Аудит событий входа в систему

Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или выхода из нее. Параметр Аудит событий входа в систему регламентирует создание записей, служащих для слежения за активностью локальных учетных записей.

Если присвоить параметру Аудит событий входа в систему значение Нет аудита, будет сложно или невозможно узнать, какие пользователи входили на компьютеры в организации или пытались это сделать. Если пользователь входит в систему с локальной учетной записью, а параметр Аудит событий входа учетных записей в систему имеет значение Включен, при входе в систему формируются два события.

Аудит доступа к объектам

Сам по себе этот параметр политики не запускает аудита каких-либо событий. Параметр Аудит доступа к объектам определяет необходимость аудита событий доступа к объекту (например к файлу, папке, разделу реестра или принтеру), для которого задан системный список управления доступом (SACL).

System Access-Control List (SACL) - список, похожий на ACL, но отвечающий не за разрешение или запрет на доступ, а за аудит (протоколирование в журнале безопасности) успешных и безуспешных попыток доступа к объекту. SACL состоит из записей управления доступом. Каждая запись управления доступом включает сведения трех типов:

участник безопасности (пользователь, компьютер или группа), для которого будет выполняться аудит;

определенный тип доступа, для которого будет выполняться аудит (маска доступа);

флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и другого вида событий.

Если параметр Аудит доступа к объектам настроен для регистрации значений Успех, запись аудита создается каждый раз, когда пользователь успешно получает доступ к объекту с указанным системным списком управления доступом. Если этот параметр настроен для регистрации значений Отказ, запись аудита создается каждый раз, когда пользователь безуспешно пытается получить доступ к объекту с указанным системным списком управления доступом.

При настройке системных списков управления доступом организации должны определять только те действия, которые необходимо включить. Например, может потребоваться включить параметр Аудит записи и добавления данных для EXE-файлов, чтобы отслеживать их изменение или замену, так как вирусы, черви и «троянские кони» обычно воздействуют на EXE-файлы. Кроме того, может потребоваться отслеживание доступа к конфиденциальным документам и их изменения.

В принципе с помощью категории Аудит доступа к объектам можно следить за доступом к файлам, папкам, принтерам, разделам реестра и системным службам, но в большинстве случаев данная категория используется для отслеживания доступа к файлам и папкам. Как только будет включен аудит по данной категории, в журнале безопасности сразу же отобразится некоторое количество событий, касающихся доступа к объектам в базе безопасности SAM. Однако каких-либо других событий, связанных с доступом к файлам или другим объектам, вы здесь не увидите, поскольку каждый объект имеет свои настройки параметров аудита, а по умолчанию почти у всех объектов аудит отключен. Это правильная практика, поскольку, если в системе будет включен аудит попыток доступа к каждому файлу или объекту, то данная система до своей полной остановки будет заниматься только обработкой этих событий, а ее журнал безопасности быстро переполнится, вне зависимости от назначенного ему объема. Рекомендуется применять эту категорию только к критически важным файлам, действительно требующим механизмов слежения за доступом к ним.

Аудит изменения политики

Этот параметр политики определяет необходимость аудита каждого изменения политик назначения прав пользователям, политик доверия или самой политики аудита.

Если параметр Аудит изменения политики настроен для регистрации значений Успех, запись аудита создается при каждом успешном изменении политик назначения прав пользователям, политик доверия или политик аудита. Если этот параметр политики настроен для регистрации значений Отказ, запись аудита создается при каждой неудачной попытке изменения политик назначения прав пользователям, политик доверия или политик аудита.

Рекомендованный способ настройки этого параметра позволяет узнать, какие привилегии учетной записи злоумышленник пытается повысить или получить (например привилегии Отладка программ или Архивация файлов и каталогов).

Аудит использования привилегий

Для обеспечения контроля возможностей выполнения пользователями функций системного уровня, таких как изменение системного времени или выключение, в Windows применяется система прав пользователей (привилегий).

Этот параметр политики определяет необходимость аудита каждого применения права пользователя. Если параметр Аудит использования привилегий настроен на регистрацию значений типа Успех, запись аудита создается при каждом успешном применении права пользователя. Если этот параметр настроен на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной попытке применения права пользователя.

При применении указанных ниже прав пользователя аудит не записывается, даже если задан параметр Аудит использования привилегий, поскольку для этих прав регистрируется большое число событий в журнале безопасности. Аудит следующих прав пользователя отрицательно сказывался бы на производительности компьютеров:

Обход перекрестной проверки

Отладка программ

Создание маркерного объекта

Замена маркера уровня процесса

Создание аудитов безопасности

Архивация файлов и каталогов

Восстановление файлов и каталогов

Примечание. Если нужно осуществлять аудит этих прав, необходимо включить в групповой политике параметр Аудит: аудит прав на архивацию и восстановление.

Аудит отслеживания процессов

Этот параметр политики определяет необходимость аудита подробной информации о таких событиях, как активация программ, завершение процессов, дублирование дескрипторов и косвенный доступ к объектам. Если этот параметр настроен на регистрацию значений типа Успех, запись аудита создается при каждой операции, успешно выполненной отслеживаемым процессом. Если этот параметр настроен на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной попытке выполнения операции отслеживаемым процессом.

Если параметр Аудит отслеживания процессов задан, регистрируется большое количество событий, поэтому обычно ему присваивают значение Нет аудита. Однако этот параметр может оказаться очень полезным при реагировании на инциденты, потому что он позволяет получить подробные сведения о запущенных процессах и времени запуска каждого из них.

Аудит системных событий

Этот параметр политики определяет необходимость аудита, когда пользователь перезагружает или выключает компьютер, либо когда происходит событие, влияющее на безопасность или журнал безопасности компьютера (например, очистка журнала событий). Если этот параметр настроен на регистрацию значений типа Успех, запись аудита создается при успешном выполнении системного события. Если этот параметр настроен на регистрацию значений типа Отказ, запись аудита создается при неудачной попытке выполнения системного события.

События аудита

Как уже упоминалось ранее, Windows XP регистрирует в журналах происходящие события, которые отслеживаются политикой аудита. Пользуясь информацией журналов событий, можно получить сведения о неполадках аппаратного и программного обеспечения, а также наблюдать за событиями безопасности Windows. Управлять и просматривать содержимое журналов событий можно с помощью утилиты Просмотр событий (Event Viewer).

Windows XP записывает события в три журнала:

Системный журнал (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, регистрируемых в этом журнале, предопределен операционной системой и компонентами сторонних производителей и не может быть изменен пользователем. Журнал находится в файле Sysevent.evt.

Журнал безопасности (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной вами стратегией аудита. Журнал находится в файле Secevent.evt.

Журнал приложений (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определяется разработчиками приложений. Журнал находится в файле Appevent.evt.

Все журналы размещены в папке %Systemroot%\System32\Config. Журналы событий можно просматривать с любого компьютера локальной сети, при наличии прав администратора на компьютере, где расположен журнал. Нас будет интересовать прежде всего Журнал безопасности, т.к. именно в нем регистрируются события аудита безопасности.

При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Чтобы иметь возможность просматривать содержимое журналов за длительный промежуток времени, рекомендуется периодически архивировать текущие журналы. Дополнительные журналы могут быть добавлены при установке дополнительных служб.

В таблице 1 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий управления учетными записями.

Таблица 1. События управления учетными записями

Код события	Описание события
	Создана учетная запись пользователя.
	Изменен пароль пользователя.
	Задан пароль пользователя.
	Удалена учетная запись пользователя.
	Создана локальная группа.
	В локальную группу добавлен член.
	Из локальной группы удален член.
	Удалена локальная группа.
	Изменена учетная запись локальной группы.
	Изменена учетная запись пользователя.
	Изменено имя учетной записи.

В таблице 2 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий входа в систему.

 

Таблица 2. События аудита входа в систему

Код события	Описание события
	Пользователь успешно вошел в систему.
	Сбой при входе в систему. Предпринята попытка входа в систему с использованием неизвестного имени пользователя или известного имени пользователя с неправильным паролем.
	Сбой при входе в систему. Предпринята попытка входа в систему вне допустимого интервала времени.
	Сбой при входе в систему. Предпринята попытка входа в систему с отключенной учетной записью.
	Сбой при входе в систему. Предпринята попытка входа в систему с устаревшей учетной записью.
	Сбой при входе в систему. В систему попытался войти пользователь, не имеющий на это права.
	Сбой при входе в систему. Пользователь попытался войти в систему с использованием пароля недопустимого типа.
	Сбой при входе в систему. Пароль указанной учетной записи устарел.
	Сбой при входе в систему. Попытка входа в систему завершилась неудачей по иным причинам.
	Процесс выхода пользователя из системы завершен.
	Сбой при входе в систему. Ко времени попытки входа в систему учетная запись была заблокирована.
	Работа в основном режиме завершена.
	Пользователь инициировал процесс выхода из системы.
	Пользователь успешно вошел в систему с явно заданными учетными данными, уже будучи зарегистрированным в системе в качестве другого пользователя.

В таблице 3 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий доступа к объектам.

Таблица 3. События доступа к объектам

Код события	Описание события
	Предоставлен доступ к существующему объекту.
	Закрыт дескриптор объекта.
	Выполнена попытка открыть объект с целью его удаления.
	Удален защищенный объект.
	Предоставлен доступ к существующему типу объекта.
	Использовано разрешение, связанное с дескриптором. Дескриптор создается с определенными разрешениями (например разрешениями на чтение и запись). При использовании дескриптора для каждого из использованных разрешений может быть создана запись аудита.
	Клиент попытался получить доступ к объекту. Это событие формируется при каждой попытке выполнения операции над объектом.

В таблице 4 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий изменения политики безопасности.

Таблица 4. События аудита изменения политики

Код события	Описание события
	Предоставлено право пользователя.
	Удалено право пользователя.
	Изменена политика аудита.
	Изменена политика восстановления зашифрованных данных.
	Учетной записи предоставлен доступ к системе.
	Для учетной записи заблокирован доступ к системе.
	Политика аудита задана для каждого пользователя.

В таблице 5 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий отслеживания процессов.

Таблица 5. События отслеживания процессов

Код события	Описание события
	Создан процесс.
	Процесс завершил работу.
	Пользователь попытался установить службу.
	Создано задание планировщика.

В таблице 6 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита системных событий.

Таблица 6. Сообщения о системных событиях для аудита системных событий

Код события	Описание события
	Запуск системы Windows.
	Завершение работы системы Windows.
	Внутренние ресурсы, выделенные очереди сообщений о событиях безопасности, исчерпались, что привело к утрате некоторых сообщений о событиях безопасности.
	Очищен журнал аудита.
	Изменено системное время.

Управление аудитом

Применение политик аудита существенно повышает безопасность и целостность системы. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности.

Администраторам следует создать политику аудита, определяющую содержимое отчетов о событиях безопасности и регистрирующую действия пользователей или компьютеров, относящиеся к указанным категориям событий.

Перед реализацией политики аудита нужно решить, для каких категорий событий следует выполнять аудит. От параметров аудита, заданных администратором для категорий событий, зависит политика аудита организации. Если параметры аудита для конкретных категорий событий определены, администраторы могут создать политику аудита, соответствующую требованиям организации.

Если политика аудита не задана, определить, что произошло при инциденте в сфере безопасности, будет сложно или невозможно. Если же настроить параметры аудита так, чтобы события регистрировались при многих санкционированных действиях, журнал безопасности может быть заполнен бесполезными данными.

В сетях с минимальным требованиям к безопасности подвергайте аудиту:

успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;

успешное использование важной и конфиденциальной информации.

В сетях со средними требованиями к безопасности подвергайте аудиту:

успешное использование важных ресурсов;

удачные и неудачные попытки изменения стратегии безопасности и административной политики;

успешное использование важной и конфиденциальной информации.

В сетях с высокими требованиями к безопасности подвергайте аудиту:

удачные и неудачные попытки регистрации пользователей;

удачное и неудачное использование любых ресурсов;

удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Журналы сбоев часто оказываются более информативными, чем журналы успешного выполнения операций, потому что сбои обычно свидетельствуют об ошибках. Например, успешный вход пользователя в систему обычно считается нормальным развитием событий. Если кто-то безуспешно пытается несколько раз войти в систему, это может быть признаком использования чужих учетных данных. События, происходящие на компьютере, регистрируются в журналах событий.

Перед реализацией политики аудита в организации следует определить способы сбора, организации и анализа данных. От большого объема данных аудита мало пользы, если отсутствует план их использования. Кроме того, аудит компьютерных сетей может отрицательно сказываться на производительности систем. Даже если влияние определенного сочетания параметров на компьютер конечного пользователя практически незаметно, на сервере с высокой нагрузкой оно может оказаться существенным. Таким образом, перед заданием новых параметров аудита в рабочей среде следует проверить, не ухудшит ли это производительность систем.