Аудит событий безопасности в операционных системах Microsoft Windows и Unix: определение параметров аудита, просмотр файлов аудита, достоинства и недостатки.
Аудит безопасности в ОС Windows
Журнал аудита содержится в файле windows \ System32 \ Config \ secevent.evt, а доступ к нему осуществляется с помощью административной функции «Просмотр событий» Панели управления Windows.
Регистрируемые события:
o Вход пользователей в систему;
o доступ субъектов к объектам;
o доступ к службе каталогов Active Directory;
o изменение политики безопасности;
o использование привилегий;
o отслеживание процессов;
o системные события;
o попытки входа в систему;
o управление учетными записями пользователей и групп;
o доступ к глобальным системным объектам;
o использование прав на архивацию и восстановление объектов.
Параметры аудита
o Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита.
Аудит использования привилегий
o Регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности). Следует отметить, что не все объективно опасные привилегии входят в этот список.
Аудит системных событий
К системным событиям, которые могут регистрироваться в журнале аудита, относятся:
o перезагрузка операционной системы;
o завершение работы операционной системы;
o загрузка пакета аутентификации;
o запуск процесса входа (Winlogon);
o сбой при регистрации события в журнале аудита;
o очистка журнала аудита;
o загрузка пакета оповещения об изменении в списке пользователей.
Другие параметры аудита
o Максимальный размер журнала аудита.
o Реакция операционной системы на его переполнение:
n затирать старые события при необходимости;
n затирать старые события, которые произошли ранее установленного количества дней (в этом случае новые события не регистрируются, пока не истечет заданное количество дней с момента регистрации самого старого события) − реакция по умолчанию;
n не затирать события (очистка журнала вручную).
Аудит событий безопасности в ОС Unix
Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:
o acct – регистрация команд, выполненных пользователем;
o loginlog – регистрация неудачных попыток входа;
o sulog – регистрация использования команды su;
o wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;
o security – сообщения подсистемы безопасности;
o vold.log – регистрация ошибок внешних устройств и др.
- Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.
- В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.
- Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).
Сообщение аудита в ОС Unix:
o дата и время генерации сообщения;
o имя компьютера;
o имя программы, при выполнении которой было сгенерировано сообщение;
o источник сообщения (модуль операционной системы);
o приоритет (важность) сообщения;
o содержание сообщения.
Параметры аудита в ОС Unix:
Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:
o селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);
o описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).
Пример параметра аудита:
* . err;kern.debug;auth.notice;mail.crit /dev/console
Сообщения приоритета err от всех служб, приоритета debug от ядра операционной системы, сообщения службы авторизации приоритета notice, а также сообщения приоритета crit почтовых программ выводятся на системную консоль.
Просмотр файлов аудита:
o Для просмотра файлов системных журналов может применяться программа Swatch, работа которой также управляется конфигурационным файлом.
o Программа Swatch способна обнаруживать определенные события и выполнять различные действия на их основе. Кроме того, она в состоянии удалять из файла ненужные записи, которые просто занимают место в нем.