Защита Windows 2000 с помощью системы мониторинга журнала событий

Проблема с предоставленной информацией заключается в том, что трудно легко понять, какие события являются абсолютно критическими, а какие означают, что пользователь забыл свой пароль. Чтобы получить представление о том, насколько сложным может быть управление журналом безопасности, умножьте количество событий, обнаруженных в одной системе, на количество систем в вашей сети. Как видите, горы данных быстро становятся неуправляемыми и, безусловно, затрудняют реагирование на критические инциденты. Это основная причина, по которой некоторые компании отключают функцию аудита Windows 2000 почти так же быстро, как включают ее.

Хотя журналы безопасности Windows 2000 содержат огромное количество ценной информации, вы как администратор должны собирать, анализировать и оценивать информацию, которую они предоставляют. Мало того, что это почти невозможно в большой среде, это само по себе может легко стать работой на полный рабочий день. Кроме того, ручной анализ файлов журналов в поисках событий не является своевременным или практичным решением. Когда безопасность вашей сети находится под угрозой, вам требуется немедленный доступ к критически важной информации, а не всякий раз, когда вы, наконец, находите время для просмотра своих журналов. Вот тут-то и появляется монитор журнала событий безопасности LANguard (SELM) от GFI Software. (GFI предлагает бесплатную версию LANguard SELM для 1 сервера и 5 рабочих станций для загрузки.)
LANguard SELM предоставляет функциональные возможности мониторинга безопасности, которые изначально должны были быть включены в Windows 2000. Как инструктор, мои новые студенты постоянно спрашивают, как они могут быть предупреждены, когда происходит критическое событие. Мой ответ всегда один – без дополнительного ПО нельзя. Изучая и собирая журналы безопасности в сетевых системах, LANguard SELM может не только оповещать администратора по электронной почте, но и классифицировать события по категориям безопасности от низкой до критической. LANguard SELM объединяет файлы журналов из разных систем в единую базу данных SQL или Access, обеспечивая упрощенный мониторинг событий, управление журналами и создание отчетов. Это не ограничивается только Windows 2000 – LANguard SELM также работает с Windows NT, чтобы обеспечить удовлетворение потребностей вашей системы.
Подумайте об инструментах, которые можно использовать для защиты сети. По большей части компании полагаются почти исключительно на решение брандмауэра. В то время как правильно настроенный брандмауэр может отлично сдерживать плохих парней, он ничего не делает для отслеживания возможных внутренних проблем безопасности. Согласно различным исследованиям, от 70 до 80% всех инцидентов, связанных с безопасностью, связаны с внутренним персоналом. Во многих случаях получить доступ к конфиденциальным данным просто из-за неправильно настроенных (или, что еще хуже, не настроенных) разрешений безопасности. Даже в тех случаях, когда разрешения NTFS установлены правильно, безопасность остается проблемой. Знание того, кто пытался получить доступ (и когда), так же важно, как и знание того, кто на самом деле получил доступ к конфиденциальным данным. Помните, что хорошая стратегия безопасности включает в себя выявление угроз до того, как произойдет фактическое нарушение.
Установка LANguard SELM проста, но есть несколько вещей, которые вам необходимо подготовить перед началом работы. Прежде всего, вам необходимо включить аудит в вашем домене — помните, что Windows 2000 по умолчанию ничего не проверяет. Для всех намерений и целей вы должны быть уверены, что у вас есть хотя бы основные события (такие как вход в учетную запись и доступ к объекту). Подумайте о некоторых рисках, присущих любой среде, и внимательно о них подумайте. Вы не должны ограничивать себя только беспокойством о пользователях, пытающихся войти в систему в качестве администратора, или о тех, кто пытается получить доступ к файлам с ограниченным доступом. Подумайте о пользователях с административными привилегиями, изменяющих членство в ключевых группах (например, Payroll!), или удаляющих журналы безопасности после того, как они сделали что-то, чего им не следовало делать. Конечно, эти действия не ограничиваются внутренними пользователями, но, поскольку у них уже есть доступ, это представляет собой возможную угрозу. Тщательный анализ рисков безопасности имеет решающее значение для успеха любой инициативы в области безопасности.
В том же духе вы также должны определить свои сетевые системы до установки LANguard SELM. Определить системы как системы с высоким, средним или низким уровнем риска. В то время как брандмауэр, VPN или веб-сервер, вероятно, будут считаться высокорисковыми, рабочая станция обычного пользователя, вероятно, будет наиболее правильно отнесена к категории низкорисковых. Будьте честны в своем анализе — простое определение всех систем как систем с высоким риском не сделает вашу сеть более безопасной, даже если вы будете чувствовать себя более комфортно.
Напомним, что аудит настраивается в Windows 2000 с помощью групповой политики. Обязательно настройте аудит в политике домена по умолчанию, используя параметр «Без переопределения». На приведенном ниже снимке экрана показан раздел аудита групповой политики.

Помимо аудита, вам также потребуется настроить службу очереди сообщений (она включена в Windows 2000, но обычно не устанавливается по умолчанию) и создать специальную учетную запись пользователя, под которой будет работать LANguard SELM.
Процесс установки очень прост. На самом деле большую часть настройки можно выполнить с помощью мастера первоначальной установки. Это включает в себя добавление компьютеров для мониторинга, указание того, следует ли использовать базу данных SQL или Access, настройку параметров почтового сервера и указание обычного времени работы. После завершения настройки, конечно же, можно изменить с помощью инструментов настройки LANguard SELM.
LANguard SELM добавляет ряд инструментов (многие из которых основаны на MMC) для управления и мониторинга предупреждений и их настроек. Это включает:
LANguard SELM Configurator — используется для настройки предупреждений, правил и параметров программы.
Средство просмотра событий LANguard SELM — используется для просмотра событий по категориям, аналогично средству просмотра событий, но в более организованном виде.
LANguard SELM Reporter — используется для создания стандартных или настраиваемых отчетов, отображающих результаты анализа журнала безопасности.
LANguard SELM Troubleshooter — мастер, который можно использовать для предоставления GFI информации о проблемах, с которыми вы столкнулись при работе с продуктом, для отправки по электронной почте в GFI.
Кроме того, инструмент LANguard SELM Monitor находится на панели задач и предоставляет информацию о процессе сбора журналов безопасности на компьютерах домена. Поскольку журналы событий из разных систем должны будут извлекаться системой, в которой находится база данных, вы также можете указать, как часто это происходит для отдельных (или групп) компьютеров. Например, на критически важных серверах или серверах с высоким риском можно указать, чтобы мониторинг в реальном времени выполнялся каждые 5 секунд. На компьютерах с низким уровнем риска можно указать, что сбор журналов будет происходить каждые шесть часов. Здесь важно соблюдать баланс, поскольку слишком агрессивный мониторинг может повлиять на производительность. Это еще одна причина, по которой вам следует охарактеризовать сетевые системы перед установкой. На снимке экрана ниже показаны параметры мониторинга для одного из моих контроллеров домена.

Чтобы учесть различные уровни мониторинга безопасности, необходимые для доменных систем, LANguard SELM позволяет вам определить уровень безопасности отдельных систем и установить значения по умолчанию. Например, вы можете настроить такие параметры, чтобы отдельные серверы по умолчанию имели средний уровень безопасности, а контроллеры домена или важные серверы — высокий. Позже вы можете использовать эти настройки, чтобы определить, какие типы событий считаются критическими для данного типа системы.

Еще одной важной функцией является возможность определить так называемое нормальное время работы (NOT). Это сообщает LANguard SELM, какое время считается нормальным рабочим временем. Эта функция обеспечивает еще более детальный контроль над определением предупреждений — например, неудачный вход в систему в рабочее время может рассматриваться как угроза безопасности средней степени, а событие высокой (или даже критической) безопасности — в нерабочее время. Возможность контролировать то, что считается критическим (и когда), является частью того, что делает LANguard SELM таким мощным инструментом.

Все эти разговоры о конфигурации и настройке могут вас немного напугать. Хорошей новостью является то, что по умолчанию программа уже сгруппировала важные события безопасности по категориям на основе их потенциальной угрозы. Таким образом, даже если вы не уверены в том, что вы хотите, чтобы LANguard SELM сообщал вам при запуске, настройки по умолчанию легко справляются с наиболее распространенными требованиями. Для опытных пользователей возможность настроить, какие события отслеживать и как они характеризуются, обеспечивает максимальную гибкость. На приведенном ниже снимке экрана показан процесс определения пользовательского правила события.
Что касается мониторинга событий, средство просмотра событий LANguard SELM упрощает задачу. В то время как стандартное средство просмотра событий, входящее в состав Windows 2000, добавляет все предупреждения системы безопасности в один файл журнала на каждой отдельной машине, средство просмотра событий LANguard SELM классифицирует предупреждения в зависимости от их критичности, как показано ниже.

Помните, что хотя значения по умолчанию работают хорошо, у вас есть возможность точно определить, насколько критическим считается событие. Например, событие 529 (неправильное имя пользователя/пароль) по умолчанию классифицируется как событие средней безопасности на ПК с низким уровнем безопасности за пределами нормального времени работы (как показано ниже). Если вы хотите, вы можете легко изменить этот параметр на высокое или даже критическое событие — любое, которое лучше всего соответствует потребностям вашей среды.

Сделав еще один шаг вперед, вы также контролируете, когда с вами связываются по электронной почте (по умолчанию это настроено только для критических предупреждений). Однако вы снова можете указать, о каких типах событий вы хотите, чтобы с вами связывались. Помните, что получение слишком большого количества предупреждений по электронной почте может привести к тому, что вы начнете их игнорировать, поэтому будьте осторожны с событиями, которые вы решили определить как критические или достойные отправки по электронной почте.

Последняя важная функция LANguard SELM, безусловно, мне больше всего нравится — ее способность быстро и легко создавать четкие и подробные отчеты. Для тех из вас, чьи менеджеры ищут подробную информацию о сетевой безопасности, это действительно облегчит вашу жизнь. Мало того, что наиболее распространенные отчеты предопределены, вы также можете определить пользовательские отчеты, которые будут создаваться на основе информации, хранящейся в базе данных. Например, на снимке экрана ниже показан интерфейс Reporter:

Показанные отчеты на самом деле являются шаблонами — как только вы щелкните правой кнопкой мыши и выберите «Создать», вам будет представлен готовый отчет. Отчеты можно не только легко распечатать, но и экспортировать в распространенные форматы, включая RTF, CSV, Crystal Reports и другие.

LANguard SELM имеет множество дополнительных функций, которые я здесь не рассмотрел, — расширенные возможности фильтрации, возможность резервного копирования базы данных для обеспечения оптимальной производительности и многое другое. Если вы серьезно относитесь к мониторингу безопасности в вашей сети, вам следует обратить внимание на LANguard SELM. Этот продукт не только уменьшит объем административных усилий, необходимых для управления и мониторинга безопасности событий, но и даст вам уверенность в том, что что вы сможете своевременно реагировать на критические инциденты. GFI предлагает бесплатную версию LANguard SELM для 1 сервера и 5 рабочих станций для загрузки. Учитывая время и усилия (а впоследствии и деньги), которые компании тратят на обеспечение единой стратегии безопасности, LANguard SELM представляет собой практичное и экономичное решение.