Monitorowanie zdarzeń dotyczących zabezpieczeń
Transkrypt
Monitorowanie zdarzeń dotyczących zabezpieczeń
Monitorowanie zdarzeń dotyczących zabezpieczeń Zacznijmy od wyobrażenia sobie wieżowca jakiejś dużej i bardzo bogatej firmy. Przy wejściu na parterze oczywiście znajduje się dyżurka z czuwającymi strażnikami. Gdy tylko wszyscy pracownicy wyjdą z budynku wtedy strażnicy zaczynają swoją pracę. Głównym zadaniem strażnika jest obserwowanie ekranów czy przypadkiem nikt nie chodzi po budynku, czy też nikt nie kradnie właśnie jakichś dokumentów. Oczywiście budynek jest zamknięty i dostęp do niego jest tylko przez parter. Dlaczego w takim razie potrzebni są tam strażnicy obserwujący widoki z kamer? Otóż może zdarzyć się sytuacja, w której pracownik przez przypadek zostawi otwarte okno na parterze, przez które wejdzie złodziej. Gdyby nie kamery to nic by nam nie dało obserwowanie tylko wejść i szczelne ich zamykanie. Bardzo łatwo możemy odnieść tą sytuację do realiów systemu komputerowego. Zabezpieczamy go dobrym hasłem, zaporą ogniową, stosujemy uprawnienia itp. a mimo to przez błąd jakiegoś użytkownika jesteśmy narażeni na zostawienie luki w bezpieczeństwie. Rozwiązaniem tego problemu jest możliwość kontrolowania, w systemie Windows XP Professional, konfiguracji zabezpieczeń poprzez rejestrowanie wszelkiego dostępu do określonych plików, wszystkich udanych i nieudany ch logowań do systemu czy też wszystkie próby zmiany ustawień zabezpieczeń na naszym komputerze. Dzięki temu jesteśmy w stanie wykryć wszystkie luki w zabezpieczeniach i bardzo dokładnie je zlokalizować. Wszystkie te zdarzenia są rejestrowane w dzienniku Zabezpieczenia dostępnym w Podglądzie zdarzeń. Oprócz tego dziennika możemy tam przeglądać jeszcze dwa inne - Aplikacja i System. W tym artykule omówimy sposoby skonfigurowania inspekcji zdarzeń dotyczących zabezpieczeń oraz pokażemy jak korzystać z funkcji monitorowania zdarzeń. Inspekcja zdarzeń związanych z zabezpieczeniami Najkrócej można wyjaśnić, że inspekcja jest to zapisywanie czynności użytkowników oraz zmian w systemie, które mogą wpłynąć na bezpieczeństwo naszego komputera. Możemy np. rejestrować wszystkie logowania (udane i nieudane) w celu wykrycia czy ktoś przypadkiem nie próbuje się włamać do systemu metodą podawania po kolei wszystkich możliwych haseł (metoda brute -force). Również możemy się skupić na korzystaniu z konkretnego ważnego pliku. J est to przydatna opcja, gdy mamy bardzo ważny plik, w którym informację nie powinny być czytane przez nieupoważnione osoby. Następnie jesteśmy w stanie włączyć monitorowanie wszystkich zmian kont lub haseł użytkowników, modyfikowania zasad bezpieczeństwa c zy korzystania z przywilejów administratora. Ostatni przypadek pokazuje nam wszystkie sytuacje, w których ktoś próbował przejąć naszą funkcję administratora nad systemem. Włączanie inspekcji zabezpieczeń Na początku należy zauważyć, że funkcja, którą opis ujemy jest domyślnie wyłączona. Aby to zmienić wchodzimy Narzędzia administracyjne w Panelu sterowania. Odnajdujemy i uruchamiamy Zasady zabezpieczeń lokalnych . W oknie, które się uruchomi zobaczymy drzewo opcji po lewej stronie, w którym znajdujemy Zasady lokalne, po czym Zasady inspekcji. Gdy już zrobimy po lewej stronie zobaczymy szereg opcji dotyczących inspekcji w naszym systemie. ……………………………………………………………………………………………………………………………………… 1/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Jak widzimy, wszystkie pozycje są wyłączone. Aby uruchomić jedną z nich wystarczy kliknąć na niej dwa razy, po czym wybrać rodzaj zdarzenia, jakie ma być wpisywane do dziennika za każdym razem, gdy wystąpi. Abyśmy mieli jasność co do znaczenia każdej opcji poniżej opiszemy krótko wszystkie możliwości: Najpierw wypisujemy nazwę opcji a następnie zdarzenie, które powoduje zapisanie w dzienniku informacji: Przeprowadź inspekcję zmian zas ad - zmiana: zasady przypisania praw użytkownika, zasady inspekcji, zasady zaufania lub zasady haseł. Przeprowadź inspekcję zdarzeń systemowych - podczas włączania lub wyłączania komputera przez użytkownika oraz w przypadku gdy jakieś zdarzenie wpływa na b ezpieczeństwo systemu lub dziennik zabezpieczeń. Przeprowadź inspekcję zdarzenia logowania na kontach - podczas logowania i wylogowania użytkownika, który uzyskał dostęp poprzez sieć. Przeprowadź inspekcję zdarzeń logowania - również logowanie i wylogowani e ale tym razem, gdy ktoś jest w bezpośrednim kontakcie z naszą stacją roboczą. Przeprowadź inspekcję zarządzania kontami - podczas utworzenia, zmiany, usunięcia, konta użytkownika lub grupy zabezpieczeń oraz wtedy gdy zmieniane są hasła. Przeprowadź inspekcję użycia uprawnień - podczas czynności do której wykorzystywane są uprawnienia indywidualne użytkownika (z pominięciem zdarzeń, które wymieniliśmy wyżej). Przeprowadź inspekcję śledzenia procesów - obejmuje procesy : uaktywnienia programu, powielenia uchwytu, dostępu pośredniego do obiektu oraz zakończenia procesu. Przeprowadź inspekcję dostępu do usługi katalogowej - podczas próby dostania się do katalogu Active Directory (jedynie w przypadku gdy jesteśmy członkami domeny Microsoft Windows). Przeprowadź inspekcję dostępu do obiektów - podczas próby dostania się do pliku, folderu, drukarki, klucza rejestru oraz reszty obiektów które są aktualnie monitorowane. Konfigurowanie inspekcji dostępu do plików, drukarek i kluczy rejestru Należy zauważyć, że możli wość inspekcji dostępu do danego pliku jest możliwa jedynie w przypadku, gdy plik znajduje się na partycji NTFS. Jeżeli tak jest zaznaczamy opcję Przeprowadź inspekcję dostępu do obiektów i najlepiej włączyć ją zarówno w przypadku sukcesu jak i niepowodzen ia. Następnie o ile nie zrobiliśmy już tego wcześniej odznaczamy opcję prostego udostępniania w Opcjach folderów. ……………………………………………………………………………………………………………………………………… 2/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Po tym ruchu znajdujemy obiekt, który chcemy monitorować i wchodzimy w jego właściwości. Przechodzimy na zakładkę Zabezpieczenia. Na dole zakładki widzimy przycisk Zaawansowane. Po przyciśnięciu otworzy się właściwy ekran do zaawansowanego ustawiania zabezpieczeń. Naszym oczom ukaże się poniższe okno. Znowu przechodzimy po zakładkach, tylko tym razem na Inspekcja. Jeżeli chcemy poddać obserwacji drukarkę, należy w Panelu sterowania odnaleźć folder Drukarki. Zaznaczamy interesującą nas drukarkę i wchodzimy w jej Właściwości i jak wyżej przechodzimy do zakładki Zabezpieczenia, gdzie dokładnie tak samo jak dla katalogu czy pliku znajdujemy okno z zakładką Inspekcja. Jeżeli chodzi o klucze rejestru sprawa j est równie prosta z tą różnicą, że należy klucz znaleźć, kliknąć prawym przyciskiem myszy na ikonie (nie na wartości) oraz wejść w Uprawnienia. W powyższym oknie możemy najpierw dodać użytkownika lub grupę dla której chcemy włączyć inspekcje, a następnie określić rodzaj dostępu, które chcesz monitorować. ……………………………………………………………………………………………………………………………………… 3/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Dla ustawień inspekcji drukarki czy klucza rejestru oczywiście będziemy mieli inne rodzaje dostępu do wyboru, jednak procedura ustawiania jest identyczna. Co poddać inspekcji Oczywiście można popaść w paranoje i włączyć wszystkie możliw e inspekcje by mieć pewność, że będziemy świadomi wszystkiego co się dzieje z naszym komputerem. Jednak z pewnych przyczyn bardzo odradzamy tak robić. Otóż zapisywanie choćby jednej zadeklarowanej inspekcji wiąże się z ciągłym kontrolowanie czynności wszystkich użytkowników. Do tego, gdy wybierzemy za dużą ilość rzeczy do monitorowania, komputer będzie na tyle obciążony, że zmniejszy się diametralnie jego wydajność. Następny powód to ograniczona pojemność dziennika. Jeżeli dziennik się przepełni następuje z astępowanie starszych wpisów wpisami nowszymi. No i oczywiście, gdy będziemy mieli za dużo wpisów z każdej inspekcji nie będziemy w stanie znaleźć rzeczywiście istotnych ze względu b ezpieczeństwa wpisów i zdarzeń. Proponujemy włączać jak najmniejszą liczbę inspekcji i to tylko tych co są rzeczywiście konieczne. Dla przykładu można powiedzieć, że gdy chcemy pilnować, by nikt nieupoważniony się nie logował, możemy włączyć monitorowanie nieudanych prób logowania i będziemy mieli wpisy każdej próby wejścia z bł ędnym hasłem. Oglądanie dziennika zdarzeń zabezpieczeń A więc jak już mamy włączone monitorowanie interesujących nas zdarzeń pora na zobaczenie efektów, czyli włączenie Dziennika zdarzeń zabezpieczeń. Z wiersza poleceń wpisujemy komendę eventvwr.msc. Wybieramy Zabezpieczenia i po lewej stronie pojawią się wszystkie zarejestrowane zdarzenia. Gdy przy zdarzeniu występuje znak klucza oznacza to pomyślny wynik poddanego inspekcji zdarzenia. Natomiast gdy zobaczymy kłódkę - nieudany wynik poddanego inspekcji zda rzenia. ……………………………………………………………………………………………………………………………………… 4/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Praca z zarejestrowan ymi zdarzeniami Jeżeli chcemy wyświetlić szczegóły wybranego zdarzenia wystarczy kliknąć na niego dwukrotnie. Pojawi się okno z informacjami dotyczącymi dokładnie tego zdarzenia. Możemy wnikliwie obejrzeć informacje o wszystkich zdarzeniach. Jednak gdy będziemy mieli do czynienia z wię kszą ilością zdarzeń zarejestrowanych, będzie trudną rzeczą znalezienie interesującego nas wpisu. Aby to ułatwić mamy do naszej dyspozycji opcję wyszukiwania. Wystarczy z menu Widok wybrać Znajdź. W oknie, które się pojawi wybieramy interesujące nas kryter ia poszukiwania. Możemy np. szukać wpisu dotyczącego użytkownika o nazwie Kowalski, którego inspekcja zakończyła się niepowodzeniem. Wynikiem będzie podświetlenie zdarzenia, które spełnia te założenia. Kolejną rzeczą ułatwiającą nam przeszukiwanie większej liczby wydarzeń jest opcja fi ltrowania. Wystarczy wybrać z menu Widok zamieszczoną tam opcję Filtruj. W podobnej do wyszukiwania formatce będziemy mogli określić warunki jakie mają spełniać wyświetlane elementy. ……………………………………………………………………………………………………………………………………… 5/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Ustalenie rozmiaru plików dziennika i okresu przechowywania Aby zmienić parametry dotyczące wielkości d ziennika czy też czasu przechowywania informacji w nim, należy w ekranie Podglądu zdarzeń wybrać menu podręczne wybranego dziennika i wybrać Właściwości. Następnie możemy zmienić rozmiar tego dziennika o wielokrotność 64 KB. Zaznaczamy, że dziennik raczej nie powinien przekraczać wielkości 512 MB. Możemy również wybrać czas archiwizowania jak i sposób zachowania się przy osiągnięciu maksymalnej wielkości pliku dziennika. Archiwizowanie i eksportowanie pliku dziennika Jeżeli już osiągniemy za duży rozmiar danego dziennika lub po prostu chcemy mieć kopie danych zanotowanych zdarzeń na później możemy skorzystać z opcji archiwizowania i eksportowania plików dziennika. Aby tego dokonać wybieramy dziennik i z menu podręcznego klikamy w Zapisz plik dziennika jako. Format w jakim domyślnie sys tem będzie chciał zapisać dany plik jest formatem standardowym dzięki któremu otrzymamy dokładną replikę. Jednak będziemy mogli ją oglądać jedynie za pomocą Podglądu zdarzeń. Aby umożliwić odczyt w inny sposób należy zapisać plik z rozszerzeniem txt albo C SV. ……………………………………………………………………………………………………………………………………… 6/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet Zapisanie w ten sposób dziennika, zapisuje wszystkie informacje nawet jeżeli mamy uruchomiony jakiś filtr. Jeżeli natomiast interesują nas do zapisania jedynie informację, które aktualnie przefiltrowaliśmy należy wybrać opcję z menu podręcznego - Eksportuj listę. Będziemy wtedy mieli zapisany plik dziennika jedynie z wybranymi aktualnie zdarzeniami. Czyszczenie plików dziennika Jeżeli już zapełni nam się dziennik należy albo wyeksportować a później wyczyścić albo od razu wyczyścić plik dziennika. Aby to zrobić wybieramy Wyczyść wszystkie zdarzenia . ……………………………………………………………………………………………………………………………………… 7/7 SO Monitorowanie zdarzeń dotyczących zabezpieczeń ZSM Świdnica Źródło: Internet