- I. rész – Kezdőknek
- Elvezetés
- Mi, miért és hogyan az eseménynaplók
- Eseménynapló-kategóriák
- Eseménynaplók típusai
- Esemény megértése
- Hogyan akadályozzák meg a biztonsági naplók a hackeléseket és adatlopásokat?
- Az auditálást igénylő események és az auditálási terv
- Eseménynaplók nyomon követésének szükségessége
- Más hasznos linkek
I. rész – Kezdőknek
Elvezetés
Ez az oktatóprogram célja, hogy a kritikus Windows-események azonosításával és figyelésével segítsen a Windows biztonságának szigorításában és a teljesítménycsökkenés proaktív megelőzésében.
A bemutató két részből áll, ez az első rész olyan témákat tárgyal, amelyek arra összpontosítanak, hogy mit kell tudnia kezdőként az eseménynaplókról, és miért kell figyelni őket. Ha Ön tapasztalt rendszergazda vagy hálózati mérnök, lépjen tovább a második részre, és tanulja meg az eseménynaplók megfigyelésének beállítását.
Mi, miért és hogyan az eseménynaplók
Az eseménynaplók olyan helyi fájlok, amelyek rögzítik a rendszerben történt összes “eseményt”, és ezek közé tartozik egy fájl vagy alkalmazás elérése, törlése, hozzáadása, a rendszer dátumának módosítása, a rendszer leállítása, a rendszer konfigurációjának módosítása stb. Az események rendszer, biztonság, alkalmazás, címtárszolgáltatás, DNS-kiszolgáló & DFS Replikáció kategóriákba sorolhatók. A Directory Service, DNS Server & DFS Replication naplók csak az Active Directory esetében alkalmazhatók. A rendszer- vagy adatbiztonsággal kapcsolatos eseményeket biztonsági eseményeknek nevezzük, a hozzá tartozó naplófájlt pedig biztonsági naplóknak.
A Windows eseménynaplókról és arról, hogy mi kötelez a felügyeletükre, a következő szakaszok nyújtanak további részleteket:
- Eseménynapló-kategóriák
- Eseménynapló-típusok
- Esemény megértése
- Hogyan akadályozzák meg a biztonsági naplók a hackeléseket és adatlopásokat?
- A könyvvizsgálatot igénylő események és a könyvvizsgálati terv
- Az eseménynaplók felügyeletének szükségessége
- Más hasznos linkek
Eseménynapló-kategóriák
Az eseménynaplókat a hibás komponens alapján nagyjából néhány alapértelmezett kategóriába sorolják. A különböző komponensek, amelyek eseményeit naplózza a rendszer, a rendszer biztonsága, a rendszerben tárolt alkalmazások stb. Egyes alkalmazások az alapértelmezett Alkalmazások kategóriában történő naplózás helyett egyéni kategóriában naplózzák az eseményeket.
| Eseménynapló típusa | leírás |
|---|---|
| Alkalmazásnapló | Minden olyan esemény, amelyet egy alkalmazás naplóz. Ezeket a fejlesztők határozzák meg az alkalmazás fejlesztése során. Pl: |
| Rendszer napló | Minden olyan esemény, amelyet az operációs rendszer naplóz. Pl: Egy meghajtó indításakor bekövetkező sikertelenség a Rendszernaplók |
| Biztonsági napló | Minden olyan esemény, amely a rendszer biztonságát érinti. Pl.: érvényes és érvénytelen bejelentkezések és kijelentkezések, bármilyen fájltörlés stb. ebben a kategóriában kerülnek naplózásra. |
| Könyvtár szolgáltatási napló | az AD eseményeit rögzíti. Ez a napló csak a tartományvezérlőkön érhető el. |
| DNS szerver napló | a DNS-kiszolgálók és névfeloldások eseményeit rögzíti. Ez a napló csak DNS-kiszolgálókon érhető el |
| Fájlreplikációs szolgáltatás naplója | a tartományvezérlők replikációjának eseményeit rögzíti Ez a napló csak tartományvezérlőkön érhető el. |
Eseménynaplók típusai
Minden eseménybejegyzés típus szerint van osztályozva az esemény súlyosságának azonosítására. Ezek a következők: Információ, Figyelmeztetés, Hiba, Sikeres ellenőrzés (biztonsági napló) és Hibás ellenőrzés (biztonsági napló).
| Esemény típusa | leírás |
|---|---|
| Információ | Egy feladat, például egy alkalmazás, illesztőprogram vagy szolgáltatás sikeres működését leíró esemény. Például egy információ eseményt akkor naplóznak, ha egy hálózati illesztőprogram sikeresen betöltődik. |
| Figyelmeztetés | Egy olyan esemény, amely nem feltétlenül jelentős, de jelezheti egy jövőbeli probléma lehetséges előfordulását. Figyelmeztető üzenet például akkor kerül naplózásra, ha a lemezterület kezd fogyni. |
| Hiba | Eszignifikáns problémát, például adatvesztést vagy funkcióvesztést jelző esemény. Ha például egy szolgáltatás nem töltődik be az indítás során, Hiba esemény kerül naplózásra. |
| Sikeres ellenőrzés (biztonsági napló) | Egy esemény, amely egy ellenőrzött biztonsági esemény sikeres befejezését írja le. Például egy Success Audit esemény akkor kerül naplózásra, amikor egy felhasználó bejelentkezik a számítógépre. |
| Failure Audit (Security log) | Egy olyan auditált biztonsági eseményt leíró esemény, amely nem fejeződött be sikeresen. Például hibaellenőrzés naplózható, ha egy felhasználó nem tud hozzáférni egy hálózati meghajtóhoz. |
Az eseménynaplók az eseménynaplókat így sorolja fel:
Esemény megértése
Az események a fejléc információival és leírásával szerepelnek az eseménynézőben.
| Header | Description |
|---|---|
| Date | Az esemény bekövetkezésének dátuma |
| Time | Az esemény bekövetkezésének időpontja |
| User | A felhasználó, aki az esemény bekövetkezésekor bejelentkezett a számítógépre |
| Computer | A számítógép, ahol az esemény bekövetkezett |
| Event ID | Egy eseményszám, amely azonosítja az esemény típusát. Segít többet megtudni az eseményről |
| Forrás | A forrás, amely az eseményt generálta. Ez lehet alkalmazás vagy rendszerkomponens |
| Típus | Ez esemény típusa (Információ, Figyelmeztetés, Hiba, Sikeres ellenőrzés és Hibaellenőrzés) |
A részletek megtekintéséhez kattintson duplán egy eseményre:
Hogyan akadályozzák meg a biztonsági naplók a hackeléseket és adatlopásokat?
A biztonság a legnagyobb gond, amellyel manapság minden vállalkozásnak szembe kell néznie. Az olyan incidensek, mint a hackelések és az adatlopások folyamatosan emelkednek, az üzleti élet minden szegmensét kitéve a kockázatoknak, és vörös szemmel hagyva a rendszergazdákat. Különböző ipari kutatások azt mutatják, hogy a hackelések és lopások többsége illegális hitelesítési kísérletek miatt történik. Az illegális vagy sikertelen bejelentkezési kísérletek auditálása megakadályozhatja (vagy csökkentheti) az adatlopásokat.Ennek ellenére fontos, hogy tudjuk, mit tud nyújtani egy operációs rendszer a biztonság terén, és mit kell tennünk ahhoz, hogy az operációs rendszereket a szükséges biztonsággal valósítsuk meg.
Az auditálást igénylő események és az auditálási terv
Az események alapértelmezés szerint nem kerülnek naplózásra számos biztonsági feltétel esetén, ami azt jelenti, hogy az erőforrások továbbra is ki vannak téve a hackelésnek.A biztonsági események ellenőrzéséhez és naplózásához ellenőrzési házirendeket kell konfigurálnia.Kritikus biztonsági események, amelyeket auditálni kell:
- A felhasználó bejelentkezése/lejelentkezése
- számítógép bejelentkezése/lejelentkezése/újraindítása
- Objektekhez, fájlokhoz és mappákhoz való hozzáférés
- Rendszeridő módosítása
- Az auditnaplók törlése
Nem szükséges az összes audit házirend konfigurálása. Ha ezt tenné, akkor minden egyes művelet naplózása következne be, és növelné a napló méretét. A naplók továbbgördülnek, és a konfigurált továbbgördülés méretétől függően a régebbi naplók törlődnek. A megfelelő házirendek beállítása, amelyek valóban kritikusak a környezet számára, javítja a biztonságot.
A kritikus események auditálása alapértelmezés szerint engedélyezett a tartományvezérlők esetében. A többi Windows-eszköz esetében konfigurálja a Helyi biztonsági beállítások alatt elérhető ellenőrzési házirendeket. A rendelkezésre álló ellenőrzési házirendek a következők:
- Bejelentkezési események
- Fiókkezelés
- Könyvtárszolgáltatáshoz való hozzáférés
- Bejelentkezési események
- Tárgyhoz való hozzáférés
- Házirend módosítása
- Jogosultságok használata
- Folyamatok nyomon követése
- Rendszeres események
.
Eseménynaplók nyomon követésének szükségessége
A biztonsági előírások betartásának szükségessége, mint például a SOX, HIPAA stb. a tőzsdén jegyzett vállalatok, az egészségügy stb. számára, szükségessé teszi a biztonsági menedzsment folyamatok végrehajtását a megkísérelt vagy sikeres jogosulatlan hozzáférés elleni védelem érdekében. A hálózaton lévő információk védelme kritikus fontosságú a vállalkozás számára, függetlenül attól, hogy meg kell-e felelnie bizonyos szabványoknak. A Windows eseménynaplók az egyik olyan forrás, amelynek segítségével a bejelentkezési kísérletek nyomon követhetők és naplózhatók. Minden Windows-eszköz kézi ellenőrzése fárasztó és lehetetlen, ezért indokolt az eseménynaplók rendszeres automatizált ellenőrzése és nyomon követése.
Más hasznos linkek
A biztonsági ellenőrzés engedélyezése a Windowsban
Továbbfejlesztett biztonsági ellenőrzési házirend lépésről lépésre útmutató
Következő : II. rész