Monitorowanie zdarzeń dotyczących zabezpieczeń

Monitorowanie zdarzeń dotyczących zabezpieczeń

Autor: Marcin Kokott

Opublikowano: 4/3/2007, 12:00 AM

Liczba odsłon: 43336

Zacznijmy od wyobrażenia sobie wieżowca jakiejś dużej i bardzo bogatej firmy. Przy wejściu na parterze oczywiście znajduje się dyżurka z czuwającymi strażnikami. Gdy tylko wszyscy pracownicy wyjdą z budynku wtedy strażnicy zaczynają swoją pracę. Głównym zadaniem strażnika jest obserwowanie ekranów czy przypadkiem nikt nie chodzi po budynku, czy też nikt nie kradnie właśnie jakichś dokumentów. Oczywiście budynek jest zamknięty i dostęp do niego jest tylko przez parter. Dlaczego w takim razie potrzebni są tam strażnicy obserwujący widoki z kamer? Otóż może zdarzyć się sytuacja, w której pracownik przez przypadek zostawi otwarte okno na parterze, przez które wejdzie złodziej. Gdyby nie kamery to nic by nam nie dało obserwowanie tylko wejść i szczelne ich zamykanie.
Bardzo łatwo możemy odnieść tą sytuację do realiów systemu komputerowego. Zabezpieczamy go dobrym hasłem, zaporą ogniową, stosujemy uprawnienia itp. a mimo to przez błąd jakiegoś użytkownika jesteśmy narażeni na zostawienie luki w bezpieczeństwie.
Rozwiązaniem tego problemu jest możliwość kontrolowania, w systemie Windows XP Professional, konfiguracji zabezpieczeń poprzez rejestrowanie wszelkiego dostępu do określonych plików, wszystkich udanych i nieudanych logowań do systemu czy też wszystkie próby zmiany ustawień zabezpieczeń na naszym komputerze. Dzięki temu jesteśmy w stanie wykryć wszystkie luki w zabezpieczeniach i bardzo dokładnie je zlokalizować.
Wszystkie te zdarzenia są rejestrowane w dzienniku Zabezpieczenia dostępnym w Podglądzie zdarzeń. Oprócz tego dziennika możemy tam przeglądać jeszcze dwa inne - Aplikacja i System. W tym artykule omówimy sposoby skonfigurowania inspekcji zdarzeń dotyczących zabezpieczeń oraz pokażemy jak korzystać z funkcji monitorowania zdarzeń.

Inspekcja zdarzeń związanych z zabezpieczeniami

Najkrócej można wyjaśnić, że inspekcja jest to zapisywanie czynności użytkowników oraz zmian w systemie, które mogą wpłynąć na bezpieczeństwo naszego komputera. Możemy np. rejestrować wszystkie logowania (udane i nieudane) w celu wykrycia czy ktoś przypadkiem nie próbuje się włamać do systemu metodą podawania po kolei wszystkich możliwych haseł (metoda brute-force). Również możemy się skupić na korzystaniu z konkretnego ważnego pliku. Jest to przydatna opcja, gdy mamy bardzo ważny plik w którym informację nie powinny być czytane przez nieupoważnione osoby. Następnie jesteśmy w stanie włączyć monitorowanie wszystkich zmian kont lub haseł użytkowników, modyfikowania zasad bezpieczeństwa czy korzystania z przywilejów administratora. Ostatni przypadek pokazuje nam wszystkie sytuacje, w których ktoś próbował przejąć naszą funkcję administratora nad systemem.

Włączanie inspekcji zabezpieczeń

Na początku należy zauważyć, że funkcja, którą opisujemy jest domyślnie wyłączona. Aby to zmienić wchodzimy Narzędzia administracyjne w Panelu sterowania. Odnajdujemy i uruchamiamy Zasady zabezpieczeń lokalnych. W oknie, które się uruchomi zobaczymy drzewo opcji po lewej stronie, w którym znajdujemy Zasady lokalne po czym Zasady inspekcji. Gdy już zrobimy po lewej stronie zobaczymy szereg opcji dotyczących inspekcji w naszym systemie.

Jak widzimy, wszystkie pozycje są wyłączone. Aby uruchomić jedną z nich wystarczy kliknąć na niej dwa razy, po czym wybrać rodzaj zdarzenia jakie ma być wpisywane do dziennika za każdym razem, gdy wystąpi.

Abyśmy mieli jasność co do znaczenia każdej opcji poniżej opiszemy krótko wszystkie możliwości: Najpierw wypisujemy nazwę opcji a następnie zdarzenie, które powoduje zapisanie w dzienniku informacji:
  • Przeprowadź inspekcję zmian zasad - zmiana : zasady przypisania praw użytkownika, zasady inspekcji, zasady zaufania lub zasady haseł.
  • Przeprowadź inspekcję zdarzeń systemowych - podczas włączania lub wyłączania komputera przez użytkownika oraz w przypadku gdy jakieś zdarzenie wpływa na bezpieczeństwo systemu lub dziennik zabezpieczeń.
  • Przeprowadź inspekcję zdarzenia logowania na kontach - podczas logowania i wylogowania użytkownika, który uzyskał dostęp poprzez sieć.
  • Przeprowadź inspekcję zdarzeń logowania - również logowanie i wylogowanie ale tym razem, gdy ktoś jest w bezpośrednim kontakcie z naszą stacją roboczą.
  • Przeprowadź inspekcję zarządzania kontami - podczas utworzenia, zmiany, usunięcia, konta użytkownika lub grupy zabezpieczeń oraz wtedy gdy zmieniane są hasła.
  • Przeprowadź inspekcję użycia uprawnień - podczas czynności do której wykorzystywane są uprawnienia indywidualne użytkownika (z pominięciem zdarzeń, które wymieniliśmy wyżej).
  • Przeprowadź inspekcję śledzenia procesów - obejmuje procesy : uaktywnienia programu, powielenia uchwytu, dostępu pośredniego do obiektu oraz zakończenia procesu.
  • Przeprowadź inspekcję dostępu do usługi katalogowej - podczas próby dostania się do katalogu Active Directory (jedynie w przypadku gdy jesteśmy członkami domeny Microsoft Windows).
  • Przeprowadź inspekcję dostępu do obiektów - podczas próby dostania się do pliku, folderu, drukarki, klucza rejestru oraz reszty obiektów które są aktualnie monitorowane.

Konfigurowanie inspekcji dostępu do plików, drukarek i kluczy rejestru

Należy zauważyć, że możliwość inspekcji dostępu do danego pliku jest możliwa jedynie w przypadku, gdy plik znajduje się na partycji NTFS. Jeżeli tak jest zaznaczamy opcję Przeprowadź inspekcję dostępu do obiektów i najlepiej włączyć ją zarówno w przypadku sukcesu jak i niepowodzenia. Następnie o ile nie zrobiliśmy już tego wcześniej odznaczamy opcję prostego udostępniania w Opcjach folderów.

Po tym ruchu znajdujemy obiekt, który chcemy monitorować i wchodzimy w jego właściwości. Przechodzimy na zakładkę Zabezpieczenia. Na dole zakładki widzimy przycisk Zaawansowane. Po przyciśnięciu otworzy się właściwy ekran do zaawansowanego ustawiania zabezpieczeń. Naszym oczom ukaże się poniższe okno.

Znowu przechodzimy po zakładkach, tylko tym razem na Inspekcja. Jeżeli chcemy poddać obserwacji drukarkę, należy w Panelu sterowania odnaleźć folder Drukarki. Zaznaczamy interesującą nas drukarkę i wchodzimy w jej Właściwości i jak wyżej przechodzimy do zakładki Zabezpieczenia, gdzie dokładnie tak samo jak dla katalogu czy pliku znajdujemy okno z zakładką Inspekcja.
Jeżeli chodzi o klucze rejestru sprawa jest równie prosta z tą różnicą, że należy klucz znaleźć, kliknąć prawym przyciskiem myszy na ikonie (nie na wartości) oraz wejść w Uprawnienia.
W powyższym oknie możemy najpierw dodać użytkownika lub grupę dla której chcemy włączyć inspekcje, a następnie określić rodzaj dostępu, które chcesz monitorować.

Dla ustawień inspekcji drukarki czy klucza rejestru oczywiście będziemy mieli inne rodzaje dostępu do wyboru, jednak procedura ustawiania jest identyczna.

Co poddać inspekcji

Oczywiście można popaść w paranoje i włączyć wszystkie możliwe inspekcje by mieć pewność, że będziemy świadomi wszystkiego co się dzieje z naszym komputerem. Jednak z pewnych przyczyn bardzo odradzamy tak robić. Otóż zapisywanie choćby jednej zadeklarowanej inspekcji wiąże się z ciągłym kontrolowanie czynności wszystkich użytkowników. Do tego, gdy wybierzemy za dużą ilość rzeczy do monitorowania, komputer będzie na tyle obciążony, że zmniejszy się diametralnie jego wydajność. Następny powód to ograniczona pojemność dziennika. Jeżeli dziennik się przepełni następuje zastępowanie starszych wpisów wpisami nowszymi. No i oczywiście, gdy będziemy mieli za dużo wpisów z każdej inspekcji nie będziemy w stanie znaleźć rzeczywiście istotnych ze względu bezpieczeństwa wpisów i zdarzeń.
Proponujemy włączać jak najmniejszą liczbę inspekcji i to tylko tych co są rzeczywiście konieczne. Dla przykładu można powiedzieć, że gdy chcemy pilnować, by nikt nieupoważniony się nie logował, możemy włączyć monitorowanie nieudanych prób logowania i będziemy mieli wpisy każdej próby wejścia z błędnym hasłem.

Oglądanie dziennika zdarzeń zabezpieczeń

A więc jak już mamy włączone monitorowanie interesujących nas zdarzeń pora na zobaczenie efektów, czyli włączenie Dziennika zdarzeń zabezpieczeń. Z wiersza poleceń wpisujemy komendę eventvwr.msc. Wybieramy Zabezpieczenia i po lewej stronie pojawią się wszystkie zarejestrowane zdarzenia. Gdy przy zdarzeniu występuje znak klucza oznacza to pomyślny wynik poddanego inspekcji zdarzenia. Natomiast gdy zobaczymy kłódkę - nieudany wynik poddanego inspekcji zdarzenia.

Praca z zarejestrowanymi zdarzeniami

Jeżeli chcemy wyświetlić szczegóły wybranego zdarzenia wystarczy kliknąć na niego dwukrotnie. Pojawi się okno z informacjami dotyczącymi dokładnie tego zdarzenia. Możemy wnikliwie obejrzeć informacje o wszystkich zdarzeniach.

Jednak gdy będziemy mieli do czynienia z większą ilością zdarzeń zarejestrowanych, będzie trudną rzeczą znalezienie interesującego nas wpisu. Aby to ułatwić mamy do naszej dyspozycji opcję wyszukiwania. Wystarczy z menu Widok wybrać Znajdź. W oknie, które się pojawi wybieramy interesujące nas kryteria poszukiwania. Możemy np. szukać wpisu dotyczącego użytkownika o nazwie Kowalski, którego inspekcja zakończyła się niepowodzeniem. Wynikiem będzie podświetlenie zdarzenia, które spełnia te założenia.

Kolejną rzeczą ułatwiającą nam przeszukiwanie większej liczby wydarzeń jest opcja filtrowania. Wystarczy wybrać z menu Widok zamieszczoną tam opcję Filtruj. W podobnej do wyszukiwania formatce będziemy mogli określić warunki jakie mają spełniać wyświetlane elementy.

Ustalenie rozmiaru plików dziennika i okresu przechowywania

Aby zmienić parametry dotyczące wielkości dziennika czy też czasu przechowywania informacji w nim, należy w ekranie Podglądu zdarzeń wybrać menu podręczne wybranego dziennika i wybrać Właściwości. Następnie możemy zmienić rozmiar tego dziennika o wielokrotność 64 KB. Zaznaczamy, że dziennik raczej nie powinien przekraczać wielkości 512 MB. Możemy również wybrać czas archiwizowania jak i sposób zachowania się przy osiągnięciu maksymalnej wielkości pliku dziennika.

Archiwizowanie i eksportowanie pliku dziennika

Jeżeli już osiągniemy za duży rozmiar danego dziennika lub po prostu chcemy mieć kopie danych zanotowanych zdarzeń na później możemy skorzystać z opcji archiwizowania i eksportowania plików dziennika. Aby tego dokonać wybieramy dziennik i z menu podręcznego klikamy w Zapisz plik dziennika jako. Format w jakim domyślnie system będzie chciał zapisać dany plik jest formatem standardowym dzięki któremu otrzymamy dokładną replikę. Jednak będziemy mogli ją oglądać jedynie za pomocą Podglądu zdarzeń. Aby umożliwić odczyt w inny sposób należy zapisać plik z rozszerzeniem txt albo CSV.
Zapisanie w ten sposób dziennika, zapisuje wszystkie informacje nawet jeżeli mamy uruchomiony jakiś filtr. Jeżeli natomiast interesują nas do zapisania jedynie informację, które aktualnie przefiltrowaliśmy należy wybrać opcję z menu podręcznego - Eksportuj listę. Będziemy wtedy mieli zapisany plik dziennika jedynie z wybranymi aktualnie zdarzeniami.

Czyszczenie plików dziennika

Jeżeli już zapełni nam się dziennik należy albo wyeksportować a później wyczyścić albo od razu wyczyścić plik dziennika. Aby to zrobić wybieramy Wyczyść wszystkie zdarzenia.