kapitola Auditování událostí zabezpe ení Microsoft Windows

15

kapitola

Auditování událostí zabezpebení Microsoft Windows 15 15

338

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

Obsah kapitoly: 15.1 Které události budou podléhat auditu ............................................................. 338 15.2 Práce s Prohlížebem událostí ............................................................................ 339 15.3 Konfigurace zásad auditování .......................................................................... 342 15.4 Monitorování auditovaných událostí ............................................................... 359 15.5 Doporubené postupy ......................................................................................... 362 15.6 Další informace.................................................................................................. 363 Žádná bezpe²nostní strategie nem¾že být úplná bez vy²erpávající strategie auditování neboli sledování událostí. Organizace jsou v tomto ohledu velmi ²asto nepou²itelné a ²asto za²ínají s d¾kladným auditem až po skute²nµ závažném bezpe²nostním incidentu. Bez auditního záznamu operací, které v systému provádµl vet½elec, je ale úspµšné vyšet½ování bezpe²nostního incidentu prakticky nemožné. V rámci celkové strategie zabezpe²ení musíme stanovit, které události budeme auditovat, jaká úrove¹ auditu bude v daném prost½edí nejvhodnµjší, jak budeme auditované události shromažÅovat a jak je kontrolovat. Pro odpovídající auditování a sledování protokol¾ auditu máme hned nµkolik d¾vod¾: „ Vytvo½íme tak srovnávací základnu normálního provozu sítµ i po²íta²¾. „ Detekujeme pokusy o prolomení do sítµ ²i po²íta²e. „ V p½ípadµ bezpe²nostního incidentu rychle zjistíme, které systémy a která data byla nebo jsou napadena. P½i pravidelném sledování záznam¾ ²i protokol¾ auditu, zejména pomocí nástroj¾ automatického sledování událostí, m¾žeme navíc zmírnit rozsah dalšího poškození sítí a po²íta²¾ po p½ípadném proniknutí úto²níka do sítµ. Konkrétní organizace m¾že podléhat ur²itým oborovým, vládním nebo zákonným na½ízením, která nejenže stanovují rozsah povinného auditu událostí, ale také popisují zp¾soby zpracování auditních záznam¾ a délky jejich archivace. Je proto vhodné ovµ½it u firemních právník¾, jestli je navrhovaná strategie auditu v souladu s tµmito zákony, normami a p½edpisy.

15.1 Které události budou podléhat auditu Prvním krokem p½i vytvo½ení strategie auditování opera²ního systému je stanovení typu akcí neboli operací, které budou záznamu podléhat. Které události budeme v opera²ním systému zaznamenávat? Nejjednodušší odpovµÅ je, zaznamenávat všechny. Audit úplnµ všech událostí opera²ního systému by ale naneštµstí znamenal také zbyte²nµ velké obsazení systémových prost½edk¾ a mohl by mít negativní vliv na výkonnost systému. Pamatujte si, že ²ím vµtší rozsah auditu provádíte, tím více událostí je vygenerováno a tím obtížnµjší je vyhledání kriticky d¾ležitých událostí. Jestliže budete auditované události sledovat ru²nµ, nebo jestliže neumíte p½íliš dob½e v záznamech auditu ²íst, m¾že být rozlišení neškodných událostí od škodlivých opravdu hodnµ obtížné. Rozsah zaznamenávaných událostí v opera²ním systému budete

Práce s Prohlížedem událostí

339

proto muset stanovit ve spolupráci s dalšími bezpe²nostními specialisty – nejlépe s tµmi, kte½í se zabývají ²innostmi jako forenzní audit, sbµr d¾kazních materiál¾ nebo vyšet½ování po²íta²ového zlo²inu, a také s pracovníky, kte½í mají ve firmµ v oblasti IT rozhodovací pravomoci. V rámci auditu zaznamenávejte jen ty události, které budete ur²itµ nµkdy v budoucnu pot½ebovat. Toto tvrzení se lehko ½ekne – i když hodnµ událostí m¾žeme charakterizovat skute²nµ snadno a auditu rozhodnµ musí podléhat nap½íklad události správy ú²t¾ a události p½ihlášení. Pokud v organizaci neexistuje žádná bezpe²nostní politika auditu, m¾žete p½i stanovení rozsahu auditovaných událostí velice efektivnµ za²ít tím, že svoláte všechny zú²astnµné osoby do jedné místnosti a vedete skupinovou diskusi neboli brainstorming. V rámci diskuse pak stanovíte: „ Které akce neboli operace budete sledovat. „ Na jakých systémech budete tyto události sledovat. „ Budeme sledovat všechny události p½ihlášení do domény a p½ihlášení k místnímu po²íta²i, a to na všech po²íta²ích. „ Budeme sledovat veškerý p½ístup ke všem soubor¾m ze mzdové složky na serveru osobního oddµlení. Pozdµji je vhodné dát takto stanovená pravidla do souladu se zásadami auditu a konkrétními nastaveními opera²ního systému. V systémech Microsoft Windows Server 2003, Windows 2000 a Windows XP m¾žeme události auditu rozdµlit do dvou základních kategorií, a sice úsp³šné události a neúsp³šné události. Úspµšná událost vyjad½uje úspµšné dokon²ení dané akce neboli operace v opera²ním systému, zatímco selhání neboli neúspµšná událost znamená, že pokus o danou akci ²i operaci skon²il neúspµchem. P½i sledování pokus¾ o útoky proti danému prost½edí jsou p½itom užite²né zejména neúspµšné události, zatímco interpretace událostí úspµchu bývá ²asto obtížná. Drtivá vµtšina úspµšných auditovaných událostí je sice bµžným projevem naprosto normální aktivity, ale m¾že se mezi nµ dostat také úto²ník, kterému se poda½í úspµšnµ proniknout do systému. Ìasto jsou p½itom d¾ležité nejen události samotné, ale také vzorek neboli posloupnost nµkolika událostí. Nµkolik neúspµšných událostí v ½adµ, za nimiž následuje úspµšná událost, m¾že nap½íklad znamenat útok, který po nµkolika nezda½ených pokusech vedl k úspµšnému prolomení. Na podez½elé aktivity m¾že poukazovat také jakákoli odchylka od bµžného vzorku normálního chování. Dejme tomu, že se nap½íklad ur²itý uživatel v naší spole²nosti podle záznam¾ auditu p½ihlašuje do sítµ každý pracovní den mezi osmou a desátou hodinou ranní, ale najednou se p½ihlásí ve t½i hodiny ráno. Toto chování m¾že být sice neškodné, ale je natolik neobvyklé, že je velice vhodné p½ípad pe²livµ vyšet½it.

15.2 Práce s Prohlížedem událostí Všechny události zabezpe²ení opera²ního systému Windows Server 2003, Windows 2000 a Windows XP se zaznamenávají do protokolu Security (Zabezpe²ení), který se zobrazuje v Event Viewer (Prohlíže² událostí). Další bezpe²nostní události se mohou nacházet také v protokolech Applications a System (Aplikace a Systém).

Zabezpe:ení jádra opera:ního systému

Nap½íklad:

340

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

P½ed zapnutím zásad auditu musíme posoudit, jestli je výchozí konfigurace soubor¾ s protokoly v Event Viewer (Prohlíže² událostí) vhodná také pro prost½edí dané konkrétní organizace. Výchozí nastavení protokolu událostí Security (Zabezpe²ení) vidíme na obrázku 15.1.

OBRÁZEK 15.1: Výchozí nastavení protokolu událostí Security

U každého z protokol¾ událostí tak p½edevším musíme stanovit: „ Umístµní souboru s protokolem „ Maximální velikost souboru s protokolem „ Chování p½i p½episování

Stanovení místa pro ukládání protokolu Výchozím

umístµním

protokolu událostí Security

(Zabezpe²ení) je

složka

%systemroot%\system32\config\ a soubor s názvem SecEvent.evt. Pod systémy Win-

dows Server 2003, Windows 2000 a Windows XP m¾žeme umístµní jednotlivých soubor¾ s protokoly zmµnit prost½ednictvím registru; cesta a název souboru s protokolem Security (Zabezpe²ení) se nachází v registra²ní hodnotµ HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Eventlog\Security. Podle výchozího nastavení smí k protokolu událostí Security (Zabezpe²ení) p½istupovat pouze ú²et System a ²lenové skupiny Administrators, aby se normální uživatelé (kromµ správc¾ systému) nedostali ke ²tení, zápisu a p½edevším odstra¹ování bezpe²nostních událostí. Jestliže soubor s protokolem p½esunete do jiného místa, nezapome¹te zkontrolovat, má-li i nový soubor pod souborovým systémem NTFS pot½ebná oprávnµní. Službu záznamu do protokolu Event Log (Protokol událostí) nelze zastavit, a proto se zmµny v nastaveních protokolu uplatní až po restartu systému. Pozn·mka Ve Windows Serveru 2003 m˘ûeme zmÏnit opr·vnÏnÌ u protokol˘ ud·lostÌ Application a System, avöak nikoli u protokolu Security (ZabezpeËenÌ). PodrobnÈ informace o zmÏnÏ p¯Ìstupov˝ch pr·v k souboru s aplikaËnÌm a systÈmov˝m protokolem najdete v Ël·nku datab·ze znalostÌ Microsoft Knowledge Base ËÌslo 323076, ÑHow to Set Event Log Security Locally or by Using Group Policy in Windows Server 2003î, na adrese http://support.microsoft.com/ kb/323076.

Práce s Prohlížedem událostí

341

Stanovení maximální velikosti souboru protokolu

Maximální velikost souboru s protokolem událostí na jednotlivém po²íta²i zmµníme buÅto v dialogovém oknµ vlastností protokolu událostí, nebo zásahem do registru. Prost½ednictvím Group Policy (Zásady skupiny) a jejích šablon zabezpe²ení m¾žeme také zmµnit maximální velikost souboru s protokolem událostí na nµkolika po²íta²ích sou²asnµ. Maximální velikost souboru s protokolem událostí Security (Zabezpe²ení) je uložena v hodnotµ registru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\MaxSize.

Konfigurace chování p„i p„episování P½i konfiguraci nastavení protokolu událostí Security (Zabezpe²ení) musíme také stanovit, co se stane po dosažení definované maximální velikosti souboru s protokolem – hovo½íme o takzvaném chování p»i p»episování. Ve Windows Serveru 2003, Windows 2000 a Windows XP máme k dispozici celkem t½i možná chování: „ Overwrite events as needed (P¾episovat události podle pot¾eby). Nové události se do protokolu budou beze zmµny zapisovat i po jeho zaplnµní. Každá nová událost nahradí nejstarší události v protokolu. „ Overwrite events older than (P¾episovat události starší než [x] dn¿). Události v protokolu se uchovávají po stanovený po²et dní a teprve po jeho uplynutí se smí za²ít p½episovat. Výchozí hodnota je 7 dní. „ Do not overwrite events (clear log manually) (Nep¾episovat události – protokol vymazávat ru³n¶). Nové události se zaznamenávat nebudou a protokol událostí bude nutné vymazat ru²nµ. Navíc m¾žeme v konfiguraci opera²ního systému stanovit, že se p½i zaplnµní protokolu událostí Security (Zabezpe²ení), kdy do nµj nelze zapisovat nové události, zastaví chod systému. V takovém p½ípadµ znamená zaplnµní protokolu chybu se zastavením systému, ozna²ovanou jako modrá obrazovka smrti, konkrétnµ s touto zprávou: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed

Po vzniku této chyby se do systému smí p½ihlásit pouze ²lenové místní skupiny Administrators, kte½í mohou zjišÆovat p½í²iny selhání záznamu do protokolu. Dokud se nepoda½í záznam událostí do protokolu obnovit, nem¾že po²íta² pokra²ovat v normální práci. Toto nastavení je d¾ležité p½edevším v prost½edích s vysokými ná-

Zabezpe:ení jádra opera:ního systému

Výchozí hodnota maximální velikosti souboru s protokolem událostí Security (Zabezpe²ení), po jejímž dosažení se spustí chování p½i p½episování, je pod systémem Windows Server 2003 16 MB a pod Windows 2000 a Windows XP 512 KB. Dnes již máme na po²íta²ích k dispozici podstatnµ více volného diskového prostoru než d½íve, a proto je vhodné tuto prahovou hodnotu zvýšit. Konkrétní cílová hodnota závisí na typu chování p½i p½episování, ale obecnµ je dobré uvažovat systémový protokol nejménµ o velikosti 50 MB. Vzhledem k architektu½e záznamové služby Event Log (Protokol událostí) nesmí celková kumulovaná velikost všech soubor¾ s protokoly událostí p½ekro²it 300 MB. Každá bezpe²nostní událost zabírá zhruba 350 až 500 bajt¾, takže protokol událostí o velikosti 10 MB pojme p½ibližnµ 20 000 až 25 000 bezpe²nostních událostí.

342

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

roky na bezpe²nost, protože takto se v systému zaru²enµ zaznamenají všechny bezpe²nostní události. Jestliže ale v systému vznikne velké množství bezpe²nostních událostí, nap½íklad z d¾vodu vstupu úto²níka nebo problému v síti, m¾že dojít k situaci s odep½ením služeb. Navíc, popisované zastavení chodu serveru m¾že být v rozporu s požadovanou nebo smluvnµ zajištµnou úrovní dostupnosti služby. Pokud má daná organizace vysoké nároky na bezpe²nost i na dostupnost systém¾, musíme implementovat vhodnou metodu programového odstra¹ování starších auditovaných událostí z protokol¾. Pozn·mka AutomatickÈ ukonËenÌ chodu systÈmu Windows 2000 a novÏjöÌho v situaci, kdy nelze zaznamen·vat ud·losti zabezpeËenÌ, je moûnÈ konfigurovat pomocÌ registraËnÌ hodnoty HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail , do nÌû zapÌöeme 1. Jakmile skuteËnÏ dojde k ukonËenÌ chodu poËÌtaËe z d˘vodu nefunkËnosti z·znamu do protokolu, zmÏnÌ se uveden· hodnota na 2; Ëlen mÌstnÌ skupiny Administrators musÌ po p¯ihl·öenÌ do systÈmu vr·tit hodnotu na 1. ZapÌöeme-li do registraËnÌ hodnoty 0, bude funkce CrashOnAuditFail pro automatickÈ ukonËenÌ chodu systÈmu vypnuta.

Nemáte-li v síti centralizovaný systém auditu, nap½íklad Microsoft Operations Manager, musíte pe²livµ zvážit, které z nabízených chování pro p½episování se v podmínkách dané organizace hodí nejlépe. Obvykle je nejrozumnµjší postarat se o dostate²nou velikost protokolu Security (Zabezpe²ení), který tak pojme všechny pot½ebné události od jedné archivace do druhé.

15.3 Konfigurace zásad auditování Systémy Microsoft Windows Server 2003, Windows 2000 a Windows XP definují nµkolik kategorií auditu bezpe²nostních událostí. P½i návrhu konkrétní strategie auditu ve firemní síti se proto musíme rozhodnout, jestli budou auditu podléhat události úspµchu a selhání v následujících kategoriích: „ Account logon events (Události p½ihlášení k ú²tu) „ Account management events (Události správy ú²tu) „ Directory service access (Události p½ístupu k adresá½ové službµ) „ Logon events (Události p½ihlášení) „ Object access (P½ístup k objekt¾m) „ Policy change (Zmµny zásad) „ Privilege use (Oprávnµné použití) „ Process tracking (Sledování proces¾) „ System events (Systémové události) Aktuální stav auditu v jednotlivých kategoriích zjistíme pod Windows Serverem 2003, Windows 2000 nebo Windows XP z modulu snap-in Local Security Policy (Místní zásady zabezpe²ení) konzoly MMC (Microsoft Management Console). Na obrázku 15.2 jsou zachycena nastavení zásad auditu pod Windows 2000.

Konfigurace zásad auditování

343

OBRÁZEK 15.2: Nastavení zásad auditu v modulu snap-in Local Security Policy konzoly MMC pod Windows 2000

Jestliže se uživatel p½ihlašuje do domény, zpracuje se jeho žádost o p½ihlášení v ½adi²i domény. Pokud zapneme auditování událostí p½ihlášení k ú²tu na všech ½adi²ích domény, zaznamenají se pokusy o p½ihlášení do domény na tom ½adi²i domény, který provádí ovµ½ení ú²tu. Události p½ihlášení k ú²tu se generují v okamžiku ovµ½ení zadaných povµ½ení (p½ihlašovacích údaj¾) uživatele nebo po²íta²e uvnit½ ovµ½ovacího balíku – aÆ už je toto ovµ½ení úspµšné ²i nikoli. Použije-li se doménové povµ½ení, generují se události p½ihlášení k ú²tu jen v protokolech událostí na ½adi²ích domény. Jestliže k ovµ½ení p½edkládáme povµ½ení z místního po²íta²e, zapíší se události p½ihlášení k ú²tu do místního protokolu událostí Security (Zabezpe²ení) p½ímo na daném serveru nebo pracovní stanici. Tip Protoûe ud·lost p¯ihl·öenÌ k ˙Ëtu m˘ûe b˝t zaznamen·na na libovolnÈm platnÈm ¯adiËi v domÈnÏ, musÌte p¯i anal˝ze ud·lostÌ p¯ihl·öenÌ k ˙Ëtu v domÈnÏ slouËit vöechny protokoly ud·lostÌ Security (ZabezpeËenÌ) z jednotliv˝ch ¯adiˢ domÈny.

P½i definování této zásady m¾žete stanovit, jestli mají auditu podléhat úspµšné nebo neúspµšné pokusy o p½ihlášení. Audit úspµšných pokus¾ znamená, že se událost auditu vygeneruje v okamžiku úspµšného p½ihlášení, zatímco p½i auditu neúspµšných pokus¾ se událost auditu generuje po neúspµšném pokusu o p½ihlášení. Z auditu úspµšných pokus¾ o p½ihlášení k ú²tu zjistíme, kdy se uživatelé a po²íta²e úspµšnµ p½ihlásili do domény nebo místního po²íta²e. Pokud budeme auditovat také neúspµšné pokusy o p½ihlášení, m¾žeme detekovat pokusy o útok s napadením ú²tu. Detekce stovek nebo i tisíc neúspµšných pokus¾ o p½ihlášení k jednomu uživatelskému ú²tu bµhem nµkolika sekund tak nap½íklad zcela jasnµ poukazuje na pokus o prolomení hesla uživatele metodou hrubé síly. Prozkoumáním úspµšných událostí p½ihlášení k ú²tu m¾žeme zjistit nejen ú²et, jehož p½ihlášení se zda½ilo nebo nezda½ilo (respektive jeho bezpe²nostní identifikátor SID), ale také následující informace: „ Název po²íta²e, z nµhož byl pokus o p½ihlášení veden. Úto²níci používají v názvech po²íta²¾ ²asto netištitelné znaky, tedy znaky z rozší½ené znakové sady, a tím pádem jsou v Prohlíže²i událostí skrytí. „ Doménový nebo po²íta²ový název použitého ú²tu, z nµhož byl na po²íta²i v pracovní skupinµ útok veden.

Zabezpe:ení jádra opera:ního systému

Auditování událostí p„ihlášení k údtu

344

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

„ Typ pokusu o p½ihlášení, kterým m¾že být libovolná z hodnot uvedených v tabulce 15.1. TABULKA 15.1: Typy pokus˘ o p¯ihl·öenÌ Typ p„ihlá- Název šení

Popis

2

Interactive

P„ihlášení uživatele z Terminálových služeb Windows 2000 nebo p„ihlášení uživatele fyzicky p„ítomného u podítade

3

Network

Obvykle slouží pro p„ístup k soubor‘m a tiskárnám

4

Batch

P„ihlášení bylo zahájeno z procesu s právy dávkového p„ihlášení

5

Service

P„ihlášení bylo zahájeno prost„ednictvím služby, která má právo Logon as a Service (P„ihlásit se jako služba)

6

Proxy

Tento typ není implementován v žádné verzi operadního systému Windows

7

Unlock Workstation Tento typ se zaznamenává v okamžiku odemknutí konzoly Logon podítade

8

NetworkCleartext

Vyhrazeno pro p„ihlášení p„es sí‰ ve formátu prostého textu

9

NewCredentials

P„ihlášení bylo zahájeno z p„íkazu RunAs s p„epínadem /netonly

10

RemoteInteractive

Tento typ se zaznamenává p„i p„ihlášení Terminálových služeb v systému Windows Server 2003 a Windows XP

11

CachedInteractive

Tento typ se zaznamenává p„i místním p„ihlášení k podítadi prost„ednictvím povg„ení uloženého v mezipamgti cache

13

CachedUnlock

Tento typ se zaznamenává v p„ípadg, že byl podítad odemknut a povg„ení uživatele bylo ovg„eno porovnáním s d„íve uloženým povg„ením v mezipamgti

„ Proces, který p½ihlášení zahájil; m¾že jím být nµkterý z následujících proces¾: ƒ Advapi Pro volání API funkce LogonUser ƒ Microsoft Internet Information Services (IIS) Pro p½ihlášení pod anonymním ú²tem Anonymous a pro pokusy o p½ihlášení se základním ovµ½ením nebo s ovµ½ením otisku (digest) ƒ LAN Manager Workstation Service Pro pokusy o p½ihlášení protokolem LAN Manager (LM) ƒ Kerberos Pro volání z poskytovatele Kerberos Security Support Provider (SSP) ƒ KsecDD Pro síÆová p½ipojení ƒ MS.RADIU Pro pokusy o p½ihlášení, vedené z ovµ½ovací služby Microsoft Internet Authentication Service (IAS)

Konfigurace zásad auditování

345

ƒ NT LAN Manager (NTLM) nebo NTLM Security Support Provider (NtLmSsp) Pro pokusy o p½ihlášení v protokolu NTLM ƒ Service Control Manager (SCMgr) Pro p½ihlášení pod ú²tem služby ƒ Seclogon Pro pokusy o p½ihlášení s p½íkazem RunAs ƒ User32 nebo WinLogon\MSGina Pro pokusy o interaktivní p½ihlášení „ Ovµ½ovací balík, jehož prost½ednictvím se ovµ½uje pokus o p½ihlášení; platné hodnoty jsou: ƒ Kerberos ƒ Negotiate ƒ NTLM ƒ Microsoft_Authentication_Package_v10

Vždy nezapome¹te zaznamenávat v rámci auditu jak úspµšné, tak i neúspµšné pokusy o p½ihlášení do systému. Události úspµšného p½ihlášení jsou velmi d¾ležité pro sestavení srovnávací základny bµžného chování uživatel¾ a mohou být podstatné i p½i vyšet½ování bezpe²nostních incident¾. Neúspµšné události pak mohou být projevem pokusu úto²níka o proniknutí do sítµ. V²asným (proaktivním) sledováním neúspµšných událostí m¾žeme zabránit i útok¾m s rozsáhlými škodlivými následky v síti. Nejbµžnµjší události p½ihlášení k ú²tu jsou shrnuty v tabulce 15.2. TABULKA 15.2: NejbÏûnÏjöÌ ud·losti p¯ihl·öenÌ k ˙Ëtu ID události

Popis

672

Lístek ovg„ovací služby Authentication Service byl úspgšng vydán a ovg„en.

673

Lístek služby Ticket Granting Service byl udglen.

674

Nositel zabezpedení (principal) obnovil lístek ovg„ovací služby Authentication Service nebo lístek služby Ticket Granting Service.

675

P„edbgžné ovg„ení v protokolu Kerberos selhalo.

676

Žádost o ovg„ovací lístek selhala. Tato událost není ve Windows XP ani ve Windows Serveru 2003 implementována.

677

Lístek služby Ticket Granting Service nebyl udglen. Tato událost není ve Windows XP ani ve Windows Serveru 2003 implementována.

678

Údet byl úspgšng mapován na doménový údet.

679

Mapování údtu na doménový údet selhalo.

680

Byl identifikován údet použitý p„i úspgšném pokusu o p„ihlášení. Tato událost soudasng vyznaduje, pomocí kterého ovg„ovacího balíku byl údet ovg„en.

681

Neúspgšný pokus o p„ihlášení k doménovému údtu. Tato událost není ve Windows XP ani ve Windows Serveru 2003 implementována a zaznamenává se místo ní událost 672.

682

Uživatel se znovu p„ipojil k odpojené relaci terminálových služeb.

683

Uživatel se odpojil z relace terminálových služeb.

Zabezpe:ení jádra opera:ního systému

„ IP adresa a zdrojový port pokusu o p½ihlášení – pouze v systému Windows Server 2003

346

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

P½i selhání pokusu o p½ihlášení pod Windows 2000 se navíc zaznamenává událost s ID 681, která zárove¹ obsahuje dekadický kód s d¾vodem selhání. P½ehled kód¾ selhání v dekadickém a hexadecimálním formátu spolu s textovým popisem uvádí tabulka 15.3. TABULKA 15.3: KÛdy d˘vod˘ selh·nÌ u ud·losti ID 681 Dekadická hodnota

Hexadecimální D‘vod hodnota

3221225572

C0000064

Uživatel zadal p„i p„ihlášení nesprávng zapsané nebo chybné jméno uživatelského údtu.

3221225578

C000006A

Uživatel zadal p„i p„ihlášení nesprávng zapsané nebo chybné heslo.

3221225583

C000006F

Uživatel se pokoušel p„ihlásit mimo povolené hodiny.

3221225584

C0000070

Uživatel se pokoušel p„ihlásit z nepovolené pracovní stanice.

3221225585

C0000071

Uživatel se pokoušel p„ihlásit s heslem, jehož platnost vypršela.

3221225586

C0000072

Uživatel se pokoušel p„ihlásit na údet, který byl správcem zablokován.

3221225875

C0000193

Uživatel se pokoušel p„ihlásit k údtu, jehož platnost vypršela.

3221226020

C0000224

Uživatel se pokoušel p„ihlásit za platnosti p„íznaku Change Password At Next Logon (P„i dalším p„ihlášení musí uživatel zmgnit heslo).

3221226036

C0000234

Uživatel se pokoušel p„ihlásit pod uzamknutý údet.

Auditování událostí správy údtu Každý, kdo má p½ístup k ú²tu pro správu systému, má také oprávnµní udµlovat jiným ú²t¾m zvýšená práva a oprávnµní v systému a m¾že vytvá½et nové ú²ty, a proto je nedílnou sou²ástí každého návrhu a implementace síÆové bezpe²nosti také auditování událostí správy ú²tu. Bez vyspµlých biometrických ²i jiných opat½ení špi²kového zabezpe²ení je dosti obtížné nebo dokonce úplnµ nemožné zaru²it, že pod daným ú²tem skute²nµ pracuje ta osoba, které bylo právo k jeho používání vydáno. Auditování je mimo jiné jedním ze zp¾sob¾, jak správc¾m systému p½i½adit a prokázat odpovµdnost za provedené operace. Zapnutí auditu událostí správy ú²tu umož¹uje záznam následujících událostí: „ Vytvo½ení, zmµna nebo odstranµní uživatelského ú²tu ²i skupiny „ P½ejmenování, zablokování nebo odblokování uživatelského ú²tu „ Nastavení nebo zmµna hesla k ú²tu „ Zmµna zásad zabezpe²ení daného po²íta²e Zmµny uživatelských práv se sice na první pohled projevují jako události správy ú²t¾, ale ve skute²nosti se jedná o události zmµny zásad. Pokud budou obµ tyto zásady auditu vypnuté, m¾že zlomyslný správce rozvrátit bezpe²nost celé sítµ, aniž by v auditu systému zanechal jakoukoli stopu. Jestliže nap½íklad správce p½i½adí uživatelský ú²et Sally za ²lena skupiny Backup Operators, zaznamená se událost

Konfigurace zásad auditování

347

U událostí správy ú²t¾ je opµt vhodné auditovat jak úspµšné, tak neúspµšné pokusy. Audit úspµšného pokusu znamená záznam úspµšného dokon²ení operace správy ú²tu, zatímco audit neúspµšných pokus¾ znamená záznam selhání tµchto pokus¾. Úspµšné pokusy o provedení operace správy ú²tu jsou sice v drtivé vµtšinµ p½ípad¾ naprosto neškodné, ale v p½ípadµ napadení sítµ znamenají p½ímo nedocenitelný zdroj informací o probµhlých aktivitách. P½i útoku zde nap½íklad vidíme, které ú²ty si úto²ník vytvo½il jako nové a které pozmµnil. Neúspµšné události (selhání) správy ú²t¾ p½edstavují ²asto pokus správce systému na nižší úrovni o posílení svých oprávnµní (nebo také stejný pokus úto²níka, kterému se poda½ilo ú²et nižšího správce napadnout). Takto se nap½íklad m¾že stát, že se ú²et služby Backup pokusí sám sobµ nebo jinému ú²tu udµlit ²lenství ve skupinµ správc¾ domény. Sledování událostí správy ú²t¾ je proto opravdu kriticky d¾ležité. Nejbµžnµjší události správy ú²t¾ shrnuje tabulka 15.4. TABULKA 15.4: NejbÏûnÏjöÌ ud·losti spr·vy ˙Ët˘ ID události

Popis

624

Vytvo„ení uživatelského údtu.

627

Pokus o zmgnu hesla; tato událost se zaznamenává p„i úspgšném i neúspgšném pokusu o zmgnu hesla.

632

P„idání nového dlena globální skupiny.

633

Odebrání dlena globální skupiny.

634

Odstrangní celé globální skupiny.

635

Vytvo„ení místní skupiny (distribudní).

636

P„idání nového dlena místní skupiny zabezpedení.

637

Odebrání dlena místní skupiny.

638

Odstrangní místní skupiny.

639

Zmgna místní skupiny.

641

Zmgna globální skupiny.

642

Zmgna uživatelského údtu.

643

Zmgna doménových zásad.

644

Uživatelský údet byl zablokován. Na primárním „adidi domény (PDC), který emuluje dinnost hlavního operadního serveru, se p„i zablokování (uzamdení) údtu zaznamenají dvg události, a sice událost 644, která vyjad„uje jméno uzamdeného údtu, a dále událost 642, která vyjad„uje vlastní uzamdení. Událost se zaznamenává pouze na emulátoru primárního „adide domény (PDC).

Zabezpe:ení jádra opera:ního systému

správy ú²tu. Pokud ale stejný správce systému uživateli Sally p½ímo udµlí rozší½ené právo Back Up Files And Folders, událost správy ú²t¾ se již nezaznamená. Pod auditováním správy ú²t¾ se zaznamenávají také zmµny zásad zabezpe²ení po²íta²e; neo²ekávané zmµny tµchto zásad mohou být p½edzvµstí možného napadení systému nebo zni²ení dat. Takto se nap½íklad úto²níkovi m¾že poda½it oslabení bezpe²nosti systému po²íta²e, zablokovat na nµm ur²itý prost½edek, a poté proti nµmu následnµ povede vhodný útok.

348

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

ID události

Popis

645

Vytvo„ení údtu podítade.

646

Zmgna údtu podítade.

647

Odstrangní údtu podítade.

648

Vytvo„ení místní skupiny se zabezpedením (distribudní).

649

Zmgna místní skupiny se zabezpedením (distribudní).

650

Do místní skupiny se zabezpedením (distribudní) byl p„idán nový dlen.

651

Z místní skupiny se zabezpedením (distribudní) byl odebrán dlen.

652

Odstrangní místní skupiny (distribudní).

653

Vytvo„ení globální skupiny (distribudní).

654

Zmgna globální skupiny (distribudní).

655

P„idání nového dlena do globální skupiny (distribudní).

656

Odebrání dlena z globální skupiny (distribudní).

657

Odstrangní distribudní globální skupiny.

658

Vytvo„ení univerzální skupiny se zabezpedením.

659

Zmgna univerzální skupiny se zabezpedením.

660

P„idání nového dlena do univerzální skupiny se zabezpedením.

661

Odebrání dlena z univerzální skupiny se zabezpedením.

662

Odstrangní univerzální skupiny se zabezpedením.

663

Vytvo„ení distribudní univerzální skupiny.

664

Zmgna distribudní univerzální skupiny.

665

P„idání nového dlena do distribudní univerzální skupiny.

666

Odebrání dlena z distribudní univerzální skupiny.

667

Odstrangní distribudní univerzální skupiny.

668

Zmgna typu skupiny.

684

Nastavení popisovade zabezpedení dlen‘ skupin pro správu. Ve všech „adidích domény bgží na pozadí podproces, který každých 60 minut prohledá dleny všech skupin pro správu, vdetng správc‘ domény, rozlehlé sítg a schématu, a znovu na ng aplikuje popisovad zabezpedení. Tato událost se zaznamenává v každém okamžiku inicializace p„ístupového seznamu (ACL).

685

Zmgna jména údtu.

Auditování událostí p„ístupu k adresá„ové službg Zapneme-li auditování adresá½ové služby, m¾žeme sledovat zmµny provedené ve službµ Active Directory. Zmµny v objektech ú²t¾ uživatel¾, po²íta²¾ a skupin sledujeme sice již p½i zapnutí auditu událostí správy ú²t¾, ale nµkdy je vhodné sledovat také zmµny jiných objekt¾ a atribut¾ služby Active Directory, nap½íklad zmµny sou²ástí infrastruktury Active Directory, jako jsou objekty sítí, a zmµny schématu služby Active Directory. Další množinou objekt¾, které se bµžnµ sledují v rámci au-

Konfigurace zásad auditování

349

ditu služby Active Directory, jsou objekty certifika²ních ú½ad¾ (CÚ) rozlehlé sítµ, uložené do konfigura²ního kontejneru p½i instalaci infrastruktury ve½ejného klí²e (Public Key Infrastructure, PKI) v rozlehlé síti pod Windows Serverem 2003 nebo pod Windows 2000.

Jestliže zapneme toto nastavení zásad, m¾žeme opµt ur²it, jestli mají auditu podléhat úspµšné nebo neúspµšné události. Audit úspµšných událostí znamená záznam úspµšného p½ístupu uživatel¾ k objekt¾m služby Active Directory, které mají definovaný p½ístupový seznam SACL. Audit neúspµšných událostí pak znamená záznam neúspµšného p½ístupu k tµmto objekt¾m. Tip Sluûba Active Directory p¯edstavuje datab·zi s nÏkolika hlavnÌmi servery, takûe jejÌ zmÏny mohou b˝t zaps·ny na libovolnÈm z ¯adiˢ domÈny. Poûadovan˝ audit p¯Ìstupu k adres·¯ovÈ sluûbÏ musÌme proto zapnout na vöech ¯adiËÌch domÈny souËasnÏ. K tomu je nejlÈpe vytvo¯it na ˙rovni domÈny p¯Ìsluön˝ objekt Group Policy (Z·sady skupiny) (GPO) se z·sadou auditu.

Všechny události p½ístupu k adresá½ové službµ, a to jak úspµšné, tak i neúspµšné, mají v protokolu událostí Security (Zabezpe²ení) definován ID události 565 nebo 566. P½esný výsledek konkrétní události (v²etnµ jejího úspµchu ²i neúspµchu) je možné zjistit pouze bližším zkoumáním této události 565 nebo 566.

Auditování událostí p„ihlášení P½i zapnutém auditu událostí p½ihlášení se budou zaznamenávat všechny události p½ihlášení a odhlášení uživatele od po²íta²e. Tato událost se zaznamenává vždy do protokolu událostí Security (Zabezpe²ení) na tom po²íta²i, kde se uživatel pokoušel p½ihlásit. Podobnµ pokud se uživatel nebo po²íta² pokusí o p½ipojení ke vzdálenému po²íta²i, vygeneruje se událost síÆového p½ihlášení v protokolu událostí Security (Zabezpe²ení) na tomto vzdáleném po²íta²i. Události p½ihlášení se vytvá½ejí v okamžiku vytvo½ení a zrušení p½ihlašovací relace a tokenu. Pozn·mka Pod Windows 2000 se p¯ihl·öenÌ p¯es Termin·lovÈ sluûby povaûuje za interaktivnÌ p¯ihl·öenÌ, a proto se p¯i vzd·lenÈm vytvo¯enÌ relace termin·lovÈho serveru zaznamen· ud·lost p¯ihl·öenÌ. Pokud je z·znam ud·lostÌ p¯ihl·öenÌ zapnut˝ na poËÌtaËi, kde bÏûÌ termin·lovÈ sluûby, musÌme rozliöit mezi p¯ihl·öenÌm z konzoly a p¯ihl·öenÌm k termin·lovÈ sluûbÏ. V systÈmech Windows Server 2003 a Windows XP je jiû p¯ihl·öenÌ p¯es termin·lovou sluûbu od interaktivnÌho p¯ihl·öenÌ oddÏlenÈ.

Zabezpe:ení jádra opera:ního systému

Pro správný audit úspµšných a neúspµšných pokus¾ o zmµny objekt¾ a atribut¾ služby Active Directory musíme nejen zapnout auditování adresá½ových služeb na všech ½adi²ích domény, ale také musíme pro všechny auditované objekty ²i atributy definovat p½íslušný systémový p½ístupový seznam (SACL). Kromµ záznamu zmµn v objektech a atributech služby Active Directory se v rámci auditování adresá½ové služby provádí také záznam událostí služby Active Directory jako je replikace. Z toho vyplývá, že p½i zapnutí auditu úspµšných událostí p½ístupu k adresá½ové službµ se výraznµ zvýší po²et událostí zaznamenávaných do protokolu Security (Zabezpe²ení); kromµ zvýšení velikosti souboru to ale znamená, že jakékoli hledání smysluplných událostí bez vyspµlých analytických nástroj¾ bude velmi obtížné.

350

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

V rámci auditu událostí p½ihlášení se zaznamenávají pokusy o p½ihlášení všech uživatel¾ i všech po²íta²¾. P½i pokusu o p½ihlášení po síÆovém spojení z po²íta²e se systémem Windows Server 2003, Windows 2000 nebo Windows XP se do protokolu zaznamenají události p½ihlášení ú²tu po²íta²e i uživatelského ú²tu. Pozn·mka Pokud se do domÈny p¯ihl·sÌ uûivatel z poËÌtaËe, kde bÏûÌ systÈm Microsoft Windows 95 nebo Windows 98, zaznamen· se pouze ud·lost p¯ihl·öenÌ uûivatelskÈho ˙Ëtu. PoËÌtaËe se systÈmy Windows 95 a Windows 98 nemajÌ v adres·¯ovÈ sluûbÏ definov·n ˙Ëet poËÌtaËe a p¯i p¯ihl·öenÌ ze sÌtÏ se u nich tudÌû negeneruje ud·lost p¯ihl·öenÌ poËÌtaËe.

Události p½ihlášení k ú²tu jsou užite²né nejen pro sledování pokus¾ o interaktivní p½ihlášení k server¾m, ale také p½i šet½ení útok¾ vedených z ur²itého po²íta²e. V rámci auditu úspµšných událostí se zaznamenávají pokusy, které skon²ily úspµšným p½ihlášením, zatímco v rámci neúspµšného auditu se sledují p½ípady selhání pokusu o p½ihlášení. Mezi auditem událostí p½ihlášení a událostí p½ihlášení k ú²tu je jeden drobný, ale velice d¾ležitý rozdíl. Události p½ihlášení k ú²tu se zaznamenávají na tom po²íta²i, jenž daný ú²et ovµ½il (autentizoval jej), zatímco události p½ihlášení se zaznamenávají na tom po²íta²i, kde se ú²et bude používat. Pokud se nap½íklad uživatel p½ihlásí do sítµ ze svého po²íta²e, který je sou²ástí domény, a to prost½ednictvím svého doménového ú²tu, zaznamená se událost p½ihlášení k ú²tu na tom ½adi²i, který provedl ovµ½ení ú²tu, zatímco událost p½ihlášení se zaznamená na po²íta²i, p½es který se uživatel do sítµ p½ihlásil. Na ½adi²ích domény se zapnutým auditem událostí p½ihlášení se události p½ihlášení generují jen p½i pokusech o interaktivní a síÆové p½ihlášení k samotnému ½adi²i domény – pokusy o p½ihlášení po²íta²e se v rámci auditu nezaznamenávají. P½i auditu úspµšných událostí se zaznamenávají pokusy, které skon²ily úspµšným p½ihlášením, zatímco v rámci neúspµšného auditu se sledují p½ípady selhání pokusu o p½ihlášení. V systému je vhodné zapnout vždy záznam úspµšných i neúspµšných pokus¾ o p½ihlášení. Úspµšné pokusy o p½ihlášení tvo½í srovnávací základnu bµžného chování uživatel¾ p½i p½ihlašování, podle níž m¾žeme následnµ rozpoznat podez½elé chování. Záznam úspµšných pokus¾ o p½ihlášení je d¾ležitý také p½i každém šet½ení incidentu. Pokud budeme v organizaci sledovat i neúspµšné pokusy o p½ihlášení, m¾žeme v²as proaktivnµ reagovat na jakékoli podez½elé chování a tím zabránit dalším síÆovým útok¾m a dalšímu poškození sítµ. Dejme tomu, že si nap½íklad v týdenním p½ehledu auditovaných protokol¾ na serveru všimneme množství neúspµšných pokus¾ o p½ihlášení pod r¾znými uživatelskými ú²ty. Bližším šet½ením zjistíme, že a²koliv je server umístµn ve fyzicky dob½e zabezpe²ené místnosti, probíhaly tyto pokusy o p½ihlášení p½ímo z jeho konzoly. Na toto podez½elé chování m¾žeme v²as reagovat, zabránit poškozování uložených informací a za²ít také s vyšet½ováním možného napadení fyzické bezpe²nosti systému. Popis nejbµžnµjších událostí p½ihlášení je uveden v tabulce 15.5.

Konfigurace zásad auditování

351

ID události

Popis

528

Uživatel se úspgšng p„ihlásil k podítadi.

529

Byl proveden pokus o p„ihlášení pod neznámým uživatelským jménem, nebo pod známým uživatelským jménem, ale s nesprávným heslem.

530

Uživatel se pokoušel p„ihlásit mimo povolené hodiny.

531

Uživatel se pokoušel p„ihlásit pod uzamknutý údet.

532

Uživatel se pokoušel p„ihlásit k údtu, jehož platnost vypršela.

533

Tento uživatel nemá povoleno p„ihlášení k tomuto podítadi.

534

Uživatel se pokusil o p„ihlášení pod nedovoleným typem p„ihlášení, jako je nap„íklad sí‰ové p„ihlášení, interaktivní p„ihlášení, dávka, služba nebo vzdálené interaktivní p„ihlášení.

535

Platnost hesla k danému údtu vypršela.

536

Služba Netlogon není aktivní.

537

Pokus o p„ihlášení selhal z jiného d‘vodu.

538

Uživatel se odhlásil ze systému.

539

Údet byl v okamžiku pokusu o p„ihlášení uzamknutý. Tato událost se zaznamenává v p„ípadg, že se uživatel nebo podítad pokouší o ovg„ení pod údtem, který byl d„íve uzamknut.

540

Úspgšné sí‰ové p„ihlášení.

682

Uživatel se znovu p„ipojil k odpojené relaci terminálových služeb.

683

Uživatel se odpojil z relace terminálových služeb bez „ádného odhlášení.

Auditování p„ístupu k objekt‘m Auditování p½ístupu k objekt¾m znamená sledování úspµšných a neúspµšných pokus¾ o p½ístup k prost½edk¾m, tedy k soubor¾m, tiskárnám a registru. Podobnµ jako u auditu adresá½ových služeb musíme p½itom i p½i auditu objekt¾ konfigurovat u každého sledovaného objektu p½íslušný systémový p½ístupový seznam SACL. Zapnutí auditu p½ístupu k souboru pod Windows XP je zachyceno na obrázku 15.3. Systémový p½ístupový seznam (SACL) se skládá z položek ½ízení p½ístupu ACE. Každá takováto položka pak obsahuje t½i informace: „ Auditovaný nositel zabezpe²ení (principal), tedy uživatel, po²íta² nebo skupina. „ Konkrétní typ auditovaného p½ístupu neboli p»ístupová maska. „ P½íznak, jestli mají auditu podléhat neúspµšné události p½ístupu, úspµšný p½ístup, nebo obojí. Zapínat audit p½ístupu k objekt¾m a vytvá½et nad danými prost½edky (tedy soubory, klí²i registru a tiskárnami) vhodné p½ístupové seznamy SACL má smysl jen v p½ípadµ, že má daná organizace pro záznam pokus¾ o p½ístup k tµmto prost½edk¾m konkrétní vµcné d¾vody. P½i konfiguraci auditování soubor¾ je t½eba p½edem zvážit, jakých operací se bude audit týkat. Bµžné otev½ení textového souboru, zmµna jediného ½ádku a opµtovné uložení souboru znamená nap½íklad pod Windows XP

Zabezpe:ení jádra opera:ního systému

TABULKA 15.5: NejbÏûnÏjöÌ ud·losti p¯ihl·öenÌ

352

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

více než 30 událostí, zapsaných do protokolu Security (Zabezpe²ení). (Tento po²et platí v p½ípadµ, že se u souboru rozhodneme pro audit úplného ½ízení.)

OBRÁZEK 15.3: Konfigurace auditu pdístupu k souboru pod Windows XP Tip D·vejte pozor takÈ p¯i auditu opr·vnÏnÌ Read & Execute nad spustiteln˝mi soubory, protoûe tento typ auditu vyvol· z·znam velkÈho mnoûstvÌ ud·lostÌ. TakÈ kontrola souborovÈho systÈmu v antivirovÈm softwaru generuje p¯i auditu Full Control tisÌce ud·lostÌ p¯Ìstupu k soubor˘m.

P½i konfiguraci p½ístupových seznam¾ SACL je vhodné se omezit jen na ty operace, které skute²nµ pot½ebujeme sledovat. Nad spustitelnými soubory má nap½íklad smysl zapnout audit událostí Write and Append Data a sledovat tak události p½ípadného nahrazení ²i zmµn soubor¾, zp¾sobených mimo jiné po²íta²ovými viry, ²ervy a trojskými ko¹mi. Podobnµ je vhodné sledovat t½eba zmµny v citlivých dokumentech nebo i jakýkoli p½ístup k nim (v²etnµ pouhého ²tení). Tip P¯ed zapnutÌm auditu soubor˘, klÌˢ registru a tisk·ren si ovϯte, jestli audit poûadovanÈho prost¯edku nepovede ke zpomalenÌ Ëinnosti serveru nebo k takovÈmu zhoröenÌ v˝konnosti prost¯edku, kterÈ by mohlo znamenat naruöenÌ bÏûnÈ Ëinnosti firmy.

V rámci auditu p½ístupu k objekt¾m lze sledovat úspµšné i neúspµšné pokusy o p½ístup k soubor¾m, složkám, klí²¾m registru a tiskárnám. Audit úspµšných událostí obsahuje záznam úspµšných p½ístup¾ uživatele k objektu s definovaným p½ístupovým seznamem SACL; audit neúspµšných událostí znamená záznam neúspµšných pokus¾ o p½ístup. Nejobvyklejší události p½ístupu k objekt¾m shrnuje tabulka 15.6.

Konfigurace zásad auditování

353

TABULKA 15.6: BÏûnÈ ud·losti p¯Ìstupu k objekt˘m ID události

Popis

560

Udglení p„ístupu k již existujícímu objektu.

561

Byl alokován popisovad objektu.

562

Byl uzav„en popisovad objektu.

563

Pokus o otev„ení objektu s cílem jeho odstrangní.

564

Odstrangní chrángného objektu.

565

Udglení p„ístupu k již existujícímu typu objektu.

567

Bylo použito oprávngní spojené s daným popisovadem.

568

Pokus o vytvo„ení pevného odkazu na auditovaný soubor.

569

Správce prost„edk‘ v Authorization Manageru se pokusil o vytvo„ení kontextu klienta.

570

Klient se pokusil o p„ístup k objektu. Poznámka: Pro každý pokus o operaci nad objektem je generována samostatná událost auditu.

571

Aplikace Authorization Manageru odstranila kontext klienta.

572

Authorization Manager provedl inicializaci aplikace.

772

Certificate Manager (Správce certifikát‘) odep„el nevy„ízenou žádost o certifikát.

773

Služba Certificate Services (Certifikadní služba) p„ijala znovu podanou žádost o certifikát.

774

Služba Certificate Services odvolala certifikát.

775

Služba Certificate Services p„ijala žádost o publikování seznamu odvolaných certifikát‘ (CRL).

776

Služba Certificate Services publikovala seznam odvolaných certifikát‘ (CRL).

777

Bylo provedeno rozší„ení žádosti o certifikát.

778

Byl zmgngn jeden nebo více atribut‘ žádosti o certifikát.

779

Služba Certificate Services p„ijala žádost o ukondení chodu.

780

Spuštgní operace zálohování služby Certificate Services.

781

Dokondení operace zálohování služby Certificate Services.

782

Spuštgní operace obnovení služby Certificate Services.

783

Dokondení operace obnovení služby Certificate Services.

784

Spuštgní služby Certificate Services.

785

Zastavení služby Certificate Services.

786

Zmgna bezpednostních oprávngní služby Certificate Services.

787

Služba Certificate Services p„ijala archivovaný klíd.

Zabezpe:ení jádra opera:ního systému

Poznámka: P„i vytvo„ení popisovade jsou v ngm udglena urditá oprávngní (Read, Write a další). Jakmile tento popisovad použijeme, m‘že použití každého z oprávngní vygenerovat jednu událost auditu.

354

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

ID události

Popis

788

Služba Certificate Services importovala certifikát do své databáze.

789

Zmgna filtru auditování pro službu Certificate Services.

790

Služba Certificate Services p„ijala žádost o certifikát.

791

Služba Certificate Services schválila žádost o certifikát a vydala certifikát.

792

Služba Certificate Services odep„ela žádost o certifikát.

793

Služba Certificate Services nastavila u žádosti o certifikát nevy„ízený stav.

794

Zmgnila se nastavení Certificate Manageru pro službu Certificate Services.

795

Zmgna konfiguradní položky ve službg Certificate Services.

796

Zmgna vlastnosti služby Certificate Services.

797

Služba Certificate Services provedla archivaci klíde.

798

Služba Certificate Services provedla import archivovaného klíde.

799

Služba Certificate Services publikovala certifikát certifikadního ú„adu (CÚ) do služby Active Directory.

800

Z certifikadní databáze byl odstrangn jeden nebo více „ádk‘.

801

Bylo zapnuto oddglení rolí.

Událost s ²íslem 772 až 801 je možné vygenerovat jen na po²íta²i, kde bµží opera²ní systém Windows Server 2003 a služby Certificate Services.

Auditování zmgny zásad Pomocí auditování zmµn zásad lze sledovat zmµny v následujících t½ech oblastech: „ User Rights Assignment (P½i½azování uživatelských práv) „ Audit Policy (Zásady auditu) „ Trusted Domains (Vztahy d¾vµryhodnosti mezi doménami) Z ozna²ení auditování zm³n zásad by sice vyplývalo, že se tato událost zaznamenává se zmµnou zásad zabezpe²ení po²íta²¾, ale ve skute²nosti se zapisuje do protokolu p½i povolení auditu správy ú²t¾, a to s ID události 643. Pokud je zapnuté auditování zmµn zásad, zaznamenávají se také zmµny p½i½azení uživatelských práv. Úto²ník m¾že p½itom p½i pokusu o napadení systému povýšit svoje oprávnµní, nebo oprávnµní jiného ú²tu – m¾že si nap½íklad p½idat oprávnµní Debug nebo oprávnµní Back Up Files And Folders. Sou²ástí auditu zmµn zásad jsou také pokusy o zmµny samotných zásad auditu a zmµny ve vztazích d¾vµryhodnosti. Opµt je vhodné zapnout audit jak úspµšných, tak neúspµšných pokus¾ o zmµny zásad a sledovat tak veškeré udµlování a odebírání uživatelských práv i zmµn zásad auditu. Záznam úspµšných i neúspµšných pokus¾ znamená audit pokus¾ o zmµny zásad zabezpe²ení, zásad p½i½azování uživatelských práv a zásad d¾vµryhodnosti. Popis nejbµžnµjších událostí zmµny zásad je uveden v tabulce 15.7.

Konfigurace zásad auditování

355

ID události

Popis

608

Uživatelské právo bylo p„i„azeno.

609

Uživatelské právo bylo odebráno.

610

Byl vytvo„en vztah d‘vgryhodnosti s jinou doménou.

611

Vztah d‘vgryhodnosti s jinou doménou byl odstrangn.

612

Provedena zmgna zásad auditu.

613

Spuštgn agent zásad protokolu IPSec (Internet Protocol Security).

614

Zablokování agenta zásad IPSec.

615

Zmgna agenta zásad IPSec.

616

Agent zásad IPSec narazil na potenciálng závažnou chybu.

617

Zmgna zásad modulu Kerberos verze 5.

618

Zmgna zásad obnovení dat (Encrypted Data Recovery).

620

Probghla zmgna vztahu d‘vgryhodnosti s jinou doménou.

621

Údtu bylo udgleno právo p„ístupu k systému.

622

Údtu bylo odebráno právo p„ístupu k systému.

623

Nastavení zásad auditu pro jednotlivého uživatele.

625

Obnovení zásad auditu pro jednotlivého uživatele.

671

Zmgna nebo obnovení zásad zabezpedení (dvg pomldky v poli Changes Made znamenají, že bghem obnovení nebyly provedeny žádné zmgny).

768

Detekována kolize mezi prvkem názvového prostoru v jedné doménové struktu„e (lese) a prvkem názvového prostoru v jiné doménové struktu„e.

769

Byla p„idána informace o d‘vgryhodné doménové struktu„e (lesu).

770

Byla odstrangna informace o d‘vgryhodné doménové struktu„e.

771

Byla zmgngna informace o d‘vgryhodné doménové struktu„e.

805

Služba Event Log p„edetla konfiguraci protokolu Security pro danou relaci.

Auditování používání oprávngní Povolíme-li audit používání oprávnµní, m¾žeme zaznamenávat p½ípady, kdy uživatelé a služby použijí pro výkon své práce ur²itá uživatelská práva, pouze s výjimkou nµkolika uživatelských práv, která auditu nepodléhají. Zmínµné výjimky tvo½í tato uživatelská práva: „ Bypass Traverse Checking (Obejít k½ížovou kontrolu) „ Debug Programs (Ladit programy) „ Create A Token Object (Vytvo½it objekt tokenu) „ Replace Process Level Token (Nahradit token úrovní procesu) „ Generate Security Audits (Generovat audity bezpe²nosti) „ Back Up Files And Directories (Zálohovat soubory a adresá½e)

Zabezpe:ení jádra opera:ního systému

TABULKA 15.7: NejbÏûnÏjöÌ ud·losti zmÏny z·sad

356

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

„ Restore Files And Directories (Obnovit soubory a adresá½e) Pod systémy Windows Server 2003, Windows 2000 a Windows XP se v Group Policy (Zásady skupiny) pod Security Options (Možnosti zabezpe²ení) nachází nastavení ozna²ené Audit Use Of Backup And Restore Privilege (Auditovat použití oprávnµní zálohovat a obnovovat soubory), které umož¹uje sledovat užití oprávnµní Back Up And Restore Files And Folders. Pomocí auditu používání oprávnµní m¾žeme detekovat události spojené s mnoha r¾znými útoky. Mezi tyto události pat½í: „ Ukon²ení chodu místního nebo vzdáleného systému „ Zavedení nebo odstranµní ovlada²¾ za½ízení „ Prohlížení protokolu událostí Security (Zabezpe²ení) „ P½ebírání vlastnictví k objekt¾m „ Jednání jako sou²ást opera²ního systému U používání oprávnµní (uživatelských práv) je vhodné zapnout p½inejmenším záznam neúspµšných pokus¾, které obvykle nazna²ují problémy v síti a ²asto mohou být známkou pokusu o prolomení bezpe²nosti systému. Audit úspµšného použití uživatelských práv je vhodné zapínat jen tehdy, pokud k tomu máme skute²ný vµcný d¾vod. Úspµšné události znamenají auditní záznam každého úspµšného použití uživatelských práv, zatímco p½i neúspµšných událostech podléhá auditu jejich selhání. Nejbµžnµjší události použití oprávnµní shrnuje tabulka 15.8. TABULKA 15.8: Ud·losti pouûitÌ opr·vnÏnÌ ID události

Popis

576

Do p„ístupového tokenu uživatele byla p„idána požadovaná oprávngní. (Tato událost se generuje v okamžiku p„ihlášení uživatele.)

577

Uživatel se pokusil o provedení privilegované dinnosti systémové služby.

578

Použití oprávngní nad již otev„eným popisovadem chrángného objektu.

Auditování sledování proces‘ Výsledkem auditu sledování proces¾ je podrobný záznam provádµní proces¾, tedy události jako aktivace programu, ukon²ení procesu, zdvojení popisova²e a nep½ímý p½ístup k objekt¾m. Sledování procesu generuje p½inejmenším událost aktivace a ukon²ení každého procesu; po zapnutí auditu úspµšných událostí se proto do protokolu událostí Security (Zabezpe²ení) zapisuje velký objem dat. Zapnutí auditu sledování proces¾ je vynikající p½i ½ešení problém¾ a p½i zjišÆování podrobné ²innosti aplikací; tento audit ale rozhodnµ zapínejte jen tehdy, pokud k nµmu máte skute²nµ pádný d¾vod. Protokoly Security (Zabezpe²ení) se zapnutým auditem sledování proces¾ je také vhodné analyzovat pomocí p½íslušného automatického nástroje. P½i záznamu úspµšných událostí se zapisuje úspµšné sledování proces¾, zatímco neúspµšné události znamenají selhání sledování proces¾. Obvyklé události sledování proces¾ shrnuje tabulka 15.9.

Konfigurace zásad auditování

357

TABULKA 15.9: NejbÏûnÏjöÌ ud·losti sledov·nÌ proces˘ ID události

Popis

592

Vytvo„ení nového procesu.

593

Ukondení procesu.

594

Zdvojení (duplikace) popisovade objektu.

595

Získání nep„ímého p„ístupu k objektu.

Auditování systémových událostí

V rámci auditu úspµšných systémových událostí je vhodné sledovat restarty systému; neo²ekávaný restart m¾že být jednak projevem bezpe²nostního incidentu, jednak ale každopádnµ bývá indikátorem ur²itého problému, který s bezpe²ností m¾že, ale nemusí souviset. Audit úspµšných událostí generuje události p½i úspµšném dokon²ení systémové události, audit neúspµšných událostí znamená záznam selhání tµchto operací. Úspµšný výmaz protokolu událostí Security se zaznamenává bez ohledu na zapnutí auditu systémových událostí. Popis nejbµžnµjších typ¾ systémových událostí je uveden v tabulce 15.10. TABULKA 15.10: NejbÏûnÏjöÌ systÈmovÈ ud·losti ID události

Popis

512

Spouštgní operadního systému Windows.

513

Ukondování operadního systému Windows.

514

Místní ú„ad zabezpedení (Local Security Authority, LSA) zavedl nový ovg„ovací balík.

515

D‘vgryhodný p„ihlašovací proces se zaregistroval u místního ú„adu zabezpedení (LSA).

516

Byly vyderpány vnit„ní prost„edky alokované pro frontu zpráv bezpednostních událostí; to znamená ztrátu ngkterých zpráv s bezpednostními událostmi.

517

Protokol Security (Zabezpedení) byl vymazán.

518

Správce zabezpedení údt‘ (Security Accounts Manager, SAM) zavedl oznamovací balídek.

520

Zmgna systémového dasu.

Jak povolit zásady auditování Zásady auditování je možné v systému Windows Server 2003, Windows 2000 a Windows XP zapnout místnµ prost½ednictvím konzoly MMC Local Security Policy (Místní zásady zabezpe²ení), nebo aplikací vhodné šablony zabezpe²ení. Na po²íta²e se systémem Windows Server 2003, Windows 2000 a Windows XP m¾žeme zásady audito-

Zabezpe:ení jádra opera:ního systému

P½i auditu systémových událostí m¾žeme sledovat p½ípady, kdy uživatel nebo proces zmµní r¾zné vlastnosti prost½edí v po²íta²i. Mezi bµžné systémové události pat½í vymazání protokolu událostí Security (Zabezpe²ení), ukon²ení chodu (vypnutí) místního po²íta²e a provedení zmµn v ovµ½ovacích balících, které na po²íta²i pracují.

358

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

vání aplikovat také vzdálenµ, prost½ednictvím Group Policy (Zásady skupiny). V níže uvedených krocích si ½ekneme, jak zapnout zásady auditování místnµ v konzole MMC Local Security Policy (Místní zásady zabezpe²ení); p½íslušnou obrazovku vidíme na obrázku 15.4. Zapnutí auditu provedeme následovnµ: 1. Otev½ete konzolu MMC Local Security Policy (Místní zásady zabezpe²ení). 2. Poklepáním rozbalte podstrom Local Policy (Místní zásady) a poté poklepáním rozbalte podstrom Audit Policy (Zásady auditu). 3. V podoknµ na pravé stranµ poklepejte na zásadu, kterou chcete zapnout nebo vypnout. 4. Zatrhnµte zaškrtávací polí²ka Success (Úspµšné pokusy) a Failed (Neúspµšné pokusy), a to podle typ¾ události, které mají podléhat sledování. 5. Nakonec konzolu MMC uzav½ete.

OBRÁZEK 15.4: Konfigurace zásad auditu v konzole MMC Local Security Policy (Místní zásady zabezpe:ení)

Tabulka 15.11 popisuje zásady auditu, které je vhodné zapnout p½i sledování událostí zabezpe²ení. Spolu s událostmi p½ístupu k objekt¾m a p½ístupu k adresá½ové službµ nezapome¹te nad objekty nebo nad jednotlivými atributy, jejichž ²innost budete sledovat, nastavit také odpovídající p½ístupové seznamy SACL. TABULKA 15.11: Z·kladnÌ okruh zapnut˝ch z·sad auditu Zásada auditu

Auditované události

Audit Account Logon Events (Auditování událostí p„ihlášení k údtu)

Úspgšné, neúspgšné

Audit Account Management (Auditování událostí správy údtu)

Úspgšné, neúspgšné

Audit Directory Service Access (Auditování událostí p„ístupu k adresá„ové službg)

Úspgšné, neúspgšné

Audit Logon Events (Auditování událostí p„ihlášení)

Úspgšné, neúspgšné

Monitorování auditovaných událostí

Zásada auditu

Auditované události

Audit Object Access (Auditování p„ístupu k objekt‘m)

Úspgšné, neúspgšné

Audit Policy Change (Auditování zmgny zásad)

Úspgšné

Audit Privilege Use (Auditování používání oprávngní)

Neúspgšné

Audit Process Tracking (Auditování sledování proces‘)

Žádné

Audit System Events (Auditování systémových událostí)

Úspgšné

359

15.4 Monitorování auditovaných událostí Události zapsané do protokolu Security (Zabezpe²ení) m¾žeme prohlížet pomocí nµkolika r¾zných metod. K dispozici tak máme na jedné stranµ ru²ní procházení protokolu v Prohlíže²i událostí, ale na druhé stranµ také vyspµlé, automatizované softwarové nástroje pro slu²ování a monitorování událostí, jako je Microsoft Operations Manager. Každá z tµchto metod je ur²ena pro jiné ú²ely, takže si i vy sami zvolte takovou, která se pro dané prost½edí a pro danou situaci hodí nejlépe. Monitorování událostí m¾žeme provádµt pomocí ²ty½ základních metod: „ Event Viewer (Prohlíže² událostí) „ Vlastní skripty „ Nástroj Event Comb „ Plnµ automatizované nástroje, jako je Microsoft Operations Manager Výklad plnµ automatizovaných nástroj¾ pro sledování událostí je mimo rámec této knihy; nyní se proto vµnujeme zbývajícím t½em.

Práce s Prohlížedem událostí Nejjednodušší metodou sledování bezpe²nostních událostí v opera²ním systému je práce s Event Viewer (Prohlíže² událostí). Tento nástroj umož¹uje: „ Prohlížet detailní informace o události „ £adit události podle typu, zásad auditu a ²asu „ Vyhledávat události podle hodnot bµžných polí „ Filtrovat události podle hodnot bµžných polí „ Exportovat protokoly událostí do soubor¾ formátu .evt, .csv nebo .txt „ Pro prohlížení a správu protokolu událostí se p½ipojit ke vzdálenému po²íta²i

Zabezpe:ení jádra opera:ního systému

DalöÌ informace PodrobnÏjöÌ informace ke konfiguraci z·sad auditu prost¯ednictvÌm öablon zabezpeËenÌ a Group Policy (Z·sady skupiny) jsou uvedeny v kapitole 11.

360

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

Event Viewer (Prohlíže² událostí) neumož¹uje ale slu²ování (konsolidaci) událostí. Jestliže se tedy události zaznamenávají na nµkolika r¾zných serverech, nap½íklad události p½ihlášení ú²tu (ty se u doménových ú²t¾ zapisují na ovµ½ujícím ½adi²i domény), m¾že být jejich kontrola v prohlíže²i událostí dosti obtížná. Event Viewer dále neumí vyhledávat podle detailních informací o události. Vybrané události m¾žeme ale exportovat do souboru a poté je importovat do databáze, nebo exportované soubory z r¾zných po²íta²¾ zpracovat ve vhodném vlastním skriptu.

Vlastní skripty Pro správu událostí je k dispozici nµkolik skript¾. Seznámíme se alespo¹ s nµkterými: „ Dumpel.exe Ozna²ovaný také jako Dump Event log; jedná se o skript, který z p½íkazového ½ádku provádí výpis protokolu událostí z místního nebo vzdáleného po²íta²e do tabulátory oddµleného textového souboru. Tento výsledný soubor pak m¾žeme importovat nap½íklad do tabulkového procesoru nebo do databáze k dalšímu zpracování a šet½ení. Pomocí nástroje Dumpel.exe m¾žeme také filtrovat ur²ité typy událostí, nebo ve filtru ur²ité události vy½adit. (Nástroj Dumpel.exe najdete na doprovodném CD k této knize, ve složce Tools.) „ Eventlog.pl Tento perlový skript maže a kopíruje soubory protokol¾ a dále zobrazuje a mµní vlastnosti soubor¾ s protokoly na místním nebo vzdáleném po²íta²i se systémem Windows 2000. Pomocí tohoto skriptového nástroje m¾žeme: ƒ Mµnit vlastnosti protokolu událostí ƒ Zálohovat protokoly událostí (ukládat je) ƒ Exportovat seznam událostí do textového souboru ƒ Vymazat protokol událostí (odstranit z nµj všechny události) ƒ Dotazovat se na vlastnosti protokol¾ událostí „ Eventquery.vbs Skript v jazyce Microsoft VBScript, který zobrazuje události z protokol¾ událostí na místním nebo vzdáleném po²íta²i se systémem Windows Server 2003 ²i Windows XP. Pod systémem Windows 2000 m¾žete kromµ výše uvedeného skriptu Eventlog.pl použít také perlový ekvivalent tohoto skriptu, který je sou²ástí Microsoft Windows 2000 Server Resource Kitu, Supplement One (Computer Press, 2000). „ Logparser 2.2 Univerzální nástroj pro analýzu textových soubor¾ a dalších zdroj¾ dat textového typu, jako jsou soubory auditovaných protokol¾; kromµ toho vytvá½í sestavy zadané pomocí podobných p½íkaz¾ jako v jazyce T-SQL. V tomto nástroji m¾žeme také importovat soubory auditovaných protokol¾ do robustnµjších aplikací pro práci s daty, jako je Microsoft SQL Server. Nástroj Logparser 2.2 si m¾žete stáhnout z webových stránek spole²nosti Microsoft, z adresy http:// www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx .

Nástroj Event Comb Nástroj Event Comb provádí analýzu protokol¾ událostí z mnoha server¾ sou²asnµ, p½i²emž pro každý ze server¾, zahrnutých do vyhledávacích kritérií, vytvo½í samostatný podproces. Pomocí nástroje Event Comb m¾žeme shromažÅovat události

Monitorování auditovaných událostí

361

z nµkolika po²íta²¾, na kterých bµží systémy Windows Server 2003, Windows 2000 a Windows XP. Mezi záznamy událostí v shromáždµných souborech protokol¾ m¾žeme také vyhledávat konkrétní události podle libovolných polí. Event Comb umí také prohledávat archivované soubory protokol¾. Na CD N·stroj Event Comb (s n·zvem EventcombMT.exe ) se nach·zÌ na doprovodnÈm CD k tÈto knize. M˘ûete jej st·hnout takÈ z webov˝ch str·nek spoleËnosti Microsoft, z adresy

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af 2e69c-91f3-4e63-8629-b999adde0b9e.

V nástroji Event Comb m¾žeme:

„ Definovat interval hledaných událostí. Intervaly jsou definovány jako uzav½ené, tedy v²etnµ p½íslušných hrani²ních bod¾. Zápisem 528
Zabezpe:ení jádra opera:ního systému

„ Definovat hledání podle jednoho ID událostí nebo podle n¶kolika ID událostí. Pot½ebujeme-li vyhledávat nµkolik ID událostí sou²asnµ, oddµlíme je mezerami.

362

Kapitola 15 – Auditování událostí zabezpedení Microsoft Windows

ƒ Add Single Server Do seznamu p½idá server nebo pracovní stanici zadanou názvem. ƒ Add All GCs In This Domain Umož¹uje p½idání všech ½adi²¾ domény ve vybrané doménµ, které jsou podle své konfigurace servery globálního katalogu. ƒ Get All Servers P½idá všechny servery, které v doménµ vyhledá služba Browser, kromµ všech ½adi²¾ domény. ƒ Get Servers From File Provede import souboru se seznamem prohledávaných server¾. Každý server musí být v tomto textovém souboru uveden na samostatném ½ádku. 3. Po vytvo½ení seznamu server¾ musíme vybrat, nad kterými z nich bude vyhledávání probíhat. Vybrané servery jsou v seznamu zvýraznµny; jestliže p½i klepnutí na další servery podržíme klávesu Ctrl, p½idáme je tak do seznamu vyhledávaných server¾. Jakmile vybereme servery, jejichž protokoly událostí se budou prohledávat, m¾žeme dále zúžit rozsah hledání a vybrat konkrétní protokoly, typy hledaných událostí a další d¾ležitá kritéria pro vyhledávání. Pod nástrojem Event Comb m¾žeme také definované hledání uložit a pozdµji je znovu na²íst; to je užite²né zejména v p½ípadµ, že ²asto vyhledáváme události stejného typu. Vyhledávací kritéria se ukládají do registru pod vµtví HKLM\SOFTWARE\Microsoft\EventCombMT. Výsledky hledání se podle výchozího nastavení ukládají do složky C:\Temp. Protože na mnoha po²íta²ích mají v této složce oprávnµní ke ²tení soubor¾ všichni uživatelé, a to zejména z d¾vodu podpory starších aplikací, je vhodné tuto cestu zmµnit. Sou²ástí výsledk¾ je souhrnný soubor s názvem EventCombMT.txt. Pro každý po²íta² v požadované množinµ prohledávaných protokol¾ událostí se dále vygeneruje samostatný textový soubor s názvem NázevPo¶íta¶e-NázevProtokolu_LOG.txt; tyto jednotlivé textové soubory již obsahují všechny události z požadovaných protokol¾ událostí, které odpovídají zadaným kritériím.

15.5 Doporudené postupy „ Ur³ete, které události se budou zaznamenávat. Spole²nµ s pracovníky, kte½í mají obchodní a technické pravomoci, zajistµte audit všech požadovaných akcí a operací. Protože každý audit znamená snížení výkonu systému, je t½eba sledovat jen ty události, na které se ur²itµ budeme pot½ebovat v budoucnu odvolávat. „ Na všech po³íta³ích a síÇových za¾ízeních synchronizujte systémový ³as. Pro správné svázání souvisejících událostí, které probíhají na r¾zných po²íta²ích a síÆových za½ízeních, musíte zajistit odpovídající synchronizaci ²asu. Ideální je, pokud zajistíme synchronizaci všech po²íta²¾ a síÆových za½ízení s jedním stejným zdrojem ²asu. „ Vytvo¾te si srovnávací základnu událostí. Nejprve si vytvo½te srovnávací základnu bezpe²nostních událostí za normálního stavu systému, s níž m¾žete pozdµji srovnávat p½ípadné vzorky podez½elého chování. Pokud se nem¾žete odvolat na soubor protokolu se srovnávací základnou po½ízenou za normálního stavu, je rozlišení bµžných a škodlivých událostí dosti obtížné.

Další informace

363

„ V souborech protokol¿ sledujte podez¾elé chování. Má-li být audit událostí ú²inným bezpe²nostním opat½ením, musíme v souborech auditovaných protokol¾ sledovat veškeré podez½elé chování. Vhodným ½ešením je také vytvo½ení zkušebního prost½edí, na kterém nasimulujeme bµžné útoky a následnµ provedeme analýzu soubor¾ s protokoly. Tak m¾žeme zmínµné útoky snáze detekovat v ostrém, provozním prost½edí. Události, které jsou obvyklým projevem podez½elého chování, je vhodné v souborech protokol¾ vyhledávat pomocí automatizovaného softwaru nebo vlastních skript¾.

15.6 Další informace Následující ²lánky databáze znalostí (Knowledge Base): „ 300549: „How to Enable and Apply Security Auditing in Windows 2000“, http://support.microsoft.com/kb/300549

„ 814595: „How to Audit Active Directory Objects in Windows Server 2003“, „ 314955: „How to Audit Active Directory Objects in Windows 2000“, http://support.microsoft.com/kb/314955

„ 246120: „How to Determine Audit Policies from the Registry“, http://support.microsoft.com/kb/246120

„ 232714: „How to Enable Auditing of Directory Service Access“, http://support.microsoft.com/kb/232714

„ 299475: „Windows 2000 Security Event Descriptions (Part 1 of 2)“, http://support.microsoft.com/kb/299475

„ 301677: „Windows 2000 Security Event Descriptions (Part 2 of 2)“, http://support.microsoft.com/kb/301677

„ 824209: „How to Use the EventcombMT Utility to Search Event Logs for Account Lockouts“, http://support.microsoft.com/kb/824209 „ 323076: „How to set event log security locally or by using Group Policy in Windows Server 2003“, http://support.microsoft.com/kb/323076 „ Nástroj EventCombMT, ke stažení na Microsoft Download Center, http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid= 7af2e69c-91f3-4e63-8629-b999adde0b9e

„ Nástroj Logparser 2.2, ke stažení na Microsoft Scripting Center, http:// www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx

Zabezpe:ení jádra opera:ního systému

http://support.microsoft.com/kb/814595