Цели и задачи аудита
Планирование, политика и поддержка являются ключевыми моментами для сбора важной информации, которая пригодится в критической ситуации. При четкой постановке целей легче определить тип фиксируемой информации и настроить журналы на запись необходимого количества данных. Параметры запуска IIS Lockdown и/или шаблона Hisecweb.inf обеспечивают надежную базовую политику. Их настройки можно изменить для фиксирования дополнительной информации.
Нужно решить, для каких ресурсов и объектов управления необходим аудит, затем для каждого класса ресурсов или объектов выявить отслеживаемые события. В таблице 5.2 приведена информация из официального издания "Security Auditing in Windows 2000" ("Аудит безопасности в Windows 2000"), расположенного на веб-сайте Microsoft Technet (www.Microsoft.com/technet). Таблица содержит примеры событий, связанных с безопасностью различных ресурсов и объектов. Она показывает использование целенаправленного подхода к аудиту, но он может и не подойти вашей организации. Необходимо самостоятельно принять решение о необходимости аудита ресурсов и отслеживаемых событий. Например, при выполнении атаки на объект лучшими индикаторами будут события ошибок, так как они зафиксируют попытки доступа пользователя, не имеющего соответствующего разрешения.
Взлом пароля с использованием генератора случайных паролей | Учетная запись пользователя | Неудача процедуры аудита для событий входа/выхода из системы. Большое число событий означает повторяющиеся попытки входа, часто являющиеся результатом систематической атаки. |
Вход с использованием украденного пароля | Учетная запись пользователя | Успешный аудит событий входа/выхода для идентификации пользователей системы с целью определения места, откуда инициировано вторжение. |
Несанкционированный доступ к секретным файлам | Файловая система | Успех и неудача аудита для событий доступа к файлам и объектам в сильно защищенных ресурсах. Успех и неудача аудита доступа для чтения/записи секретных файлов подозреваемыми пользователями или группами. |
Злоупотребление привилегиями | Файловая система и реестр | Успешный аудит прав пользователей, управления пользователями и группами, изменения политики безопасности, перезапуска, выключения и системных событий для выявления пользователей, внесших изменения, и определения этих изменений. |