Безопасность IIS


         

Дополнительные сведения об отслеживании файла журнала


В лекции 5 обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.

Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.

Таблица 7.1. Подозрительные записи журнала безопасности

Идентификатор событияКомментарий
517Журнал аудита был очищен. Вы сами выполнили это действие, или это попытка хакера замести следы?
529Осуществлена попытка входа в систему с использованием неизвестной учетной записи или имеющейся учетной записи с указанием неправильного пароля. Неожиданно большая частота повторения этого события означает попытки угадывания пароля.
531Осуществлена попытка входа в систему посредством использования отключенной учетной записи. Чья это попытка, и каково ее назначение?
539Осуществлена и отклонена попытка входа, так как учетная запись была заблокирована. Кто пытался войти и зачем?
612Изменена политика аудита. Выясните, кто изменил ее и зачем.
624Создана учетная запись. Кто ее создал – вы или доверенное лицо?
628Установлен пароль пользователя. Кто это сделал – вы или доверенное лицо?
640Внесено изменение в базу данных SAM. Вы вносили это изменение?

Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. лекцию 9), однако мы остановимся на продуктах Microsoft.



Содержание  Назад  Вперед