Поскольку имеется множество методов атаки на компьютерную сеть
предприятия, имеются также различные способы скрыть эти попытки и избежать
обнаружения. Например, злоумышленник может изменить политику безопасности
на взломанном компьютере или домене, чтобы не допустить записи в журналы
событий сведений о подозрительных действиях, либо умышленно стереть журнал
безопасности, чтобы все сведения об аудите были утеряны.
Попытки обойти решение по наблюдению за безопасностью с помощью
подобных методов обнаружить можно, но весьма сложно, поскольку множество
подобных событий, которые могут происходить в процессе заметания следов
вредоносных действий, — это события, которые регулярно происходят в любой
типичной сети предприятия.
Следующая таблица, содержащая различные типы событий, поможет
обнаружить попытки обойти аудит тех злоумышленников, которые пытаются
скрыть доказательства нарушения безопасности.
Таблица 18. События обхода аудита событий
Код события
Событие
Комментарии
512
Запуск Windows
Обычно происходит после события 513. Неожиданные
перезагрузки необходимо расследовать.
513
Завершение работы Windows
Обычно происходит перед событием 512. Особо
ценные компьютеры должен перезагружать только авторизованный
персонал и только в соответствии с установленной процедурой контроля
изменений или иной процедурой. Возникновение этого события на
сервере требует немедленного расследования.
516
Сбой аудита
Это событие может происходить, если слишком
много событий переполняют буфер журнала событий или журнал событий
не настроен на перезапись. Хотя эти проблемы можно предотвратить
путем ограничения типов событий, за которыми осуществляется
наблюдение, на большинстве компьютеров, особо ценные или уязвимые
компьютеры требуют для обеспечения безопасности более тщательного
наблюдения.
517
Очистка журнала событий безопасности
Журналы событий безопасности никогда не должны
очищаться без авторизации. Проверьте поля «Имя пользователя клиента»
и «Домен клиента» на взаимную корреляцию с авторизованным персоналом
и утвержденными процедурой записями.
520
Изменение системного времени
Это действие используется для введения в
заблуждение криминалистических расследований или для обеспечения
злоумышленникам ложного алиби. Проверьте поля «Имя пользователя
клиента» и «Домен клиента» на взаимную корреляцию с авторизованным
персоналом. Также следует проверить имя процесса, чтобы убедиться в
том, что оно выглядит как %windir%\system32\svchost.exe.
521
Не удается записать события в журнал
Происходит, когда Windows не удается записать
события в журнал событий. Это событие следует расследовать при
каждом его возникновении на особо ценных компьютерах.
608
Привилегия учетной записи пользователя
назначена
Происходит при назначении учетной записи
пользователя новой привилегии. Это действие записывается в журнал
событий совместно с идентификатором безопасности учетной записи
пользователя (SID), а не с именем учетной записи
пользователя.
609
Привилегия учетной записи пользователя
удалена
Происходит при удалении привилегии для учетной
записи пользователя. Это действие записывается в журнал событий
совместно с идентификатором безопасности учетной записи пользователя
(SID), а не с именем учетной записи пользователя.
612
Изменение политики аудита
Хотя это событие необязательно является
признаком наличия проблемы, злоумышленник может изменить политики
аудита в процессе атаки. Это событие необходимо отслеживать на особо
ценных компьютерах и контроллерах домена.
621
Учетной записи был предоставлен доступ к
системе
Происходит, когда пользователю предоставляют
доступ к системе. Необходимо проверить поля «Имя пользователя» и
«Измененная учетная запись», если разрешение на доступ обозначено
как интерактивное.
622
Доступ к системе был удален из системы
Это событие может сигнализировать о том, что
злоумышленник попытался скрыть улики, включающие событие 621, или
пытается отказать в обслуживании некоторым другим учетным
записям.
643
Изменение политики безопасности домена
Происходит при попытке изменить политику паролей
или параметры политики безопасности другого домена. Проверьте поле
«Имя пользователя» и сопоставьте с любыми записями
авторизации.
Криминалистический анализ
Хотя криминалистический анализ опирается на многие элементы,
рассмотренные в этой статье, он все же фундаментальным образом отличается
от других ранее описанных решений по наблюдению за безопасностью и
обнаружению атак. Основное внимание в криминалистическом анализе уделяется
хранению и анализу сведений о безопасности, и он используется в ответ на
атаку после того, как она произошла. Большинство судебных расследований
начинается со списка событий, связанных с конкретным пользователем или
компьютером.
Наблюдение за безопасностью для судебного анализа требует:
Архивирование выбранных типов событий.
Оценку ожидаемого каждый день количества событий.
Установления временных ограничений для онлайнового, автономного и
архивного хранилища.
Базы данных, способные справиться с ожидаемым количеством
событий.
Системы резервного копирования, способные справиться с ожидаемой
ежедневной нагрузкой.
Задание политик управления системой
архивации.
Имеется три основных фактора, определяющих требования к хранилищу для
программы судебного анализа:
Количество событий, которое необходимо записывать.
Скорость создания этих событий на целевых компьютерах.
Понимание потребностей бизнеса наряду со сведениями, предоставленными в
предыдущих разделах должно помочь принять решение с учетом этих трех
факторов для получения разумных требований к хранилищу.
Аннотация
Очевидно, что в современной сетевой среде эффективное и комплексное
решение по наблюдению за безопасностью и обнаружению атак является не
вопросом предпочтения, а необходимостью для любого предприятия среднего
размера. Угрозы и риски, связанные с компьютерными сетями предприятий,
многочисленны и возникают не только за периметром сети, но внутри
организации, как преднамеренно, так и случайно. Хорошие системы по
наблюдению за безопасностью учитывают все риски и требуют глубокого
понимания этих рисков, текущей архитектуры сети предприятия, признаки
потенциальных угроз и действий, которые могут подвергнуть опасности
данные, размещенные на компьютерах этой сети.
Корпорация Майкрософт серьезно занимается безопасностью и предоставляет
множество средств, которые можно использовать для построения эффективной
системы наблюдения за безопасностью и обнаружения атак. Встроенные функции
ведения журнала аудита безопасности ОС Windows Server 2003 и других версий
операционной системы Windows составляют основу для такого решения по
наблюдению за безопасностью. В сочетании с другими компонентами, такими
как Microsoft Operations Manager и EventCombMT, а также необходимыми
деловыми политиками и бизнес-процессами это дает возможность разработать
комплексную систему наблюдения за безопасностью.
Приложение A: Исключение ненужных событий
События, приведенные в следующей таблице, обычно исключаются из
запросов наблюдения за безопасностью из-за их частоты и поскольку их
включение в решение по наблюдению за безопасностью обычно бесполезно.
Таблица A1. Ненужные события
Код события
Событие
Комментарии
538
Выход пользователя из системы
Это событие необязательно означает время, когда
пользователь прекратил использовать компьютер. Например, если
компьютер отключается или теряет подключение к сети, выход из
системы вообще может не быть записан в журнал.
562
Дескриптор объекта закрыт
Всегда записывается как успешное.
571
Контекст клиента удален диспетчером
авторизации
Появление ожидается при использовании диспетчера
авторизации.
573
Процесс создает внесистемное событие аудита с
использованием API авторизации (AuthZ API)
Ожидаемое действие.
577 578
Вызвана привилегированная служба,
привилегированная операция над объектом
Это массовые события, которые обычно не содержат
достаточных сведений для приятия соответствующих мер, поскольку не
указывают, какая операция была выполнена.
594
Дескриптор объекта был продублирован
Ожидаемое действие.
595
Получен косвенный доступ к объекту
Ожидаемое действие.
596
Резервное копирование главного ключа защиты
данных
Ожидаемое действие. Происходит каждые 90 дней
при настройках по умолчанию.
597
Восстановление главного ключа защиты
данных
Ожидаемое действие.
672
Запрос билета Kerberos AS
Не содержит никаких дополнительных сведений,
если сведения об аудите для событий входа в систему 528 и 540 уже
собираются. Это событие фиксирует получение билета TGT Kerberos.
Фактического доступа не произойдет, пока не будет получен билет
службы (аудит осуществляется событием 673). Если значение параметра
PATYPE равно PKINIT, вход в систему был выполнен с помощью
смарт-карты.
680
Вход в систему учетной записи
Это действие уже записано другими
событиями.
697
Вызван API проверки политики паролей
Ожидаемое действие.
768
Конфликт пространства имен леса
Это событие не имеет отношения к
безопасности.
769 770 771
Добавлены, удалены или изменены сведения о
доверенном лесе
Ожидаемое действие. Эти события не следует
путать с добавлением, изменением или удалением собственно
доверительного отношения.
832 833 834 835 836 837 838 839 840 841
Различные события репликации Active
Directory
Эти события не имеют отношения к
безопасности.
Примечание. Имеется некоторый риск, связанный с
исключением определенных сведений из аудита, но уровень этого риска
необходимо сравнить с выгодой, полученной при уменьшении нагрузки на агент
анализа.
Приложение B: Реализация параметров групповой политики
Это приложение следует использовать для проверки текущих параметров в
среде. В нем имеются дополнительные настройки, влияющие на наблюдение за
безопасностью и обнаружение атак. Чтобы правильно настроить события аудита
безопасности групповой политики, необходимо применить параметры из
следующей таблицы.
Таблица B1. Параметры аудита безопасности групповой политики
Путь к политике
Политика
Параметр политики и комментарии
Локальные политики и политика аудита
Аудит событий входа в систему учетных
записей
Включите аудит успехов для всех компьютеров,
поскольку это событие записывает всех, кто получил доступ к
компьютеру. Будьте осторожны при включении аудита отказов, поскольку
злоумышленник, имеющий доступ к сети, но не имеющий учетных данных
может выполнить атаку типа «отказ в обслуживании» (DoS), заставив
компьютер потреблять ресурсы на запись этих событий. При включении
аудита успехов также следует соблюдать осторожность, поскольку это
может привести к атакам типа «отказ в обслуживании», если компьютеры
настроены на отключение при заполнении журналов аудита. Соотнесите
все входы в систему администратора с любыми другими подозрительными
записями.
Локальные политики и политика аудита
Аудит управления учетными записями
Включите успешные и сбойные события. Соотнесите
все записи аудита успехов с авторизациями администратора. Все отказы
следует считать подозрительными.
Локальные политики и политика аудита
Аудит доступа к службе каталогов
В используемой по умолчанию групповой политике
контроллеров домена этот параметр включен по умолчанию. Настройте
параметры аудита для важных объектов каталога, используя системные
списки управления доступом (SACL) в разделе «Пользователи и
компьютеры Active Directory» или редактор интерфейса служб Active
Directory (ADSI Edit). Необходимо запланировать реализацию SACL и
протестировать SACL в приближенной к реальности лабораторной среде
перед развертыванием их в производственной среде. Этот подход
позволяет предотвратить перегрузку журналов безопасности из-за
слишком большого объема данных.
Локальные политики и политика аудита
Аудит событий входа в систему
Включите аудит успехов для всех компьютеров,
поскольку это событие записывает всех, кто получил доступ к
компьютеру. Будьте осторожны при включении аудита отказов, поскольку
злоумышленник, имеющий доступ к сети, но не имеющий учетных данных
может создать ситуацию отказа в обслуживании с помощью большого
количества отказов.
Локальные политики и политика аудита
Аудит доступа к объектам
Будьте осторожны при включении этого параметра,
поскольку это может привести к большому объему данных аудита.
Настройте параметры аудита только для особо ценных папок через SACL
и выполняйте аудит только определенных типов доступа, которые
представляют интерес. Если возможно, выполняйте аудит только событий
записи, а не событий доступа на чтение.
Локальные политики и политика аудита
Аудит изменения политик
Включите аудит успехов и отказов. Соотносите все
успешные события с авторизациями администратора.
Локальные политики и политика аудита
Аудит использования привилегий
Не включайте аудит использования привилегий,
поскольку это приведет к созданию большого количества
событий.
Локальные политики и политика аудита
Аудит отслеживания процессов
Включите этот параметр на уязвимых компьютерах и
немедленно расследуйте непредвиденные действия приложений, при
необходимости изолировав компьютер. Не включайте этот параметр на
веб-серверах CGI, тестовых компьютерах, серверах, выполняющих
пакетные процессы и рабочих станциях разработчиков, поскольку его
использование может привести к переполнению журналов
событий.
Локальные политики и политика аудита
Аудит системных событий
Включите аудит успехов и отказов.
Локальные политики и назначение прав
пользователей
Создание аудита безопасности
Этот параметр назначается по умолчанию
локальному компьютеру, локальному серверу и сетевой службе. Данное
право не следует применять ни к каким учетным записям, за
исключением учетных записей служб. Злоумышленник может
воспользоваться этим параметром для создания поддельных или
ошибочных событий в журнале безопасности.
Локальные политики и назначение прав
пользователей
Управление журналом аудита и безопасности
Используйте этот параметр, чтобы запретить
администраторам вносить изменения в параметры аудита для файлов,
папок и реестра. Рассмотрите возможность создания группы
безопасности для тех администраторов, которым разрешено изменять
параметры аудита, и удалите группу администраторов из параметров
локальной политики безопасности. Настраивать аудит должно быть
разрешено только членам группы безопасности.
Локальные политики и параметры
безопасности
Аудит: Аудит доступа к глобальным системным
объектам
Этот параметр добавляет SACL к именованным
системным объектам, таким как мьютексы, семафоры и устройства
MS-DOS. В Windows Server 2003 этот параметр по умолчанию отключен.
Не включайте этот параметр, поскольку это приведет к большому
количеству событий.
Локальные политики и параметры
безопасности
Аудит: Аудит использования права резервного
копирования и восстановления
Операции резервного копирования и восстановления
позволяют украсть данные путем обхода ACL. Не включайте этот
параметр, поскольку это приведет к очень большому количеству
событий.
Локальные политики и параметры
безопасности
Аудит: Немедленно отключить компьютер, если не
удается записать в журнал события безопасности
Включайте этот параметр только после тщательного
рассмотрения и только на особо ценных компьютерах, поскольку
злоумышленники могут использовать его для запуска атак «отказ в
обслуживании».
Журнал событий
Максимальный размер журнала безопасности
Рекомендованное значение этого параметра зависит
от ожидаемых объемов событий и параметров сохранения журналов
безопасности. Шаг увеличения для этого параметра может составлять
только 64 КБ, а средний размер события составляет 0,5 КБ. В активно
используемых системах этот параметр можно задать равным 250 МБ, но
общий размер всех журналов событий вместе взятых не может превышать
300 МБ.
Журнал событий
Запретить локальным гостевым группам доступ к
журналу безопасности
В Windows Server 2003 этот параметр включен по
умолчанию, не изменяйте его.
Журнал событий
Сохранять журнал безопасности
Включите этот параметр только в случае, если
выбран метод сохранения «Перезаписывать события по дням». Если
используется система сопоставления, производящая опрос событий,
убедитесь в том, что количество дней по крайней мере в три раза
больше частоты опроса, чтобы предусмотреть возможные сбои цикла
опроса.
Журнал событий
Метод сохранения для журнала безопасности
Включите параметр «Не перезаписывать события» в
системах с высоким уровнем безопасности. Для таких систем следует
задать процедуры регулярной очистки архивных журналов, в
особенности, если включен параметр «Немедленно отключить компьютер,
если не удается записать в журнал события
безопасности».