Расширенный аудит событий в операционных системах Microsoft Windows

Расширенный аудит событий в операционных системах Microsoft Windows

П. Ложников, системный администратор ВЦ СибАДИ

Аудит Windows и его недостатки

Как правило, администраторы не используют весь спектр регистрируемых событий. Объясняется это в первую очередь неудобством работы с журналом аудита данных операционных систем (Security Events), а также сложностью механизмов перекодировки и анализа событий штатного аудита. На практике в журналах аудита обычно регистрируются события, которые позволяют администраторам обеспечивать лишь контроль за аутентификацией и изменением списков пользователей. Настроить же полноценную политику аудита (совокупность правил, разработанных на основе политики безопасности организации и определяющих, какие события должны регистрироваться в журнале аудита) в операционных системах Microsoft Windows 2000/XP/2003 сложно по двум главным причинам:

• Отсутствие специальной группы пользователей — аудиторов, обладающих правом доступа к журналу аудита. Большинство политик безопасности предполагают, что право работы с подсистемой аудита не должно полностью предоставляться администраторам операционной системы. Все события, которые записываются в журнал аудита, должны быть тут же известны аудиторам. Это делается для защиты от несанкционированных действий самих администраторов.
• Отсутствие возможности организации централизованного сбора аудита с компьютеров, объединенных в сеть. Операционные системы Microsoft Windows 2000/2003 Server при установке предлагают ряд особых конфигураций серверов: файловый сервер, сервер печати, контроллер домена и т.д., но пока в этом списке не указана роль сервера сбора аудита. Для расследования каких-либо инцидентов с информационной безопасностью необходимо обращаться к журналам аудита разных компьютеров сети. Например, для того чтобы отследить возможные попытки незаконного проникновения в корпоративную сеть организации, необходимо будет отслеживать события с номерами от 529 до 537, а также с номером 539 на всех потенциально доступных для нападения компьютерах. Если учесть, что число компьютеров в корпоративных сетях организаций сегодня измеряется сотнями, то выполнение такой задачи потребует значительного времени.

Создание собственного аудита

Перечисленные недостатки штатного аудита подталкивают организации, всерьез занимающиеся своей информационной безопасностью, к созданию собственных средств аудита событий. Они могут базироваться на штатном аудите операционных систем Microsoft Windows 2000/XP/2003, но в последнее время все больше делается акцент на расширенный аудит событий. Среди основных улучшений процедуры сбора аудита в данном секторе программного обеспечения можно выделить следующие:

• выделение в корпоративной сети отдельного сервера аудита, на котором собирается информация с контролируемых компьютеров о регистрируемых событиях;
• расширенный аудит доступа к объектам операционной системы. Данное направление является основной причиной разработки систем расширенного аудита событий. Вся критичная для организации информация хранится в файлах — объектах операционной системы. Штатный аудит доступа к объектам в операционных системах Microsoft Windows 2000/XP/2003 базируется всего на трех событиях: открытие объекта (событие 560), закрытие объекта (событие 562) и удаление объекта (событие 564). Если настроить аудит доступа к конкретному файлу, то при его открытии в журнал аудита может быть записано более 20 событий, связанных с доступом к данному файлу и к каталогу, где он находится. Однако при этом не зафиксируется, что именно сделал пользователь с этим файлом, мы увидим только тип доступа к данному объекту операционной системы. В любой корпоративной сети существуют критичные ресурсы, за которыми требуется наблюдать самым тщательным образом, и в таких случаях не помешает избыточность информации о том, кто и каким образом использовал данный ресурс. Расширить аудит до такого уровня детализации, когда при открытии объекта пользователем становится реальным записывать, какие клавиши на клавиатуре были нажаты и даже как перемещалась мышь, можно с помощью интерфейса ловушек (hooks) Win32 для перехвата сообщений Windows.

Механизм интерактивного оповещения аудиторов о наиболее важных событиях

Целесообразно на рабочем месте аудитора запускать приложение, которое бы интерактивно оповещало его о наиболее важных событиях, регистрируемых в базе данных сервера аудита.

Статистические данные, которые централизованно собираются, обрабатываются и накапливаются в базе данных аудита, можно использовать не только для расследования нарушений информационной безопасности. Анализ регистрируемых событий дает возможность оценить распределение загрузки общих ресурсов в течение определенного времени, создать "портреты" пользователей по выполнению различных операций на своих компьютерах, дополнительно аутентифици-ровать пользователей, например, по клавиатурному почерку (динамика набора текста) и т.д.