среда, 24 июня 2009 г.

ДОСТУП К ЖУРНАЛУ БЕЗОПАСНОСТИ

Раздел: Безопасность

В дополнение к политикам аудита и функциям журнала безопасности NT, сохранившимся в Windows 2000, здесь реализовано множество новых возможностей, в том числе внесен ряд изменений в самые важные разделы журнала безопасности, ответственные за контроль событий регистрации в системе и процесс завершения сеанса.

ДОСТУП К ЖУРНАЛУ БЕЗОПАСНОСТИ
Чтобы обратиться к журналу безопасности и определить текущие параметры входа в систему, воспользуйтесь утилитой Event Viewer: щелкните на кнопке Start, затем выберите из меню пункты Programs, Administrative Tools, Event Viewer. Ее интерфейс немного изменился по сравнению с интерфейсом NT, так как Event Viewer для Windows 2000 (см. Рисунок 1) - оснастка консоли управления Microsoft Management Console (MMC). Поэтому можно строить специализированные консоли - например, добавить экземпляр оснастки Event Viewer для каждой контролируемой системы.
Для фильтрации, сохранения, сортировки и очистки системного журнала безопасности следует открыть оснастку Event Viewer, щелкнуть правой кнопкой мыши на нужном журнале и выбрать операцию из контекстного меню. В диалоговом окне Properties можно установить максимальный размер журнала событий и параметры перезаписи старых событий новыми, но я не рекомендую применять этот способ настройки журнала событий, если система входит в состав домена Active Directory (AD). Лучше воспользоваться объектами групповой политики Group Policy Object (GPO) уровня домена или организационной единицы (OU) в оснастке Active Directory Users and Computers.
Централизованное управление параметрами журнала событий, как и большинством других функций Windows 2000, возложено на групповые политики. Это позволяет избавиться от присущих NT неудобств, связанных с необходимостью отдельно настраивать конфигурацию каждой системы. Централизованная настройка параметров облегчается за счет разнообразных функций Group Policy, в том числе объектов GPO для связи с OU. С помощью групповых политик можно одновременно конфигурировать несколько машин, используя для журнала событий одинаковые параметры. Например, чтобы увеличить размер журнала безопасности всех компьютеров домена до максимума - 1024 Кбайт - следует последовательно открыть оснастку Active Directory Users and Computers и диалоговое окно Properties домена, а затем перейти к закладке Group Policy. Далее нужно выбрать пункт Default Domain Policy GPO («объект политики домена, принимаемый по умолчанию») и щелкнуть на кнопке Edit. В левой панели следует выбрать раздел Computer ConfigurationWindows SettingsSecurity SettingsEvent LogSettings for Event Log, как показано на Рисунке 2. Щелкнув правой кнопки мыши на политике Maximum security log size, нужно задать размер журнала 1024 Кбайт и щелкнуть OK.
НАЗНАЧЕНИЕ ПРАВИЛ АУДИТА
События журнала безопасности невозможно увидеть, пока не введены в действие политики системного аудита, управление которыми в Windows 2000 также возложено на групповые политики. Чтобы задать для каждой машины домена стандартные политики аудита, можно вновь отредактировать объект Default Domain Policy GPO, но на этот раз выбрать следующий раздел: Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy. Щелкнув правой кнопкой на категории аудита и выбрав раздел Security, следует определить политики проверки успешного или неудачного завершения события данного типа.
Применяя групповую политику, Windows 2000 объединяет все объекты GPO, связанные с сайтом, доменом или организационными единицами. При просмотре объектов GPO с помощью оснастки Active Directory Users and Computers легко пропустить параметры. Чтобы точно определить текущие политики аудита системы, нужно открыть оснастку Local Security Policy и выбрать Security SettingsLocal PoliciesAudit Policy, как показано на Рисунке 3. В столбце Local Setting приведены параметры локальных, наименее влиятельных, объектов GPO системы. Более важные сведения содержатся в столбце Effective Setting - текущие параметры системы после того, как ОС применит последовательно все объекты GPO. В Windows 2000 появились три новых категории: Audit logon events (аудит событий регистрации), Audit account logon events (аудит событий регистрации с учетной записью) и Audit directory service access (аудит доступа к службе каталогов). Подробнее о новых категориях рассказано во врезке "Новые категории аудита". С помощью категории Audit logon events можно отслеживать локальные события регистрации так же, как при использовании категории Logon and Logoff в NT; остальные новые категории относятся к контроллерам доменов (DC).
УСПЕШНАЯ РЕГИСТРАЦИЯ
В Windows 2000 категория Audit logon events задействована, если пользователь регистрируется в интерактивном режиме (то есть на локальном компьютере) или дистанционно (то есть через сеть). Поле Logon Type в описании события содержит число, указывающее природу процедуры регистрации: интерактивная (2), сетевая (3), пакетная (4), служебная (5), незаблокированная рабочая станция (7), сетевая регистрация с незашифрованным паролем (8), ролевая (impersonated) регистрация (9).
Как и в NT, событие ID 528 (Рисунок 4) соответствует успешной процедуре регистрации. Но в NT событие ID 528 применялось для регистрации события любого типа, а в Windows 2000 для сетевой регистрации используется событие с иным идентификатором. При подключении к диску на сервере, соединении с реестром сервера и выполнении других операций с использованием сетевой регистрации Windows 2000 заносит в журнал новое событие ID 540, как показано на Рисунке 5. Это позволяет отделить сетевую регистрацию от других типов регистрации. Хотелось бы, чтобы разработчики Microsoft выделили в отдельное событие еще один важный тип регистрации: интерактивный.
Windows 2000 регистрирует множество несущественных событий ID 540. Чтобы отличить их от действительно важных событий, следует обратить внимание на поле события User Name, в котором будет указана либо обычная пользовательская учетная запись, либо SYSTEM, либо имя компьютера, заканчивающееся символом доллара ($). Обычная пользовательская учетная запись свидетельствует, что пользователь зарегистрировался в системе через сеть; на эти события следует обратить внимание. Можно игнорировать события, если в поле User Name содержится запись SYSTEM, указывающая, что одна системная служба устанавливает соединение с другой службой на той же машине. Можно также не обращать внимания на события, если в поле User Name указано имя компьютера с символом $ - это значит, что системная служба на удаленной машине устанавливает связь с системными службами на данном компьютере. Например, рабочая станция Windows 2000 Professional немедленно после запуска связывается с контроллером DC, чтобы получить информацию из AD и обратиться к другим доменным службам. Прежде чем рабочая станция получит доступ к ним, она должна быть аутентифицирована контроллером домена.
Поле Domain события ID 528 и события ID 540 идентифицирует домен, в котором расположена учетная запись пользователя. В этом поле указывается не доменное имя DNS, а имя домена NetBIOS, применявшееся еще до появления Windows 2000. Если пользователь регистрируется в системе с помощью локальной учетной записи в локальной базе SAM (диспетчер учетных записей), то в имени Domain события содержится имя NetBIOS компьютера. В домене редко встречаются процедуры регистрации с использованием локальной учетной записи; однако локальные учетные записи SAM часто используются для несанкционированного доступа - особенно учетная запись Administrator - поэтому следует четко следить за событиями ID 528 и ID 540, поле Domain которых совпадает с полем Computer.
С помощью полей Logon Process и Authentication Package события ID 540 можно определить, через какой протокол аутентификации Windows 2000 было установлено соединение с машиной. Когда пользователь подключается к машине Windows 2000 через сеть, операционная система выбирает один из двух возможных протоколов: NT LAN Manager (NTLM) или Kerberos. Важно идентифицировать компьютеры, которые не используют Kerberos: они более уязвимы, так как NTLM слабее Kerberos.
В Windows 2000 предпочтение отдается более надежному Internet-стандарту Kerberos, но использовать его можно лишь для связи между двумя доверяющими друг другу системами Windows 2000 (то есть системами в одном лесу, системами в доменах, между которыми явно установлены односторонние доверительные отношения). Корректно установленные системы Kerberos 5.0 Массачуссетсткого технологического института (MIT), отличные от систем Windows 2000, могут работать с машинами на базе Windows 2000. Во всех остальных случаях (то есть когда один из компьютеров представляет собой машину Windows 2000, не принадлежащую к домену, или если один из компьютеров - машина NT), Windows 2000 переходит к использованию более старого и уязвимого протокола NTLM, чьи пакеты относительно легко распознать и взломать. Можно воспользоваться модернизированным протоколом NTLMv2, обеспечивающим некоторую защиту от несанкционированного доступа, но ненадежные пакеты NTLM будут передаваться по сети до тех пор, пока на всех машинах вы не установите Windows 2000.
После того, как будут модернизированы все клиентские компьютеры, подключаемые к данному серверу, проверьте, отмечено ли в журнале безопасности событие ID 540, в поле Authentication Package которого содержится запись NTLM вместо Kerberos. Обнаружив несколько отметок о регистрации NTLM, можно взглянуть на поле события Workstation Name, чтобы определить имя NetBIOS клиентского компьютера. Если Windows 2000 использует механизм Kerberos, то это поле остается пустым.
Чтобы установить связь события успешной регистрации (то есть события ID 528 или 540) с соответствующим событием завершения сеанса (Windows 2000 отмечает успешное завершение сеанса, регистрируя событие с ID 548, как и NT), воспользуйтесь номером Logon ID, указанным в обоих событиях. Например, предположим, что обнаружено событие регистрации для учетной записи Administrator в 13 часов 27 минут, и нужно узнать, когда произошло завершение сеанса Administrator. Обратите внимание на номер Logon ID события ID 528 (0x0, 0xEC87 на Рисунке 4), затем щелкните правой кнопкой мыши на Security Log в утилите Event Viewer и щелкните на функции View/Find, чтобы произвести поиск в журнале событий по этому номеру. К сожалению, в Windows 2000 сохранился странный недостаток, унаследованный от NT: иногда операционная система не записывает в журнал событие ID 538. Пока я отметил эту проблему только в режиме интерактивной регистрации Windows 2000. Другими словами, можно обнаружить событие ID 528 без соответствующего события ID 538.
НЕУДАЧНАЯ РЕГИСТРАЦИЯ
События Windows 2000, отражающие неудачные попытки регистрации, мало изменились по сравнению с NT. Когда пользователь пытается зарегистрироваться с недействительным именем или паролем, Windows 2000 регистрирует событие ID 529. Если учетная запись отключена или блокирована, то регистрируются события ID 531 и ID 539, соответственно. Если пользователь пытается зарегистрироваться в тот момент, когда ему это запрещено, то Windows 2000 регистрирует событие ID 530. Когда истекает срок действия учетной записи или заканчивается действие пароля пользователя, регистрируется событие ID 532 или ID 535, соответственно. Если пользователь, имеющий право регистрироваться лишь на определенных рабочих станциях, пытается обойти это ограничение, Windows 2000 регистрирует событие ID 533.
Назначая полномочия, можно ограничить доступ пользователей к конкретным машинам только определенными типами регистрации. Если пользователь не имеет права доступа к компьютеру по сети, но пытается подсоединиться к его диску или просмотреть системный реестр, то регистрируется событие ID 534. Это же событие отмечается, если пользователь пытается зарегистрироваться на компьютере, не имея права регистрироваться локально. Если служба пытается воспользоваться учетной записью, не имеющей права Logon as service, то инициируется событие ID 534. Процессы, пытающиеся зарегистрироваться как пакетные задания с использованием учетной записи, которая не имеет права Logon as batch job, также инициируют событие ID 534. Если попытка регистрации кончается неудачей по другой причине, то регистрируется событие ID 537 со следующим объяснением: An unexpected error occured during logon («Неожиданная ошибка в процессе регистрации»). Благодаря информации в Logon Type, сопровождающей все неудачные события регистрации, можно отличить неудачные попытки входа с локальной консоли от попыток подключения через сеть.
В СЛЕДУЮЩИХ СТАТЬЯХ...
С помощью категории аудита Audit logon events можно получить много полезной информации. Однако нельзя забывать, что Windows 2000 записывает все события данного типа в локальный системный журнал. Таким образом, необходимо просматривать операции входа и выхода и отслеживать подозрительные неудачные попытки входа на каждой рабочей станции и сервере, что практически невозможно в крупных сетях. К счастью, можно воспользоваться новой категорией аудита в Windows 2000 - Audit account logon events (аудит событий регистрации с учетной записью). О нем будет рассказано в следующей статье данного цикла.
НОВЫЕ КАТЕГОРИИ АУДИТА
Просматривая системные политики аудита с помощью оснастки Microsoft Management Console (MMC) Local Security Policy, можно заметить две новые категории аудита, применимые к контроллерам доменов (DC): Audit directory service access (аудит доступа к службе каталогов) и Audit account logon events (аудит событий регистрации с учетной записью). Категория Audit directory service access позволяет отслеживать изменения объектов Active Directory (AD), в частности, пользователей, до уровня свойств. Например, эту категорию можно использовать для того, чтобы отличить изменение пароля от смены телефонного номера.
Название категории Audit account logon events похоже на Audit logon events (аудит событий регистрации), что может привести к недоразумениям. Категория Audit logon events в Windows 2000 - то же самое, что знакомая категория аудита Logon and Logoff в Windows NT. Проблема с категориями Audit logon events и Logon and Logoff заключается в том, что в Windows 2000 и NT эти события записываются на той машине, на которой произошла регистрация. Если пользователь интерактивно регистрируется на рабочей станции, то Windows 2000 и NT регистрируют событие входа в ее локальном журнале безопасности (если для рабочей станции назначены политики аудита). Если пользователь соединяется с сервером через сеть (например, подсоединяясь к диску), то Windows 2000 и NT регистрируют вход в сеть в журнале безопасности сервера. В результате события входа и выхода разбросаны по всем машинам сети. Разработчики Microsoft, прислушавшись к жалобам пользователей, добавили категорию аудита Audit account logon events для отслеживания аутентификации пользователей на контроллерах домена.


Рэнди Франклин Смит - президент компании Monterey Technology Group, занимающейся обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.
OSP.RU

Удобная и комфортная мягкая мебель в краснодаре ночи будут пролетать незаметно!
Order viagra soft in a online pharmacy store
USA online shop phone cards