Наблюдение за безопасностью и обнаружение атак

Несанкционированные попытки использования учетной записи

Создание первого контроллера домена Active Directory в лесу приводит к появлению учетной записи администратора, которая одновременно является членом групп администраторов домена и администраторов предприятия. Эта учетная запись требует особой защиты, поскольку это единственная запись, на которую не распространяются параметры блокировки учетной записи. Таким образом, даже при использовании политики блокировки учетных записей, эта учетная запись остается особенно уязвимой для атак с использованием словаря.

Эффективное наблюдение за безопасностью должно отслеживать все попытки входа в систему с этой учетной записью администратора, даже если она была переименована. Дополнительные сведения о повышении безопасности административных учетных записей см. в статье «Руководство по планированию безопасности учетных записей администратора» по адресу http://go.microsoft.com/fwlink/?LinkId=41315 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Кроме того, попытки входа в систему с отключенными или устаревшими учетными записями могут означать, что бывший сотрудник, временный работник или подрядчик попытался получить доступ к сети, не имея действующих учетных данных. Подобные события должны немедленно расследоваться.

В следующей таблице приведены события, сигнализирующие о несанкционированном использовании учетных записей и относящиеся к категориям аудита «Вход учетных записей в систему» и «Вход в систему».

Таблица 9. События несанкционированного входа в систему

Код события	Событие	Комментарии
528 540	Успешный вход в систему	528 является обычным событием. Однако событие 540 требует проверки имени целевой учетной записи, чтобы определить, было ли оно вызвано учетной записью администратора по умолчанию.
529	Сбой при входе в систему — неизвестное имя пользователя или пароль	Всегда проводите расследование, если имя целевой учетной записи — «Администратор» или переименованная учетная запись администратора по умолчанию. Также проводите расследование, если количество сбоев при входе в систему чуть меньше порогового значения блокировки. Также проверьте наличие попыток, при которых имя целевой учетной записи — «Администратор» или root, а имя домена неизвестно.
531	Сбой при входе в систему — учетная запись отключена	Чтобы определить источник, проверьте имя целевой учетной записи и имя рабочей станции. Это событие требует расследования, поскольку может означать попытку вторжения со стороны бывших пользователей учетных записей.
532	Сбой при входе в систему — учетная запись устарела	Чтобы определить источник, проверьте имя целевой учетной записи и имя рабочей станции. Это событие требует расследования, поскольку может означать попытку вторжения со стороны бывших пользователей учетных записей.
576	Новой учетной записи назначены особые привилегии	Обозначает назначение привилегий, которые могут дать новой учетной записи права администратора или возможность изменять дневник аудита. Сравните поле «Идентификатор для входа в систему» с событиями 528 или 540, чтобы с легкостью определить, получила ли учетная запись привилегии администратора.

Другая проблема, связанная с безопасностью, включает неподчинение политикам использования эффективных паролей для учетных записей, например политикам использования надежных паролей и более коротких сроков действия паролей; иногда, чтобы запомнить пароли, пользователи записывают их на бумаге или где-либо еще. Эта проблема требует внимания, в частности, в системах, где имеется несколько хранилищ учетных данных, но при этом нет служб управления учетными данными, что требует использования большого числа паролей и учетных записей.

Примечание.   Дополнительные сведения об управлении паролями в разнородных средах см. в серии руководств по управлению доступом и учетными данными корпорации Майкрософт по адресу http://go.Microsoft.com/fwlink/?LinkId=14841 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Организациям следует запретить пользователям записывать свои пароли, особенно на видном месте, поскольку посторонние лица могут найти и использовать эти сведения для проведения атаки. Наблюдение за этим видом вторжений возможно при использовании сведений из предыдущей таблицы, но оно включает взаимную корреляцию этих сведений с историей успешных входов в систему для учетной записи пользователя, о котором идет речь, таким образом, чтобы можно было создать для сравнения список рабочих станций, обычно используемых этой учетной записью.

Примечание.   Можно ограничить пользователей только определенными рабочими станциями с помощью встроенных функций Active Directory. Однако для того чтобы использовать эту функцию, сеть должна поддерживать именование NetBIOS, такое, как предоставляется, например, службой имен в Интернете для Windows (WINS).

Интерактивный вход в систему с учетными данными учетной записи службы

При запуске службы должны предоставить учетные данные для входа в систему. Определенные службы иногда могут потребовать для запуска служб или подключения к удаленным компьютерам использования учетной записи домена. Некоторые службы могут даже потребовать учетных данных администратора или взаимодействия с рабочим столом.

В Windows Server 2003 и более поздних версиях некоторые учетные записи служб (например службу оповещения) можно запустить с параметром –LocalService. Кроме того, службы, требующие подключения к сети, могут использовать учетную запись сетевой службы NT AUTHORITY\Network Service. Все службы, требующие использования учетных записей пользователей, необходимо проверить, чтобы убедиться в том, что используемые учетные записи защищены надежными паролями. При наблюдение за безопасностью необходимо следить, чтобы подобные учетные записи появлялись только при запуске связанных с ними служб. Дополнительные сведения о повышенной безопасности для учетных записей служб см. в статье «Руководство по планированию обеспечения безопасности служб и учетных записей служб» по адресу http://go.Microsoft.com/fwlink/?LinkId=41311 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

В случае с учетными записями служб необходимо обращать особое внимание на случаи, когда эти учетные записи входят в систему интерактивно, а не как службы. Подобные события происходят только в том случае, когда учетная запись службы была взломана злоумышленником, который и входит в систему с этой учетной записью. Если раскрытая учетная запись службы имела привилегии администратора, злоумышленник получает доступ к широким возможностям и может нарушить нормальную работу сетевых служб.

Необходимо определить все ресурсы, к которым имеют доступ учетные записи служб, и убедиться в том, что эти учетные записи не имеют никаких необъяснимых разрешений, предоставляющих доступ к особо ценным данным. Например, учетная запись службы может время от времени требовать доступ на запись в каталог файлов журнала, но это является редкостью. Учетные записи служб, которые могут взаимодействовать с рабочим столом, также заслуживают пристального внимания, поскольку подобные учетные записи предоставляют значительные возможности, которыми могут воспользоваться злоумышленники.

В следующей таблице приведены события аудита входа в систему учетных записей и начала сеансов, которые сигнализируют о несанкционированном использовании учетных данных учетных записей служб.

Таблица 10. События входа в систему с учетными данными учетных записей служб

Код события	Событие	Комментарии
528	Успешный вход в систему — атака с консоли или через службы терминала	Является признаком выполняющейся атаки, если с этим событием ассоциируется тип входа в систему 10, учетная запись службы или учетная запись локальной системы. Это событие требует немедленного расследования.
534	Сбой при входе в систему — тип входа в систему не разрешен	Обозначает неудачную попытку интерактивного входа в систему с учетными данными учетной записи службы, если это запрещено параметрами групповой политики. При возникновении этого события проверьте имя целевой учетной записи, имя рабочей станции и тип входа в систему.
600	Процессу был назначен основной маркер	Означает, что служба использует именованную учетную запись для входа в систему с Windows XP или более поздней версии. Для исследования необходимо сопоставить это события со сведениями в событиях 672, 673, 528 и 592.
601	Попытка пользователя установить службу	Это событие не должно происходить часто в бизнес-среде с четко определенной политикой приемлемых приложений и процедурой стандартизации компьютеров. Это событие требует расследования при несоответствии процедур контроля изменений в таких системах.

Запуск несанкционированной программы

Учетные записи уровня администратора могут устанавливать и запускать программы, и они обычно выдаются только доверенным сотрудникам, которым необходимы подобные повышенные возможности. Из-за рисков, связанных с непроверенным программным обеспечением, важно создать список утвержденного и лицензированного программного обеспечения, а также процедуру запроса, проверки и утверждения новых приложений. Неутвержденные приложения необходимо ограничить изолированной средой для тестирования, их не следует устанавливать в производственной сетевой среде в обход установленной процедуры контроля изменений. В любом случае, такие приложения следует разрешать только после внесения их в список утвержденного программного обеспечения.

В следующей таблице приведены события отслеживания процессов, которые могут быть признаком использования несанкционированных программ.

Таблица 11. События запуска несанкционированных программ

Код события	Событие	Комментарии
592	Создание нового процесса	Обозначает создание нового процесса. Изучите поля «Имя файла образа» и «Имя пользователя» и сравните их со списком разрешенных программ, если в организации имеется политика разрешенных программ. Также найдите экземпляры, в которых для запуска командной строки используется учетная запись «Локальный компьютер», поскольку это является распространенным методом обхода дневника аудита.
602	Создание запланированного задания	Проверьте поля «Целевое имя» и «Время задачи», если такое событие происходит в непредвиденное время.

Примечание.   Аудит безопасности отслеживания процессов позволяет выявлять несанкционированные программы. Однако при отслеживании процессов создается множество записей в журнале безопасности, поэтому необходимо соблюдать осторожность, чтобы количество событий не нарушило работу механизмов обнаружения атак.

Доступ к запрещенным ресурсам

В следующей таблице событий аудита доступа к объектам содержатся примеры попыток доступа к ресурсам, которые пользователям запрещено использовать.

Таблица 12. События попыток доступа к запрещенным ресурсам

Код события	Событие	Комментарии
560	Доступ к существующему объекту запрещен	Проверьте поле «Имя объекта», чтобы определить ресурс, к которому была предпринята попытка доступа, и сопоставьте поля «Основное имя пользователя» и «Основной домен» или «Имя пользователя клиента» и «Домен клиента», чтобы определить источник.
568	Попытка создания жесткой ссылки на файл, для которого проводится аудит	Свидетельствует о том, что пользователь или программа попытались создать жесткую ссылку на файл или объект. Установленная жесткая ссылка позволяет учетной записи выполнять действия над файлом без создания дневника аудита, если учетная запись имеет права на объект.

Использование несанкционированных операционных систем

Использование несанкционированных операционных систем может привести к значительным проблемам, начиная с пониженной защиты от использования уязвимостей и заканчивая повышенной вероятностью повреждения данных в файловых системах. Администраторы и пользователи могут использовать несанкционированные операционные системы в сети с помощью перечисленных ниже механизмов.

• Персональные компьютеры, подключенные к сети локально или удаленно.
• Использование операционных систем, загружаемых с компакт-дисков.
• Переустановка операционной системы Windows.
• Использование образов программы Virtual PC (виртуальный ПК).

Политики организации могут определять способы подключения пользователей к сети из удаленных местоположений через виртуальную частную сеть или службу удаленного доступа, включая такие требования к подключающемуся компьютеру, как тип операционной системы, наличие обновлений и установка защитных средств, например персональных брандмауэров и антивирусного программного обеспечения. Дополнительные сведения о проверке того, что удаленные компьютеры соответствуют требованиям политик безопасности предприятия, см. в статье «Внедрение служб карантина с использованием руководства корпорации Майкрософт по планированию виртуальной частной сети» по адресу http://go.microsoft.com/fwlink/?LinkId=41307 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Пользователи также могут воспользоваться установочным компакт-диском Windows XP, чтобы перезагрузить компьютер и установить неуправляемую операционную систему. В таких случаях подобные действия можно обнаружить по попыткам входа в систему с учетной записью администратора из рабочей группы с неизвестным именем или из рабочей группы по умолчанию с именем Workgroup.

Примечание.   Некоторые системы с открытым исходным кодом существуют в виде загрузочного компакт-диска и позволяют использовать операционную систему без установки на локальный компьютер. Поскольку операционная система фактически не установлена на локальный компьютер, подобные действия обнаружить трудно. Тем не менее, попытки входа в систему с учетными записями пользователей с именем root в однородной сетевой среде или с компьютеров с неожиданными именами могут означать использование несанкционированных операционных систем. Подобные действия можно предотвратить, отключив возможность загрузки с компакт-диска с помощью параметров BIOS компьютера и защитив паролем конфигурацию BIOS, но такой подход может оказаться неудобным в некоторых средах.

Образы Virtual PC обеспечивают полную эмуляцию компьютерной среды на локальном компьютере. При такой эмуляции в виртуальной среде запускается собственная операционная система со своим именем компьютера, учетными записями пользователей, структурой службы каталогов и программами. Экземпляр виртуального ПК можно запускать, выполнять и останавливать независимо от локального компьютера, и при этом на локальном компьютере не будут создаваться события аудита. Эта возможность, наряду с возможностью виртуального компьютера подключаться к сети, получать IP-адреса и даже использовать общие диски несет в себе определенные риски для безопасности, начиная от использования слабых паролей и заканчивая повышенной вероятностью использования уязвимостей, поскольку виртуальный компьютер не подчиняется принятой в сети процедуре обновлений. Учитывая эти риски, которые представляют виртуальные ПК, важно разрешить использование программного обеспечения для создания виртуальных ПК только уполномоченному персоналу и выработать документированные процедуры, регулирующие создание и использование экземпляров виртуальных ПК.

Чтобы обнаруживать использование несанкционированных операционных систем, решение по наблюдению за безопасностью должно обнаруживать перечисленные ниже параметры.

• Неопознанные учетные записи пользователей, имена компьютеров, рабочих групп или доменов.
• Дублирующиеся или выходящие за установленный диапазон IP-адреса.
• Попытки входа в систему с учетной записью администратора по умолчанию.

События отслеживания процессов, приведенные в следующей таблице, можно использовать для выявления использования несанкционированных операционных систем.

Таблица 13. События использования несанкционированных платформ

Код события	Событие	Комментарии
529	Сбой при входе в систему — неизвестное имя пользователя или пароль	Проверьте наличие попыток, при которых значение поля «Имя целевой учетной записи» — «Администратор» или root либо имя домена неизвестно.
533	Сбой при входе в систему — пользователю не разрешено входить в систему на этом компьютере	Означает, что пользователь пытается войти в систему на рабочие станции с ограниченным доступом.
592	Создание нового процесса	Проверьте поля «Имя файла образа» и «Имя пользователя», чтобы убедиться в том, что данная программа разрешена для такого использования этой учетной записью.

Создание или разрыв доверительных отношений

Доверительные отношения позволяют учетным записям в одном домене получать доступ к ресурсам, расположенным в другом домене. Создание доверительных отношений очевидно не является повседневной операцией и должно выполняться в рамках установленной процедуры контроля изменений. Разрыв доверительных отношений также является действием, которое следует выполнять только после утверждения в соответствии с процедурой контроля изменений и после тщательного рассмотрения последствий, которые это действие может иметь для сети.

События аудита изменения политик, приведенные в следующей таблице, позволяют определять действия, связанные с доверительными отношениями.

Таблица 14. События по изменению доверительных отношений

Код события	Событие	Комментарии
610 611 620	Доверительное отношение с другим доменом было создано, удалено или изменено	Эти события будут созданы на контроллере домена, который установил доверительное отношение. Данное событие требует немедленного расследования, если оно не соответствует установленной процедуре запроса контроля изменений. Проверьте поле «Имя пользователя», чтобы выявить учетную запись, выполнившую запрос.

Несанкционированные изменения политики безопасности

Изменения в утвержденные параметры политики безопасности должны вноситься только в рамках установленной процедуры контроля изменений. Любые изменения, не происходящие в соответствии с этой процедурой утверждения, должны немедленно расследоваться.

Этот тип изменений политики безопасности включает перечисленные ниже элементы.

• Параметры групповой политики.
  • Политика паролей учетных записей пользователей.
  • Политика блокировки учетных записей пользователей.
  • Политика аудита.
  • Параметры журнала событий, применяемые к журналу событий безопасности.
  • Политика IPsec.
  • Политики беспроводных сетей (IEEE 802.1x).
  • Политики открытых ключей и файловой системы с шифрованием (EFS).
  • Политики ограниченного использования программ.
• Настройки безопасности.
  • Параметры прав пользователей.
  • Политика паролей учетных записей пользователей.
  • Параметры безопасности.

Данный список содержит только минимальные требования, поскольку большинство организаций, вероятно, добавили бы больше параметров групповой политики в свою среду. При аудите безопасности необходимо отслеживать как успешные, так и неудачные попытки изменения этих параметров, поскольку успешные попытки должны соответствовать учетным записям, имеющим право вносить эти изменения в рамках установленной процедуры.

В следующей таблице приведены события аудита изменения политик, позволяющие обнаружить изменения групповой политики и локальной политики.

Таблица 15. События изменения политик

Код события	Событие	Комментарии
612	Изменение политики аудита	Обозначает изменение политики аудита. Эти события необходимо сопоставить с установленной политикой контроля изменений, чтобы определить их законность.
613 614 615	Изменение политики IPsec	Обозначает изменение политики IPsec. Эти события необходимо расследовать, если они происходят не при запуске системы.
618	Политика восстановления зашифрованных данных	Эти события происходят при использовании политики восстановления зашифрованных данных. Любое возникновение этих событий вне рамок указанных политик требует расследования.

Примечание.   Дополнительные сведения о параметрах групповой политики см. в документе «Параметры политики безопасности» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Попытка раскрытия учетных данных

Для получения учетных данных пользователей злоумышленники используют несколько подходов, от атак по словарю и до методов социотехники. Хотя наиболее известный подход включает атаки по словарю, направленные на одну учетную запись, другим общим подходом является использование набора паролей на все учетные записи в базе данных служб каталогов. Во втором случае злоумышленник скорее всего имеет доступ к базе данных каталогов организации или угадал принцип создания имен пользователей и имеет список сотрудников. Чтобы обнаружить такой тип атаки, необходимо иметь возможность обнаружения многочисленных сбоев входа в систему для множества учетных записей, даже если не сработали пороговые значения для блокировки учетных записей.

Сброс паролей является другим способом получения контроля к сведениям об учетных данных. Поскольку операции сброса и изменения пароля приводят к созданию одного и того же события как в случае успешного выполнения, так и в случае сбоя, злоумышленник может избежать обнаружения, обойдя политику блокировки учетных записей. Чтобы помешать этим попыткам, решение по наблюдению за безопасностью должно обнаруживать многочисленные попытки изменения или сброса пароля, особенно выходящие за рамки установленных политик и бизнес-процессов.

Хотя зацикливание пароля не является атакой (это происходит, когда пользователь пытается обойти политики повторного использования паролей, используя сценарии для изменения большого количества паролей, чтобы использовать исходный пароль), при этом сохраняется угроза безопасности. В процессе таких действий количество сбросов пароля примерно равно пороговому значению повторного использования пароля и поэтому проявляется как быстрая последовательность событий с кодом 627. Реализация политик минимального срока действия паролей может привести к неудаче подобных попыток.

В следующей таблице приведены события, которые могут появиться в результате попыток атаки на учетные данные, используемые для проверки подлинности. Однако эти события также могут возникнуть и при обычных сетевых операциях — например, если легальный пользователь забудет пароль.

Таблица 16. События, являющиеся признаком атаки на учетные данные, используемые для проверки подлинности

Код события	Событие	Комментарии
529	Сбой при входе в систему — неизвестное имя пользователя или пароль	Проверьте наличие попыток, при которых значение поля «Имя целевой учетной записи» — «Администратор» или другая учетная запись уровня администратора, которой не разрешено изменять пароли. Проверьте наличие множества неудачных попыток входа в систему, количество которых меньше порогового значения блокировки. Сопоставьте данные с событиями 529 и 539, чтобы найти непрерывные последовательности блокировок учетных записей.
534	Сбой при входе в систему — тип входа в систему не разрешен	Означает, что пользователь попытался войти в систему с запрещенным типом учетной записи, например сетевой, интерактивной, пакетной или служебной. Проверьте поля «Имя целевой учетной записи», «Имя рабочей станции» и «Тип входа в систему».
539	Учетная запись заблокирована	Обозначает попытку входа в систему с учетной записью, которая была заблокирована. Сопоставьте данные с событием 529, чтобы обнаружить непрерывные последовательности блокировок.
553	Обнаружена атака с повторением пакетов	Означает, что пакет проверки подлинности, обычно Kerberos, обнаружил попытку входа в систему путем повторения пакетов с учетными данными пользователя. Хотя это событие может быть признаком неправильной настройки сети, оно все равно требует немедленного расследования.
627	Попытка изменения пароля	Если поле «Основное имя учетной записи» не соответствует полю «Имя целевой учетной записи», это событие означает, что кто-то отличный от владельца учетной записи попытался изменить пароль.
628	Установка или сброс пароля учетной записи пользователя	Эти действия должны выполнять только авторизованные учетные записи, например учетная запись справочной службы или учетная запись самообслуживания для сброса пароля.
644	Учетная запись пользователя автоматически заблокирована	Означает, что учетная запись была заблокирована, поскольку количество последовательных неудачных попыток входа в систему превысило предельное значение для блокировки учетной записи. Сопоставьте данные с событиями 529, 675, 681 и 676 (только Windows 2000 Server). Также обратитесь к записи для события 12294 в этой таблице.
675	Сбой предварительной проверки подлинности	Обозначает возможную проблему с синхронизацией времени или наличие учетных записей компьютеров, неправильно присоединенных к домену. Сопоставьте данные с событием 529, чтобы определить точную причину сбоя при входе в систему.
12294	Попытка блокировки учетной записи	Обозначает возможную атаку методом подбора пароля, направленную на учетную запись администратора по умолчанию. Поскольку политики блокировки учетных записей не распространяются на эту учетную запись, это записывается как событие SAM 12294 в журнале событий системы. Любое появление этого события необходимо расследовать, поскольку оно может означать использование несанкционированной операционной системы. Проверьте поле «Имя домена» на наличие неизвестных доменов.

Использование уязвимостей

Уязвимости являются основной целью злоумышленника при попытке вторжения, поскольку они могут существовать на любом компьютере, а их устранение требует времени и усилий. Период времени от обнаружения уязвимостей до разработки методов их использования, обычно называемый окном от уязвимости до использования, со временем сократился. Это означает, что теперь имеется меньше времени на разработку, тестирование и распространение исправлений для этих уязвимостей.

Лучшей защитой от использования уязвимостей все еще является эффективная процедура управления исправлениями, которая позволяет быстро проверить и развернуть обновления безопасности в среде. В число службы, которые могут быть полезны в этом процессе, входят Microsoft Systems Management Server (SMS) 2003 и Windows Software Update Service (WSUS).

Наблюдение за безопасностью по периметру сети также важно в этом отношении, поскольку расположенные там компьютеры наиболее доступны злоумышленнику. Не имея механизмов для обнаружения атак при их возникновении, организация может не осознавать, что что-то не так, пока сеть не будет взломана. Поэтому крайне важно, чтобы за компьютерами, расположенными по периметру сети, велось тщательное наблюдение с широким диапазоном подвергаемых аудиту событий.

Помимо уже рассмотренных событий, наиболее важные события, описанные в разделе «Попытка раскрытия учетных данных», включают попытки несанкционированного доступа и использование привилегированных учетных данных. В следующей таблице приведены некоторые события, которые могут быть признаком подобных атак.

Таблица 17. События, связанные с использованием уязвимостей с помощью повышения привилегий

Код события	Событие	Комментарии
528 538	Локальный вход в систему и выход из системы	Сопоставьте поле «Идентификатор для входа в систему», если эти события происходят на компьютерах, расположенных по периметру. Это событие требует расследования, если поля «Имя учетной записи пользователя», «Время» или «Имя рабочей станции» содержат непредвиденные значения.
551	Пользователь инициирует выход из системы	Это событие может считаться эквивалентным событию 538, поскольку утечка маркера может привести к сбою аудита события 538, но вызовет при этом событие 551.
576	Привилегированный вход в систему	Обозначает вход в систему с учетной записью администратора, вход в систему учетной записи с достаточными привилегиями для подделки высоконадежной вычислительной базы (TCB) или достаточными привилегиями для захвата компьютера с Windows Server 2003 с пакетом обновления 1 или более поздней версии. В более ранних версиях Windows это событие представляет интерес только в том случае, если оно связано с такими важными привилегиями как SeSecurityPrivilege или SeDebugPrivelege.

Примечание.   В версиях Windows до Windows Server 2003 событие 576 будет находиться в категории «Привилегированное использование». В Windows Server 2003 и более поздних версиях, категория «Вход в систему» также будет содержать это событие. Таким образом, настройка параметров аудита для любой из этих категорий приведет к появлению данного события.