- Část I – Pro začátečníky
- Úvod
- Co, proč a jak s protokoly událostí
- Kategorie protokolů událostí
- Typy protokolů událostí
- Poznání události
- Jak mohou bezpečnostní protokoly zabránit hackerům a krádežím dat?
- Události, které vyžadují auditování, a plán auditu
- Potřeba sledování protokolů událostí
- Další užitečné odkazy
Část I – Pro začátečníky
Úvod
Tento výukový kurz je zaměřen na posílení zabezpečení systému Windows a aktivní prevenci snížení výkonu pomocí identifikace a monitorování kritických událostí systému Windows.
Učebnice je zpřístupněna ve dvou částech, přičemž tato první část zahrnuje témata zaměřená na to, co byste jako začátečníci měli vědět o protokolech událostí a proč je třeba je sledovat. Pokud jste zkušený správce nebo síťový inženýr, přejděte k druhé části a naučte se nastavit sledování protokolů událostí.
Co, proč a jak s protokoly událostí
Protokoly událostí jsou místní soubory zaznamenávající veškeré „dění“ v systému a zahrnuje přístup, odstranění, přidání souboru nebo aplikace, změnu data systému, vypnutí systému, změnu konfigurace systému atd. Události jsou rozděleny do kategorií Systém, Zabezpečení, Aplikace, Adresářová služba, Server DNS & Replikace DFS. Protokoly adresářové služby, serveru DNS & Replikace DFS jsou použitelné pouze pro službu Active Directory. Události, které souvisejí se zabezpečením systému nebo dat, se nazývají události zabezpečení a jejich soubor protokolu se nazývá Protokoly zabezpečení.
Následující části poskytují podrobnější informace o protokolech událostí systému Windows a o tom, co nařizuje jejich sledování:
- Kategorie protokolů událostí
- Typy protokolů událostí
- Poznání události
- Jak mohou protokoly zabezpečení zabránit hackerům a krádežím dat?
- Události, které vyžadují audit a plán auditu
- Potřeba monitorování protokolů událostí
- Další užitečné odkazy
Kategorie protokolů událostí
Protokoly událostí jsou obecně rozděleny do několika výchozích kategorií na základě komponenty, která je na vině. Mezi různé komponenty, pro které se události zaznamenávají, patří systém, zabezpečení systému, aplikace hostované v systému atd. Některé aplikace zaznamenávají události do vlastní kategorie, místo aby je zaznamenávaly do výchozí kategorie Aplikace.
| Typ protokolu událostí | Popis |
|---|---|
| Protokol aplikace | Jakákoli událost zaznamenaná aplikací. Určují je vývojáři při vývoji aplikace. Např.: |
| Systémový protokol | Jakákoli událost zaznamenaná operačním systémem. Např: Selhání při spuštění jednotky se zaznamená do systémových protokolů |
| Záznamy o zabezpečení | Jakákoli událost, která se týká zabezpečení systému. Např. v této kategorii se zaznamenávají: platná a neplatná přihlášení a odhlášení, jakékoli odstranění souboru atd. |
| Deník adresářové služby | zaznamenává události služby AD. Tento protokol je k dispozici pouze u řadičů domény. |
| Protokol serveru DNS | zaznamenává události serverů DNS a překladů jmen. Tento protokol je k dispozici pouze pro servery DNS |
| Protokol služby replikace souborů | zaznamenává události replikace řadičů domény Tento protokol je k dispozici pouze na řadičích domény. |
Typy protokolů událostí
Každý záznam události je klasifikován podle typu, který určuje závažnost události. Jsou to Informace, Varování, Chyba, Audit úspěchu (bezpečnostní protokol) a Audit selhání (bezpečnostní protokol).
| Typ události | Popis |
|---|---|
| Informace | Událost, která popisuje úspěšnou činnost úlohy, například aplikace, ovladače nebo služby. Například událost Informace je zaznamenána, když se úspěšně načte síťový ovladač. |
| Upozornění | Událost, která nemusí být nutně významná, může však naznačovat možný výskyt budoucího problému. Například zpráva Warning se zaznamená, když začne docházet místo na disku. |
| Error | Událost, která indikuje významný problém, například ztrátu dat nebo ztrátu funkčnosti. Pokud se například nepodaří načíst službu při spuštění, zaznamená se událost Chyba. |
| Audit úspěchu (bezpečnostní protokol) | Událost, která popisuje úspěšné dokončení auditované bezpečnostní události. Událost auditu úspěchu je například zaznamenána, když se uživatel přihlásí k počítači. |
| Audit neúspěchu (bezpečnostní protokol) | Událost, která popisuje auditovanou bezpečnostní událost, která nebyla úspěšně dokončena. Audit selhání může být například zaznamenán, když uživatel nemůže přistupovat k síťové jednotce. |
Prohlížeč událostí uvádí seznam protokolů událostí takto:
Poznání události
Události jsou v Prohlížeči událostí uvedeny s informacemi o záhlaví a popisem.
| Záhlaví | Popis |
|---|---|
| Datum | Datum, kdy událost nastala |
| Čas | Čas, kdy událost nastala |
| Uživatel | Uživatel, který se přihlásil k počítači v okamžiku výskytu události |
| Počítač | Počítač, na kterém k události došlo |
| Ident ID události | Číslo události, které identifikuje typ události. Pomáhá zjistit více informací o události |
| Zdroj | Zdroj, který událost vygeneroval. Může to být aplikace nebo systémová komponenta |
| Typ | Typ události (Informace, Varování, Chyba, Audit úspěchu a Audit selhání) |
Dvojklikem na událost zobrazíte podrobnosti:
Jak mohou bezpečnostní protokoly zabránit hackerům a krádežím dat?
Zabezpečení je největším problémem, kterému dnes čelí každá firma. Incidentů, jako jsou hackerské útoky a krádeže dat, neustále přibývá, což vystavuje všechny segmenty podnikání rizikům a zanechává správce zarudlé. Různé průmyslové výzkumy ukazují, že k většině hackerských útoků a krádeží dochází v důsledku nelegálních pokusů o ověření. Auditování nelegálních nebo neúspěšných pokusů o přihlášení by mohlo zabránit krádežím dat (nebo je omezit).
Události, které vyžadují auditování, a plán auditu
Události se ve výchozím nastavení u mnoha bezpečnostních podmínek nezaznamenávají, což znamená, že vaše prostředky jsou stále vystaveny hackerům.Pro auditování událostí zabezpečení a jejich protokolování je třeba nakonfigurovat zásady auditu.Kritické bezpečnostní události, které je třeba auditovat:
- přihlášení/odhlášení uživatele
- přihlášení/odhlášení/restart počítače
- přístup k objektům, souborům a složkám
- změna systémového času
- vymazání protokolů auditu
Není nutné konfigurovat všechny zásady auditu. Pokud byste tak učinili, došlo by k protokolování každé provedené akce a zvětšila by se velikost protokolu. Protokoly se rolují a v závislosti na nakonfigurované velikosti rolování se starší protokoly mažou. Konfigurace správných zásad, které jsou pro vaše prostředí skutečně kritické, zlepší zabezpečení.
Audit kritických událostí je pro řadiče domény ve výchozím nastavení povolen. Pro ostatní zařízení systému Windows nakonfigurujte zásady auditu dostupné v části Místní nastavení zabezpečení. K dispozici jsou tyto zásady auditu:
- Události přihlášení k účtu
- Správa účtů
- Přístup ke službě adresáře
- Události přihlášení
- Přístup k objektu
- Změna zásad
- Používání oprávnění
- Sledování procesů
- Systémové události
.
Potřeba sledování protokolů událostí
Potřeba dodržovat bezpečnostní předpisy, jako je SOX, HIPAA atd. pro veřejně obchodovatelné společnosti, zdravotnictví atd. vyžaduje zavedení procesu správy zabezpečení na ochranu před pokusy o neoprávněný přístup nebo úspěšnými pokusy o něj. Zabezpečení informací v síti je pro vaše podnikání zásadní, ať už s nutností dodržovat některé normy, nebo bez ní. Protokoly událostí systému Windows jsou jedním ze zdrojů, pomocí nichž lze sledovat a zaznamenávat pokusy o přihlášení. Ruční kontrola každého zařízení se systémem Windows je zdlouhavá a nemožná a odůvodňuje automatickou kontrolu a pravidelné sledování protokolů událostí.
Další užitečné odkazy
Zapnutí auditu zabezpečení v systému Windows
Pokročilý průvodce zásadami auditu zabezpečení krok za krokem
Další : Část II
.