Отслеживание событий является обычной и необходимой частью работы системных администраторов (или менеджеров веб-сайтов). Для этого в Windows 2000 и IIS используются журналы и аудит. Процедуры управления сайтом включают в себя регулярную проверку, анализ и просмотр зафиксированной информации для выявления неудавшихся или успешных атак, направленные на сайт. При обнаружении проблемы следует выполнить аудит безопасности для определения нанесенного ущерба и способа проникновения в систему.

В любой политике безопасности имеются процедуры и стандартные приемы для этих случаев. Даже и не думайте о работе сайта, если такая политика еще не разработана. В лекции рассказывается о том, как настраивать журнал, осуществлять аудит, создавать резервные копии и производить восстановление. Все эти действия необходимы для обеспечения безопасной и надежной работы сервера и веб-сайта.

Отслеживание событий сайта

События, происходящие на веб-сервере Windows 2000/IIS, отслеживаются при помощи просмотра и анализа журнала, в который отправляются сообщения от других служб, приложений или операционной системы. Эти сообщения учитывают события, происходящие в системе: выключение, запуск, создание новой учетной записи и т.д. IIS дополнительно отслеживает события собственного набора служб, например, запросы от посетителей сайта, отправленные на сервер для осуществления анонимного входа.

В Windows 2000 имеются журналы шести различных типов. Если вы имеете опыт системного администрирования Windows 2000, то уже знакомы с некоторыми из них. IIS ведет свой собственный отдельный журнал. Ниже приведен полный перечень журналов, работающих на сервере.

• Системный журнал. Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки.
• Журнал безопасности. Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов.
• Журналы приложений. Фиксируют события, связанные с приложениями, выполняемыми на сервере.
• Журнал службы каталогов. Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу.
• Журнал сервера DNS. Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory.
• Журнал службы репликации файлов. Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена.
• Журнал IIS. Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.).

Для веб-сервера IIS не требуется работа всех без исключения журналов, например, не нужны журналы сервера DNS и службы репликации файлов. Журнал службы каталогов включается, если сервер является частью домена Windows Active Directory, причем ведется он на другом сервере. Веб-сервер работает с системным журналом, журналом приложений, журналом безопасности и журналом IIS.

Системный журнал Windows 2000 и журнал приложений активируются по умолчанию при установке IIS для автоматического фиксирования системных событий и событий приложений. Остальные журналы запускаются только после их непосредственной настройки и/или запуска. При выполнении IIS Lockdown автоматически активируется журнал безопасности Windows 2000 и IIS.

Информация журналов событий

Журналы Windows 2000 и IIS можно настроить на запись большого числа различных событий и действий. IIS по умолчанию сохраняет файлы журнала в текстовом формате, их можно просматривать в любом приложении, поддерживающем этот формат. Обычно файлы анализируются посредством их загрузки в программу генерации отчетов, которая осуществляет фильтрацию, сортировку и управление данными. На рисунке приведен пример содержимого файла журнала IIS.

Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе. На рисунке показана консоль программы Event Viewer.

Анализ аспектов безопасности при помощи файлов журналов требует некоторых навыков. Следует различать типы сообщений и понимать, что они означают. Когда ваш сервер начнет свою работу, внимательно следите за ним в течение некоторого времени и фиксируйте признаки нормальной работы, чтобы выявлять впоследствии отклонения от нормы.

Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.

• Информационные сообщения о событиях. Описывают успешное выполнение операций, таких как запуск службы.
• Предупреждающие сообщения о событиях. Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас.
• Сообщения о событиях ошибок. Описывают ошибки, возникшие из-за неудачного выполнения задач.
• Сообщения о событиях успешного выполнения той или иной операции. Описывают события безопасности, выполненные Windows 2000 согласно запросу.
• Сообщения о событиях неудачного выполнения операции. Описывают события безопасности, не выполненные Windows 2000 согласно запросу.

На рисунке 5.1 приведен пример сообщения об ошибке в системном журнале Windows 2000, зафиксировавшего неожиданное отключение сервера. Это событие выходит за рамки нормальной работы и его необходимо исследовать. По идентификационному номеру ID события его можно найти в базе данных Microsoft Knowledge Base, если не понятно, что оно означает.

Аудит

В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

При аудите отслеживаются события согласно правилам аудита, определенным в локальной политике безопасности сервера и/или параметрах веб-сайта. Осуществляется аудит событий, входящих в следующие девять категорий.

• События системы. События, связанные с безопасностью, такие как отключение системы и ее перезапуск; события, влияющие на журнал безопасности.
• Отслеживание процесса. Детализированное отслеживание вызова процесса, дубликатов процессов, непрямого доступа к объектам и уничтожения процесса.
• Изменение политики. Изменение политики безопасности, включая присвоение привилегий, модификацию политики аудита и параметров доверия.
• Использование привилегий. Использование привилегий, присвоение специальных привилегий.
• Управление учетной записью. Создание, изменение, удаление пользователей и групп; изменение паролей.
• Доступ к службе каталогов. Отслеживание доступа к Active Directory. Включается для разрешения аудита определенных объектов каталога, работает только на контроллерах домена.
• События входа в учетную запись. Аутентификация на локальном компьютере в консоли или через сеть.
• События входа. Интерактивный вход или сетевые подключения к локальному компьютеру; генерируются в том месте, где происходит вход.
• Доступ к объектам. Попытки доступа к определенным объектам: файлам, каталогам, учетным записям пользователей и параметрам реестра.

Событие, для которого выполнен аудит, имеет два значения: успех и неудача. Для каждой категории событий возможен аудит успешных, неудачных или обоих типов событий. Тревожным признаком является высокая концентрация событий в журнале или необычная последовательность событий. Например, большое число событий ввода неправильного пароля означает, что сервер подвергся атаке на взлом пароля.

Регистрация процедур настройки и поддержки в журнале

Совместная работа журналов и аудита отслеживает работу системы, однако этого недостаточно для аудита безопасности. Для надежного аудита безопасности имеются процедуры просмотра файлов журнала для обеспечения их сохранности, архивного состояния и правильного функционирования. Только при правильной настройке журналов, их включении и регулярном обслуживании аудит безопасности осуществляется конфиденциально и с высокой степенью доверия. Журналы помогут восстановить цепь событий при нарушении безопасности, послужат официальными доказательствами в суде по искам в области информационной безопасности.

Ведение журналов и аудит в Windows 2000 и IIS настраиваются на фиксирование определенного числа событий. При настройке системы на запись слишком большого количества информации журналы событий быстро заполняются. Какой смысл записывать данные, которые никогда не понадобятся? С другой стороны, при фиксировании малого числа событий можно утерять важную информацию. Решение о записи тех или иных событий является очень ответственным и должно быть тщательно обдумано.

Цели и задачи аудита

Планирование, политика и поддержка являются ключевыми моментами для сбора важной информации, которая пригодится в критической ситуации. При четкой постановке целей легче определить тип фиксируемой информации и настроить журналы на запись необходимого количества данных. Параметры запуска IIS Lockdown и/или шаблона Hisecweb.inf обеспечивают надежную базовую политику. Их настройки можно изменить для фиксирования дополнительной информации.

Нужно решить, для каких ресурсов и объектов управления необходим аудит, затем для каждого класса ресурсов или объектов выявить отслеживаемые события. В таблице 5.2 приведена информация из официального издания "Security Auditing in Windows 2000" ("Аудит безопасности в Windows 2000"), расположенного на веб-сайте Microsoft Technet (www.Microsoft.com/technet). Таблица содержит примеры событий, связанных с безопасностью различных ресурсов и объектов. Она показывает использование целенаправленного подхода к аудиту, но он может и не подойти вашей организации. Необходимо самостоятельно принять решение о необходимости аудита ресурсов и отслеживаемых событий. Например, при выполнении атаки на объект лучшими индикаторами будут события ошибок, так как они зафиксируют попытки доступа пользователя, не имеющего соответствующего разрешения.

Управление журналами

Каждый файл журнала Windows 2000 имеет свои параметры конфигурации. Они позволяют изменять объем пространства, отводимого для файлов журналов на диске, и указывать действие, выполняемое после заполнения журнала. Эти параметры приведены ниже.

• Максимальный размер файла журнала. Настраивается при помощи приложения Event Viewer (Просмотр событий), значение по умолчанию – 512 Кб.
• Перезапись файла журнала после его заполнения. Имеет три значения: перезапись событий при необходимости, перезапись событий, возраст которых превышает определенное число дней, и запрет перезаписи.
• Отключение сервера при ошибке аудита. Вызывает остановку сервера в случае заполнения журнала безопасности при отсутствии перезаписи событий. В материалах Microsoft он называется "CrashOnAuditFail" и соответствует значению, устанавливаемому политикой безопасности в системном реестре.

IIS имеет аналогичные параметры файла журнала, но они отличаются от рассмотренных выше. Параметры файла журнала IIS следующие.

• Разрешение неограниченного размера файла журнала.
• Создание нового файла журнала по достижении файлом определенного размера.
• Создание нового файла журнала по прошествии определенного периода времени (час, день, неделя, месяц).

При управлении файлами журнала укажите для этих параметров соответствующие значения и действия. Убедитесь в их защищенности и обеспечьте периодическую архивацию для освобождения пространства под новые файлы и записи истории событий.

Настройка параметров журнала

Для отображения информации журнала, для установки и управления его параметрами используется программа Windows 2000 Event Viewer (Просмотр событий). Event Viewer позволяет устанавливать размер файла журнала, выбирать действие по перезаписи, включать и выключать параметр "CrashOnAuditFail". Для управления файлами журнала IIS используется консоль MMC Internet Services Manager (Диспетчер служб интернета).

Настройка размера и перезаписи файла журнала Windows 2000. Процедуры настройки размера файла журнала и параметров его перезаписи в Windows 2000 одинаковы для всех типов журнала.

1. Откройте программу Event Viewer (Просмотр событий) в окне Administrative Tools (Администрирование).
2. В левом окне консоли Event Viewer щелкните правой кнопкой мыши на записи Security Log (Журнал безопасности) и выберите Properties (Свойства). Откроется окно Security Log Properties (Свойства журнала безопасности) (см. рис. 5.2).
3. На вкладке General (Общие) укажите размер файла журнала в области Log Size (Размер журнала). Значением по умолчанию является 1024 Кб. Введите нужное значение в зависимости от размера диска или раздела сервера, от объема получаемого сайтом трафика. Можете в течение некоторого времени отслеживать размер файла журнала, чтобы выяснить величину этого размера.

    

   
   
   Рис. 5.2.  Настройка свойств журнала безопасности в окне Security Log (Журнал безопасности)

    

    
4. Определите параметр перезаписи файла посредством выбора одной из опций. Выбор опции зависит от периодичности, с которой планируется проводить архивацию данных журнала. При высоком уровне доступности сайта безопаснее всего использовать опцию Overwrite events as needed (Перезапись событий по мере надобности) и запретить заполнение журнала до отказа, так как в этом случае можно потерять данные.
5. Нажмите на OK после выбора опции, чтобы сохранить изменения и закрыть окно.

Установка политики Windows 2000 "Ошибка аудита при отключении". Рекомендуется осуществлять самоотключение сервера при заполнении файла журнала до отказа при работе с высокозащищенными веб-приложениями, так как лучше не выполнить приложение, чем выполнить его без аудита. Сервер будет отключаться, если в локальной политике безопасности включен параметр отключения, а параметр перезаписи файла журнала установлен на значение Do not overwrite (Не осуществлять перезапись). Данная опция по умолчанию отключена.

Для активизации политики отключения при ошибках аудита используется консоль MMC Local Security Policy (Локальная политика безопасности). Ниже приведена соответствующая процедура.

1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Administrative Tools (Администрирование).
2. Разверните список в элементе Local Policies (Локальные политики) в области слева, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите команду Open (Открыть) (либо дважды щелкните на папке, чтобы открыть ее). В правом окне средства Local Security Settings отобразятся параметры политик безопасности (см. рисунок).

    

   
   
    

    

    
3. Щелкните правой кнопкой мыши на параметре Shut Down System Immediately If Unable To Log Security Audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) в правом окне консоли и в контекстном меню выберите Security (Безопасность), чтобы отобразить диалоговое окно Policy Setting (Настройка политики).
4. В диалоговом окне Policy Setting (Настройка политики) включите политику, нажав на кнопку Enable (Включен).

Изменение параметров файла журнала IIS. Параметры файла журнала IIS аналогичны параметрам файла журнала Windows 2000, но осуществляют управление несколько иным образом. Параметры файла журнала IIS можно установить глобально для всех веб-сайтов на сервере либо отдельно для каждого сайта. Ниже приведены действия по установке параметров файла журнала IIS.

1. Откройте консоль Internet Services Manager (Диспетчер служб интернета) в окне Administration Tools (Администрирование).
2. При глобальной настройке параметров для всех сайтов выберите в окне имя сервера. В противном случае укажите в области слева конкретный веб-сайт. Щелкните правой кнопкой на сервере или сайте, после чего в появившемся меню выберите команду Properties (Свойства).

    

   
   
    

    

    
3. В показанном ниже окне Properties откройте вкладку Web Site (Веб-сайт). Убедитесь, что на вкладке отмечена опция Enable Logging (Включить журнал).

   Совет. На вкладке Web Site (Веб-сайт) можно изменить формат файла журнала: указать форматы W3C Extended Log File Format (Расширенный файл журнала W3C), ODBC Logging (журналы ODBC) и NCSA Common Log File Format (Общий формат файла журнала NCSA). Расширенный формат W3C Extended является стандартом, определенным в интернете Консорциумом World Wide Web. Журналы ODBC (Открытый интерфейс доступа к базам данных) позволяют записывать информацию в базу данных на другом сервере вместо файла журнала IIS. Организации с большим объемом трафика иногда прибегают к этому. Формат NCSA является альтернативным текстовым форматом файла, разработанным другой организацией, утверждающей стандарты. Этот формат используется серверами UNIX.

    

   

   
    

    

    

4. Щелкните на поле Properties в правом нижнем углу вкладки, чтобы открыть окно Extended Logging Properties (Расширенные параметры ведения журнала), показанное ниже.
5. В верхней части вкладки General Properties (Общие свойства) можно указать неограниченный размер файла журнала, его максимальный размер либо автоматическое закрытие файла журнала по прошествии определенного промежутка времени. В каждом случае IIS будет создавать новый файл журнала IIS по достижении текущим файлом установленного предела и присваивать ему имя согласно шаблону даты "ггммдд", если используется формат W3C. При использовании другого формата вид даты будет другим.
6. Отметьте опцию Use Local Time For File Naming And Rollover (Использовать местное время в имени файла), если нужно, чтобы день начинался в 12:00 по локальному времени вместо установленного по умолчанию в Windows 2000 времени по Гринвичу 12:00 A.M. (0:00).

    

   
   
    

    

    
7. В IIS можно настроить дополнительные параметры. Они контролируют детали фиксируемой журналом IIS информации. Откройте вкладку Extended Properties (Расширенные параметры), показанную ниже, чтобы отобразить доступные параметры. Указанные Microsoft настройки по умолчанию, настройки IIS Lockdown достаточно всесторонни, однако в зависимости от ситуации можно отследить дополнительную информацию.

В таблице 5.3 приведен полный перечень расширенных параметров ведения журнала.

ПРОБЛЕМА

Если вы умеете работать с журналами, то узнаете много о действиях, выполняемых пользователями, посещающие сайт. Несколько лет назад был пойман и осужден Кевин Мытник, в судебном процессе над которым главным вещественным доказательством был файл журнала. В нем содержались данные о том, какие действия выполнялись Мытником на взломанных системах.

Ниже приведен пример этих данных, состоящих из полей: Время, IP-адрес клиента, Метод, Ресурс URI, Состояние HTTP и Версия HTTP.

Строка #Software означает программное обеспечение сервера, строка #Version – журнал, использующий расширенный формат файла. Строка #Date содержит информацию о дате. Для правильного прочтения файлов журнала необходимо знать следующие параметры:

Руководствуясь приведенными данными, расшифруем две последние строки файла журнала.

В данном примере не показано, что при настройке параметров можно выбрать большее число полей для включения в журнал. Если в полях журнала нет данных, то вместо информации отображается прочерк (—).

Обеспечение безопасности журналов

Безопасность журналов важна так же, как аудит и анализ файлов журнала. К файлам журнала должны иметь доступ только уполномоченные пользователи с привилегированным доступом к системе. Файл с зафиксированными системными событиями должен быть недоступен посторонним пользователям. Файлы журнала нужно защищать от атак опытных хакеров, направленных на изменение информации для скрытия следов злоумышленных действий.

Данные журнала событий передаются службе Windows 2000 Event Log другими компонентами системы или приложениями, работающими в системе. В таблице приведены пути для каждого файла журнала.

*IIS автоматически присваивает имя файла с использованием даты вместо шаблона "yymmdd".

Для обеспечения безопасности используются две процедуры. Первая из них является жизненно необходимой и заключается в ограничении доступа к файлам журнала Windows 2000 всем группам и учетным записям, кроме группы Administrators (Администраторы) и учетной записи System (Система). Второй шаг является полезным, но не обязательным; он заключается в изменении расположения файлов журнала. Лучше всего разместить их в другом разделе (не в системном томе), в котором ничего не записано и имеется достаточный объем дискового пространства для хранения файлов больших размеров.

При перемещении файлов журнала в изолированное место легче управлять доступом для запрета просмотра и изменения их посторонними пользователями. Рассмотрим процедуру перемещения файлов журнала.

Изменение расположения файлов журнала. Изменить расположение файла журнала IIS достаточно легко. Изменить свойства сервера можно в консоли MMC Internet Services Manager (Диспетчер служб интернета) на той же вкладке, где устанавливались параметры файла журнала IIS.

Вернитесь к разделу "Настройка параметров файла журнала IIS" и выясните, какая консоль и какие окна использовались для изменения папки файла журнала.

Для изменения расположения файлов журнала Windows 2000 измените строку реестра, указывающую его текущее расположение. Для редактирования реестра используется утилита Regedit.

Совет. Некорректное изменение реестра может привести к переустановке операционной системы. Найдите в лекции 6 описание процедуры создания

 

 

 

 

резервной копии реестра, выполните эту процедуру и создайте диск экстренного восстановления.

1. Выберите команду Start\Run (Пуск\Выполнить), чтобы открыть диалоговое окно Run.
2. Введите Regedit, после чего нажмите на OK. Откроется окно программы Regedit.
3. В окне Regedit убедитесь, что текущим местом работы является локальный компьютер. Щелкните на папке с именем HKEY_LOCAL_MACHINE, чтобы открыть ее и отобразить находящиеся в ней файлы.
4. Откройте папку System\CurrentControlSet\Services\EventLog\. В ней находятся журналы событий Application, Security и System, как показано на рисунке.
5. Выберите журнал Security Log. В правой области отобразится информация о значениях в файле журнала безопасности.
6. Дважды щелкните на значении File, чтобы открыть диалоговое окно String Editor (Изменение строкового параметра), показанное на рисунке ниже. Укажите символ нового устройства, путь к новой папке, но имя файла оставьте прежним – \SecEvent.Evt. После этого нажмите на OK.

    

   
   
    

    

    
7. Повторите эти шаги для других файлов журналов. Затем выйдите из программы и перезагрузите компьютер.

Удаление группы Everyone (Все пользователи). Обеспечив хранение файлов журналов в отдельном месте, измените разрешения доступа к разделу, удалив всех пользователей из списка контроля доступа (ACL) раздела, кроме группы Administrators (Администраторы) и учетной записи System (Система). Если файлы журнала не размещены в отдельном разделе, измените список контроля доступа ACL для папки с этими файлами. Эта процедура заключается в выполнении следующих шагов.

1. В окне Administration Tools\Computer Management (Администрирование\Управление компьютером) найдите диски компьютера в дереве ресурсов. Либо откройте окно My Computer (Мой компьютер) на рабочем столе и найдите нужные диски там. Щелкните правой кнопкой мыши на диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).
2. Откройте вкладку Security (Безопасность), показанную на рисунке. Удалите группу Everyone (Все пользователи), если она присутствует

    

   
   
    

    

    
   в списке ACL, выделив ее и выбрав команду Remove (Удалить). Если жесткие диски сервера содержат в списках ACL другие группы или учетные записи, помимо Everyone (Все пользователи), удалите эти группы и учетные записи.
3. Нажмите на кнопку Apply (Применить), чтобы система сохранила изменения.

Предоставьте привилегии полного контроля пользователям группы System и аудиторам. После удаления ненужных групп из списков ACL добавьте нужные группы и учетные записи, а также установите права и разрешения. По умолчанию имеется группа System (Система) и содержит права и разрешения полного доступа.

Важно. Не нужно, чтобы группа аудита была группой администрирования Administrators (Администраторы). Кто-то должен вести аудит группы администраторов. Если в группе Administrators много пользователей, то имеет смысл создать отдельную группу с именем Auditors (Аудиторы), члены которой наряду с учетной записью System обладают правами полного доступа. В противном случае следует создать отдельную учетную запись.

1. На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) нажмите на кнопку Add (Добавить) и добавьте новые группы в список ACL.
2. В диалоговом окне (см. рисунок) выберите группу System (Система) и группу аудита и нажмите на кнопку Add (Добавить), чтобы внести изменение.
3. Нажмите на OK, чтобы вернуться в окно Local Disk Properties (Свойства локального диска).

После успешного добавления групп и учетных записей присвойте разделу или папке файла журнала права и разрешения. Пользователю System и группе аудита предоставьте права полного доступа и настройте для них наследование разрешений при создании новых подкаталогов в этой папке (разделе).

Архивация журналов

Файлы журналов могут достигать довольно больших размеров. Процедуры архивирования перемещают файлы на резервный носитель, сохраняя их для будущих нужд и освобождая место для новой информации. Следует регулярно архивировать файлы журналов.

Архивирование файла журнала Windows 2000. Для архивации файла журнала Windows 2000 выполните следующие действия.

1. Откройте программу Event Viewer (Просмотр событий) и щелкните правой кнопкой мыши на файле журнала, который нужно заархивировать. Выберите команду Save Log File As (Сохранить файл журнала как).
2. В диалоговом окне Save As (Сохранить как) введите путь и имя файла для создаваемого архива. В идеале, необходим ресурс для длительного хранения заархивированных журналов, так как неизвестно, когда хакер произведет атаку. А в этом случае вам придется выяснить, в течение какого времени в системе выполнялись скрытые действия. Подходящим хранилищем является сетевой диск на внутреннем сервере. Не забывайте сохранять архивы в формате .evt (журнал событий), исключая тем самым наличие двоичных данных в записях журналов (чтобы файлы считывались программой Event Viewer).
3. После архивации файлов, если не указана необходимость перезаписи событий в свойствах файла журнала, следует очистить журналы в программе Event Viewer (Просмотр событий) и освободить место для новых записей. Для очистки щелкните правой кнопкой мыши на файле журнала и в появившемся меню выберите команду Clear All Events (Удалить все события).

Архивация файла журнала IIS. Архивация файлов журнала IIS может производиться автоматически в зависимости от настройки параметров IIS Extended Logging (Расширенные параметры ведения журнала). Свойства файла журнала IIS можно настроить таким образом, чтобы новый файл журнала с новым именем создавался согласно одной из следующих временных схем:

• через каждый час;

   

  
  
   

   

   
• в конце каждого дня;
• в конце каждой недели;
• в конце каждого месяца;
• по достижении файлом определенного размера;
• никогда (т.е. неограниченный размер файла журнала).

При указанных настройках, за исключением опции Unlimited File Size (Неограниченный размер файла), старый файл журнала будет сохраняться, а взамен него по истечении периода действия будет автоматически создаваться новый файл журнала.

Ниже приведены шаги по архивации файлов журнала IIS.

1. Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и щелкните правой кнопкой мыши на веб-сайте, для которого нужно изменить параметры архивации, либо щелкните правой кнопкой мыши на сервере (если требуется изменить параметры глобально для всех сайтов), затем выберите в появившемся меню команду Properties (Свойства).
2. На вкладке Web-site (Веб-узел) окна Web Site Properties (Свойства веб-узла) (или окна Master Properties) нажмите на кнопку Properties рядом с полем для выбора формата файла журнала.
3. В окне Extended Logging Properties (Расширенные параметры ведения журнала) на вкладке General (Общие) выберите нужный параметр в области Log Time Period (Период ведения журнала). Чуть ниже расположен параметр Use Local Time For File Naming And Rollover (Использовать местное время в именах файлов), который также можно выбрать для использования местного времени при определении окончания ведения журнала. По умолчанию значением данного параметра является 12:00 A.M. (0:00) по Гринвичу.
4. В нижней части вкладки General Properties (Общие свойства) укажите новое расположение файлов журнала. Укажите нужную папку (а лучше – сетевой диск, расположенный на другом сервере), после чего нажмите на OK, чтобы закрыть окно и сохранить изменения.

Совет. Имена новых файлов журнала, создаваемых IIS, могут различаться в зависимости от выбранного значения параметра Log Time Period (Время ведения журнала). При ежедневном обновлении журнала имена файлов имеют вид exyymmdd.log; при ежемесячном обновлении – exyymm.log и т.д. При выборе параметра в области New Log Time Period (Новое время ведения журнала) на вкладке General (Общие) окна Extended Logging Properties (Расширенные параметры ведения журнала) внизу окна отображается вид имени файла для соответствующего формата. Помните, что старые файлы сохраняются при создании новых файлов в текущей папке, поэтому время от времени их нужно перемещать вручную в место длительного хранения.

Аудит

Обеспечив правильную настройку и безопасность файлов журнала, вы теперь имеете необходимую инфраструктуру с высокой степенью доверия, которая позволит осуществлять аудит веб-сайта. Аудит в Windows 2000 и IIS обеспечивает информацией журналы, чтобы впоследствии можно было восстановить цепь событий, источник атаки, цели злоумышленника, а также

Настройка политики аудита

Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.

• Параметры политики домена.
• Параметры политики сайта.
• Параметры локальной политики.

Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.

Политики аудита устанавливаются локально с помощью консоли MMC Local Security Policy (Локальная политика безопасности). Просматривать и изменять политику аудита в системе можно следующим образом.

1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование) (см. рисунок).
2. В области слева щелкните на папке Local Policies (Локальные политики) для отображения вложенных папок. Щелкните на папке Audit Policy (Политика аудита), чтобы отобразить отдельные параметры политики аудита в правой области консоли.
3. В правой области щелкните правой кнопкой мыши на политике, которую требуется изменить, и в появившемся меню выберите команду Security (Безопасность) (либо просто дважды щелкните на политике), чтобы открыть диалоговое окно.
4. Каждая из настроек политики аудита содержит одни и те же параметры – Success (Успех) (фиксируемая успешная попытка доступа) и Failure (Неудача) (фиксируемая неудачная попытка доступа), которые можно настраивать. Отметьте опции Success и Failure в соответствии со своей политикой аудита.

Совет. Если одни и те же параметры аудита применяются к нескольким серверам, то эффективнее использовать шаблон политики безопасности Security Policy Template. Использование оснасток Security Configuration (Настройка безопасности) и Security Templates (Шаблоны безопасности) обсуждалось в лекции 4.

Таблица 5.4 содержит параметры конфигурации политики аудита, используемые при выполнении программы IIS Lockdown или шаблона High Security Template (hisecweb.inf) (см. лекции 3, 4).

Совет. Данный материал соответствует рекомендациям Microsoft по настройке политики аудита в Windows 2000. Если вы не хотите придерживаться этих рекомендаций, то в приложении C содержится более подробный перечень параметров.

Аудит объектов и ресурсов Windows 2000

Аудит в Windows 2000 осуществляет сбор информации об использовании ресурсов файловой системы, учетных записей пользователей, ключей реестра, системных ресурсов. Аудит объектов по умолчанию не включен, его нужно активировать и настроить в окне Properties (Свойства) ресурса, аудит которого выполняется.

Аудит осуществляется отдельно для каждого объекта. Нужно указать, какие объекты и действия подлежат аудиту. Аудит объектов полезен при идентификации несанкционированных попыток использования файлов. Имейте в виду, что Microsoft рекомендует отключить политику аудита успешного доступа к объектам (см. табл. 5.4) для сервера с IIS 5. В общем случае следуйте данной рекомендации, поскольку аудит IIS и так достаточно детализирован. Тем не менее, иногда необходимо отслеживать доступ администраторов к системной папке загрузочного системного диска с помощью основных утилит операционной системы. В обычной ситуации таких данных окажется немного, поэтому журнал не будет перегружен информацией, кроме того, эта информация покажет, осуществлялся ли доступ в эту папку другими авторизованными (или неавторизованными) администраторами.

Совет. Для аудита каталогов или системных объектов включите разрешение списка ACL для учетной записи в свойствах безопасности объекта, иначе при настройке параметров аудита

 

 

 

 

появится сообщение об ошибке. Другими словами, при попытке аудита действий учетной записи для объекта, разрешения для которого в ней отсутствуют, Windows 2000 выдаст ошибку.

Имеет смысл осуществлять аудит доступа администраторов к системным папкам по умолчанию, а также при настройке параметров аудита объектов файловой системы, если полномочиями администратора обладают несколько пользователей. Эти параметры настраиваются средствами локального управления сервером. Удобно применять шаблон безопасности при повторении настройки параметров безопасности для нескольких серверов (параметры на всех серверах будут одинаковы).

Совет. Чтобы применить шаблон безопасности для установки параметров аудита объекта файловой системы, откройте консоль MMC, в которую уже добавлены надстройки Security Analysis and Configuration (Анализ и настройка безопасности) и Security Templates (Шаблоны безопасности). Найдите файл шаблона безопасности, в котором нужно выполнить настройку политики, откройте его, затем откройте вложенную папку File System (Файловая система). Щелкните правой кнопкой мыши на папке и выберите команду Add File (Добавить файл). После этого продолжите работу с шага 2 следующей процедуры.

Ниже приведена процедура настройки аудита системной папки Windows 2000 с помощью локальных средств управления.

1. Откройте Windows Explorer (Проводник Windows) либо окно My Computer (Мой компьютер), перейдите к системной папке по умолчанию веб-сервера.
2. Щелкните правой кнопкой мыши на папке и выберите команду Properties (Свойства). В диалоговом окне Properties откройте вкладку Security (Безопасность). Отобразится окно настройки, имеющее следующий вид.
3. Нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна, чтобы открыть окно контроля доступа Access Control Window для объекта. Откройте вкладку Auditing (Аудит), чтобы отобразить параметры аудита (см. рисунок).
4. Выберите опцию Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries (Сбрасывать записи аудита на всех дочерних объектах и включить передачу наследуемых записей аудита), чтобы аудит осуществлялся для всех объектов в каталоге.
5. Нажмите на кнопку Add (Добавить), чтобы выбрать группу Administrators (Администраторы) в списке ACL. Выберите соответствующие права и разрешения в появившемся диалоговом окне Audit Entry (Запись аудита), после чего нажмите на OK. После нажатия на кнопку Apply (Применить) внесенные изменения будут применены.

Аудит IIS

Аудит IIS дополняет аудит Windows 2000 широким спектром возможностей, гибких опций и высоким уровнем детализации. Аудит IIS можно настроить глобально для всех сайтов сервера, можно включить и выключить для каждого веб-сайта по отдельности. Можно указать, аудит каких событий необходимо осуществлять для каждого сайта, каталога, виртуального каталога или файла. Если ведение журнала включено для всего сайта, его можно отключить для отдельных объектов.

Журнал и аудит IIS фиксируют события, связанные с IIS и относящиеся к входящему и исходящему трафику HTTP (или FTP и NNTP), а также информацию об IP-адресах, которая не фиксируется в журналах и аудитом Windows 2000. По этой причине аудит IIS отслеживает действия посетителей сайта и идентифицирует их по IP-адресу. Можно фиксировать данные о попытках доступа посетителей к веб-страницам или к другой части сервера, а также записывать выполняемые ими действия.

Аудит IIS выявит действия посетителей, которые, как правило, являются признаками вторжения или попытки атаки:

• большое количество неудавшихся попыток входа с одного и того же IP-адреса;
• неудавшиеся попытки доступа или изменение файлов .bat или .cmd, запуск исполняемых файлов или сценариев;

   

  
  
   

   

   
• несанкционированные попытки доступа к защищенным каталогам или отгрузка файлов в папку с исполняемыми файлами.

Настройка параметров аудита IIS

Терминология IIS расплывчато описывает различие между ведением журнала и осуществлением аудита, и это обстоятельство вводит в некоторое заблуждение. Разобраться в терминах и разработать шаги по обеспечению аудита проще всего посредством включения журнала. Аудит IIS настраивается через параметры веб-сайта. Настройки аудита IIS дополняют параметры аудита Windows 2000. Параметры аудита IIS отвечают за отслеживание следующих объектов.

• Домашний каталог. Отслеживает посещения домашнего каталога сайта и его страниц.
• Процессы приложений. Осуществляет запись неудачных запросов клиентов в журналы событий.
• Изменения с помощью серверных расширений. Отслеживает изменения, вносимые в сайт при помощи серверных расширений FrontPage.

   

  
  
   

   

   

Совет. В лекции 3 не рекомендовалось использовать серверные расширения на создаваемом сервере, но они могут быть полезными на сервере разработки.

Настройка параметров объектов IIS. Для настройки параметров ведения журнала и аудита этих объектов используйте консоль Internet Services Manager (Диспетчер служб интернета). В общем случае можно настроить параметры для всех веб-сайтов на сервере либо отдельно для каждого из имеющихся серверов. Исключением являются серверные расширения разработки, так как они настраиваются только для всего сервера в целом.

1. В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на имени сервера, если нужно настроить свойства глобально для всех веб-сайтов, либо на конкретном веб-сайте, и в появившемся меню выберите Properties (Свойства). Если настраиваются параметры глобально для всех веб-сайтов, отобразится окно Properties, показанное ниже. Для отдельных сайтов сразу переходите к окнам Properties, показанным в шаге 4.
2. Для настройки параметров серверных расширений разработки откройте вкладку Server Extensions (Серверные расширения) в окне Properties сервера и отметьте опцию Log Authoring Actions (Записывать в журнал действия по разработке), как показано на рисунке.
3. Для установки параметров домашнего каталога и процессов приложений откройте вкладку Internet Information Services окна Properties, показанного в шаге 1. Затем убедитесь, что в области выделения Master Properties (Главные свойства) отображается WWW Services (Службы WWW), и нажмите на кнопку Edit (Изменить), чтобы открыть окно Properties рассматриваемого сайта.
4. Откройте вкладку Home Directory (Домашний каталог) и убедитесь, что опция Log Visits (Вести учет посещений) отмечена, как показано на рисунке.
5. Для настройки параметров на отслеживание неудачных процессов приложений нажмите на кнопку Configuration (Настройка) в нижней панели вкладки Home Directory (Домашний каталог), после чего откроется окно Application Configuration (Настройка приложения).
6. Откройте вкладку Process Options (Параметры процессов) и отметьте опцию Write Unsuccessful Client Requests To Event Log (Записывать неудачные запросы клиентов в журнал событий).

   Совет. Опция, о которой идет речь в шаге 6, доступна только тогда, когда на приложении установлена защита High Isolation (Высокий уровень изоляции). Данный параметр обеспечивает изоляцию пространства памяти, в котором выполняется приложение, для предотвращения работы вредоносных приложений, которые могут захватить контроль над системой.

Аудит событий, фиксируемых посредством настроек в расширенных параметрах ведения журнала. Расширенные параметры ведения журнала вкратце описаны в разделе "Настройка параметров файла журнала IIS" при обсуждении настройки журнала на веб-сайте IIS. Расширенные параметры настраиваются на вкладке Web Site (Веб-сайт) окна свойств сервера Properties (Свойства).

Список, приведенный ниже, содержит рекомендации Национальной службы безопасности США (NSA) по настройке дополнительных параметров для аудита веб-сервера.

• Дата и время события. Указывает время события.
• IP-адрес клиента. Указывает место, откуда клиент выполнял свои действия.
• Имя пользователя, осуществлявшего доступ к сайту. Отражает имя авторизованного пользователя, осуществившего доступ на сайт. К анонимным пользователям этот параметр не относится.
• Метод HTTP. Обозначает действие, которое пытался выполнить клиент (например, метод GET, используемый при загрузке файлов и при работе с формами).
• Ресурс URI. Записывает ресурс, к которому осуществлял доступ клиент (страница HTML, сценарий или приложение ISAPI).
• Запрос URI. Отображает запрос, который выполнял клиент.
• Время, затраченное на обработку запроса. Указывает время, в течение которого посетитель находился на сайте, или время, затраченное на выполнение события.
• Состояние запроса. Отображает состояние запроса (в терминах HTTP и/или в терминах Windows 2000).
• Предыдущий сайт. Указывает URL последнего сайта, посещенного клиентом (указывается путь, после которого указывается событие).
• Порт сервера. Фиксирует номер порта, к которому был подключен клиент.

Аудит резервных копий

Право на выполнение резервного копирования является очень весомой привилегией. Резервирование и восстановление прав игнорирует ограничения Windows NTFS на файлы, что позволяет операторам резервного копирования считывать и записывать данные в любой файл системы при их копировании на резервные носители или восстановлении.

Поэтому необходимо осуществлять аудит действий по резервированию файлов. Аудит резервирования, заключающийся в аудите действий группы пользователей под названием Backup Operators (Операторы резервного копирования), позволяет администраторам безопасности выявлять необычные действия. При запуске IIS Lockdown включается аудит резервирования файлов.

Для включения или проверки данного параметра используется средство MMC Local Security Policy (Локальная политика безопасности). Выполните следующие процедуры.

1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administration Tools (Пуск\Администрирование). Или откройте в окне My Computer (Мой компьютер) папку Control Panel (Панель управления) и дважды щелкните на значке Local Security Policy (Локальная политика безопасности).
2. Разверните перечень под элементом Local Policies (Локальные политики) в левой области консоли, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите в появившемся меню команду Open (Открыть) (либо просто дважды щелкните на папке). В правой области отобразятся опции политик безопасности, как показано на рисунке.

    

   
   
    

    

    
3. Щелкните правой кнопкой мыши на политике Audit Use Of Backup And Restore Privilege (Вести аудит использования привилегии резервного копирования и восстановления) в правой области консоли и в появившемся меню выберите Security (Безопасность).
4. Отобразится диалоговое окно, в котором можно включить и отключить аудит резервного копирования посредством соответствующей опции. Убедитесь, что включена политика аудита резервного копирования и восстановления.

С помощью аудита, помимо усиления мер безопасности резервирования (см. лекцию 6), можно контролировать и отслеживать процесс резервного копирования, выполнение которого требует высокого уровня безопасности.

Сводный перечень действий, относящихся к ведению журналов и выполнению аудита

• Управление файлами журнала.
• Установка размера файла журнала Windows 2000 и параметров его перезаписи.
• Установка параметров политики "Отключение системы при ошибке аудита" в соответствии с требованиями политики безопасности.
• Настройка параметров файла журнала IIS:
  • формата (рекомендуется использовать W3C);
  • параметров присвоения имен;
  • расширенных параметров.
   
• Настройка безопасности и архивации файлов журнала.
• Изменение расположения файла журнала.
• Удаление группы Everyone (Все пользователи) и присвоение прав полного доступа группам System (Система) и Auditors (Аудиторы).
• Определение политики и процедуры архивации журналов.
• Аудит:
  • установка политики для Windows 2000 в консоли MMC Local Security Policy (Локальная политика безопасности);
  • установка параметров аудита Windows 2000 для объектов, подлежащих аудиту;
  • установка параметров аудита IIS для объектов и событий;
  • настройка политики аудита резервного копирования.