Monitorowanie zdarzeń dotyczących zabezpieczeń

Monitorowanie zdarzeń dotyczących zabezpieczeń
Zacznijmy od wyobrażenia sobie wieżowca jakiejś dużej i bardzo bogatej firmy. Przy wejściu na parterze
oczywiście znajduje się dyżurka z czuwającymi strażnikami. Gdy tylko wszyscy pracownicy wyjdą z budynku
wtedy strażnicy zaczynają swoją pracę. Głównym zadaniem strażnika jest obserwowanie ekranów czy
przypadkiem nikt nie chodzi po budynku, czy też nikt nie kradnie właśnie jakichś dokumentów. Oczywiście
budynek jest zamknięty i dostęp do niego jest tylko przez parter. Dlaczego w takim razie potrzebni są tam
strażnicy obserwujący widoki z kamer? Otóż może zdarzyć się sytuacja, w której pracownik przez przypadek
zostawi otwarte okno na parterze, przez które wejdzie złodziej. Gdyby nie kamery to nic by nam nie dało
obserwowanie tylko wejść i szczelne ich zamykanie.
Bardzo łatwo możemy odnieść tą sytuację do realiów systemu komputerowego. Zabezpieczamy go dobrym
hasłem, zaporą ogniową, stosujemy uprawnienia itp. a mimo to przez błąd jakiegoś użytkownika jesteśmy
narażeni na zostawienie luki w bezpieczeństwie. Rozwiązaniem tego problemu jest możliwość kontrolowania,
w systemie Windows XP Professional, konfiguracji zabezpieczeń poprzez rejestrowanie wszelkiego dostępu
do określonych plików, wszystkich udanych i nieudany ch logowań do systemu czy też wszystkie próby
zmiany ustawień zabezpieczeń na naszym komputerze. Dzięki temu jesteśmy w stanie wykryć wszystkie luki
w zabezpieczeniach i bardzo dokładnie je zlokalizować.
Wszystkie te zdarzenia są rejestrowane w dzienniku Zabezpieczenia dostępnym w Podglądzie zdarzeń.
Oprócz tego dziennika możemy tam przeglądać jeszcze dwa inne - Aplikacja i System. W tym artykule
omówimy sposoby skonfigurowania inspekcji zdarzeń dotyczących zabezpieczeń oraz pokażemy jak korzystać
z funkcji monitorowania zdarzeń.
Inspekcja zdarzeń związanych z zabezpieczeniami
Najkrócej można wyjaśnić, że inspekcja jest to zapisywanie czynności użytkowników oraz zmian w systemie,
które mogą wpłynąć na bezpieczeństwo naszego komputera. Możemy np. rejestrować wszystkie logowania
(udane i nieudane) w celu wykrycia czy ktoś przypadkiem nie próbuje się włamać do systemu metodą
podawania po kolei wszystkich możliwych haseł (metoda brute -force). Również możemy się skupić na
korzystaniu z konkretnego ważnego pliku. J est to przydatna opcja, gdy mamy bardzo ważny plik, w którym
informację nie powinny być czytane przez nieupoważnione osoby. Następnie jesteśmy w stanie włączyć
monitorowanie wszystkich zmian kont lub haseł użytkowników, modyfikowania zasad bezpieczeństwa c zy
korzystania z przywilejów administratora. Ostatni przypadek pokazuje nam wszystkie sytuacje, w których
ktoś próbował przejąć naszą funkcję administratora nad systemem.
Włączanie inspekcji zabezpieczeń
Na początku należy zauważyć, że funkcja, którą opis ujemy jest domyślnie wyłączona. Aby to zmienić
wchodzimy Narzędzia administracyjne w Panelu sterowania. Odnajdujemy i uruchamiamy Zasady
zabezpieczeń lokalnych . W oknie, które się uruchomi zobaczymy drzewo opcji po lewej stronie, w którym
znajdujemy Zasady lokalne, po czym Zasady inspekcji. Gdy już zrobimy po lewej stronie zobaczymy
szereg opcji dotyczących inspekcji w naszym systemie.
……………………………………………………………………………………………………………………………………… 1/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Jak widzimy, wszystkie pozycje są wyłączone. Aby uruchomić jedną z nich wystarczy kliknąć na niej dwa
razy, po czym wybrać rodzaj zdarzenia, jakie ma być wpisywane do dziennika za każdym razem, gdy
wystąpi.
Abyśmy mieli jasność co do znaczenia każdej opcji poniżej opiszemy krótko wszystkie możliwości: Najpierw
wypisujemy nazwę opcji a następnie zdarzenie, które powoduje zapisanie w dzienniku informacji:









Przeprowadź inspekcję zmian zas ad - zmiana: zasady przypisania praw użytkownika, zasady
inspekcji, zasady zaufania lub zasady haseł.
Przeprowadź inspekcję zdarzeń systemowych - podczas włączania lub wyłączania komputera
przez użytkownika oraz w przypadku gdy jakieś zdarzenie wpływa na b ezpieczeństwo systemu lub
dziennik zabezpieczeń.
Przeprowadź inspekcję zdarzenia logowania na kontach - podczas logowania i wylogowania
użytkownika, który uzyskał dostęp poprzez sieć.
Przeprowadź inspekcję zdarzeń logowania - również logowanie i wylogowani e ale tym razem,
gdy ktoś jest w bezpośrednim kontakcie z naszą stacją roboczą.
Przeprowadź inspekcję zarządzania kontami - podczas utworzenia, zmiany, usunięcia, konta
użytkownika lub grupy zabezpieczeń oraz wtedy gdy zmieniane są hasła.
Przeprowadź inspekcję użycia uprawnień - podczas czynności do której wykorzystywane są
uprawnienia indywidualne użytkownika (z pominięciem zdarzeń, które wymieniliśmy wyżej).
Przeprowadź inspekcję śledzenia procesów - obejmuje procesy : uaktywnienia programu,
powielenia uchwytu, dostępu pośredniego do obiektu oraz zakończenia procesu.
Przeprowadź inspekcję dostępu do usługi katalogowej - podczas próby dostania się do
katalogu Active Directory (jedynie w przypadku gdy jesteśmy członkami domeny Microsoft
Windows).
Przeprowadź inspekcję dostępu do obiektów - podczas próby dostania się do pliku, folderu,
drukarki, klucza rejestru oraz reszty obiektów które są aktualnie monitorowane.
Konfigurowanie inspekcji dostępu do plików, drukarek i kluczy rejestru
Należy zauważyć, że możli wość inspekcji dostępu do danego pliku jest możliwa jedynie w przypadku, gdy
plik znajduje się na partycji NTFS. Jeżeli tak jest zaznaczamy opcję Przeprowadź inspekcję dostępu do
obiektów i najlepiej włączyć ją zarówno w przypadku sukcesu jak i niepowodzen ia. Następnie o ile nie
zrobiliśmy już tego wcześniej odznaczamy opcję prostego udostępniania w Opcjach folderów.
……………………………………………………………………………………………………………………………………… 2/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Po tym ruchu znajdujemy obiekt, który chcemy monitorować i wchodzimy w jego właściwości. Przechodzimy
na zakładkę Zabezpieczenia. Na dole zakładki widzimy przycisk Zaawansowane. Po przyciśnięciu otworzy
się właściwy ekran do zaawansowanego ustawiania zabezpieczeń. Naszym oczom ukaże się poniższe okno.
Znowu przechodzimy po zakładkach, tylko tym razem na Inspekcja. Jeżeli chcemy poddać obserwacji
drukarkę, należy w Panelu sterowania odnaleźć folder Drukarki. Zaznaczamy interesującą nas drukarkę i
wchodzimy w jej Właściwości i jak wyżej przechodzimy do zakładki Zabezpieczenia, gdzie dokładnie tak
samo jak dla katalogu czy pliku znajdujemy okno z zakładką Inspekcja.
Jeżeli chodzi o klucze rejestru sprawa j est równie prosta z tą różnicą, że należy klucz znaleźć, kliknąć
prawym przyciskiem myszy na ikonie (nie na wartości) oraz wejść w
Uprawnienia.
W powyższym oknie możemy najpierw dodać użytkownika lub grupę dla której chcemy włączyć inspekcje, a
następnie określić rodzaj dostępu, które chcesz monitorować.
……………………………………………………………………………………………………………………………………… 3/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Dla ustawień inspekcji drukarki czy klucza rejestru oczywiście będziemy mieli inne rodzaje dostępu do
wyboru, jednak procedura ustawiania jest identyczna.
Co poddać inspekcji
Oczywiście można popaść w paranoje i włączyć wszystkie możliw e inspekcje by mieć pewność, że będziemy
świadomi wszystkiego co się dzieje z naszym komputerem. Jednak z pewnych przyczyn bardzo odradzamy
tak robić. Otóż zapisywanie choćby jednej zadeklarowanej inspekcji wiąże się z ciągłym kontrolowanie
czynności wszystkich użytkowników. Do tego, gdy wybierzemy za dużą ilość rzeczy do monitorowania,
komputer będzie na tyle obciążony, że zmniejszy się diametralnie jego wydajność. Następny powód to
ograniczona pojemność dziennika. Jeżeli dziennik się przepełni następuje z astępowanie starszych wpisów
wpisami nowszymi. No i oczywiście, gdy będziemy mieli za dużo wpisów z każdej inspekcji nie będziemy w
stanie znaleźć rzeczywiście istotnych ze względu b ezpieczeństwa wpisów i zdarzeń. Proponujemy włączać jak
najmniejszą liczbę inspekcji i to tylko tych co są rzeczywiście konieczne. Dla przykładu można powiedzieć, że
gdy chcemy pilnować, by nikt nieupoważniony się nie logował, możemy włączyć monitorowanie nieudanych
prób logowania i będziemy mieli wpisy każdej próby wejścia z bł ędnym hasłem.
Oglądanie dziennika zdarzeń zabezpieczeń
A więc jak już mamy włączone monitorowanie interesujących nas zdarzeń pora na zobaczenie efektów, czyli
włączenie Dziennika zdarzeń zabezpieczeń. Z wiersza poleceń wpisujemy komendę eventvwr.msc.
Wybieramy Zabezpieczenia i po lewej stronie pojawią się wszystkie zarejestrowane zdarzenia. Gdy przy
zdarzeniu występuje znak klucza oznacza to pomyślny wynik poddanego inspekcji zdarzenia. Natomiast gdy
zobaczymy kłódkę - nieudany wynik poddanego inspekcji zda rzenia.
……………………………………………………………………………………………………………………………………… 4/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Praca z zarejestrowan ymi zdarzeniami
Jeżeli chcemy wyświetlić szczegóły wybranego zdarzenia wystarczy kliknąć na niego dwukrotnie. Pojawi się
okno z informacjami dotyczącymi dokładnie tego zdarzenia. Możemy wnikliwie obejrzeć informacje o
wszystkich zdarzeniach.
Jednak gdy będziemy mieli do czynienia z wię kszą ilością zdarzeń zarejestrowanych, będzie trudną rzeczą
znalezienie interesującego nas wpisu. Aby to ułatwić mamy do naszej dyspozycji opcję wyszukiwania.
Wystarczy z menu Widok wybrać Znajdź. W oknie, które się pojawi wybieramy interesujące nas kryter ia
poszukiwania. Możemy np. szukać wpisu dotyczącego użytkownika o nazwie Kowalski, którego inspekcja
zakończyła się niepowodzeniem. Wynikiem będzie podświetlenie zdarzenia, które spełnia te założenia.
Kolejną rzeczą ułatwiającą nam przeszukiwanie większej liczby wydarzeń jest opcja fi ltrowania. Wystarczy
wybrać z menu Widok zamieszczoną tam opcję Filtruj. W podobnej do wyszukiwania formatce będziemy
mogli określić warunki jakie mają spełniać wyświetlane elementy.
……………………………………………………………………………………………………………………………………… 5/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Ustalenie rozmiaru plików dziennika i okresu przechowywania
Aby zmienić parametry dotyczące wielkości d ziennika czy też czasu przechowywania informacji w nim, należy
w ekranie Podglądu zdarzeń wybrać menu podręczne wybranego dziennika i wybrać Właściwości.
Następnie możemy zmienić rozmiar tego dziennika o wielokrotność 64 KB. Zaznaczamy, że dziennik raczej
nie powinien przekraczać wielkości 512 MB. Możemy również wybrać czas archiwizowania jak i sposób
zachowania się przy osiągnięciu maksymalnej wielkości pliku dziennika.
Archiwizowanie i eksportowanie pliku dziennika
Jeżeli już osiągniemy za duży rozmiar danego dziennika lub po prostu chcemy mieć kopie danych
zanotowanych zdarzeń na później możemy skorzystać z opcji archiwizowania i eksportowania plików
dziennika. Aby tego dokonać wybieramy dziennik i z menu podręcznego klikamy w Zapisz plik dziennika
jako. Format w jakim domyślnie sys tem będzie chciał zapisać dany plik jest formatem standardowym dzięki
któremu otrzymamy dokładną replikę. Jednak będziemy mogli ją oglądać jedynie za pomocą Podglądu
zdarzeń. Aby umożliwić odczyt w inny sposób należy zapisać plik z rozszerzeniem txt albo C SV.
……………………………………………………………………………………………………………………………………… 6/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet
Zapisanie w ten sposób dziennika, zapisuje wszystkie informacje nawet jeżeli mamy uruchomiony jakiś filtr.
Jeżeli natomiast interesują nas do zapisania jedynie informację, które aktualnie przefiltrowaliśmy należy
wybrać opcję z menu podręcznego - Eksportuj listę. Będziemy wtedy mieli zapisany plik dziennika jedynie
z wybranymi aktualnie zdarzeniami.
Czyszczenie plików dziennika
Jeżeli już zapełni nam się dziennik należy albo wyeksportować a później wyczyścić albo od razu wyczyścić
plik dziennika. Aby to zrobić wybieramy Wyczyść wszystkie zdarzenia .
……………………………………………………………………………………………………………………………………… 7/7
SO Monitorowanie zdarzeń dotyczących zabezpieczeń
ZSM Świdnica Źródło: Internet