirishdan oldin va keyin o'z izlarini yopishga intilish.^[2]

Qayd qilingan ma'lumotlar turlari

Agar auditorlik siyosati tizimga kirishni yozish uchun o'rnatilsa, muvaffaqiyatli kirish natijasida foydalanuvchi nomi va kompyuter nomi hamda ular foydalanuvchi nomi kiritiladi.^[3] Windows versiyasiga va kirish usuliga qarab IP-manzil yozilishi mumkin yoki bo'lmasligi mumkin. Masalan, Windows 2000 veb-serveri muvaffaqiyatli kirish uchun IP-manzillarni ro'yxatdan o'tkazmaydi, ammo Windows Server 2003 ushbu imkoniyatni o'z ichiga oladi.^[4] Kirish mumkin bo'lgan voqealar toifalari:^[5]

Ro'yxatga olinadigan voqealarning ko'pligi xavfsizlik jurnalini tahlil qilish ko'p vaqt talab qiladigan vazifa bo'lishi mumkinligini anglatadi.^[6] Shubhali tendentsiyalarni aniqlashga yordam beradigan uchinchi tomon yordam dasturlari ishlab chiqildi. Shaxsiy mezonlardan foydalangan holda jurnalni filtrlash ham mumkin.

Hujumlar va qarshi choralar

Ma'murlarga jurnalni ko'rishga va tozalashga ruxsat beriladi (jurnalni ko'rish va tozalash huquqlarini ajratishning imkoni yo'q).^[7] Bundan tashqari, ma'mur foydalanishi mumkin Winzapper ma'lum voqealarni jurnaldan o'chirish uchun. Shu sababli, ma'mur qaydnomasi buzilganidan so'ng, xavfsizlik jurnali tarkibidagi voqealar tarixi ishonchsizdir.^[8] Bunga qarshi himoya masofadan boshqarish pultini o'rnatishdir log server barcha xizmatlar o'chirilib, faqat konsolga kirish huquqini beradi.^[9]

Jurnal maksimal hajmiga yaqinlashganda, eski voqealar ustiga yozilishi yoki yangi voqealarni qayd qilishni to'xtatishi mumkin. Bu hujumni sezgir qiladi, unda tajovuzkor ko'plab yangi voqealarni yaratib, jurnalni bosishi mumkin. Bunga qarshi qisman himoya qilish jurnalning maksimal hajmini oshirishdir, shunda jurnalni suv bosishi uchun ko'proq voqealar talab qilinadi. Eski voqealarni yozib yubormaslik uchun jurnalni o'rnatish mumkin, ammo Kris Benton ta'kidlaganidek, "yagona muammo shundaki, NT ning jurnallari to'ldirilganida juda yomon urish odati bor".^[10]

Rendi Franklin Smitnikidir Ultimate Windows Security Ma'murlarning ruxsatsiz faoliyatni qamrab olish uchun Xavfsizlik jurnalini boshqarish qobiliyatini hisobga olgan holda, operatsiyalar va xavfsizlikni nazorat qiluvchi IT-xodimlar o'rtasida vazifani ajratish, jurnalni faqat ikkinchisiga kirish mumkin bo'lgan serverga tez-tez zaxiralash bilan birgalikda xavfsizlikni yaxshilash mumkin.^[11]

Xavfsizlik jurnalini mag'lub etishning yana bir usuli, foydalanuvchi ma'mur sifatida kirishi va o'zi amalga oshirmoqchi bo'lgan ruxsatsiz faoliyatga kirishni to'xtatish uchun auditorlik siyosatini o'zgartirishi bo'lishi mumkin. Siyosat o'zgarishini o'zi "auditorlik siyosatini o'zgartirish" sozlamasiga qarab qayd qilinishi mumkin, ammo bu voqea Winzapper yordamida jurnaldan o'chirilishi mumkin; va shu vaqtdan boshlab, xavfsizlik Xavfsizlik jurnalida iz paydo bo'lmaydi.^[5]

Microsoft ta'kidlaydi: "Xavfsizlikni kuzatish echimini bunday usullar bilan chetlab o'tishga urinishlarni aniqlash mumkin, ammo bu juda qiyin, chunki intruziv faoliyat izlarini yopishga urinish paytida sodir bo'lishi mumkin bo'lgan bir xil voqealar sodir bo'ladigan hodisalar muntazam ravishda har qanday odatiy biznes tarmog'ida ".^[12]

Benton ta'kidlaganidek, muvaffaqiyatli hujumlarni oldini olishning bir usuli bu qorong'ilik orqali xavfsizlik. Axborot texnologiyalari bo'limining xavfsizlik tizimlari va amaliyotlarini maxfiy saqlash foydalanuvchilarga o'z izlarini yopish usullarini shakllantirishdan saqlaydi. Agar foydalanuvchilar jurnalning har soatda: 00 da masofaviy jurnal serveriga ko'chirilganligini bilsalar, masalan: 10 da hujum qilib ushbu tizimni mag'lub etish uchun choralar ko'rishlari mumkin va keyin jurnalning yuqori qismidan oldin tegishli jurnal voqealarini o'chirib tashlashlari mumkin. keyingi soat.^[10]

Barcha hujumlar uchun jurnalni boshqarish kerak emas. Xavfsizlik jurnali qanday ishlashini bilish shunchaki aniqlashdan ehtiyot bo'lish uchun etarli bo'lishi mumkin. Masalan, korporativ tarmoqdagi hamkasblarining hisobiga kirishni istagan foydalanuvchi kuzatilmaydigan daromad olish uchun soatlab kutib turishi mumkin. jismoniy kirish ularning kabinetidagi kompyuterga; yashirin ravishda foydalanish a apparat keylogger ularning parolini olish; va keyinchalik ushbu foydalanuvchi hisobiga kiring Terminal xizmatlari dan Wi-Fi ulanish nuqtasi IP-manzilini buzg'unchiga qaytarib bo'lmaydi.

Voqeani ko'rish vositasi orqali jurnalni tozalashdan so'ng, yangi tozalangan jurnalda zudlik bilan bitta jurnal yozuvi hosil bo'ladi va uning tozalangan vaqti va uni olib tashlagan administrator qayd etiladi. Ushbu ma'lumotlar shubhali faoliyatni tekshirishda boshlang'ich nuqta bo'lishi mumkin.

Windows Xavfsizlik jurnaliga qo'shimcha ravishda administratorlar Internetga ulanish xavfsizlik devori maslahatlar uchun xavfsizlik jurnali.

Jurnalga yolg'on voqealarni yozish

Jurnalga yolg'on voqealarni yozish nazariy jihatdan mumkin. Microsoft qayd etadi: "Xavfsizlik jurnaliga yozish uchun SeAuditPrivilege kerak. Sukut bo'yicha bunday imtiyozga faqat Mahalliy tizim va Tarmoq xizmati qayd yozuvlari ega".^[13] Microsoft Windows Internals "Auditorlik tizimining xizmatlarini chaqiradigan jarayonlar ... audit yozuvini muvaffaqiyatli yaratish uchun SeAuditPrivilege imtiyoziga ega bo'lishi kerak" deb ta'kidlaydi.^[14] Winzapper tez-tez so'raladigan savollariga ko'ra, "o'zingizning" tuzilgan "voqealar yozuvlaringizni jurnalga qo'shishingiz mumkin", ammo bu xususiyat "juda yomon" deb hisoblanganligi sababli qo'shilmagan, bu ma'murga kirish huquqiga ega bo'lgan kishi foydalanishi mumkinligi haqida ma'lumot. ruxsatsiz faoliyat uchun aybni aybsiz tomonga yuklash uchun bunday funktsionallik.^[8] Ilovalar xavfsizlik hodisalari jurnallarida ro'yxatdan o'tishlari va xavfsizlik tekshiruvi yozuvlarini yozishlari uchun Server 2003 ba'zi API qo'ng'iroqlarini qo'shdi. Xususan, AuthzInstallSecurityEventSource funktsiyasi ko'rsatilgan manbani xavfsizlik hodisasi manbai sifatida o'rnatadi.^[15]

Sudda qabul qilish

EventTracker axborot byulletenida "buzilish ehtimoli jurnallarni qabul qilinishiga yo'l qo'ymaslik uchun etarli emas, jurnallarni qabul qilib bo'lmaydigan deb hisoblash uchun buzilishning aniq dalillari bo'lishi kerak" deyilgan.^[16]

Shuningdek qarang

Adabiyotlar

^ NT xavfsizlik jurnali - sizning eng yaxshi va so'nggi himoyangiz, Rendi Franklin Smit
^ NT xavfsizlik jurnalini himoya qilish, Rendi Franklin Smit, Windows IT Pro, 2000 yil iyul.
^ Windows 2000 tizimidagi tizimga kirish va chiqish faoliyatini kuzatish, Microsoft.
^ Veb-serverga kirish uchun voqealar uchun IP-manzillarni yozib olish, Rendi Franklin Smit, Windows IT Pro, 2003 yil oktyabr.
^ ^a ^b Auditorlik siyosati, Microsoft.
^ "Xavfsizlik jurnalini tahlil qilishning beshta xatosi", Anton Chuvakin, tibbiyot fanlari doktori, GCIA, GCIH.
^ Kirish taqiqlandi: foydalanuvchilarga xavfsizlik jurnallarini ko'rishga ruxsat berish, Rendi Franklin Smit, 2004 yil iyul - 2007-9-27 yillar oralig'ida uzilib qolgan aloqa.
^ ^a ^b Winzapper bilan bog'liq savollar, NTSecurity.
^ Dushmaningizni biling: II, Honeynet loyihasi.
^ ^a ^b Windows NT-ni tekshirish, Kris Benton.
^ Ultimate Windows Security, Rendi Franklin Smit.
^ Xavfsizlikni kuzatish va hujumni aniqlash, Microsoft, 2006 yil 29 avgust.
^ Xavfsizlik tadbirlarini tekshirish, Microsoft.
^ Microsoft Windows Internals, Microsoft.
^ AuthzInstallSecurityEventSource funktsiyasi, Microsoft.
^ EventTracker yangiliklari, 2006 yil aprel, Sizning jurnallaringiz sudda turib qoladimi? Autentifikatsiya va tizimga kirish hodisalari?

Tashqi havolalar

[1] NT xavfsizlik jurnali - sizning eng yaxshi va so'nggi himoyangiz, Rendi Franklin Smit

[2] NT xavfsizlik jurnalini himoya qilish, Rendi Franklin Smit, Windows IT Pro, 2000 yil iyul.

[3] Windows 2000 tizimidagi tizimga kirish va chiqish faoliyatini kuzatish, Microsoft.

[4] Veb-serverga kirish uchun voqealar uchun IP-manzillarni yozib olish, Rendi Franklin Smit, Windows IT Pro, 2003 yil oktyabr.

[Auditing_Policy-5] Auditorlik siyosati, Microsoft.

[6] "Xavfsizlik jurnalini tahlil qilishning beshta xatosi", Anton Chuvakin, tibbiyot fanlari doktori, GCIA, GCIH.

[7] Kirish taqiqlandi: foydalanuvchilarga xavfsizlik jurnallarini ko'rishga ruxsat berish, Rendi Franklin Smit, 2004 yil iyul - 2007-9-27 yillar oralig'ida uzilib qolgan aloqa.

[Winzapper-8] Winzapper bilan bog'liq savollar, NTSecurity.

[9] Dushmaningizni biling: II, Honeynet loyihasi.

[Benton-10] Windows NT-ni tekshirish, Kris Benton.

[11] Ultimate Windows Security, Rendi Franklin Smit.

[12] Xavfsizlikni kuzatish va hujumni aniqlash, Microsoft, 2006 yil 29 avgust.

[13] Xavfsizlik tadbirlarini tekshirish, Microsoft.

[14] Microsoft Windows Internals, Microsoft.

[15] AuthzInstallSecurityEventSource funktsiyasi, Microsoft.

[16] EventTracker yangiliklari, 2006 yil aprel, Sizning jurnallaringiz sudda turib qoladimi? Autentifikatsiya va tizimga kirish hodisalari?

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]