Советы по управлению журналом безопасности
Введение
Журнал безопасности для Windows полон отличной информации, но если вы не знаете, как контролировать, управлять и анализировать информацию, вам потребуется гораздо больше времени, чтобы получить из нее нужную информацию. В этой статье описываются некоторые советы и приемы, которые можно использовать для более эффективного извлечения необходимой информации из журнала безопасности, что упростит вашу работу, повысит вашу эффективность и улучшит общую безопасность вашей сети.
Настройка того, что регистрируется
Во-первых, вам нужно получить информацию в журнале безопасности. Со временем Microsoft настроила его так, чтобы некоторые вещи регистрировались, но так было не всегда. Так как многие из вас, читающие это, возможно, все еще используют Windows 2000, XP и 2003, важно знать, где вы можете настроить контрольный журнал безопасности.
Вся информация, регистрируемая в журнале безопасности, контролируется аудитом. Аудит настраивается и управляется групповой политикой. Вы можете управлять групповой политикой локально (gpedit.msc) или через Active Directory с помощью консоли управления групповой политикой (GPMC). Я настоятельно рекомендую использовать GPMC и управлять аудитом с помощью Active Directory. Это намного эффективнее и в 10 раз меньше работы по сравнению с локальным управлением.
В групповой политике отредактируйте объект групповой политики, затем разверните объект групповой политики до Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy, как показано на рисунке 1.
Рисунок 1: Параметры политики аудита в объекте групповой политики
Независимо от того, используете ли вы локальную групповую политику или объект групповой политики из Active Directory, эти настройки будут одинаковыми. Просто проще развернуть настройки на нескольких компьютерах с помощью Active Directory.
Как видите, существует девять различных вариантов политики аудита. Чтобы лучше понять, что делает каждый параметр, обязательно прочитайте эту статью.
Централизация журнала безопасности
Теперь, когда все ваши компьютеры в сети регистрируют основные журналы аудита безопасности, вам необходимо просмотреть их. Рассмотрим значение по умолчанию, при котором каждый компьютер имеет собственную копию журнала безопасности. Это означает, что если у вас есть 1000 серверов и 10000 рабочих столов, вам нужно просмотреть 11000 журналов безопасности! До недавнего времени не существовало способа централизации этих журналов для эффективного анализа.
Однако, начиная с Windows Server 2008, Vista и 7, Microsoft предоставила вам способ централизации всех ваших журналов, включая журналы безопасности со всех 11000 (или сколько бы компьютеров у вас ни было) компьютеров. Решение — использовать подписки и пересылку журнала событий.
Вам необходимо иметь по крайней мере один компьютер с Windows Server 2008, Vista или 7, но минимум один. Это становится централизованным компьютером регистрации. Все другие компьютеры под управлением Windows XP, 2003, Vista, 2008 и 7 могут отправлять свои события на этот централизованный компьютер. (К сожалению, Windows 2000 не поддерживается!)
Дополнительные сведения о настройке централизованного ведения журнала см. в этой статье.
Пользовательские представления
Теперь, когда у вас есть централизованный журнал, вы можете настроить способ просмотра информации. Учтите, что у вас могут быть зарегистрированы тысячи различных событий с сотнями идентификаторов событий. Вы не хотели бы пытаться просеивать все эти события, просто ища те события, которые соответствуют определенному идентификатору события. Вы не должны делать это!
Теперь, когда ваш централизованный журнал находится на компьютере с Windows Server 2008, Vista или 7, вы можете использовать настраиваемое представление. Пользовательские представления позволяют вам создать «специальный журнал» только из журналов и идентификаторов событий, которые вы хотите просмотреть. Итак, теперь вы можете создавать столько настраиваемых представлений существующих журналов, включая пересылаемые журналы, сколько вам нужно.
Скажем, например, вы просто хотите просмотреть все входы в систему, которые произошли на всех серверах. Вы можете просто создать собственное представление событий с идентификатором 4624 (для Windows 2008, Vista и 7) и 528 (для Windows 2000, XP, 2003), чтобы вы могли видеть все успешные входы в систему. На рис. 2 показано, как будет выглядеть пользовательское представление.
Рис. 2. Пользовательское представление событий 4624 и 528.
Задачи на событие
Вы можете не только настроить специальные пользовательские представления ваших журналов, вы также можете настроить триггеры для регистрации определенных событий. Этот параметр, называемый присоединением задачи к событию или журналу, доступен в Windows Server 2008, Vista и 7.
Задача на самом деле не что иное, как запланированная задача, но важно знать, что она доступна. Вы можете настроить эти задачи в средстве просмотра событий или в инструменте запланированных задач. Задачи могут быть либо на высоком уровне и базовыми, либо вы можете получить очень детализированные настройки, которые вы делаете для задач.
Для основных задач вам нужно только установить следующее:
- Идентификатор события
- Действие при регистрации события
Вы можете увидеть эти параметры на рисунке 3.
Рис. 3. Основная задача для событий средства просмотра событий
Для более детализированной задачи для события вы можете получить очень гранулированную. Вы можете настроить особенности, связанные с событием, временем суток, пороговыми значениями и т. д. На рис. 4 показан пример одной из вкладок для настройки этих подробных задач.
Рис. 4. Подробная задача для события
Для действий как по основным, так и по детальным задачам можно сделать несколько вариантов. Вы можете настроить его таким образом, чтобы электронное письмо отправлялось при создании определенной задачи. Вы также можете установить действие, в котором запускается программа, если событие отслеживается. Это может быть сценарий, встроенная программа или практически все, что вы хотите, чтобы система выполнила, если событие отслеживается. Вы также можете просто показать сообщение, которое поможет администратору узнать о том, что произошло событие, что позволит им вручную предпринять действия после просмотра события.
Резюме
Как видите, новые параметры управления событиями и особенно событиями журнала безопасности очень эффективны. То, что когда-то было доступно только через сторонний продукт, теперь доступно только на одном новом компьютере с Windows под управлением Windows 2008, Vista или 7. Да, вам нужно будет установить программное обеспечение на компьютерах более ранних версий, чтобы они могли пересылать события, но это небольшая задача по сравнению с преимуществами, которые вы получаете, когда события централизованы. Возможность создавать настраиваемые представления и даже связывать задачи с определенными событиями делает новый просмотрщик событий инструментом, на который стоит обратить внимание и даже обновить компьютеры, чтобы получить его.