Лекция 22 Мониторинг и аудит ОС

Мониторинг Мониторинг процесс систематического или непрерывного сбора информации о параметрах сложного объекта или деятельности для определения тенденций изменения параметров. Мониторинг систематический сбор и обработка информации, которая может быть использована для улучшения процесса принятия решения, а также, косвенно, для информирования общественности или прямо как инструмент обратной связи в целях осуществления проектов, оценки программ или выработки политики. Он несёт одну или более из трёх организационных функций: выявляет состояние критических или находящихся в состоянии изменения явлений окружающей среды, в отношении которых будет выработан курс действий на будущее; устанавливает отношения со своим окружением, обеспечивая обратную связь, в отношении предыдущих удач и неудач определенной политики или программ; устанавливает соответствия правилам и контрактным обязательствам. В технической диагностике под мониторингом понимают непрерывный процесс сбора и анализа информации о значении диагностических параметров состояния объекта.

Техническая диагностика Техническая диагностика область знаний, включающая в себя сведения о методах и средствах оценки технического состояния машин, механизмов, оборудования, конструкций и других технических объектов. Техническая диагностика является составной частью технического обслуживания. Основной задачей технического диагностирования является сокращение затрат на техническое обслуживание объектов, и на уменьшение потерь от простоя в результате отказов.

Проблемы технической диагностики При проведении технического диагностирования выделяют две основные проблемы: вероятность пропуска неисправности; вероятность «ложной тревоги», то есть вероятность ложного сигнала о наличии неисправности. Чем выше вероятность «ложной тревоги», тем меньше вероятность пропуска неисправности, и наоборот. Задача технической диагностики состоит в нахождении «золотой середины» между этими двумя проблемами.

Просмотр событий Event Viewer Журнал приложений В журнале приложений содержатся данные, относящиеся к работе приложений и программ. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений. Например, программа поддержки баз данных может заносить в журнал сведения об ошибках, связанных с файлами. Журнал безопасности Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Журнал системы Журнал системы содержит записи о событиях, внесенные компонентами системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. Типы событий, заносимых в журнал системы, предварительно определены сервером. На компьютере под управлением операционной системы семейства Windows Server, настроенном как контроллер домена, ведется запись событий в два дополнительных журнала. Журнал службы каталогов Журнал службы каталогов содержит записи о событиях, внесенные службой системы Windows Active Directory. Например, проблемы соединения между сервером и общим каталогом записываются в журнал службы каталогов. Журнал службы репликации файлов В журнале службы репликации файлов содержатся события, заносимые службой репликации файлов Windows. Например, в журнал репликации файлов записываются неудачи при репликации файлов и события, которые происходят, пока контроллеры домена обновляются данными об изменениях каталога Sysvol. Компьютер, работающий под Windows как DNS-сервер, записывает события в дополнительный журнал. Журнал DNS-сервера В журнал DNS-сервер записываются сообщения об событиях, зарегистрированных службой DNS-сервер Windows. На компьютере могут также иметься другие типы событий и журналов событий, в зависимости от установленных служб. Служба журнала событий запускается автоматически при запуске Windows. Пользователь, входящий в группу «Администраторы» на локальном компьютере, может назначать разрешения доступа к журналам событий при помощи групповой политики.

Просмотр событий ПРЕДУПРЕЖДЕНИЕ При использовании сервиса протоколирования в журнал следует записывать достаточно важные и нужные сведения о происшедших ошибках, которые действительно потом могут помочь разработчикам разобраться, что же произошло с приложением. Не следует, например, писать в системный журнал с периодичностью 100нс сообщения о том, что пользователь случайно удалил файл readme.txt. Журнал событий – это не средство трассировки.

Заголовок события

При описании событий в журнале старайтесь придерживаться следующих рекомендаций, это поможет вам сделать журналы событий удобочитаемыми и опрятными. Помните, что журналы - это уже не только ваши собственные файлы трассировки, а разделяемый сервис, и не только вы ими пользуетесь. Сообщение в журнале событий – это, прежде всего, информация, способная помочь вам, администратору и даже пользователю понять, какая проблема возникла в приложении и как её устранить. В частности, это событие может предназначаться специалисту технической поддержки в вашей компании, и даже ему будет тоскливо читать сообщение: «Процесс А не смог прочитать 0x05 байт 0x2-ого сектора дисковода В». Поэтому идеальное сообщение должно помочь пользователю ответить на следующие вопросы: Что случилось и почему? Что ему (пользователю) делать дальше? Что он (пользователь) может сделать, чтобы этого больше не повторилось? Могут пригодиться и следующие рекомендации: Избегайте условных ошибок. Если вы можете спрогнозировать ошибку, которая может случиться в случае выполнения некоторого действия, перепишите свой код так, чтобы пользователь не получал сообщения об ошибке. Напишите текстовое сообщение для каждой известной ошибки. Используйте системные коды и сообщения об ошибках. Предоставьте пользователю хотя бы один вариант решения проблемы, возникшей вследствие вашей ошибки. Не используйте технические термины, жаргон, сленг и аббревиатуры. В диалоговых сообщениях используйте именно необходимые кнопки (такие как Yes, No, Cancel). Соглашения о стиле содержания сообщения: Используйте подробные, но простые предложения. Не используйте слова, состоящие из одних заглавных букв. Используйте точную семантику. Например, вместо сообщения Bad size лучше всё-таки указать пользователю правильный размер.

События в журнале В журнал можно записывать пять типов событий. Все типы событий достаточно понятно классифицированы, определены и могут включать много дополнительной информации. Каждое событий, которое мы посылаем из своего приложения, может иметь только один тип. Определены следующие типы событий: Тип событияПояснение Ошибка (Error) Этим типом обычно определяется серьёзная ошибка приложения. Например, исполнение приложения прервалось из-за нехватки ресурсов. Предупреждение (Warning) Этим типом приложение обычно информирует о том, что скоро может возникнуть проблема, например, закончится дисковое пространство. Информация (Information) Этим типом приложение обычно информирует об успехе какой-либо важной операции, например, при старте сервиса. Успешный отчёт (Success Audit) Этот тип события обычно означает об успехе какой-либо операции доступа, например, пользователь вошёл в систему. Не успешный отчёт (Fault Audit) Этот тип события обычно означает, что произошла какая-то ошибка при доступе к ресурсу, например, пользователь не смог обратиться к сетевому диску. Поскольку запись в журнал может происходить нечасто, в тексте сообщения следует достаточно полно описывать происшедшее событие. Следует достаточно понятно описывать событие, так как информацию о событии, до того как она попадёт к разработчику, может просмотреть, например, администратор системы и не придав ей особого значения, просто проигнорировать. СОВЕТ В тексте сообщения о событии лучше не применять символы табуляции и точку с запятой, так как журнал может экспортироваться в текстовый файл с разделителями. Многие организации импортируют журналы событий в свои базы данных для диагностики своими средствами. Строки в формате UNC лучше заключать в треугольные скобки, например.

Форматы файлов с архивами журналов Журнал событий можно сохранить в файле одного из трех форматов. Журнал событий (EVT-файл). Позволяет просматривать сохраненный файл журнала в окне просмотра событий. Текст (разделители табуляция) (TXT-файл). Позволяет использовать сведения журнала в таких программах, как текстовый процессор. Журнал, сохраненный в формате.txt, нельзя открыть в окне «Просмотр событий». Текст (разделители запятые) (CSV-файл). Позволяет использовать сведения журнала в таких программах, как средства работы с электронными таблицами и базами данных. Журнал, сохраненный в формате.csv, нельзя открыть в окне «Просмотр событий».

Элементы журнала событий Всю информацию о настройках журнала сервис берёт из реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog. Каждая ветка в этом ключе – это журнал. Изначально их всего три, но можно создавать свои журналы, и регистрировать свои приложения как источники событий для этих журналов. Журнал (Log)Пояснение Приложение (Application) Этот журнал содержит записи от приложений. Например, если мы зарегистрируем свой источник событий (т.е. приложение) и не укажем журнал, по умолчанию записи будут поступать сюда. Система (System) Этот журнал содержит записи, поступающие от системных служб. Но писать в него может любое приложение. Безопасность (Security)Этот журнал предназначен для аудита, например, событий входа пользователя в систему. Другой (Custom)Можно создать свой журнал. Не поддерживается в Windows NT.

Советы и рекомендации по аудиту событий безопасности Составьте план аудита перед реализацией политики аудита Определите, какие сведения нужно получить в результате сбора сведений аудита событий. Если вас интересует выявление вторжений (отслеживание попыток несанкционированного доступа пользователей к ресурсам), можно вести аудит отказов. Однако включение аудита отказов несет в себе риск для организации. Если попыток несанкционированного доступа пользователей к ресурсам будет так много, что переполнится журнал безопасности, компьютер не сможет дальше собирать сведения аудита. При включенной политике Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности пользователи могут проводить атаки на службу, используя политику аудита. Если есть потребность в юридических доказательствах, можно настроить параметры аудита для сбора сведений как аудита успехов, так и аудита отказов. Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит в организации. Рассмотрите доступные ресурсы для сбора и просмотра сведений журнала аудита. Аудит событий требует дополнительного места на компьютерах и отнимает ваше время и время сотрудников вашей организации. Не рекомендуется проводить аудит событий, которые не являются действительно важными. Сбор и архивирование журналов безопасности в организации При совершении вторжения изолируйте и сохраните записи журнала безопасности. Эти записи могут пригодиться при расследовании вторжения. Контрольный журнал содержит сведения об изменениях, произошедших с компьютерами в сети. Если злоумышленник получит права и разрешения администратора, он может очистить журнал безопасности, уничтожив следы своих действий. То же самое может произойти, если администраторы будут злоупотреблять своими правами и разрешениями. Однако при использовании служебных программ, которые регулярно собирают и сохраняют записи журнала безопасности в организации, действия злоумышленника или администратора скорее всего будут отслежены. Примером такой программы является Microsoft Operations Manager. Аудит успехов и отказов в категории системных событий Необычную активность, которая иногда является свидетельством попытки злоумышленника получить доступ к компьютеру или сети, можно отследить с помощью аудита успехов и отказов в категории системных событий. Когда этот параметр включен, количество повторений аудита обычно относительно невелико при относительно высоком качестве получаемых сведений.

Аудит успехов в категории событий изменения политики на контроллерах домена Событие заносится в журнал в категорию событий изменения политики, только если изменены настройки политики безопасности локальный администратор безопасности. При использовании групповой политики для изменения параметров политики аудита нет необходимости проводить аудит событий в категории событий изменения политики на рядовых серверах. С помощью аудита отказов в категории событий изменения политики можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры политик, в том числе параметры политики безопасности. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. Аудит успехов в категории событий управления учетными записями С помощью аудита успехов в категории событий управления учетными записями можно получать подтверждения изменений параметров учетных записей и свойств групп. С помощью аудита отказов в категории событий управления учетными записями можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры учетных записей или свойства групп. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. Аудит успехов в категории событий входа в систему С помощью аудита успехов в категории событий входа в систему можно заносить в журнал время входа каждого пользователя в систему и выход из нее. Таким образом можно будет отследить время нарушения системы безопасности, если неавторизованный пользователь похитит пароль авторизованного пользователя и войдет в систему. С помощью аудита отказов в категории событий входа в систему можно обнаружить попытки неавторизованных пользователей или злоумышленников войти в систему. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности, последствия событий отказа при входе в систему в этих категориях могут быть более серьезными пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен. Советы и рекомендации по аудиту событий безопасности

Аудит успехов в категории событий входа в систему на контроллерах домена При аудите успехов в категории событий входа в систему в журнал заносится время входа пользователей в домен и время выхода из него. Нет необходимости проводить аудит событий в категории событий входа в систему на рядовых серверах. С помощью аудита отказов в категории событий входа в систему можно будет обнаружить попытки неавторизованных пользователей или злоумышленников войти в сеть. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности, последствия событий отказа при входе в систему в этих категориях могут быть более тяжелыми пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен. Будьте точны при настройке аудита для объекта Для аудита доступа к объектам необходимо включить параметр политики Аудит доступа к объектам в системной таблице управления доступом (SACL), связанной с объектом. Для повышения производительности следует уменьшить число записей в SACL для объекта отдельных записей в SACL снижают производительность системы больше, чем одна запись, содержащая 1000 пользователей. Чтобы снизить количество событий и увеличить эффективность каждого события, аудит следует проводить только для действительно важных действий. Например, для занесения событий чтения файла пользователями в журнал не следует проводить аудит полного доступа. Установите соответствующий размер журнала безопасности Размер журнала безопасности важно установить в соответствии с количеством событий, которое зависит от настроек политики аудита. Советы и рекомендации по аудиту событий безопасности