Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 7:

Жизненный цикл управления безопасностью

Дополнительные сведения об отслеживании файла журнала

В "Аудит и журналы безопасности" обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.

Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.

Таблица 7.1. Подозрительные записи журнала безопасности
Идентификатор события Комментарий
517 Журнал аудита был очищен. Вы сами выполнили это действие, или это попытка хакера замести следы?
529 Осуществлена попытка входа в систему с использованием неизвестной учетной записи или имеющейся учетной записи с указанием неправильного пароля. Неожиданно большая частота повторения этого события означает попытки угадывания пароля.
531 Осуществлена попытка входа в систему посредством использования отключенной учетной записи. Чья это попытка, и каково ее назначение?
539 Осуществлена и отклонена попытка входа, так как учетная запись была заблокирована. Кто пытался войти и зачем?
612 Изменена политика аудита. Выясните, кто изменил ее и зачем.
624 Создана учетная запись. Кто ее создал – вы или доверенное лицо?
628 Установлен пароль пользователя. Кто это сделал – вы или доверенное лицо?
640 Внесено изменение в базу данных SAM. Вы вносили это изменение?

Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. "Сторонние средства обеспечения безопасности" ), однако мы остановимся на продуктах Microsoft.

Экспорт журналов в текстовые файлы

В файлы журнала можно записать неограниченное количество информации. В реальной жизни такой объем затрудняет работу. Иногда информацию экспортируют в текстовый файл и открывают в программе типа электронных таблиц или баз данных. В этих программах можно отсортировать списки по номерам событий или осуществить поиск определенных сообщений. Журналы IIS автоматически сохраняются в текстовом формате, а вот файлы журналов Windows 2000 необходимо преобразовывать.

Это делается двумя способами. Используйте команду Save As (Сохранить как) в программе Event Viewer (Просмотр событий) для сохранения файла в виде текста с разделителями-табуляцией либо в формате файла с разделителями-запятыми (CSV). Можно вывести журнал событий с помощью программы dumpel.exe – средства командной строки, доступного для загрузки по адресу http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.

При обращении к прежним журналам для получения информации этот метод значительно облегчит задачу. Dumpel.exe преобразовывает журнал событий локальной или удаленной системы в текстовый файл с разделителями-табуляцией и осуществляет фильтрацию файла для нахождения искомой информации, руководствуясь указанными в командной строке параметрами. В программе dumpel.exe используется следующий синтаксис:

dumpel.exe –f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3…] [-r] [-t] [-d x]
  • -f file – указывает имя результирующего файла. Для параметра –f не установлено значение по умолчанию, поэтому обязательно укажите файл.
  • -s \\server – указывает сервер, для которого записывается журнал событий. Обратные слэши перед именем сервера вводить необязательно.
  • -l log – определяет, какой журнал (системный журнал, журнал приложений, журнал безопасности) следует записать. Если указано неправильное имя журнала, то записывается журнал приложений.
  • -m source – указывает, в каком источнике (например, редиректор (rdr), последовательный порт и т.д.) следует преобразовать записи журнала в текстовый файл. Если указан источник, не зарегистрированный в реестре Windows, в журнале приложений будет осуществлен поиск записей данного типа.
  • - e n1 n2 n3 – осуществляет фильтрацию события с идентификатором nn (можно указать до 10 элементов). При использовании ключа -r будут записываться только записи этих типов. Если ключ -r не используется, будут выбраны все события из указанного источника. Данный параметр нельзя использовать без ключа -m.
  • -r – указывает, нужно ли осуществлять фильтрацию для поиска определенных источников или записей, либо отбросить их.
  • -t – указывает, что отдельные строки разделяются символами табуляции. Если параметр -t не используется, строки разделяются пробелами.
  • -d x – записывает события за последние x дней.
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск