СИСТЕМА WINDOWS NT 163

,1, ,1,1 >-

/var/log/cron. Если хакеры получат доступ к файлу настроек демона сгоп, они сумеют запустить по расписанию задачу и с ее помощью войти в систему или добиться повыщенных привилегий. Регулярно просматривайте файл настроек и log-файл сгоп. Или, что еще лучще, следите за его использованием, настроив соответствующим образом syslog.

Команда ps

Хотя команда ps и не работает с log-файлом, она бывает очень полезна во время исследования потенциальной брещи в системе защиты. Эта команда считывает таблицу процессов ядра UNIX и выводит информацию о запущенных процессах. Нарушителя, проникнувшего в систему и инициировавшего фоновый процесс, удается обнаружить при помощи этой команды. Поскольку сведения берутся не из log-файла, а из ядра, увеличивается вероятность того, что они будут точными. В зависимости от версии UNIX команда ps может выводить следующую информацию:

О идентификатор процесса; О имя пользователя;

О TTY (или используемый процессом терминал);

О время выполнения;

О выполняемую команду;

О процент используемого времени процессора;

О процент используемой памяти;

О время запуска процесса.

Когда шла речь о файле /etc/utmp, отмечалось, что искушенный хакер способен модифицировать его. Поэтому, сравнив содержимое этого файла с выводом команды ps, нетрудно обнаружить подозрительные процессы, заслуживающие дальнейшего анализа. Кроме того, так вам удастся обнаружить процессы, которые выполняются дольше, чем следует, или запущены пользователем, который не должен этого делать.

Система Windows NT

Операционная система Windows NT позволяет регистрировать большое число событий. Так же, как и в случае демона syslog в UNIX, прежде всего нужно определить регистрируемые события.

Но, в отличие от UNIX, для просмотра полученных сообщений вам понадобится всего одна утилита - Event Viewer. Правда, это касается лишь операционной системы. Некоторые приложения, например Internet Inforraation Server, не только выполняют запись в Event Log (журнал событий), но и ведут собственные log-файлы. Программы других производителей также создают различные log-файлы.

Определение регистрируемых событий

Кроме утилиты Event Viewer, позволяющей просматривать регистрируемые события, существуют и другие утилиты, с помощью которых определяются регистрируемые события:

О User Manager (Менеджер пользователей) или User Manager for Domains при

работе в домене; О Windows NT Explorer;

О закладка Properties (Свойства) для принтера.

Рассмотрим вначале работу с User Manager. С помощью утилиты администратора, находящейся в папке Administrative Tools (Программы администрирования), задается политика аудита для сервера и управления учетными записями пользователей и доверительными связями в домене.

Выбор регистрируемых событий в User Manager

1. Выполните команды Start => Programs => Administrative Tools => User Manager (Пуск => Программы => Программы администрирования => Менеджер пользователей).

2. Выберите пункт Audit (Аудит) в меню Policies (Политика). Появится диалоговое окно Audit Policy (см. рис. 8.1).

3. Установите переключатель в положение Audit These Events (Регистрировать эти события).

4. Для каждого из событий, которые вы хотите регистрировать, отметьте один (или оба) из флажков Success (Успех) или Failure (Неудача).

5. Завершив выбор всех событий, щелкните мышью по кнопке ОК.

В диалоговом окне Audit Policy можно указать для каждого типа событий, какое их завершение записывать - удачное или неудачное. В первом случае событие, например вход пользователя в систему, фиксируется, если оно закончилось успехом. Во втором случае - наоборот. Так, если вы хотите знать только о случаях, когда пользователь пытался, но не смог войти в систему потому, что набрал неправильный пароль или по какой-то другой причине, установите для этого события флажок Failure. Допускается также одновременно записывать и удачные, и неудачные события.

Отмена регистрации событий

На рис. 8.1 видно, что можно отменить регистрацию любых событий, установив переключатель в положение Do Not Audit (Выключить аудит). Чтобы отключить аудит на короткое время, воспользуйтесь этим переключателем. Тогда установленные вами настройки регистрации событий останутся без изменений. Если вы позже решите включить аудит, вам не потребуется вспоминать параметры регистрации, а будет достаточно всего лишь переставить переключатель в положение Audit These Events.

; Domain: Si.ONa Г Ьо Not Audit --fudJ These Events..........

Success s FaJute

Cancel

Help

Рис. 8.1. Диалоговое окно Audit Policy служит для настройки регистрируемых событий

Диалоговое окно Audit Policy, изображенное на рис. 8.1, позволяет определять политику аудита для всего домена. Windows NT Server устанавливается либо как автономный сервер, либо как контроллер домена. В первом случае заданная вами политика аудита будет применяться только к этому серверу. Но политика аудита, предназначенная для NT Server, функционирующего в качестве контроллера домена, распространяется на весь домен.

По этой причине (и по многим другим) не следует использовать укрепленный компьютер в качестве контроллера домена Windows NT.

В табл. 8.3 приводится краткое описание каждого из регистрируемых событий.

Таблица 8.3. События, регистрация которых настраивается в User Manager

Событие

Logon and Logoff

File and Object Access

Use of User Rights User and Group

Security Policy Changes

Restart, Shutdown and System

Process Tracking

сход пальзавателей в систему и выход из нее, а тоюке вход в сист. л, с удаленного компьютера

Доступ к файлом и каталогам и отправка заданий но принтер. При этом требуется дополнительно определить файлы, каталоги и принтеры, доступ к которым будет регистрироваться

Использование предоставленных пользователю прав

Изменения групп. Создание, удаление и переименование групп Management пользователей, а также изменение паролей

Изменения прав пользователей и доверительных связей или настроек аудита

Перезапуск и завершение работы системы и другие события, связанные с ее безопасностью. Эта категория также включает в себя изменения в событии log on the system.

Большой объем информации о пользовательских процессах, время запуска программ и выхода из них, доступ к объектам