- Del I – For begyndere
- Indledning
- Hvad, hvorfor og hvordan hændelseslogfiler
- Hændelseslogkategorier
- Typer af hændelseslogs
- Forstå en hændelse
- Hvordan kan sikkerhedslogfiler forhindre hacks og datatyveri?
- Hændelser, der har brug for auditering og auditplan
- Behov for overvågning af hændelseslogfiler
- Andre nyttige links
Del I – For begyndere
Indledning
Denne vejledning har til formål at hjælpe dig med at skærpe din Windows-sikkerhed og proaktivt forhindre ydelsesforringelse ved at identificere og overvåge kritiske Windows-hændelser.
Tutorialen er tilgængelig i to dele, hvor denne første del dækker emner, der fokuserer på, hvad du som nybegynder skal vide om hændelseslogfiler, og hvorfor de skal overvåges. Hvis du er en erfaren administrator eller en netværkstekniker, skal du gå videre til del II og lære at opsætte overvågning af hændelseslogfiler.
Hvad, hvorfor og hvordan hændelseslogfiler
Hændelseslogfiler er lokale filer, der registrerer alle “hændelser” på systemet, og det omfatter adgang til, sletning, tilføjelse af en fil eller et program, ændring af systemets dato, nedlukning af systemet, ændring af systemets konfiguration osv. Hændelser klassificeres i kategorierne System, Sikkerhed, Program, Directory Service, DNS Server & DFS Replication. Logfiler for Directory Service, DNS Server & DFS Replication gælder kun for Active Directory. Hændelser, der er relateret til system- eller datasikkerhed, kaldes sikkerhedshændelser, og logfilen dertil kaldes Sikkerhedslogfiler.
De følgende afsnit indeholder flere oplysninger om Windows-hændelseslogfiler, og hvad der giver mandat til overvågning af dem:
- Hændelseslogkategorier
- Hændelseslogtyper
- Forstå en hændelse
- Hvordan kan sikkerhedslogfiler forhindre hacks og datatyveri?
- Hændelser, der kræver auditering og auditplan
- Behov for overvågning af hændelseslogfiler
- Andre nyttige links
Hændelseslogkategorier
Hændelseslogfilerne er bredt klassificeret i få standardkategorier baseret på den komponent, der er skyld i fejlen. De forskellige komponenter, for hvilke der logges hændelser, omfatter systemet, systemsikkerheden, de programmer, der er hostet på systemet osv. Nogle programmer logger hændelser i en brugerdefineret kategori i stedet for at logge dem i standardkategorien Applications.
| Event Log Type | Description |
|---|---|
| Application Log | Alle hændelser, der logges af et program. Disse bestemmes af udviklerne, mens de udvikler programmet. F.eks: En fejl ved start af et program registreres i applikationsloggen. |
| Systemlog | En hvilken som helst begivenhed, der logges af operativsystemet. F.eks: Manglende start af et drev under opstart logges under System Logs |
| Security Log | En hvilken som helst hændelse, der har betydning for systemets sikkerhed. F.eks.: gyldige og ugyldige logins og logoffs, enhver sletning af filer osv. logges under denne kategori. |
| Directory Service log | registrerer hændelser i AD. Denne log er kun tilgængelig på domænecontrollere. |
| DNS Server log | registrerer hændelser for DNS-servere og navneopløsninger. Denne log er kun tilgængelig for DNS-servere |
| Log for filreplikeringstjeneste log | registrerer hændelser for replikering af domænecontroller Denne log er kun tilgængelig på domænecontrollere. |
Typer af hændelseslogs
Hver hændelsespost er klassificeret efter Type for at identificere hændelsens alvorlighed. De er Information, Advarsel, Fejl, Succes Audit (Sikkerhedslog) og Fejl Audit (Sikkerhedslog).
| Hændelsestype | Beskrivelse | |
|---|---|---|
| Information | En hændelse, der beskriver den vellykkede drift af en opgave, f.eks. et program, en driver eller en tjeneste. Der logges f.eks. en Information-hændelse, når en netværksdriver indlæses med succes. | |
| Varsling | En hændelse, der ikke nødvendigvis er betydningsfuld, men som dog kan indikere, at der muligvis vil opstå et fremtidigt problem. Der logges f.eks. en Advarsel-meddelelse, når diskpladsen begynder at blive lav. | |
| Fejl | En hændelse, der indikerer et væsentligt problem, f.eks. tab af data eller tab af funktionalitet. Hvis en tjeneste f.eks. ikke kan indlæses under opstart, logges en Fejl-hændelse. | |
| Succes Audit (Sikkerhedslog) | En hændelse, der beskriver den vellykkede gennemførelse af en sikkerhedshændelse, der er blevet auditeret. Der logges f.eks. en succesrevisionshændelse, når en bruger logger på computeren. | |
| Svigtrevision (sikkerhedslog) | En hændelse, der beskriver en revideret sikkerhedshændelse, som ikke blev afsluttet med succes. Der kan f.eks. blive logget en fejlrevision, når en bruger ikke kan få adgang til et netværksdrev. |
Hændelsesviseren viser hændelseslogfilerne på denne måde:
Forstå en hændelse
Hændelser vises med Header-oplysninger og en beskrivelse i hændelsesviseren.
| Header | Beskrivelse | |
|---|---|---|
| Dato | Datoen hændelsen opstod | |
| Time | Tiden | Hændelsen opstod |
| Brugersiden | Brugeren, der har logget ind på computeren, da hændelsen indtraf | |
| Computer | Den computer, hvor hændelsen indtraf | |
| Hændelses-ID | Et hændelsesnummer, der identificerer hændelsestypen. Hjælper med at få mere at vide om hændelsen | |
| Kilde | Den kilde, der genererede hændelsen. Det kan være et program eller en systemkomponent | |
| Type | Hændelsestype (Information, Advarsel, Fejl, Succes Audit og Failure Audit) |
Dobbeltklik på en hændelse for at se detaljerne:
Hvordan kan sikkerhedslogfiler forhindre hacks og datatyveri?
Sikkerhed er den største bekymring, som enhver virksomhed står over for i dag. Hændelser som hacks og datatyverier er konstant stigende, hvilket udsætter alle segmenter af erhvervslivet for risici og efterlader administratorer med røde øjne. Forskellige industrielle undersøgelser afslører, at størstedelen af hacks og tyverier finder sted på grund af ulovlige autentificeringsforsøg. Auditing af ulovlige eller mislykkede login-forsøg kan forhindre (eller reducere) datatyverier.Når det er sagt, er det vigtigt, at vi ved, hvad et operativsystem kan tilbyde af sikkerhed, og hvad vi skal gøre for at implementere operativsystemer med den nødvendige sikkerhed.
Hændelser, der har brug for auditering og auditplan
Hændelser logges ikke som standard for mange sikkerhedsforhold, hvilket betyder, at dine ressourcer stadig er udsat for hackerangreb.Du skal konfigurere overvågningspolitikker for at overvåge sikkerhedshændelserne og logge dem.Kritiske sikkerhedshændelser, der kræver auditering:
- Brugerlogon/logoff
- Computerlogon/logoff/genstart
- Access til objekter, filer og mapper
- Systemtid ændres
- Auditlogs ryddes
Det er ikke nødvendigt at konfigurere alle auditeringspolitikker. Hvis du gør det, vil det resultere i logning for hver enkelt handling, der finder sted, og det vil øge logstørrelsen. Logfilerne rulles over, og afhængigt af størrelsen af den konfigurerede roll-over slettes de ældre logfiler. Hvis du konfigurerer de rigtige politikker, der virkelig er kritiske for dit miljø, forbedrer du sikkerheden.
Auditering af kritiske hændelser er som standard aktiveret for domænecontrollere. For de andre Windows-enheder skal du konfigurere de revisionspolitikker, der er tilgængelige under Lokale sikkerhedsindstillinger. De tilgængelige overvågningspolitikker er:
- Hændelser ved kontotilmelding
- Kontostyring
- Adgang til katalogtjeneste
- Logon-hændelser
- Objektadgang
- Politikændring
- Brug af privilegier
- Sporing af processer
- Systemhændelser
Behov for overvågning af hændelseslogfiler
Behovet for at overholde sikkerhedskrav som SOX, HIPAA osv. for de børsnoterede virksomheder, sundhedssektoren osv., gør det nødvendigt at implementere en sikkerhedsstyringsproces for at beskytte mod forsøg på eller succesfuld uautoriseret adgang. Sikring af oplysningerne på dit netværk er afgørende for din virksomhed med eller uden at skulle overholde visse standarder. Windows-hændelseslogfiler er en af de kilder, som kan bruges til at spore og logge login-forsøg. En manuel kontrol på hver enkelt Windows-enhed er kedelig og umulig og berettiger automatiseret auditering og overvågning af hændelseslogfiler på regelmæssig basis.
Andre nyttige links
Aktivering af sikkerhedsaudit i Windows
Advanced Security Audit Policy Step-by-Step Guide
Næste : Del II