Đang tải... (xem toàn văn)
Windows 2003 Auditing and Logging Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được. Khối lượng thông
Topic 3E Windows 2003 Auditing and Logging Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được Khối lượng thông tin thu thập được thấy trong công cụ Event Viewer Event Viewer cung cấp 3 bảng ghi chính: Application Log, Security Log và System Log Trong chủ đề này, bạn sẽ tập trung vào Security Log Mặc dù Windows 2003 tự động theo dõi và ghi nhận các sự kiện trong Application và System Log, Security Log phải được mở để nhìn thấy các sự kiện Security Log Để mở Security Log, bạn phải tạo một chính sách kiểm định Audit Policy Cấu hình Audit Policy sẽ cho phép bạn có nhiều điều khiển qua các sự kiện cụ thể được ghi nhận vào bảng ghi Thí dụ, bạn có thể chỉ ghi lại các cố gắng đăng nhập hay đăng xuất vào hệ thống hoặc các thay đổi với tùy chọn chính sách Danh sách sau định nghĩa từng chính sách và cung cấp mô tả ngắn gọn về thiết lập : Audit Account Logon Events – Thiết lập này ghi lại các sự kiện đăng nhập của tại khoản người dùng Nó có thể bao gồm sự kiện như thông tin vé Kerberos và tài khoản sử dụng để đăng nhập Audit Account Management – Thiết lập này ghi lại các thay đổi, tạo mới hoặc xóa đi một tài khoản hoặc một nhóm người dùng Thiết lập này có thể ghi thêm việc đổi tên, vô hiệu hóa, kích hoạt và thay đổi mật khầu cho tài khoản người dùng Audit Directory Service Access – Thiết lập này ghi lại truy xuất đến một đối tượng Active Directory bởi user Để chức bảng ghi này hoạt động, đối tượng phải được cầu hình cho kiểm đỉnh Audit Logon Events – thiết lập này ghi lại các user đăng nhập hay đăng xuất, ghi lại kết thúc các kết nối mạng Audit Object Access – Thiết lập này ghi lại các truy xuất đến tập tin, thư mục hay máy in Để bảng ghi này hoạt động, đối tượng cần phải được cấu hình để kiểm định Audit Policy Change – Thiết lập này ghi lại các thay đổi đối với chính sách kiểm định , quyền user và thiết lập bảo mật user Audit Privilege Use – Thiết lập này sẽ ghi lại việc sử dụng đặc quyền bởi tài khoản người dùng Audit Process Tracking – Thiết lập này sẽ ghi lại tiếp trình thực thi các ứng dụng trong hệ thống Audit System Events – Thiết lập này sẽ ghi lại các sự kiện hệ thống như tắt hoặc khởi động lại của máy tính Hình 3-12 Oject Auditing Để kiểm định truy xuất đến đối tượng cụ thể như tập tin, thư mục và máy in, bạn sẽ cần cấu hình thực hiện trên chính đối tượng đó, ngoài ra còn phải tạo Audit Policy Phần kiểm định của đối tượng được đặt trên tab Security trong Properties của đối tượng Click chọn nút Advanced, vào chọn tab Auditing Một ví dụ về kiểm định có liện hệ với bảo mật, đó là một bảng ghi truy xuất tập tin thông thường theo dõi truy xuất vào thư mục System32 của hệ điều hành Như một thư mục quan trọng, nó có thể cung cấp thông tin bảo mật thích hợp để thấy các user đang truy xuất vào bên trong thư mục này và khi nào họ truy xuất vào đó Active Directory Auditing Như khi bạn có thể ghi lại truy xuất đến một đối tượng như tập tin hay thư mục, bạn cũng có thể ghi lại truy xuất đến một đối tượng Active Directory Việc đầu tiên bạn cần làm là kích hoạt kiểm định đối tượng Active Directory trong chính sách kiểm định của bạn, sau đó chọn đối tượng cụ thể bạn muốn kiểm định Để chính sách có hiệu quả, bạn có một vài tùy chọn : Một là đợi cho đến khi chính sách truyền đến các khoảng thường xuyên được cầu hình bởi người quản trị Một tùy chọn khác là chạy lệnh grupdate /Force tại dấu nháy lệnh TASK 3E-1 Enabling Auditing 1 Từ Administrative Tools, mở Local Security Policy 2 Mở Local Policies, và chọn Audit Policy 3 Nhấp đôi chuột vào Audit Account Logon Events 4 Check cả 2 Success và Failure, và click OK 5 Nhấp đôi chuột vào Audit Logon Events 6 Check cả 2 Success và Failure, và click OK 7 Đóng Local Security Policy 8 Mở command prompt, và gõ gpupdate /Force để cập nhật policy 9 Mở Local Security Policy, và xác minh rằng các thiết lập mới đã có hiệu lực 10 Đóng Local Security Policy Registry Auditing Kiểm định Registry có thể cung cấp thông tin quan trọng trong bảo mật mạng cũng có thể cung cấp dự liệu quan trọng trong gỡ rối một sự kiện nào đó Điều này tương tự với tiến trình yêu cầu để kiểm định các sự kiện khác, trong đó bạn chọn đối tượng và sau đó cấu hình kiểm định trên đối tượng đó Các tùy chọn tồn tại trong kiểm định Registry có một ít khác biệt so với kiểm định tập tin hay thư mục Có các quyền như Query Value hay Set Value Danh sách các truy xuất có thể được kiểm định thể hiện ở hình dưới Một vài tùy chọn kiểm định chi tiết như sau: Query Value – Kiểm định user hoặc group đang đọc đối tượng Set Value – Kiểm định user hoặc group đang đợi đối tượng Create Subkey – Kiểm định user hoặc group đang tạo khóa Enumerate Subkeys – Kiểm định user hoặc group đang liệt kê danh sách các khóa trong đối tượng Hình 3-13 Các tùy chọn này có thể được cấu hình cho cả thành công hoặc thất bại Do đó, nếu bạn muốn biết người nào thất bại trong cố gắng của họ để đọc SAM, bạn có thể chọn group và kiểm định Query Value Failures TASK 3E-2 Logging SAM Registry Access 1 Tạo một tài khoản người dùng thông thường với tên Ordinary và password là o01234567890!! Nhớ để người dùng bỏ chọn phải thay đổi mật khẩu đăng nhập trước khi bấm vào tạo.Lưu ý,mật khẩu dài là mật khẩu của policy trước 2 Mở Regedit 3 Vào HKEY_LOCAL_MACHINE\SAM\SAM 4 Nhấp chuột phải vào khóa SAM\SAM, và chọn Permissions 5 Click vào nút Advanced, và chọn Auditing tab 6 Click Add button 7 Trong Object Name text box, gõ Ordinary và click OK 8 Với Query Value, check vào cả 2 Successful và Failed, và click OK 9 Click OK để đóng bảng điều khiển Advanced trong SAM, và click OK để đóng Permissions trong SAM 10 Đăng xuất khỏi tài khoản Administrator, và đăng nhập vào Ordinary 11 Mở Regedit và vào HKEY_LOCAL_MACHINE và cố gắng mở SAM và SAM\SAM subkey 12 Click OK để đóng thông báo lỗi 13 Đăng xuất khỏi Ordinary và đăng nhập vào tài khoản Administrator Bạn sẽ kiểm tra được các sự kiện trước Managing the Event Viewer Trong Event Viewer, bạn sẽ thực hiện các chức năng chính trong việc đọc và quản lý bảng ghi của hệ thống Bạn cũng có thể sử dụng phần mềm quản lý bảng ghi và gửi các bảng ghi đến kho dữ liệu để xem, nhưng vào thời điểm này bạn sẽ phải làm việc trực tiếp trong Event Viewer Event Viewer cung cấp 3 bảng ghi : Application, System và Security Trong bảng ghi Event Viewer, có 5 loại sự kiện có thể được báo cáo Đó là Error, Warning, Information, Success Audit và Failure Audit Bạn có thể thêm các thành phần vào Event Viewer dựa vào các ứng dụng đã cài đặt như DNS như đã thể hiện ở hình 3-14 Các bảng ghi được liệt kê trong Viewer với hầu hết các sự kiện hiện hành ở phần trên cùng của danh sách Bạn có thể cần di chuyển lên xuống danh sách để theo dõi tần số của các sự kiện Bạn cũng có thể sắp xếp theo cột bằng cách click vào bất ký tên của cột nào Hình 3-14 Các đối tượng mà bạn chọn để ghi sẽ cung cấp 3 nguồn thông tin chính cho bạn là : Các hành động mà nó thực hiện Tài khoản người dùng đã thực hiện hành động đó Thành công hay thất bại của một sự kiện Bạn cũng có thể biết được các thông tin như thời gian của sự kiện, tên của các máy tính, địa chỉ IP của các máy tính và nhiều hơn nữa Trong hình 3-15, bạn có thể thấy một sự kiện với các thông tin sau: Ngày và giờ của sự kiện Tài khoản người dùng gây ra sự kiện Sự kiện đó thất bại Tên của máy tính mà sự kiện đó xảy ra Tên của đối tượng được kiểm định Hình 3-15 TASK 3E-3 Viewing the Registry Audit 1 Mở Event Viewer 2 Mở Security Log 3 Trong Failure Event để cố gắng truy cập Registry của bạn Nếu vì một lý do Failure Event của bạn không hiển thị, hãy xem lại phần khái niệm trước trong ví dụ 1 4 So sánh những gì bạn có thể xác định từ bản ghi của bạn vào ví dụ trước Bạn có thể xác định: a User Account b Date c Time d Success or Failure e Computer Name f Object Accessed 5 Khi bạn đã xác định được các mục này, đóng Event Viewer Event IDs Dù ở phần này đề cập cho bạn có danh sách 529 sự kiện, nhưng nó không có nghĩa là tất cả Bạn nên làm quen với các ID sự kiện chính để bạn có thể nhanh chóng nhận ra điều gì đang xảy ra trong hệ thống của bạn Bảng dưới đây liệt kê các ID sự kiện liên quan đến bảo mật phổ biến Bạn nên làm quen với các ID này vì bạn sẽ thấy nó thường xuyên trong công việc của một chuyên gia bảo mật Event ID Mô tả 512 Khởi động thành công hệ điều hành 513 Tắt thành công hệ điều hành 517 Xóa bảng ghi kiểm định thành công 528 Đăng nhập thành công 529 Đăng nhập thất bại do không biết username hay password 530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế 531 Đăng nhập thất bại do tài khoản đang bị vô hiệu hóa 540 Đăng nhập mạng thành công 624 Tạo tài khoản người dùng mới thành công 626 Kích hoạt tài khoản người dùng thành công 628 Thay đổi mật khẩu tài khoản người dùng thành công 629 Vô hiệu hóa tài khoản người dùng thành công 644 Khóa một tài khoảng người dùng thành công 645 Tạo tài khoản máy tính mới thành công Bạn có thể tìm thấy các mô tả cho các ID trên mạng ở rất nhiều nơi và từ Microsoft tại trang http://support.microsoft.com Authentication Logging Để mang tất cả các tùy chọn trong bảng ghi xuống một chủ thể nhỏ hơn, bạn tập trung vào tiến trình chứng thực Windows 2003 có thể cung cấp các bảng ghi mở rộng trên tất cả các tiến trình đăng nhập thành công hay thất bại Điều này sẽ hỗ trợ cho bạn khá tốt khi điều tra các vấn đề bảo mật hay gỡ rối các truy xuất tài khoản Bảng sau liệt kê các ID sự kiện có liên quan trực tiếp đến tiến trình chứng thực trong Windows 2003 và nó hoạt động bằng cách chọn các sự kiện đăng nhập thành công hay thất bại trong Audit Policy Event ID Mô tả 528 Đăng nhập thành công 529 Đăng nhập thất bại do không biết username hay password 530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế 531 Đăng nhập thất bại do tài khoản hiện hành đang bị vô hiệu hóa 532 Đăng nhập thất bại do tài khoản đã hết hạn sử dụng 533 Đăng nhập thất bại do tài khoản không được phép đăng nhập tại máy tính 534 Đăng nhập thất bại do tài khoảng không chấp nhận kiểu đăng nhập yêu cầu ở máy tính như tương tác hoặc mạng 535 Đăng nhập thất bại do mật khẩu của tài khoản đã hết hạn 536 Đăng nhập thất bại do NetLogon không hoạt động 537 Đăng nhập thất bại do lỗi ngoài ý muốn trong suốt quá trình cố gắng đăng nhập 538 Đăng xuất thành công tài khoản 539 Đăng nhập thất bại do tài khoản đang bị khóa 540 Đăng nhập mạng thành công Khi bạn xem xét chi tiết của Authentication Log, bạn sẽ tìm thấy Logon Type là một thông tin trong bảng ghi Có 6 Logon Type khác nhau : Logon Type 2: Interactive Logon Type 3: Network Logon Type 4: Batch Logon Type 5: Service Logon Type 6: Proxy Logon Type 7: Unlock the Workstation Ngoài ra các Logon Type mà bạn có thể tìm thấy trong bảng ghi, bạn sẽ tìm thấy thông tin gọi là Logon Process Có 7 loại Logon Process khác nhau, và chúng có nhiều mô tả kỹ thuật hơn trong mục sau Logon Process là như sau : NtLmSsp hoặc MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 : msv1_0.dll, gói chứng thực mặc định KsecDD – ksecdd.sys, driver thiết bị bảo mật User32 hoặc WinLogon\MSGina – winlogon.exe and msgina.dll, giao diện chứng thực người dùng SCMgr – Quản lý điều khiển dịch vụ LAN Manager Workstation Service Advapi – API gọi đến LogonUser MS.RADIU – gói chứng thực RADIUS ; một phần của Microsoft Internet Authentication Services(IAS) Thông thường, ngươì quản trị sẽ chỉ sử dụng các Logon Event như mô tả sau Bạn có thể thêm Account Logon Events vào Audit Policy của bạn Nếu bạn thêm tùy chọn này với Success và Failure, bạn sẽ thấy báo cáo Event ID như thể hiện ở bảng sau : Event ID Mô tả 672 Chấp nhận vé chứng thực thành công 673 Chấp nhận vé dịch vụ thành công 674 Vé chấp nhận làm mới thành công 675 Chuẩn bị chứng thực thất bại 676 Vé chứng thực yêu cầu thất bại 677 Vé dịch vụ yêu cầu thất bại 678 Tài khoản ánh xạ để đăng nhập thành công 679 Tài khoản ánh xạ để đăng nhập thất bại 680 Tài khoản dùng để đăng nhập thành công 681 Đăng nhập tài khoản từ đến máy chủ tênmáy thất bại Error Code là ErrorCode 682 Phiên kết nối lại với Winstation thành công 683 Ngắt kết nối phiên với Winstation thành công Chú ý cho ID sự kiện 681, đó là mục gọi là ErrorCode Mã lỗi cung cấp chi tiết cụ thể ở mức độ cao hơn về một sự kiện Bảng sau xác định các Error Code và mô tả nguyên nhân đăng nhập thất bại Error Code Description 3221225572 Tên đăng nhập cung cấp không tồn tại 3221225578 Tên đăng nhập đúng nhưng mật khẩu sai 3221226036 Tài khoản người dùng đã bị khóa 3221225586 Tài khoản người dùng đã bị vô hiệu hóa 3221225583 Tài khoản người dùng đã đăng nhập quá thời gian cho phép 3221225584 Tài khoản người dùng đăng nhập tới máy chủ mà họ có quyền đăng nhập 3221225875 Tài khoản người dùng đã hết hạn 3221225585 Tài khoản người dùng đăng nhập với mật khẩu đã hết hạn 3221226020 Người dùng đăng nhập tài khoản ở nơi mà người quản trị chỉ định người dùng phải đổi mật khẩu ở lần đăng nhập sau TASK 3E-4 Creating Events 1 Mở Event Viewer 2 Nhấp chuột phải vào Security Log và chọn Clear All Events 3 Khi bạn được nhắc để lưu các bảng ghi, click No 4 Đóng Event Viewer 5 Tạo tài khoản người dụng sử dụng tên đầu của bạn, và mật khẩu là fF1234567890!! Nhớ bỏ chọn User Must Change Password trong Next Logon 6 Khóa máy tính, đến khi nào đăng nhập vào tài khoản Administrator 7 Mở khóa máy tính, sử dụng chứng nhận Administrator 8 Đăng xuất khỏi tài khoản Administrator 9 Đăng nhập vào tên tài khoản mới tạo (tên đầu của bạn), sử dụng password sai.Nó sẽ thất bại 10 Đăng nhập vào tài khoản mới,sử dụng password đúng Nó sẽ báo thành công 11 Cố gắng kết nối tới một máy tính khác trong mạng Điều này nên được như tài khoản người dùng cho sinh viên khác đã không được tạo trên máy tính của bạn 12 Cố gắng kết nối tới một máy tính khác trong mạng như điều khiển tài khoản administrator với mật khẩu đúng.Nó sẽ báo thành công 13 Đóng kết nối mạng, và đăng xuất khỏi tài khoản người dùng mới 14 Đăng nhập trở lại với tài khoản Administrator Viewing Event Logs Bây giờ bạn đã tạo một nhóm các sự kiện để phân tích, bạn sẽ chạy qua tiến trình này Cố gắng theo dõi tần số các sự kiện mà bạn đã gây ra Xem sự khác nhau như thế nào giữa cục bộ và mạng trong bảng ghi và xác định các Event ID thật nhanh chóng để phân tích TASK 3E-5 Viewing Event Logs 1 Mở Event Viewer 2 Mở Security Log và kiểm tra bản ghi Bạn nên có thể xác định ít nhất một trong các cách sau: a A successful local logon b A successful unlocking of the computer c A successful network logon d A failed local logon attempt e A failed network logon attempt 3 Xác định Event IDs, Logon Types, và Errow Codes 4 Đóng Event Viewer Managing Log File Một khi bạn đã quen với các Event ID, bạn sẽ nhận thấy danh sách 529 sự kiện có thể chỉ ra một khả năng tấn công Tuy nhiên với tất cả các sự kiện xảy ra và tất cả các dự liệu có thể được thu thập, quá trình xem xét và quản lý tập tin bản ghi đơn giản có thể trở nên dài dòng và thậm chí tràn ngập Có một số tính năng được xây dựng sẵn trong Event Viewer, nó được thiết kế để giúp bạn làm việc với một khối lượng lớn thông tin thu thập được Ngoài các chức năng có sẵn trong Event Viewer còn có các ứng dụng thuộc bên thứ 3 được thiết kế để quản lý bảng ghi Các ứng dụng lọc sự kiện cụ thể, nhóm chúng lại cho dễ dàng và có thể báo cho bạn biết trong trường hợp một tần số sự kiện xác định xảy ra Event Viewer Features Một trong những tính năng dễ thấy nhất của Event Viewer đó là chức năng Search Thí dụ, bạn có thể tìm thấy tất cả 529 sự kiện sau khi một chính sách mật khẩu mới được thực thi Bạn cần xác định khối lượng đăng nhập xấu để so sánh với trước khi chính sách được đưa vào Hoặc bạn có thể nghi ngời một tài khoản người dùng là kẻ tấn công và muốn chỉ tìm 529 sự kiện có liên quan đến tài khoản người dùng này Để tìm bất cứ thứ gì ở đây, bạn sẽ sử dụng lệnh View Find Với lệnh này bạn có thể tìm các sự kiện trong các mục, bao gầm Event Source, Event ID, User, Computer, Success, Failure, Information, Warning và Error Ngoài ra với chức năng Find, bạn có thể sử dụng lệnh View Filter Khi kích hoạt chức năng Filter Events bạn nên chọn tiêu chuẩn cụ thể, áp dụng để lọc và chỉ thấy các sự kiện thích hợp với bộ lọc của bạn Thí dụ, nếu bạn vẫn khẳng định được một tài khoản đang bị tấn công; bạn có thể chọn tài khoản đó như một bộ lọc, và xem tất cả các sự kiện của tài khoản đó trong Security Log Khi bạn áp dụng một bộ lọc, toàn bộ dữ liệu bản ghi không thay đổi mà chỉ hiện thi dữ liệu trên màn hình Bạn có cùng các tùy chon cho việc lọc tồn tại cho bạn khi tìm kiếm Ngoài các mục tồn tại với lệnh Find, bạn cũng có các tùy chọn xác định các sự kiện đến và đi ở thời gian cụ thể Cuối cùng, một tính năng trực tiếp trong Event Viewer là tùy chọn sắp xếp Cũng như với các ứng dụng Windows khác, bạn có thể sắp xếp theo bất ký cột nào trong Event Viewer để nhóm các sự kiện như xếp theo thời gian hay Event ID Theo mặc định, Event Viewer hiển thị các sự kiện gần đây nhất trên cùng của danh sách Nếu bạn muốn giữ lại bảng ghi để đọc và phân tính sau, cũng có một tùy chọn cho bạn lưu bản ghi Bạn có thể lưu bảng ghi như một tập tin Event Log (*.evt), một tập tin văn bản (*.txt) hoặc một tập tin CSV (Comm Separated Value or Comma Delimited) (*.csv) Bạn có thể mở các tập tin này sau đó trong Event Viewer hoặc trong kho dữ liệu hoặc một ứng dụng đọc khác Third-Party Applications Với các tính năng được xây dựng sẵn trong Event Viewer, với một số người cho rằng chúng không cung cấp đủ các điều khiển và tuy chọn Để đáp ứng nhu cầu, có một số ứng dụng thuộc bên thứ 3 làm công việc quản lý Event Log Một trong số đó là Event Log Sentry II, bởi Engagent, chủ sở hữu trang www.engagent.com Công cụ này cho phép bạn quản lý bản ghi của vài máy tính từ một vùng đơn lẻ Bằng cách sử dụng công cụ này, bạn có thể giám sát các sự kiện trong thời gian thực và có phần mềm giao tiếp với bạn hoặc tạo ra một đáp ứng tự động đến các sự kiện Công cụ này vẽ ra một đường từ cái nhìn đơn giản Event Log vào lĩnh vực của host dựa trên Intrusion Detection Systems (IDS) IDS là vượt xa phạm vi của khóa học và bao phủ lấy toàn bộ khóa học SCP’s Tactical Perimeter Defense ... Security Policy Mở command prompt, gõ gpupdate /Force để cập nhật policy Mở Local Security Policy, xác minh thiết lập có hiệu lực 10 Đóng Local Security Policy Registry Auditing Kiểm định Registry... cơng 645 Tạo tài khoản máy tính thành cơng Bạn tìm thấy mơ tả cho ID mạng nhiều nơi từ Microsoft trang http://support.microsoft.com Authentication Logging Để mang tất tùy chọn bảng ghi xuống chủ... Để mang tất tùy chọn bảng ghi xuống chủ thể nhỏ hơn, bạn tập trung vào tiến trình chứng thực Windows 2003 cung cấp bảng ghi mở rộng tất tiến trình đăng nhập thành cơng hay thất bại Điều hỗ trợ