Журнал безопасности Windows

Журнал безопасности в Microsoft Windows — это журнал, содержащий записи активности входа/выхода или других событий, связанных с безопасностью, определенных политикой аудита системы. Аудит позволяет администраторам настроить Windows для записи активности операционной системы в журнал безопасности. Журнал безопасности — это один из трех журналов, которые можно просмотреть в средстве просмотра событий . Служба подсистемы локального органа безопасности записывает события в журнал. Журнал безопасности — это один из основных инструментов, используемых администраторами для обнаружения и расследования попыток и успешных несанкционированных действий, а также для устранения проблем; Microsoft описывает это как «Ваша лучшая и последняя защита». ^[1] Журнал и политики аудита, которые его регулируют, также являются излюбленными целями хакеров и мошеннических системных администраторов, стремящихся замести следы до и после совершения несанкционированной деятельности. ^[2]

Типы регистрируемых данных

Если политика аудита настроена на запись входов в систему, успешный вход в систему приводит к регистрации имени пользователя и имени компьютера, а также имени пользователя, под которым он входит. ^[3] В зависимости от версии Windows и способа входа в систему IP-адрес может записываться или не записываться. Например, веб-сервер Windows 2000 не регистрирует IP-адреса для успешных входов в систему, но Windows Server 2003 включает эту возможность. ^[4] Категории событий, которые могут быть зарегистрированы: ^[5]

Огромное количество регистрируемых событий означает, что анализ журнала безопасности может оказаться трудоемкой задачей. ^[6] Для выявления подозрительных тенденций были разработаны сторонние утилиты. Также можно фильтровать журнал по настраиваемым критериям.

Атаки и контрмеры

Администраторам разрешено просматривать и очищать журнал (разделить права на просмотр и очистку журнала невозможно). ^[7] Кроме того, администратор может использовать Winzapper для удаления определенных событий из журнала. По этой причине после взлома учетной записи администратора история событий, содержащаяся в журнале безопасности, становится ненадежной. ^[8] Защитой от этого является настройка удаленного сервера журналов с отключением всех служб и предоставлением только доступа к консоли. ^[9]

Когда размер журнала приближается к максимальному размеру, он может либо перезаписать старые события, либо прекратить регистрацию новых событий. Это делает его уязвимым для атак, при которых злоумышленник может переполнить журнал, создав большое количество новых событий. Частичной защитой от этого является увеличение максимального размера журнала, чтобы для заполнения журнала требовалось большее количество событий. Можно настроить журнал так, чтобы он не перезаписывал старые события, но, как отмечает Крис Бентон, «единственная проблема заключается в том, что NT имеет очень плохую привычку аварийно завершать работу, когда ее журналы заполняются». ^[10]

Рэнди Франклина Смита В книге Ultimate Windows Security отмечается, что, учитывая возможность администраторов манипулировать журналом безопасности для покрытия несанкционированной активности, разделение обязанностей между операционным и ИТ-персоналом, осуществляющим мониторинг безопасности, в сочетании с частым резервным копированием журнала на сервер, доступный только для последнее может повысить безопасность. ^[11]

Другой способ обойти журнал безопасности — это войти в систему под учетной записью администратора и изменить политику аудита, чтобы прекратить регистрацию несанкционированной деятельности, которую он намеревается выполнить. Само изменение политики может быть зарегистрировано, в зависимости от настройки «изменение политики аудита», но это событие можно удалить из журнала с помощью Winzapper; и с этого момента действие не будет создавать след в журнале безопасности. ^[12]

Microsoft отмечает: «С помощью таких методов можно обнаружить попытки уклониться от решения по мониторингу безопасности, но сделать это сложно, потому что многие из тех же событий, которые могут произойти во время попытки замести следы вторженной активности, являются событиями, которые происходят регулярно в любой типичной деловой сети». ^[13]

Как отмечает Бентон, одним из способов предотвращения успешных атак является безопасность через неизвестность . Сохранение конфиденциальности систем и методов безопасности ИТ-отдела помогает не дать пользователям придумать способы замести следы. Если пользователи знают, что журнал копируется на удаленный сервер журналов, например, в :00 каждого часа, они могут принять меры для поражения этой системы, атакуя в :10, а затем удаляя соответствующие события журнала до начала следующий час. ^[10]

Манипулирование журналами требуется не для всех атак. Простого знания того, как работает журнал безопасности, может быть достаточно, чтобы принять меры предосторожности против обнаружения. Например, пользователь, желающий войти в учетную запись коллеги в корпоративной сети, может подождать до закрытия, чтобы получить незамеченный физический доступ к компьютеру в своем кабинете; тайно использовать аппаратный кейлоггер для получения пароля; а затем войдите в учетную запись этого пользователя через службы терминалов из точки доступа Wi-Fi, IP-адрес которой невозможно отследить злоумышленнику.

После очистки журнала с помощью средства просмотра событий в только что очищенном журнале сразу же создается одна запись с указанием времени очистки и администратора, который ее очистил. Эта информация может стать отправной точкой в расследовании подозрительной деятельности.

В дополнение к журналу безопасности Windows администраторы могут проверить журнал безопасности брандмауэра подключения к Интернету на наличие подсказок.

Запись ложных событий в журнал

Теоретически возможна запись в журнал ложных событий. Microsoft отмечает: «Чтобы иметь возможность записи в журнал безопасности, требуется SeAuditPrivilege. По умолчанию только учетные записи локальной системы и сетевой службы имеют такую привилегию». ^[14] Внутренние органы Microsoft Windows утверждают: «Процессы, вызывающие службы системы аудита... должны иметь привилегию SeAuditPrivilege для успешного создания записи аудита». ^[15] В FAQ Winzapper отмечается, что «можно добавлять в журнал свои собственные «выдуманные» записи событий», но эта функция не была добавлена, поскольку она была сочтена «слишком неприятной», что является ссылкой на тот факт, что кто-то с правами администратора может использовать такая функция позволяет переложить вину за несанкционированную деятельность на невиновную сторону. ^[8] В Server 2003 добавлено несколько вызовов API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. В частности, функция AuthzInstallSecurityEventSource устанавливает указанный источник в качестве источника событий безопасности. ^[16]

Приемлемость в суде

В информационном бюллетене EventTracker говорится: «Возможности взлома недостаточно, чтобы сделать журналы неприемлемыми, должны быть конкретные доказательства взлома, чтобы журналы считались недопустимыми». ^[17]

См. также

Ссылки

^ Журнал безопасности NT — ваша лучшая и последняя защита , Рэнди Франклин Смит
^ Защита журнала безопасности NT , Рэнди Франклин Смит, Windows IT Pro, июль 2000 г.
^ Отслеживание активности входа и выхода из системы в Windows 2000 , Microsoft.
^ Захват IP-адресов для событий входа в веб-сервер , Рэнди Франклин Смит, Windows IT Pro , октябрь 2003 г.
^ Категории политики аудита , UltimateWindowsSecurity.com.
^ «Пять ошибок анализа журналов безопасности» , Антон Чувакин, доктор философии, GCIA, GCIH.
^ Доступ запрещен: предоставление пользователям возможности просматривать журналы безопасности , Рэнди Франклин Смит, июль 2004 г. - ссылка периодически не работает по состоянию на 27 сентября 2007 г.
^ Jump up to: ^а ^б Часто задаваемые вопросы по Winzapper , NTSecurity.
^ Полное руководство по ведению журнала , loggly.com.
^ Jump up to: ^а ^б Аудит Windows NT. Архивировано 8 февраля 2012 г. в Wayback Machine , Крис Бентон.
^ Ultimate Windows Security , Рэнди Франклин Смит. Архивировано 14 марта 2022 г. в Wayback Machine.
^ Политика аудита , Microsoft. Архивировано 27 декабря 2007 г. в Wayback Machine.
^ Мониторинг безопасности и обнаружение атак , Microsoft, 29 августа 2006 г.
^ Аудит событий безопасности , Microsoft.
^ Внутреннее устройство Microsoft Windows , Microsoft.
^ Функция AuthzInstallSecurityEventSource , Microsoft.
^ Информационный бюллетень EventTracker , апрель 2006 г., Будут ли ваши файлы журналов рассматриваться в суде? Аутентификация и события входа в систему? Архивировано 21 июня 2007 г. в Wayback Machine.

Внешние ссылки

[1] Журнал безопасности NT — ваша лучшая и последняя защита , Рэнди Франклин Смит

[2] Защита журнала безопасности NT , Рэнди Франклин Смит, Windows IT Pro, июль 2000 г.

[3] Отслеживание активности входа и выхода из системы в Windows 2000 , Microsoft.

[4] Захват IP-адресов для событий входа в веб-сервер , Рэнди Франклин Смит, Windows IT Pro , октябрь 2003 г.

[Audit_Policy_Categories-5] Категории политики аудита , UltimateWindowsSecurity.com.

[6] «Пять ошибок анализа журналов безопасности» , Антон Чувакин, доктор философии, GCIA, GCIH.

[7] Доступ запрещен: предоставление пользователям возможности просматривать журналы безопасности , Рэнди Франклин Смит, июль 2004 г. - ссылка периодически не работает по состоянию на 27 сентября 2007 г.

[Winzapper-8] Jump up to: ^а ^б Часто задаваемые вопросы по Winzapper , NTSecurity.

[9] Полное руководство по ведению журнала , loggly.com.

[Benton-10] Jump up to: ^а ^б Аудит Windows NT. Архивировано 8 февраля 2012 г. в Wayback Machine , Крис Бентон.

[11] Ultimate Windows Security , Рэнди Франклин Смит. Архивировано 14 марта 2022 г. в Wayback Machine.

[Auditing_Policy-12] Политика аудита , Microsoft. Архивировано 27 декабря 2007 г. в Wayback Machine.

[13] Мониторинг безопасности и обнаружение атак , Microsoft, 29 августа 2006 г.

[14] Аудит событий безопасности , Microsoft.

[15] Внутреннее устройство Microsoft Windows , Microsoft.

[16] Функция AuthzInstallSecurityEventSource , Microsoft.

[17] Информационный бюллетень EventTracker , апрель 2006 г., Будут ли ваши файлы журналов рассматриваться в суде? Аутентификация и события входа в систему? Архивировано 21 июня 2007 г. в Wayback Machine.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]