Безопасность IIS
       

Установка оповещения операционной системы


Один из подходов к использованию счетчиков производительности и оповещений на веб-сервере без анонимной аутентификации заключается в выдаче уведомления при возникновении большого числа ошибок входа в систему, означающего атаку злоумышленника. Так, например, если установить порог, равный 25 ошибкам входа, то после превышения этого порога система будет выдавать сообщение.

Ниже приведена процедура настройки данного типа оповещения.

  1. Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2). Щелкните правой кнопкой мыши на значке Alerts (Оповещения) и в появившемся меню выберите New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее параметр, например, Logon Failures (Ошибки входа).


    увеличить изображение
    Рис. 7.2.  Используйте индикатор производительности для создания оповещения

  2. После присвоения правилу имени появится диалоговое окно Logon Failures (Ошибки входа), в котором определяется правило для создаваемого оповещения (см. рис. 7.3) с пустыми полями. Эта процедура начинается на вкладке General (Общие). Добавьте комментарий в верхнее поле, после чего нажмите на кнопку Add (Добавить) для начала создания правила.


    Рис. 7.3.  Первым шагом в создании оповещения является добавление правила

  3. Счетчики являются первым параметром правила, который необходимо определить. Диалоговое окно Select Counters (Добавить счетчики) изображено на рис. 7.4. При подсчете событий на локальном компьютере выберите опцию Use Local Computer Counters (Использовать локальные счетчики). При подсчете событий на другом сервере в домене Windows укажите имя компьютера, выбрав опцию Select Counters From Computer (Выбрать счетчики с компьютера).


    Рис. 7.4.  В диалоговом окне Select Counters (Добавить счетчики) определяются параметры счетчика

  4. Выберите тип объекта производительности, отслеживаемого компьютером, в ниспадающем списке Performance Object (Объект).
    В нашем примере выберите Server Object (Сервер).
  5. Определите сам счетчик. Внизу диалогового окна выберите опцию Select Counters From List (Выбрать счетчики из списка) и в списке выберите опцию Errors Logon (Ошибок входа). Будет доступна и другая опция – All Counters (Все счетчики), но правило столь широкого действия не потребуется для нашего примера.
  6. Нажмите на кнопку Add (Добавить) для создания счетчика, после чего нажмите на Close (Закрыть) для выхода из окна и возврата к предыдущему окну.
  7. В окне Logon Failures (Ошибки входа) (см. рис. 7.3) определите способ применения счетчика. Щелкните на ниспадающем меню рядом с полем Alert When The Value Is (Оповещать, когда значение) и выберите Over (Больше). Установите предел, равный 25.
  8. Внизу диалогового окна показано, что правило установлено на съем показаний счетчика через каждые 5 с (значение по умолчанию). Так как это обеспечивает слишком частый съем показаний (даже автоматизированная программа вряд ли сможет осуществить столько попыток входа за 5 с), укажите более подходящее значение, равное 60 с, для уменьшения затрачиваемых ресурсов и повышения чувствительности счетчика.
  9. Теперь определите действие, инициирующее оповещение. Откройте вкладку Action (Действие) (см. рис. 7.5). В появившемся диалоговом окне выберите параметры действий, которые необходимо предпринимать. В данном случае разумно установить всплывающее сетевое сообщение, отправляемое в консоль управления сервером (сервер будет отправлять сообщение самому себе для немедленного предупреждения администратора). Более того, при удаленном управлении нужно отправлять сообщение на вашу рабочую станцию, для чего необходимо указать имя вашего рабочего компьютера.


    Рис. 7.5.  Во вкладке Action (Действие) определите для сервера способ обработки оповещения

  10. После определения действия правило готово к работе. Можно создать расписание работы правила с помощью вкладки Schedule (Расписание), однако Windows 2000 по умолчанию предусматривает немедленный запуск правила, если не указаны другие параметры.
  11. Нажмите на кнопку Apply (Применить), чтобы созданное правило вступило в силу, после чего нажмите на OK для выхода из окна.



Содержание раздела