Жизненный цикл управления безопасностью
Дополнительные сведения об отслеживании файла журнала
В "Аудит и журналы безопасности" обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.
Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.
Идентификатор события | Комментарий |
---|---|
517 | Журнал аудита был очищен. Вы сами выполнили это действие, или это попытка хакера замести следы? |
529 | Осуществлена попытка входа в систему с использованием неизвестной учетной записи или имеющейся учетной записи с указанием неправильного пароля. Неожиданно большая частота повторения этого события означает попытки угадывания пароля. |
531 | Осуществлена попытка входа в систему посредством использования отключенной учетной записи. Чья это попытка, и каково ее назначение? |
539 | Осуществлена и отклонена попытка входа, так как учетная запись была заблокирована. Кто пытался войти и зачем? |
612 | Изменена политика аудита. Выясните, кто изменил ее и зачем. |
624 | Создана учетная запись. Кто ее создал – вы или доверенное лицо? |
628 | Установлен пароль пользователя. Кто это сделал – вы или доверенное лицо? |
640 | Внесено изменение в базу данных SAM. Вы вносили это изменение? |
Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. "Сторонние средства обеспечения безопасности" ), однако мы остановимся на продуктах Microsoft.
Экспорт журналов в текстовые файлы
В файлы журнала можно записать неограниченное количество информации. В реальной жизни такой объем затрудняет работу. Иногда информацию экспортируют в текстовый файл и открывают в программе типа электронных таблиц или баз данных. В этих программах можно отсортировать списки по номерам событий или осуществить поиск определенных сообщений. Журналы IIS автоматически сохраняются в текстовом формате, а вот файлы журналов Windows 2000 необходимо преобразовывать.
Это делается двумя способами. Используйте команду Save As (Сохранить как) в программе Event Viewer (Просмотр событий) для сохранения файла в виде текста с разделителями-табуляцией либо в формате файла с разделителями-запятыми (CSV). Можно вывести журнал событий с помощью программы dumpel.exe – средства командной строки, доступного для загрузки по адресу http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.
При обращении к прежним журналам для получения информации этот метод значительно облегчит задачу. Dumpel.exe преобразовывает журнал событий локальной или удаленной системы в текстовый файл с разделителями-табуляцией и осуществляет фильтрацию файла для нахождения искомой информации, руководствуясь указанными в командной строке параметрами. В программе dumpel.exe используется следующий синтаксис:
dumpel.exe –f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3…] [-r] [-t] [-d x]
- -f file – указывает имя результирующего файла. Для параметра –f не установлено значение по умолчанию, поэтому обязательно укажите файл.
- -s \\server – указывает сервер, для которого записывается журнал событий. Обратные слэши перед именем сервера вводить необязательно.
- -l log – определяет, какой журнал (системный журнал, журнал приложений, журнал безопасности) следует записать. Если указано неправильное имя журнала, то записывается журнал приложений.
- -m source – указывает, в каком источнике (например, редиректор (rdr), последовательный порт и т.д.) следует преобразовать записи журнала в текстовый файл. Если указан источник, не зарегистрированный в реестре Windows, в журнале приложений будет осуществлен поиск записей данного типа.
- - e n1 n2 n3 – осуществляет фильтрацию события с идентификатором nn (можно указать до 10 элементов). При использовании ключа -r будут записываться только записи этих типов. Если ключ -r не используется, будут выбраны все события из указанного источника. Данный параметр нельзя использовать без ключа -m.
- -r – указывает, нужно ли осуществлять фильтрацию для поиска определенных источников или записей, либо отбросить их.
- -t – указывает, что отдельные строки разделяются символами табуляции. Если параметр -t не используется, строки разделяются пробелами.
- -d x – записывает события за последние x дней.