Overvågning af Windows-hændelseslogfiler – en vejledning

author
5 minutes, 52 seconds Read

Del I – For begyndere

Indledning

Denne vejledning har til formål at hjælpe dig med at skærpe din Windows-sikkerhed og proaktivt forhindre ydelsesforringelse ved at identificere og overvåge kritiske Windows-hændelser.

Tutorialen er tilgængelig i to dele, hvor denne første del dækker emner, der fokuserer på, hvad du som nybegynder skal vide om hændelseslogfiler, og hvorfor de skal overvåges. Hvis du er en erfaren administrator eller en netværkstekniker, skal du gå videre til del II og lære at opsætte overvågning af hændelseslogfiler.

Hvad, hvorfor og hvordan hændelseslogfiler

Hændelseslogfiler er lokale filer, der registrerer alle “hændelser” på systemet, og det omfatter adgang til, sletning, tilføjelse af en fil eller et program, ændring af systemets dato, nedlukning af systemet, ændring af systemets konfiguration osv. Hændelser klassificeres i kategorierne System, Sikkerhed, Program, Directory Service, DNS Server & DFS Replication. Logfiler for Directory Service, DNS Server & DFS Replication gælder kun for Active Directory. Hændelser, der er relateret til system- eller datasikkerhed, kaldes sikkerhedshændelser, og logfilen dertil kaldes Sikkerhedslogfiler.

De følgende afsnit indeholder flere oplysninger om Windows-hændelseslogfiler, og hvad der giver mandat til overvågning af dem:

  • Hændelseslogkategorier
  • Hændelseslogtyper
  • Forstå en hændelse
  • Hvordan kan sikkerhedslogfiler forhindre hacks og datatyveri?
  • Hændelser, der kræver auditering og auditplan
  • Behov for overvågning af hændelseslogfiler
  • Andre nyttige links

Hændelseslogkategorier

Hændelseslogfilerne er bredt klassificeret i få standardkategorier baseret på den komponent, der er skyld i fejlen. De forskellige komponenter, for hvilke der logges hændelser, omfatter systemet, systemsikkerheden, de programmer, der er hostet på systemet osv. Nogle programmer logger hændelser i en brugerdefineret kategori i stedet for at logge dem i standardkategorien Applications.

Event Log Type Description
Application Log Alle hændelser, der logges af et program. Disse bestemmes af udviklerne, mens de udvikler programmet. F.eks: En fejl ved start af et program registreres i applikationsloggen.
Systemlog En hvilken som helst begivenhed, der logges af operativsystemet. F.eks: Manglende start af et drev under opstart logges under System Logs
Security Log En hvilken som helst hændelse, der har betydning for systemets sikkerhed. F.eks.: gyldige og ugyldige logins og logoffs, enhver sletning af filer osv. logges under denne kategori.
Directory Service log registrerer hændelser i AD. Denne log er kun tilgængelig på domænecontrollere.
DNS Server log registrerer hændelser for DNS-servere og navneopløsninger. Denne log er kun tilgængelig for DNS-servere
Log for filreplikeringstjeneste log registrerer hændelser for replikering af domænecontroller Denne log er kun tilgængelig på domænecontrollere.

Typer af hændelseslogs

Hver hændelsespost er klassificeret efter Type for at identificere hændelsens alvorlighed. De er Information, Advarsel, Fejl, Succes Audit (Sikkerhedslog) og Fejl Audit (Sikkerhedslog).

Hændelsestype Beskrivelse
Information En hændelse, der beskriver den vellykkede drift af en opgave, f.eks. et program, en driver eller en tjeneste. Der logges f.eks. en Information-hændelse, når en netværksdriver indlæses med succes.
Varsling En hændelse, der ikke nødvendigvis er betydningsfuld, men som dog kan indikere, at der muligvis vil opstå et fremtidigt problem. Der logges f.eks. en Advarsel-meddelelse, når diskpladsen begynder at blive lav.
Fejl En hændelse, der indikerer et væsentligt problem, f.eks. tab af data eller tab af funktionalitet. Hvis en tjeneste f.eks. ikke kan indlæses under opstart, logges en Fejl-hændelse.
Succes Audit (Sikkerhedslog) En hændelse, der beskriver den vellykkede gennemførelse af en sikkerhedshændelse, der er blevet auditeret. Der logges f.eks. en succesrevisionshændelse, når en bruger logger på computeren.
Svigtrevision (sikkerhedslog) En hændelse, der beskriver en revideret sikkerhedshændelse, som ikke blev afsluttet med succes. Der kan f.eks. blive logget en fejlrevision, når en bruger ikke kan få adgang til et netværksdrev.

Hændelsesviseren viser hændelseslogfilerne på denne måde:

Forstå en hændelse

Hændelser vises med Header-oplysninger og en beskrivelse i hændelsesviseren.

Header Beskrivelse
Dato Datoen hændelsen opstod
Time Tiden Hændelsen opstod
Brugersiden Brugeren, der har logget ind på computeren, da hændelsen indtraf
Computer Den computer, hvor hændelsen indtraf
Hændelses-ID Et hændelsesnummer, der identificerer hændelsestypen. Hjælper med at få mere at vide om hændelsen
Kilde Den kilde, der genererede hændelsen. Det kan være et program eller en systemkomponent
Type Hændelsestype (Information, Advarsel, Fejl, Succes Audit og Failure Audit)

Dobbeltklik på en hændelse for at se detaljerne:

Hvordan kan sikkerhedslogfiler forhindre hacks og datatyveri?

Sikkerhed er den største bekymring, som enhver virksomhed står over for i dag. Hændelser som hacks og datatyverier er konstant stigende, hvilket udsætter alle segmenter af erhvervslivet for risici og efterlader administratorer med røde øjne. Forskellige industrielle undersøgelser afslører, at størstedelen af hacks og tyverier finder sted på grund af ulovlige autentificeringsforsøg. Auditing af ulovlige eller mislykkede login-forsøg kan forhindre (eller reducere) datatyverier.Når det er sagt, er det vigtigt, at vi ved, hvad et operativsystem kan tilbyde af sikkerhed, og hvad vi skal gøre for at implementere operativsystemer med den nødvendige sikkerhed.

Hændelser, der har brug for auditering og auditplan

Hændelser logges ikke som standard for mange sikkerhedsforhold, hvilket betyder, at dine ressourcer stadig er udsat for hackerangreb.Du skal konfigurere overvågningspolitikker for at overvåge sikkerhedshændelserne og logge dem.Kritiske sikkerhedshændelser, der kræver auditering:

  • Brugerlogon/logoff
  • Computerlogon/logoff/genstart
  • Access til objekter, filer og mapper
  • Systemtid ændres
  • Auditlogs ryddes

Det er ikke nødvendigt at konfigurere alle auditeringspolitikker. Hvis du gør det, vil det resultere i logning for hver enkelt handling, der finder sted, og det vil øge logstørrelsen. Logfilerne rulles over, og afhængigt af størrelsen af den konfigurerede roll-over slettes de ældre logfiler. Hvis du konfigurerer de rigtige politikker, der virkelig er kritiske for dit miljø, forbedrer du sikkerheden.

Auditering af kritiske hændelser er som standard aktiveret for domænecontrollere. For de andre Windows-enheder skal du konfigurere de revisionspolitikker, der er tilgængelige under Lokale sikkerhedsindstillinger. De tilgængelige overvågningspolitikker er:

  • Hændelser ved kontotilmelding
  • Kontostyring
  • Adgang til katalogtjeneste
  • Logon-hændelser
  • Objektadgang
  • Politikændring
  • Brug af privilegier
  • Sporing af processer
  • Systemhændelser

Behov for overvågning af hændelseslogfiler

Behovet for at overholde sikkerhedskrav som SOX, HIPAA osv. for de børsnoterede virksomheder, sundhedssektoren osv., gør det nødvendigt at implementere en sikkerhedsstyringsproces for at beskytte mod forsøg på eller succesfuld uautoriseret adgang. Sikring af oplysningerne på dit netværk er afgørende for din virksomhed med eller uden at skulle overholde visse standarder. Windows-hændelseslogfiler er en af de kilder, som kan bruges til at spore og logge login-forsøg. En manuel kontrol på hver enkelt Windows-enhed er kedelig og umulig og berettiger automatiseret auditering og overvågning af hændelseslogfiler på regelmæssig basis.

Andre nyttige links

Aktivering af sikkerhedsaudit i Windows

Advanced Security Audit Policy Step-by-Step Guide

Næste : Del II

Similar Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.