Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Наблюдение за безопасностью и обнаружение атак RSS

Наблюдение за безопасностью и обнаружение атак

Текущий рейтинг: 3.78 (проголосовало 23)
 Посетителей: 15234 | Просмотров: 30291 (сегодня 0)  Шрифт: - +

Попытки обойти аудит

Поскольку имеется множество методов атаки на компьютерную сеть предприятия, имеются также различные способы скрыть эти попытки и избежать обнаружения. Например, злоумышленник может изменить политику безопасности на взломанном компьютере или домене, чтобы не допустить записи в журналы событий сведений о подозрительных действиях, либо умышленно стереть журнал безопасности, чтобы все сведения об аудите были утеряны.

Попытки обойти решение по наблюдению за безопасностью с помощью подобных методов обнаружить можно, но весьма сложно, поскольку множество подобных событий, которые могут происходить в процессе заметания следов вредоносных действий, — это события, которые регулярно происходят в любой типичной сети предприятия.

Следующая таблица, содержащая различные типы событий, поможет обнаружить попытки обойти аудит тех злоумышленников, которые пытаются скрыть доказательства нарушения безопасности.

Таблица 18. События обхода аудита событий

Код события Событие Комментарии

512

Запуск Windows

Обычно происходит после события 513. Неожиданные перезагрузки необходимо расследовать.

513

Завершение работы Windows

Обычно происходит перед событием 512. Особо ценные компьютеры должен перезагружать только авторизованный персонал и только в соответствии с установленной процедурой контроля изменений или иной процедурой. Возникновение этого события на сервере требует немедленного расследования.

516

Сбой аудита

Это событие может происходить, если слишком много событий переполняют буфер журнала событий или журнал событий не настроен на перезапись. Хотя эти проблемы можно предотвратить путем ограничения типов событий, за которыми осуществляется наблюдение, на большинстве компьютеров, особо ценные или уязвимые компьютеры требуют для обеспечения безопасности более тщательного наблюдения.

517

Очистка журнала событий безопасности

Журналы событий безопасности никогда не должны очищаться без авторизации. Проверьте поля «Имя пользователя клиента» и «Домен клиента» на взаимную корреляцию с авторизованным персоналом и утвержденными процедурой записями.

520

Изменение системного времени

Это действие используется для введения в заблуждение криминалистических расследований или для обеспечения злоумышленникам ложного алиби. Проверьте поля «Имя пользователя клиента» и «Домен клиента» на взаимную корреляцию с авторизованным персоналом. Также следует проверить имя процесса, чтобы убедиться в том, что оно выглядит как %windir%\system32\svchost.exe.

521

Не удается записать события в журнал

Происходит, когда Windows не удается записать события в журнал событий. Это событие следует расследовать при каждом его возникновении на особо ценных компьютерах.

608

Привилегия учетной записи пользователя назначена

Происходит при назначении учетной записи пользователя новой привилегии. Это действие записывается в журнал событий совместно с идентификатором безопасности учетной записи пользователя (SID), а не с именем учетной записи пользователя.

609

Привилегия учетной записи пользователя удалена

Происходит при удалении привилегии для учетной записи пользователя. Это действие записывается в журнал событий совместно с идентификатором безопасности учетной записи пользователя (SID), а не с именем учетной записи пользователя.

612

Изменение политики аудита

Хотя это событие необязательно является признаком наличия проблемы, злоумышленник может изменить политики аудита в процессе атаки. Это событие необходимо отслеживать на особо ценных компьютерах и контроллерах домена.

621

Учетной записи был предоставлен доступ к системе

Происходит, когда пользователю предоставляют доступ к системе. Необходимо проверить поля «Имя пользователя» и «Измененная учетная запись», если разрешение на доступ обозначено как интерактивное.

622

Доступ к системе был удален из системы

Это событие может сигнализировать о том, что злоумышленник попытался скрыть улики, включающие событие 621, или пытается отказать в обслуживании некоторым другим учетным записям.

643

Изменение политики безопасности домена

Происходит при попытке изменить политику паролей или параметры политики безопасности другого домена. Проверьте поле «Имя пользователя» и сопоставьте с любыми записями авторизации.

Криминалистический анализ

Хотя криминалистический анализ опирается на многие элементы, рассмотренные в этой статье, он все же фундаментальным образом отличается от других ранее описанных решений по наблюдению за безопасностью и обнаружению атак. Основное внимание в криминалистическом анализе уделяется хранению и анализу сведений о безопасности, и он используется в ответ на атаку после того, как она произошла. Большинство судебных расследований начинается со списка событий, связанных с конкретным пользователем или компьютером.

Наблюдение за безопасностью для судебного анализа требует:

  • Архивирование выбранных типов событий.
  • Оценку ожидаемого каждый день количества событий.
  • Установления временных ограничений для онлайнового, автономного и архивного хранилища.
  • Базы данных, способные справиться с ожидаемым количеством событий.
  • Системы резервного копирования, способные справиться с ожидаемой ежедневной нагрузкой.
  • Задание политик управления системой архивации.

Имеется три основных фактора, определяющих требования к хранилищу для программы судебного анализа:

  • Количество событий, которое необходимо записывать.
  • Скорость создания этих событий на целевых компьютерах.
  • Продолжительность доступности онлайнового хранилища.

Понимание потребностей бизнеса наряду со сведениями, предоставленными в предыдущих разделах должно помочь принять решение с учетом этих трех факторов для получения разумных требований к хранилищу.

Аннотация

Очевидно, что в современной сетевой среде эффективное и комплексное решение по наблюдению за безопасностью и обнаружению атак является не вопросом предпочтения, а необходимостью для любого предприятия среднего размера. Угрозы и риски, связанные с компьютерными сетями предприятий, многочисленны и возникают не только за периметром сети, но внутри организации, как преднамеренно, так и случайно. Хорошие системы по наблюдению за безопасностью учитывают все риски и требуют глубокого понимания этих рисков, текущей архитектуры сети предприятия, признаки потенциальных угроз и действий, которые могут подвергнуть опасности данные, размещенные на компьютерах этой сети.

Корпорация Майкрософт серьезно занимается безопасностью и предоставляет множество средств, которые можно использовать для построения эффективной системы наблюдения за безопасностью и обнаружения атак. Встроенные функции ведения журнала аудита безопасности ОС Windows Server 2003 и других версий операционной системы Windows составляют основу для такого решения по наблюдению за безопасностью. В сочетании с другими компонентами, такими как Microsoft Operations Manager и EventCombMT, а также необходимыми деловыми политиками и бизнес-процессами это дает возможность разработать комплексную систему наблюдения за безопасностью.

Приложение A: Исключение ненужных событий

События, приведенные в следующей таблице, обычно исключаются из запросов наблюдения за безопасностью из-за их частоты и поскольку их включение в решение по наблюдению за безопасностью обычно бесполезно.

Таблица A1. Ненужные события

Код события Событие Комментарии

538

Выход пользователя из системы

Это событие необязательно означает время, когда пользователь прекратил использовать компьютер. Например, если компьютер отключается или теряет подключение к сети, выход из системы вообще может не быть записан в журнал.

562

Дескриптор объекта закрыт

Всегда записывается как успешное.

571

Контекст клиента удален диспетчером авторизации

Появление ожидается при использовании диспетчера авторизации.

573

Процесс создает внесистемное событие аудита с использованием API авторизации (AuthZ API)

Ожидаемое действие.

577
578

Вызвана привилегированная служба, привилегированная операция над объектом

Это массовые события, которые обычно не содержат достаточных сведений для приятия соответствующих мер, поскольку не указывают, какая операция была выполнена.

594

Дескриптор объекта был продублирован

Ожидаемое действие.

595

Получен косвенный доступ к объекту

Ожидаемое действие.

596

Резервное копирование главного ключа защиты данных

Ожидаемое действие. Происходит каждые 90 дней при настройках по умолчанию.

597

Восстановление главного ключа защиты данных

Ожидаемое действие.

672

Запрос билета Kerberos AS

Не содержит никаких дополнительных сведений, если сведения об аудите для событий входа в систему 528 и 540 уже собираются. Это событие фиксирует получение билета TGT Kerberos. Фактического доступа не произойдет, пока не будет получен билет службы (аудит осуществляется событием 673). Если значение параметра PATYPE равно PKINIT, вход в систему был выполнен с помощью смарт-карты.

680

Вход в систему учетной записи

Это действие уже записано другими событиями.

697

Вызван API проверки политики паролей

Ожидаемое действие.

768

Конфликт пространства имен леса

Это событие не имеет отношения к безопасности.

769
770
771

Добавлены, удалены или изменены сведения о доверенном лесе

Ожидаемое действие. Эти события не следует путать с добавлением, изменением или удалением собственно доверительного отношения.

832
833
834
835
836
837
838
839
840
841

Различные события репликации Active Directory

Эти события не имеют отношения к безопасности.

Примечание.   Имеется некоторый риск, связанный с исключением определенных сведений из аудита, но уровень этого риска необходимо сравнить с выгодой, полученной при уменьшении нагрузки на агент анализа.

Приложение B: Реализация параметров групповой политики

Это приложение следует использовать для проверки текущих параметров в среде. В нем имеются дополнительные настройки, влияющие на наблюдение за безопасностью и обнаружение атак. Чтобы правильно настроить события аудита безопасности групповой политики, необходимо применить параметры из следующей таблицы.

Таблица B1. Параметры аудита безопасности групповой политики

Путь к политике Политика Параметр политики и комментарии

Локальные политики и политика аудита

Аудит событий входа в систему учетных записей

Включите аудит успехов для всех компьютеров, поскольку это событие записывает всех, кто получил доступ к компьютеру. Будьте осторожны при включении аудита отказов, поскольку злоумышленник, имеющий доступ к сети, но не имеющий учетных данных может выполнить атаку типа «отказ в обслуживании» (DoS), заставив компьютер потреблять ресурсы на запись этих событий. При включении аудита успехов также следует соблюдать осторожность, поскольку это может привести к атакам типа «отказ в обслуживании», если компьютеры настроены на отключение при заполнении журналов аудита. Соотнесите все входы в систему администратора с любыми другими подозрительными записями.

Локальные политики и политика аудита

Аудит управления учетными записями

Включите успешные и сбойные события. Соотнесите все записи аудита успехов с авторизациями администратора. Все отказы следует считать подозрительными.

Локальные политики и политика аудита

Аудит доступа к службе каталогов

В используемой по умолчанию групповой политике контроллеров домена этот параметр включен по умолчанию. Настройте параметры аудита для важных объектов каталога, используя системные списки управления доступом (SACL) в разделе «Пользователи и компьютеры Active Directory» или редактор интерфейса служб Active Directory (ADSI Edit). Необходимо запланировать реализацию SACL и протестировать SACL в приближенной к реальности лабораторной среде перед развертыванием их в производственной среде. Этот подход позволяет предотвратить перегрузку журналов безопасности из-за слишком большого объема данных.

Локальные политики и политика аудита

Аудит событий входа в систему

Включите аудит успехов для всех компьютеров, поскольку это событие записывает всех, кто получил доступ к компьютеру. Будьте осторожны при включении аудита отказов, поскольку злоумышленник, имеющий доступ к сети, но не имеющий учетных данных может создать ситуацию отказа в обслуживании с помощью большого количества отказов.

Локальные политики и политика аудита

Аудит доступа к объектам

Будьте осторожны при включении этого параметра, поскольку это может привести к большому объему данных аудита. Настройте параметры аудита только для особо ценных папок через SACL и выполняйте аудит только определенных типов доступа, которые представляют интерес. Если возможно, выполняйте аудит только событий записи, а не событий доступа на чтение.

Локальные политики и политика аудита

Аудит изменения политик

Включите аудит успехов и отказов. Соотносите все успешные события с авторизациями администратора.

Локальные политики и политика аудита

Аудит использования привилегий

Не включайте аудит использования привилегий, поскольку это приведет к созданию большого количества событий.

Локальные политики и политика аудита

Аудит отслеживания процессов

Включите этот параметр на уязвимых компьютерах и немедленно расследуйте непредвиденные действия приложений, при необходимости изолировав компьютер. Не включайте этот параметр на веб-серверах CGI, тестовых компьютерах, серверах, выполняющих пакетные процессы и рабочих станциях разработчиков, поскольку его использование может привести к переполнению журналов событий.

Локальные политики и политика аудита

Аудит системных событий

Включите аудит успехов и отказов.

Локальные политики и назначение прав пользователей

Создание аудита безопасности

Этот параметр назначается по умолчанию локальному компьютеру, локальному серверу и сетевой службе. Данное право не следует применять ни к каким учетным записям, за исключением учетных записей служб. Злоумышленник может воспользоваться этим параметром для создания поддельных или ошибочных событий в журнале безопасности.

Локальные политики и назначение прав пользователей

Управление журналом аудита и безопасности

Используйте этот параметр, чтобы запретить администраторам вносить изменения в параметры аудита для файлов, папок и реестра. Рассмотрите возможность создания группы безопасности для тех администраторов, которым разрешено изменять параметры аудита, и удалите группу администраторов из параметров локальной политики безопасности. Настраивать аудит должно быть разрешено только членам группы безопасности.

Локальные политики и параметры безопасности

Аудит: Аудит доступа к глобальным системным объектам

Этот параметр добавляет SACL к именованным системным объектам, таким как мьютексы, семафоры и устройства MS-DOS. В Windows Server 2003 этот параметр по умолчанию отключен. Не включайте этот параметр, поскольку это приведет к большому количеству событий.

Локальные политики и параметры безопасности

Аудит: Аудит использования права резервного копирования и восстановления

Операции резервного копирования и восстановления позволяют украсть данные путем обхода ACL. Не включайте этот параметр, поскольку это приведет к очень большому количеству событий.

Локальные политики и параметры безопасности

Аудит: Немедленно отключить компьютер, если не удается записать в журнал события безопасности

Включайте этот параметр только после тщательного рассмотрения и только на особо ценных компьютерах, поскольку злоумышленники могут использовать его для запуска атак «отказ в обслуживании».

Журнал событий

Максимальный размер журнала безопасности

Рекомендованное значение этого параметра зависит от ожидаемых объемов событий и параметров сохранения журналов безопасности. Шаг увеличения для этого параметра может составлять только 64 КБ, а средний размер события составляет 0,5 КБ. В активно используемых системах этот параметр можно задать равным 250 МБ, но общий размер всех журналов событий вместе взятых не может превышать 300 МБ.

Журнал событий

Запретить локальным гостевым группам доступ к журналу безопасности

В Windows Server 2003 этот параметр включен по умолчанию, не изменяйте его.

Журнал событий

Сохранять журнал безопасности

Включите этот параметр только в случае, если выбран метод сохранения «Перезаписывать события по дням». Если используется система сопоставления, производящая опрос событий, убедитесь в том, что количество дней по крайней мере в три раза больше частоты опроса, чтобы предусмотреть возможные сбои цикла опроса.

Журнал событий

Метод сохранения для журнала безопасности

Включите параметр «Не перезаписывать события» в системах с высоким уровнем безопасности. Для таких систем следует задать процедуры регулярной очистки архивных журналов, в особенности, если включен параметр «Немедленно отключить компьютер, если не удается записать в журнал события безопасности».

Иcточник: Microsoft TechNet  •  Опубликована: 19.03.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
12.09.2011/09:13  kripton20

Как скачать локальную версию Вашего сайта?
Комментарии отключены. С вопросами по статьям обращайтесь в форум.