Мониторинг безопасности с помощью журнала событий
Советы и рекомендации
Поскольку размер журнала безопасности ограничен, Вы должны взвешенно подходить к вопросу выбора файлов и папок, для которых хотите установить аудит доступа. Вы также должны решить, какой объем места на диске Вы готовы выделить для журнала безопасности. Максимальный размер указывается в оснастке Просмотр событий (Event Viewer).
Чтобы просмотреть журнал безопасности:
- Откройте оснастку Управление компьютером (Computer Management): нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Панель управления (Control Panel). Выполните двойной щелчок сначала по значку Администрирование (Administrative Tools), а затем по значку Управление компьютером (Computer Management).
- В дереве консоли раскройте узел Просмотр событий (Event Viewer). Выполните двойной щелчок по узлу Безопасность (Security) и в области сведений проанализируйте список событий аудита.
Советы и рекомендации по ведению аудита
Вы можете предпринять различные шаги по ведению аудита, чтобы минимизировать возможность нарушения безопасности. В следующей таблице представлены различные события, аудит которых Вы должны вести, а также соответствующие им угрозы безопасности, которые отслеживаются при помощи данных событий.
| Событие аудита | Потенциальная угроза |
|---|---|
| Аудит отказов для событий входа/выхода из системы. | Взлом с использованием случайного пароля. |
| Аудит успехов для событий входа/выхода из системы | Несанкционированный вход с использованием украденного пароля. |
| Аудит успехов для событий управления правами пользователей, управления пользователями и группами, изменения политик безопасности, перезагрузки, выключения компьютера и системных событий. | Злоупотребление полномочиями. |
| Аудит успехов и отказов для событий доступа к файлам и объектам. Аудит успехов и отказов диспетчером файлов (File Manager) событий чтения/записи важных файлов подозрительными пользователями или группами. | Использование важных файлов в корыстных целях. |
| Аудит успехов и отказов для событий доступа к файлам, принтерам и объектам. Аудит успехов и отказов диспетчером печати (Print Manager) событий доступа на печать на принтерах подозрительными пользователями и группами. | Использование принтеров в корыстных целях. |
| Аудит успехов и отказов для событий доступа на запись к программным файлам (с расширениями. EXE и. DLL). Аудит успехов и отказов для событий отслеживания процессов. Запустите подозрительные программы и проанализируйте журнал безопасности на наличие непредвиденных попыток изменения программных файлов или создания непредусмотренных процессов. Запускайте этот аудит только если непосредственно наблюдаете за журналом безопасности. | Начало вирусной эпидемии |
Дополнительная информация
Последнюю информацию о Windows 2000 Server см. на веб-сайте корпорации Майкрософт по адресу http://www.microsoft.com/windows2000 (EN), а также на форуме Windows 2000/NT по адресу http://computingcentral.msn.com/topics/windowsnt (EN).
Веб-ресурсы, посвященные Windows 2000
Руководство по планированию и развертыванию Windows 2000 (Windows 2000 Planning and Deployment Guide) http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/dpg.asp (EN).
Автор: Алексей Веретенников aka Aliver
Материалы взяты с сайта OSzone.net.