Bezpieczeństwo w sieci cz.5
Uruchomienie inspekcji
Inspekcja dostępna jest już w systemie Windows 2000, niestety domyślne jest ona wyłączona, natomiast w systemie Windows 2003 poprawiono to uaktywniając domyślnie kilka funkcji. Jednak mimo to warto sprawdzić, czy inspekcji podlega dokładnie to co nam potrzebne. Przykładowo istnieje możliwość monitorowania zakończonego niepowodzeniem logowania zdarzeń związanych z zarządzeniem kontami, dostępu do plików, użycia uprawnień i wielu innych zdarzeń. Można tym samym rejestrować zmiany polityki bezpieczeństwa oraz zdarzenia systemowe.
Aby włączyć inspekcję w jednej z tych kategorii należy kliknąć dwukrotnie znajdującą się w Panelu Sterowania ikonę Narzędzia administracyjne, następnie ikonę Zasady zabezpieczeń lokalnych i rozwinąć węzeł Zasady lokalne. Na ekranie powinien pojawić się widok podobny do pokazanego na poniższym rysunku:
Teraz można zapoznać się z każdą inspekcją i zdecydować, czy rejestrować powodzenia, czy niepowodzenia każdej z nich. W tym celu należy dwukrotnie kliknąć na modyfikowaną zasadę znajdującą się w prawej części okna, po czym na ekranie pojawi się okno dialogowe.
Niewłączanie inspekcji jest równoznaczne z nierejestrowaniem, dlatego należy włączyć inspekcję wszystkich zasad. Po włączeniu inspekcji określonej zasady w dziennikach zdarzeń zaczną pojawiać się pozycje informujące o sukcesach i niepowodzeniach zdarzeń tej zasady.
Zabezpieczenie dzienników zdarzeń
System Windows wyposażony jest w bardzo zaawansowane funkcje rejestracji zdarzeń. Niestety, domyślnie dzienniki zdarzeń nie są chronione przed nieautoryzowanym dostępem, ani przed modyfikacją. Aby je zabezpieczyć wystarczy je odnaleźć, a następnie utworzyć dla nich poprawne listy ACL
O ile położenie dzienników zdarzeń nie zostało zmienione w rejestrze, można je znaleźć w katalogu %SystemRoot%system32config.
Znajdują się tam trzy pliki: AppEvent.Evt, SecEvent.Evt i SysEvent.Evt, odpowiadające kolejni Dziennikowi aplikacji, Dziennikowi zabezpieczeń i Dziennikowi systemu. Dla plików tych należy utworzyć listy ACL, umożliwiające korzystanie z nich jedynie administratorowi systemu. W tym celu należy w oknie Właściwości plików wybrać zakładkę Zabezpieczenia, a następnie usunąć z górnego panelu wszystkich użytkowników i grupy oprócz Administratorzy i System
Zmiana maksymalnej wielkości dzienników zdarzeń
Z punktu widzenia bezpieczeństwa dzienniki zdarzeń są jednym z najbardziej wartościowych zasobów serwera. Bez nich nie byłoby możliwości stwierdzenia, czy i kiedy ktoś wdarł się do komputera. Dlatego absolutną koniecznością jest, by dzienniki niczego nie przeoczyły. W przypadku śledzenia incydentu naruszenia bezpieczeństwa, brak jakiś zapisów w dzienniku zdarzeń ma taki sam skutek jak brak dzienników w ogóle.
Często występującym problemem jest zbyt mała maksymalna wielkość plików dzienników zdarzeń, wynosząca domyślnie zaledwie 512 KB. Aby to zmienić, należy w panelu Narzędzia administracyjne uruchomić program Podgląd zdarzeń.
W lewym panelu okna Podgląd zdarzeń należy wybrać jeden z dzienników zdarzeń, kliknąć go prawym przyciskiem myszy, a następnie wybrać Właściwości. Pojawi się okno dialogowe jak na poniższym rysunku:
W oknie należy odnaleźć pole tekstowe Maksymalny rozmiar dziennika. Nową wartość maksymalnej wielkości pliku dziennika można wpisać w pole bezpośrednio lub ustalić za pomocą znajdujących się obok pola strzałek. Wprowadzona wartość powinna być nie mniejsza niż 1 MB, a zależy ona od tego, jak często dzienniki są przez nas przeglądane i archiwizowane. Warto pamiętać, że zwiększenie wielkości plików dzienników zdarzeń nie spowoduje zwiększenia obciążenia komputera, a jedynie może to mieć wpływ na szybkość ich przeglądania za pomocą programu Podgląd zdarzeń. W tym samym oknie dialogowym można również zmienić zachowanie dzienników zdarzeń po osiągnięciu przez nie maksymalnej wielkości. Domyślnie w takim przypadku zapisy starsze niż siedmiodniowe są nadpisywane. Zaleca się zwiększenie tej wartości na przykład do 31 dni. Można również nie zezwolić na automatyczne nadpisywanie dzienników zdarzeń, jednak w takim przypadku trzeba je będzie czyścić ręcznie.