Аудит и журналы безопасности

Аудит

Обеспечив правильную настройку и безопасность файлов журнала, вы теперь имеете необходимую инфраструктуру с высокой степенью доверия, которая позволит осуществлять аудит веб-сайта. Аудит в Windows 2000 и IIS обеспечивает информацией журналы, чтобы впоследствии можно было восстановить цепь событий, источник атаки, цели злоумышленника, а также

последовательность выполненных хакером действий. Иными словами, аудит выполняет отслеживание информации, в результате которого создается контрольный след (контрольный журнал). В зависимости от настройки политики аудита контрольный след показывает, кто осуществил действия, кто пытался выполнить запрещенные действия и т.д.

Настройка политики аудита

Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.

• Параметры политики домена.
• Параметры политики сайта.
• Параметры локальной политики.

Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.

Политики аудита устанавливаются локально с помощью консоли MMC Local Security Policy (Локальная политика безопасности). Просматривать и изменять политику аудита в системе можно следующим образом.

1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование) (см. рисунок).
2. В области слева щелкните на папке Local Policies (Локальные политики) для отображения вложенных папок. Щелкните на папке Audit Policy (Политика аудита), чтобы отобразить отдельные параметры политики аудита в правой области консоли.
3. В правой области щелкните правой кнопкой мыши на политике, которую требуется изменить, и в появившемся меню выберите команду Security (Безопасность) (либо просто дважды щелкните на политике), чтобы открыть диалоговое окно.
4. Каждая из настроек политики аудита содержит одни и те же параметры – Success (Успех) (фиксируемая успешная попытка доступа) и Failure (Неудача) (фиксируемая неудачная попытка доступа), которые можно настраивать. Отметьте опции Success и Failure в соответствии со своей политикой аудита.

Совет. Если одни и те же параметры аудита применяются к нескольким серверам, то эффективнее использовать шаблон политики безопасности Security Policy Template. Использование оснасток Security Configuration (Настройка безопасности) и Security Templates (Шаблоны безопасности) обсуждалось в "Учетные записи, аутентификация и политика безопасности" .

Таблица 5.4 содержит параметры конфигурации политики аудита, используемые при выполнении программы IIS Lockdown или шаблона High Security Template (hisecweb.inf) (см. лекции "Подготовка и укрепление веб-сервера" , "Учетные записи, аутентификация и политика безопасности" ).

Совет. Данный материал соответствует рекомендациям Microsoft по настройке политики аудита в Windows 2000. Если вы не хотите придерживаться этих рекомендаций, то в приложении C содержится более подробный перечень параметров.

Аудит объектов и ресурсов Windows 2000

Аудит в Windows 2000 осуществляет сбор информации об использовании ресурсов файловой системы, учетных записей пользователей, ключей реестра, системных ресурсов. Аудит объектов по умолчанию не включен, его нужно активировать и настроить в окне Properties (Свойства) ресурса, аудит которого выполняется.

Аудит осуществляется отдельно для каждого объекта. Нужно указать, какие объекты и действия подлежат аудиту. Аудит объектов полезен при идентификации несанкционированных попыток использования файлов. Имейте в виду, что Microsoft рекомендует отключить политику аудита успешного доступа к объектам (см. табл. 5.4) для сервера с IIS 5. В общем случае следуйте данной рекомендации, поскольку аудит IIS и так достаточно детализирован. Тем не менее, иногда необходимо отслеживать доступ администраторов к системной папке загрузочного системного диска с помощью основных утилит операционной системы. В обычной ситуации таких данных окажется немного, поэтому журнал не будет перегружен информацией, кроме того, эта информация покажет, осуществлялся ли доступ в эту папку другими авторизованными (или неавторизованными) администраторами.

Совет. Для аудита каталогов или системных объектов включите разрешение списка ACL для учетной записи в свойствах безопасности объекта, иначе при настройке параметров аудита

появится сообщение об ошибке. Другими словами, при попытке аудита действий учетной записи для объекта, разрешения для которого в ней отсутствуют, Windows 2000 выдаст ошибку.

Имеет смысл осуществлять аудит доступа администраторов к системным папкам по умолчанию, а также при настройке параметров аудита объектов файловой системы, если полномочиями администратора обладают несколько пользователей. Эти параметры настраиваются средствами локального управления сервером. Удобно применять шаблон безопасности при повторении настройки параметров безопасности для нескольких серверов (параметры на всех серверах будут одинаковы).

Совет. Чтобы применить шаблон безопасности для установки параметров аудита объекта файловой системы, откройте консоль MMC, в которую уже добавлены надстройки Security Analysis and Configuration (Анализ и настройка безопасности) и Security Templates (Шаблоны безопасности). Найдите файл шаблона безопасности, в котором нужно выполнить настройку политики, откройте его, затем откройте вложенную папку File System (Файловая система). Щелкните правой кнопкой мыши на папке и выберите команду Add File (Добавить файл). После этого продолжите работу с шага 2 следующей процедуры.

Ниже приведена процедура настройки аудита системной папки Windows 2000 с помощью локальных средств управления.

1. Откройте Windows Explorer (Проводник Windows) либо окно My Computer (Мой компьютер), перейдите к системной папке по умолчанию веб-сервера.
2. Щелкните правой кнопкой мыши на папке и выберите команду Properties (Свойства). В диалоговом окне Properties откройте вкладку Security (Безопасность). Отобразится окно настройки, имеющее следующий вид.
3. Нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна, чтобы открыть окно контроля доступа Access Control Window для объекта. Откройте вкладку Auditing (Аудит), чтобы отобразить параметры аудита (см. рисунок).
4. Выберите опцию Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries (Сбрасывать записи аудита на всех дочерних объектах и включить передачу наследуемых записей аудита), чтобы аудит осуществлялся для всех объектов в каталоге.
5. Нажмите на кнопку Add (Добавить), чтобы выбрать группу Administrators (Администраторы) в списке ACL. Выберите соответствующие права и разрешения в появившемся диалоговом окне Audit Entry (Запись аудита), после чего нажмите на OK. После нажатия на кнопку Apply (Применить) внесенные изменения будут применены.