Konfiguracija Auditing-a (kontrola)

 

U ovoj lekciji će se naučiti:

  • Konfiguracija Auditing-a (kontrola)
  • Šta je Auditing (kontrola)?
  • Šta je to Audit Polisa?
  • Zašto postavljamo Audit polisu?
  • Kako implementiramo Audit polisu?
  • Tipovi događaja koje treba da pratimo (Audit)
  • Uspešni i neuspešni događaji (success and failure)

Nijedna sigurnosna strategija nije kompletna bez obimne strategije praćenja (Auditing). Često organizacije nauče ovo pravilo na svojim greškama nakon nekog sigurnosnog incidenta. Bez konfirucaje praćenja tragova akcija, skoro je nemoguće uspešno ispitati sigurnosni incident. Moramo odrediti, kao deo naše sigurnosne strategije, koje događaje želimo da pratimo, nivo praćenja koji odgovara našem okruženju, kako skupljamo događaje koje pratimo i kontrolišemo, i kako želimo da ih ispitamo.

Šta je Auditing (kontrola)?

Auditing je proces koji prati korisnika i aktivnosti operativnog sistema tako što zapisuje određene tipove događaja u sigurnosni log na Serveru ili na radnoj stranici. Sigurnosni log sadrži različite zapise praćenja, koji sadrže sledeće informacije:

  • Akcija koja je odrađena
  • Korisnik koji je odradio akciju
  • Da li događaj bio uspešan ili neuspešan i kad se dogodio
  • Dodatke informacije, kao što su, kompjuter na kome se desio događaj
Treba da omogućimo Auditin i da nadgledamo Audit logove zbog toga što:
  • Kreiramo osnovu normalnog funkcionisanja mreže i operacija na kompjuteru
  • Da otkrijemo pokušaj upada u mrežu ili kompjuter
  • Odredimo koji sistem ili koji podaci su uništeni u toku sigurnosnog incidenta
  • Sprečimo dalju štetu koja se odnosi na mrežu ili na kompjutere kada napadač (haker) upadne u mrežu.

Potrebe organizacije za sigurmošću pomaže pri određivanju nivoa Auditinga koji treba da se konfiguriše. Na primer, ako je potrebna minimalna mrežna sigurnost možda ćemo izabrati da pratimo pogrešne pokušaje logovanja na sistem da bi nadgledali potencijalne pokušaje napada. Za mreže kojima je potreban visok nivo sigurnosti, možemo da konfigurišemo da pratimo i uspešne i neuspešne pokušaje logovanje da bi pratili neautorizovane korisnike koji su se uspešno ulogovali na mrežu.

Mada Auditing daje vredne informacije, preterana konfiguracija Auditinga može da prepuni Audit log sa nepotrebnim informacijama. Ovo može da ima snazan utisaj na Performansu našeg sistema i takođe elstremno teško možemo da pronađemo podatke i informacije koje želimo. Tipovi događaja koje treba da pratimo:

  • Pristup bjektima, kao što su fajlovi i folderi.
  • Upravljanje korisničkim nalozima i grupama naloga.
  • Kad se korisnik prijavljuje (log on) i odjavljuje (Log off) sa sistema

Za više informacija o Auditingu, pogledajte: the TechNet article .Auditing overview At http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/prodtechnol/windowsserver2003/proddocs/server/ sag_SEconceptsAudit.asp.

Šta je to Audit Polisa?

Uvođenje Audit polise je veoma važan deo sigurnosti. Nadgledanje kreiranja i modifikovanja objekata nam daje način da pratimo potencijalne sigurnosne probleme, pomaže nam da obezbedimo korisničku odgovornost i daje nam dokaze o događaju. Audit polisa definiše tip sigurnosnog događaja koji Windows Server 2003 zapisuje u sigurnosni Log na svakom kompjuteru. Windows Server 2003 zapisuje događaje u sigurnosni log na sšecifičnom kompjuteru gde se događaj i desio.

Zašto postavljamo Audit polisu?

Postavljamo Audit polisu za kompjuter kad želimo da:

  • Pratimo uspešne i neuspešne događaje, kao što su pokušaji prijavljivanja (Log on), kada određeni korisnik pročita određeni fajl, promene na korisničkim nalozima ili promene članstva u grupi, i promene u sigurnosnim postavkama.
  • Umanjimo rizik od neautorizovanog korišćenja resursa.
  • Održavamo korisničke zapise i aktivnost administratora. Koristimo Event Viewer kad želimo da vidimo događaje koje je Windows Server 2003 zapisao u sigurnosnom logu.

Kako implementiramo Audit polisu?

Možemo da podesimo Audit polisu na jednom kompjuteru, direktno koristeći Local Policy snap-in ili indirektno koristeći grupne polise, što je mnogo češći način koji se koristi u većim organizacijama. Nakon što je Audit polisa dizajnirana i implementirana, informacije počinju da se pojavljuju u sigurnosnim logovima (security Log) Svaki kompjuter u organizaciji ima odvojeni sigurnosni log koji zapisuje lokalne događaje. Kada implementiramo Audit polisu:

  • Treba da odredimo kategoriju događaja koje želimo da pratimo. Ne postoji Defoltna Audit polisa.
  • Treba da odredimo veličinu i ponašanje sigurnosnog loga ( security log). Možemo da vidimo sigurnosni log u Event Viewer-u.
  • Odredimo objekat na kojem želimo da nadledamo pristup i koji tip pristupa želimo da nadgledamo. Defoltne Audit postavke za servere su konfigurisane u administrativnim šablonima.

Sledeći sigurnosni šabloni konfigurišu Auditing postavke:

  • Setup security.inf
  • Hisecdc.inf
  • Hisecws.inf
  • Securedc.inf
  • Securews.inf

Ako želimo da vidimo postavke polisa koje konfigurišu ovi sigurnosni šabloni, to možemo u:

Security Templates snap-in, navigiramo .... Local PoliciesAudit Policy za svaki administrativni šablon. Za više informacija o audit polisama, pogledajte: TechNet article .Auditing policy. at http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/prodtechnol/windowsserver2003/proddocs/server/APtopnode.as.

Tipovi događaja koje treba da pratimo (Audit) Prvi korak u kreiranju strategije za praćenje operativnog sistema je određivanje koji tip akcije ili operacija želimo da pratimo i da zapisujemo. Koje događaje operativnog sistema treba da pratimo? Naravno, ne želimo da pratimo svaki događaj, zato što praćenje svih događaja operativnog sistema zahteva ogromne resurse operativnog sistema i negativno deluje na performansu sistema. Treba raditi zajedno sa drugim sigurnosnim specijalistima da bi odredili koje događaje operativnog sistema treba da pratimo.

Uspešni i neuspešni događaji (success and failure)

U Windows Server 2003, događaji za praćenje su podeljeni u dve katagorije:

  • Success (uspešni događaji). Ovi događaji govore o tome da je operativni sistem uspešno kompletirao akciju ili operaciju. Uspešni događaji u sigurnosnom logu označeni su sa malim ključem.
  • Failure (neuspešni događaji). Ovi događaji ukazuju na to da je akcija ili operacija pokrenuta, ali nije uspela. Neuspešni događaji su označeni malim katancem. Neuspešni događaji su veoma korisni za praćenje pokušaja napada na naše okruženje. Veoma često, simbol događaja je jednako važan kao i sam događaj. Na primer, serija neuspelog događaja koji je na kraju uspeo da se odradi može da ima sledeće značenje, da je nakon nekoliko neuspelih pokušaja napadač ipak uspeo da prodre u sistem.

The Setup security.inf šablon uključuje defoltne postavke koje omogućavaju praćenje uspešnih Account Logon događaja i uspešnih Logon događaja.

Vodič za planiranje Audit Polise Praćenje previše tipova događaja može da dovede do kreiranja previše zapisa i samim tip negativno utiče na Performansu sistema. Koristimo sledeća pravila kada planiramo Audit polisu:

  • Odredimo kompjuter na kojem ćemo da podesimo praćenje događaja. Treba da planiramo šta želimo da pratimo na svakom kompjuteru, iz razloga što Windows Server 2003 prati događaje na svakom kompjuteru odvojeno.
  • Odredimo tip događaja koji hoćemo da pratimo, kao što su: Pristup fajlovima i folderima, Prijavljivanje i odjavljivanje korisnika ( log on and Log off), gašenje i restartovanje Windows Server 2003 kompjutera, promene na korisničkim nalozima i grupama.
  • Odredimo da li hoćemo da pratimo uspešne ili neuspešne događaje ili oba. Praćenje uspešnih događaja može nam pokazati koliko često Windows Server 2003 ili korisnik pristupa određenom fajlu ili štampaču.
  • Moramo da pregledamo Event Logove redovno i regularno kako je navedeno u rasporedu.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija Auditing-a (kontrola) 1
  • Konfiguracija Auditing-a (kontrola) 2