Безопасность IIS

       

Обеспечение безопасности журналов


Безопасность журналов важна так же, как аудит и анализ файлов журнала. К файлам журнала должны иметь доступ только уполномоченные пользователи с привилегированным доступом к системе. Файл с зафиксированными системными событиями должен быть недоступен посторонним пользователям. Файлы журнала нужно защищать от атак опытных хакеров, направленных на изменение информации для скрытия следов злоумышленных действий.

Данные журнала событий передаются службе Windows 2000 Event Log другими компонентами системы или приложениями, работающими в системе. В таблице приведены пути для каждого файла журнала.

ЖурналПуть
Системный журнал<SystemRoot>\System32\Config\SysEvent.Evt
Журнал приложений<SystemRoot>\System32\Config\AppEvent.Evt
Журнал безопасности<SystemRoot>\System32\Config\SecEvent.Evt
Журнал IIS<SystemEvent>\System32\LogFiles\W3SVC2\exyymmdd.log*

*IIS автоматически присваивает имя файла с использованием даты вместо шаблона "yymmdd".

Для обеспечения безопасности используются две процедуры. Первая из них является жизненно необходимой и заключается в ограничении доступа к файлам журнала Windows 2000 всем группам и учетным записям, кроме группы Administrators (Администраторы) и учетной записи System (Система). Второй шаг является полезным, но не обязательным; он заключается в изменении расположения файлов журнала. Лучше всего разместить их в другом разделе (не в системном томе), в котором ничего не записано и имеется достаточный объем дискового пространства для хранения файлов больших размеров.

При перемещении файлов журнала в изолированное место легче управлять доступом для запрета просмотра и изменения их посторонними пользователями. Рассмотрим процедуру перемещения файлов журнала.

Изменение расположения файлов журнала. Изменить расположение файла журнала IIS достаточно легко. Изменить свойства сервера можно в консоли MMC Internet Services Manager (Диспетчер служб интернета) на той же вкладке, где устанавливались параметры файла журнала IIS.



увеличить изображение

Вернитесь к разделу " Настройка параметров файла журнала IIS" и выясните, какая консоль и какие окна использовались для изменения папки файла журнала.


увеличить изображение

Для изменения расположения файлов журнала Windows 2000 измените строку реестра, указывающую его текущее расположение. Для редактирования реестра используется утилита Regedit.

Совет. Некорректное изменение реестра может привести к переустановке операционной системы. Найдите в лекции 6 описание процедуры создания



резервной копии реестра, выполните эту процедуру и создайте диск экстренного восстановления.
  1. Выберите команду Start\Run (Пуск\Выполнить), чтобы открыть диалоговое окно Run.
  2. Введите Regedit, после чего нажмите на OK. Откроется окно программы Regedit.
  3. В окне Regedit убедитесь, что текущим местом работы является локальный компьютер. Щелкните на папке с именем HKEY_LOCAL_MACHINE, чтобы открыть ее и отобразить находящиеся в ней файлы.
  4. Откройте папку System\CurrentControlSet\Services\EventLog\. В ней находятся журналы событий Application, Security и System, как показано на рисунке.
  5. Выберите журнал Security Log. В правой области отобразится информация о значениях в файле журнала безопасности.
  6. Дважды щелкните на значении File, чтобы открыть диалоговое окно String Editor (Изменение строкового параметра), показанное на рисунке ниже. Укажите символ нового устройства, путь к новой папке, но имя файла оставьте прежним – \SecEvent.Evt. После этого нажмите на OK.



  7. Повторите эти шаги для других файлов журналов. Затем выйдите из программы и перезагрузите компьютер.




  1. В окне Administration Tools\Computer Management (Администрирование\ Управление компьютером) найдите диски компьютера в дереве ресурсов. Либо откройте окно My Computer (Мой компьютер) на рабочем столе и найдите нужные диски там. Щелкните правой кнопкой мыши на диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).
  2. Откройте вкладку Security (Безопасность), показанную на рисунке. Удалите группу Everyone (Все пользователи), если она присутствует



    в списке ACL, выделив ее и выбрав команду Remove (Удалить). Если жесткие диски сервера содержат в списках ACL другие группы или учетные записи, помимо Everyone (Все пользователи), удалите эти группы и учетные записи.
  3. Нажмите на кнопку Apply (Применить), чтобы система сохранила изменения.


Предоставьте привилегии полного контроля пользователям группы System и аудиторам. После удаления ненужных групп из списков ACL добавьте нужные группы и учетные записи, а также установите права и разрешения. По умолчанию имеется группа System (Система) и содержит права и разрешения полного доступа.

Важно. Не нужно, чтобы группа аудита была группой администрирования Administrators (Администраторы). Кто-то должен вести аудит группы администраторов. Если в группе Administrators много пользователей, то имеет смысл создать отдельную группу с именем Auditors (Аудиторы), члены которой наряду с учетной записью System обладают правами полного доступа. В противном случае следует создать отдельную учетную запись.
  1. На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) нажмите на кнопку Add (Добавить) и добавьте новые группы в список ACL.
  2. В диалоговом окне (см. рисунок) выберите группу System (Система) и группу аудита и нажмите на кнопку Add (Добавить), чтобы внести изменение.
  3. Нажмите на OK, чтобы вернуться в окно Local Disk Properties (Свойства локального диска).


После успешного добавления групп и учетных записей присвойте разделу или папке файла журнала права и разрешения.Пользователю System и группе аудита предоставьте права полного доступа и настройте для них наследование разрешений при создании новых подкаталогов в этой папке (разделе).


Содержание раздела