Войти
Журнал безопасности в Microsoft Windows - это журнал, который содержит записи об активности входа / выхода или других связанных с безопасностью событий, указанных в ходе аудита системы. политика. Аудит позволяет администраторам настраивать Windows для записи действий операционной системы в журнал безопасности. Журнал безопасности - это один из трех журналов, доступных для просмотра в Средстве просмотра событий. Служба подсистемы Local Security Authority записывает события в журнал. Журнал безопасности - один из основных инструментов, используемых администраторами для обнаружения и расследования попыток и успешных несанкционированных действий, а также для устранения проблем; Microsoft описывает это как «вашу лучшую и последнюю защиту». Журнал и управляющие им политики аудита также являются излюбленными целями хакеров и мошенников системных администраторов, стремящихся замести следы до и после совершения несанкционированного действия.
Если политика аудита настроена на запись входов в систему, успешный вход в систему приводит к регистрации имени пользователя и имени компьютера, а также имени пользователя, в который он входит. В зависимости от версии Windows и метода входа в систему IP-адрес может быть записан или не записан. Windows 2000 Web Server, например, не регистрирует IP-адреса для успешного входа в систему, но Windows Server 2003 включает эту возможность. Категории событий, которые могут регистрироваться:
Большое количество регистрируемых событий означает, что анализ журнала безопасности может занять много времени. Сторонние утилиты были разработаны для выявления подозрительных тенденций. Также можно фильтровать журнал, используя настраиваемые критерии.
Администраторам разрешено просматривать и очищать журнал (нет способа разделить права на просмотр и очистку журнала). Кроме того, администратор может использовать Winzapper для удаления определенных событий из журнала. По этой причине после взлома учетной записи администратора история событий, содержащаяся в журнале безопасности, становится ненадежной. Защитой от этого является установка пульта дистанционного управления с отключенными всеми службами, разрешающим только консольный доступ.
Когда журнал приближается к своему максимальному размеру, он может либо перезаписать старые события, либо прекратить регистрацию новых событий. Это делает его уязвимым для атак, при которых злоумышленник может переполнить журнал, создав большое количество новых событий. Частичной защитой от этого является увеличение максимального размера журнала, чтобы для заполнения журнала требовалось большее количество событий. Можно настроить журнал так, чтобы он не перезаписывал старые события, но, как отмечает Крис Бентон, «единственная проблема заключается в том, что NT имеет действительно плохую привычку давать сбой при заполнении журналов».
Ultimate Рэнди Франклина Смита Служба безопасности Windows отмечает, что, учитывая способность администраторов манипулировать журналом безопасности, чтобы скрыть несанкционированные действия, разделение обязанностей между операциями и ИТ-персоналом, осуществляющим мониторинг безопасности, в сочетании с частым резервным копированием журнала на сервер, доступный только последнему, может улучшить безопасность.
Другой способ выйти из журнала безопасности - это войти в систему как администратор и изменить политики аудита, чтобы прекратить регистрацию несанкционированных действий, которые он намеревается выполнить. Само изменение политики может регистрироваться в зависимости от параметра «изменение политики аудита», но это событие может быть удалено из журнала с помощью Winzapper; и с этого момента действие не будет генерировать след в журнале безопасности.
Microsoft отмечает: «С помощью таких методов можно обнаружить попытки ускользнуть от решения по мониторингу безопасности, но это сложно сделать поэтому многие из тех же событий, которые могут произойти во время попытки скрыть следы вторжений, являются событиями, которые происходят регулярно в любой типичной бизнес-сети ".
Как указывает Бентон, одним из способов предотвращения успешных атак является безопасность через безвестность. Сохранение конфиденциальности систем и методов обеспечения безопасности ИТ-отдела помогает предотвратить создание пользователями способов замести следы. Если пользователи знают, что журнал копируется на удаленный сервер журналов в: 00 каждого часа, например, они могут принять меры для поражения этой системы, атакуя в: 10, а затем удалив соответствующие события журнала до начала в следующий час.
Обработка журналов требуется не для всех атак. Простого знания того, как работает журнал безопасности, может быть достаточно, чтобы принять меры против обнаружения. Например, пользователь, желающий войти в учетную запись другого сотрудника в корпоративной сети, может ждать до позднего времени, чтобы получить незаметный физический доступ к компьютеру в своем кабинете; тайком использовать аппаратный кейлоггер для получения пароля; а затем войдите в учетную запись этого пользователя через Службы терминалов из точки доступа Wi-Fi, чей IP-адрес не может быть прослежен до злоумышленника.
После очистки журнала с помощью средства просмотра событий в недавно очищенном журнале немедленно создается одна запись с указанием времени очистки и администратора, который очистил ее. Эта информация может стать отправной точкой в расследовании подозрительной активности.
В дополнение к журналу безопасности Windows администраторы могут проверить журнал безопасности брандмауэра подключения к Интернету на предмет подсказок.
Теоретически возможна запись ложных событий в журнал. Microsoft отмечает: «Для возможности записи в журнал безопасности требуется SeAuditPrivilege. По умолчанию только учетные записи локальной системы и сетевой службы имеют такую привилегию». Microsoft Windows Internals гласит: «Процессы, вызывающие системные службы аудита... должны иметь привилегию SeAuditPrivilege для успешного создания записи аудита». В FAQ Winzapper отмечается, что «можно добавить в журнал свои собственные« выдуманные »записи о событиях», но эта функция не была добавлена, потому что считалась «слишком неприятной». Это ссылка на тот факт, что кто-то с правами администратора может использовать такая функциональность, чтобы переложить вину за несанкционированную деятельность на невиновную сторону. В Server 2003 было добавлено несколько вызовов API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. В частности, функция AuthzInstallSecurityEventSource устанавливает указанный источник в качестве источника событий безопасности.
В информационном бюллетене EventTracker указано, что «одной возможности подделки недостаточно, чтобы журналы были недопустимыми., должны быть конкретные доказательства подделки, чтобы журналы считались недопустимыми ».
