- Del I – För nybörjare
- Inledning
- Vad, varför och hur händelseloggar
- Händelseloggkategorier
- Typer av händelseloggar
- Förståelse av en händelse
- Hur kan säkerhetsloggar förhindra hackningar och datastölder?
- Händelser som behöver granskas och granskningsplan
- Behov av övervakning av händelseloggar
- Andra användbara länkar
Del I – För nybörjare
Inledning
Den här handledningen syftar till att hjälpa dig att skärpa din Windows-säkerhet och förebygga prestandaförlust genom att identifiera och övervaka kritiska Windows-händelser.
Tutbildningen är tillgänglig i två delar, där den första delen behandlar ämnen som fokuserar på vad du som nybörjare behöver veta om händelseloggar och varför de måste bevakas. Om du är en erfaren administratör eller nätverkstekniker kan du gå vidare till del II och lära dig att konfigurera övervakning av händelseloggar.
Vad, varför och hur händelseloggar
Händelseloggar är lokala filer som registrerar alla ”händelser” i systemet och det innefattar att komma åt, ta bort, lägga till en fil eller ett program, ändra systemets datum, stänga av systemet, ändra systemkonfigurationen osv. Händelser klassificeras i kategorierna System, Säkerhet, Program, Katalogtjänst, DNS Server & DFS Replication. Loggar för Directory Service, DNS Server & DFS Replication är endast tillämpliga för Active Directory. Händelser som är relaterade till system- eller datasäkerhet kallas säkerhetshändelser och dess loggfil kallas säkerhetsloggar.
Följande avsnitt ger mer information om Windows händelseloggar och vad som kräver övervakning av dem:
- Händelseloggkategorier
- Händelseloggstyper
- Förståelse av en händelse
- Hur kan säkerhetsloggar förhindra hackerier och datastölder?
- Händelser som behöver granskas och granskningsplan
- Behov av övervakning av händelseloggar
- Andra användbara länkar
Händelseloggkategorier
Händelseloggarna klassificeras i stort sett i några få standardkategorier baserade på den komponent som är felande. De olika komponenterna för vilka händelser loggas omfattar systemet, systemsäkerheten, de program som finns i systemet osv. Vissa program loggar händelser i en egen kategori i stället för att logga dem i standardkategorin Applikationer.
| Händelseloggtyp | Beskrivning |
|---|---|
| Applikationslogg | Alla händelser som loggas av ett program. Dessa bestäms av utvecklarna när de utvecklar programmet. T.ex: Ett fel vid start av ett program registreras i programloggen. |
| Systemlogg | Alla händelser som loggas av operativsystemet. T.ex: Misslyckad start av en enhet under uppstart loggas under System Logs |
| Security Log | Alla händelser som har betydelse för systemets säkerhet. Till exempel: giltiga och ogiltiga inloggningar och utloggningar, radering av filer etc. loggas under denna kategori. |
| Directory Service log | registrerar händelser i AD. Denna logg är endast tillgänglig på domänkontrollanter. |
| DNS Server log | registrerar händelser för DNS-servrar och namnresolutioner. Den här loggen är endast tillgänglig för DNS-servrar |
| Logg för filreplikeringstjänsten | registrerar händelser för replikering av domänkontrollanter Den här loggen är endast tillgänglig på domänkontrollanter. |
Typer av händelseloggar
Varje händelsenhet klassificeras med Typ för att identifiera händelsens svårighetsgrad. De är Information, Varning, Fel, Framgångsrevision (säkerhetslogg) och Felrevision (säkerhetslogg).
| Händelsetyp | Beskrivning |
|---|---|
| Information | En händelse som beskriver en framgångsrik operation av en uppgift, t.ex. ett program, en drivrutin eller en tjänst. Till exempel loggas en informationshändelse när en nätverksdrivrutin laddas framgångsrikt. |
| Varning | En händelse som inte nödvändigtvis är viktig, men som kan indikera att ett framtida problem kan uppstå. Ett varningsmeddelande loggas till exempel när diskutrymmet börjar bli litet. |
| Fel | En händelse som indikerar ett betydande problem, till exempel förlust av data eller förlust av funktionalitet. Om t.ex. en tjänst inte kan laddas under uppstarten loggas en felhändelse. |
| Success Audit (Security log) | En händelse som beskriver att en granskad säkerhetshändelse har slutförts med framgång. Till exempel loggas en framgångshändelse när en användare loggar in på datorn. |
| Failure Audit (Security log) | En händelse som beskriver en granskad säkerhetshändelse som inte slutfördes framgångsrikt. Till exempel kan en misslyckande-granskning loggas när en användare inte kan komma åt en nätverksenhet. |
Händelsevisaren listar händelseloggarna så här:
Förståelse av en händelse
Händelser listas med information om rubrik och en beskrivning i händelsevisaren.
| Header | Description | |
|---|---|---|
| Date | Datum då händelsen inträffade | |
| Time | Tid | Tid då händelsen inträffade |
| User | Den användare som har loggat in på datorn när händelsen inträffade | |
| Dator | Datorn där händelsen inträffade | |
| Händelse-ID | Ett händelsenummer som identifierar händelsetypen. Hjälper till att veta mer om händelsen | |
| Källa | Källan som genererade händelsen. Det kan vara en program- eller systemkomponent | |
| Typ | Händelsetyp (information, varning, fel, granskning av framgång och granskning av misslyckande) |
Du kan dubbelklicka på en händelse för att se detaljerna:
Hur kan säkerhetsloggar förhindra hackningar och datastölder?
Säkerhet är det största bekymret för alla företag idag. Incidenter som hackningar och datastölder ökar ständigt, vilket utsätter alla delar av verksamheten för risker och lämnar administratörerna med röda ögon. Olika industriella undersökningar visar att majoriteten av intrång och stölder sker på grund av olagliga autentiseringsförsök. Granskning av olagliga eller misslyckade inloggningsförsök skulle kunna förhindra (eller minska) datastölder.Med detta sagt är det viktigt att vi vet vad ett operativsystem kan erbjuda i form av säkerhet och vad vi måste göra för att implementera operativsystem med den säkerhet som krävs.
Händelser som behöver granskas och granskningsplan
Händelser loggas inte som standard för många säkerhetsförhållanden, vilket innebär att dina resurser fortfarande är utsatta för hackningar.Du måste konfigurera granskningsprinciper för att granska säkerhetshändelserna och logga dem.Kritiska säkerhetshändelser som behöver granskas:
- Användarens inloggning/avloggning
- Datorns inloggning/avloggning/omstart
- Access till objekt, filer och mappar
- Systemtiden ändras
- Auditloggar rensas
Det är inte nödvändigt att konfigurera alla granskningsprinciper. Det skulle resultera i loggning för varje enskild åtgärd som äger rum och öka loggstorleken. Loggarna rullar över och beroende på storleken på den konfigurerade rullningen raderas de äldre loggarna. Om du konfigurerar rätt principer som verkligen är kritiska för din miljö kommer säkerheten att förbättras.
Auditering av kritiska händelser är aktiverad som standard för domänkontrollanter. För övriga Windows-enheter konfigurerar du de granskningsprinciper som finns tillgängliga under Lokala säkerhetsinställningar. De tillgängliga granskningsprinciperna är följande:
- Händelser vid inloggning av konton
- Hantering av konton
- Access till katalogtjänster
- Händelser vid inloggning
- Access till objekt
- Policyändring
- Privilegieanvändning
- Processuppföljning
- Systemhändelser
.
Behov av övervakning av händelseloggar
Behovet av att följa säkerhetsbestämmelser som SOX, HIPAA etc. för börsnoterade företag, hälso- och sjukvårdsbranschen etc., kräver att säkerhetshanteringsprocessen genomförs för att skydda mot försök till eller framgångsrik obehörig åtkomst. Att säkra informationen i ditt nätverk är avgörande för ditt företag, med eller utan att behöva följa vissa standarder. Windows händelseloggar är en av de källor där inloggningsförsök kan spåras och loggas. En manuell kontroll av varje Windows-enhet är tråkig och omöjlig och motiverar automatiserad granskning och övervakning av händelseloggar på regelbunden basis.
Andra användbara länkar
Aktivering av säkerhetsgranskning i Windows
Avancerad säkerhetsgranskningspolicy – steg-för-steg-guide
Nästan : Del II