Безопасность IIS

       

Цели и задачи аудита


Планирование, политика и поддержка являются ключевыми моментами для сбора важной информации, которая пригодится в критической ситуации. При четкой постановке целей легче определить тип фиксируемой информации и настроить журналы на запись необходимого количества данных. Параметры запуска IIS Lockdown и/или шаблона Hisecweb.inf обеспечивают надежную базовую политику. Их настройки можно изменить для фиксирования дополнительной информации.

Нужно решить, для каких ресурсов и объектов управления необходим аудит, затем для каждого класса ресурсов или объектов выявить отслеживаемые события. В таблице 5.2 приведена информация из официального издания "Security Auditing in Windows 2000" ("Аудит безопасности в Windows 2000"), расположенного на веб-сайте Microsoft Technet (www.Microsoft.com/technet). Таблица содержит примеры событий, связанных с безопасностью различных ресурсов и объектов. Она показывает использование целенаправленного подхода к аудиту, но он может и не подойти вашей организации. Необходимо самостоятельно принять решение о необходимости аудита ресурсов и отслеживаемых событий. Например, при выполнении атаки на объект лучшими индикаторами будут события ошибок, так как они зафиксируют попытки доступа пользователя, не имеющего соответствующего разрешения.

Таблица 5.2. События, помогающие идентифицировать проблемы безопасности

Потенциальная угрозаТип аудитаРезультирующие события
Взлом пароля с использованием генератора случайных паролейУчетная запись пользователяНеудача процедуры аудита для событий входа/выхода из системы. Большое число событий означает повторяющиеся попытки входа, часто являющиеся результатом систематической атаки.
Вход с использованием украденного пароляУчетная запись пользователяУспешный аудит событий входа/выхода для идентификации пользователей системы с целью определения места, откуда инициировано вторжение.
Несанкционированный доступ к секретным файламФайловая системаУспех и неудача аудита для событий доступа к файлам и объектам в сильно защищенных ресурсах. Успех и неудача аудита доступа для чтения/записи секретных файлов подозреваемыми пользователями или группами.
Злоупотребление привилегиямиФайловая система и реестрУспешный аудит прав пользователей, управления пользователями и группами, изменения политики безопасности, перезапуска, выключения и системных событий для выявления пользователей, внесших изменения, и определения этих изменений.



Содержание раздела