Дополнительные сведения об отслеживании файла журнала
В лекции 5 обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.
Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.
| 517 | Журнал аудита был очищен. Вы сами выполнили это действие, или это попытка хакера замести следы? |
| 529 | Осуществлена попытка входа в систему с использованием неизвестной учетной записи или имеющейся учетной записи с указанием неправильного пароля. Неожиданно большая частота повторения этого события означает попытки угадывания пароля. |
| 531 | Осуществлена попытка входа в систему посредством использования отключенной учетной записи. Чья это попытка, и каково ее назначение? |
| 539 | Осуществлена и отклонена попытка входа, так как учетная запись была заблокирована. Кто пытался войти и зачем? |
| 612 | Изменена политика аудита. Выясните, кто изменил ее и зачем. |
| 624 | Создана учетная запись. Кто ее создал – вы или доверенное лицо? |
| 628 | Установлен пароль пользователя. Кто это сделал – вы или доверенное лицо? |
| 640 | Внесено изменение в базу данных SAM. Вы вносили это изменение? |
Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. лекцию 9), однако мы остановимся на продуктах Microsoft.
