1 / 14

Лекция № 22

Лекция № 22. Мониторинг и аудит ОС. Мониторинг. Мониторинг — процесс систематического или непрерывного сбора информации о параметрах сложного объекта или деятельности для определения тенденций изменения параметров.

mahola
Download Presentation

Лекция № 22

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Лекция №22 Мониторинг и аудит ОС

  2. Мониторинг • Мониторинг — процесс систематического или непрерывного сбора информации о параметрах сложного объекта или деятельности для определения тенденций изменения параметров. • Мониторинг — систематический сбор и обработка информации, которая может быть использована для улучшения процесса принятия решения, а также, косвенно, для информирования общественности или прямо как инструмент обратной связи в целях осуществления проектов, оценки программ или выработки политики. Он несёт одну или более из трёх организационных функций: • выявляет состояние критических или находящихся в состоянии изменения явлений окружающей среды, в отношении которых будет выработан курс действий на будущее; • устанавливает отношения со своим окружением, обеспечивая обратную связь, в отношении предыдущих удач и неудач определенной политики или программ; • устанавливает соответствия правилам и контрактным обязательствам. • В технической диагностике под мониторингом понимают непрерывный процесс сбора и анализа информации о значении диагностических параметров состояния объекта.

  3. Техническая диагностика • Техническая диагностика — область знаний, включающая в себя сведения о методах и средствах оценки технического состояния машин, механизмов, оборудования, конструкций и других технических объектов. • Техническая диагностика является составной частью технического обслуживания. Основной задачей технического диагностирования является сокращение затрат на техническое обслуживание объектов, и на уменьшение потерь от простоя в результате отказов.

  4. Проблемы технической диагностики • При проведении технического диагностирования выделяют две основные проблемы: • вероятность пропуска неисправности; • вероятность «ложной тревоги», то есть вероятность ложного сигнала о наличии неисправности. • Чем выше вероятность «ложной тревоги», тем меньше вероятность пропуска неисправности, и наоборот. Задача технической диагностики состоит в нахождении «золотой середины» между этими двумя проблемами.

  5. Просмотр событий Event Viewer • Журнал приложений • В журнале приложений содержатся данные, относящиеся к работе приложений и программ. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений. Например, программа поддержки баз данных может заносить в журнал сведения об ошибках, связанных с файлами. • Журнал безопасности • Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. • Журнал системы • Журнал системы содержит записи о событиях, внесенные компонентами системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. Типы событий, заносимых в журнал системы, предварительно определены сервером. • На компьютере под управлением операционной системы семейства Windows Server, настроенном как контроллер домена, ведется запись событий в два дополнительных журнала. • Журнал службы каталогов • Журнал службы каталогов содержит записи о событиях, внесенные службой системы Windows Active Directory. Например, проблемы соединения между сервером и общим каталогом записываются в журнал службы каталогов. • Журнал службы репликации файлов • В журнале службы репликации файлов содержатся события, заносимые службой репликации файлов Windows. Например, в журнал репликации файлов записываются неудачи при репликации файлов и события, которые происходят, пока контроллеры домена обновляются данными об изменениях каталога Sysvol. • Компьютер, работающий под Windows как DNS-сервер, записывает события в дополнительный журнал. • Журнал DNS-сервера • В журнал DNS-сервер записываются сообщения об событиях, зарегистрированных службой DNS-сервер Windows. • На компьютере могут также иметься другие типы событий и журналов событий, в зависимости от установленных служб. • Служба журнала событий запускается автоматически при запуске Windows. • Пользователь, входящий в группу «Администраторы» на локальном компьютере, может назначать разрешения доступа к журналам событий при помощи групповой политики.

  6. Просмотр событий • ПРЕДУПРЕЖДЕНИЕПри использовании сервиса протоколирования в журнал следует записывать достаточно важные и нужные сведения о происшедших ошибках, которые действительно потом могут помочь разработчикам разобраться, что же произошло с приложением. Не следует, например, писать в системный журнал с периодичностью 100нс сообщения о том, что пользователь случайно удалил файл readme.txt. Журнал событий – это не средство трассировки.

  7. Заголовок события

  8. При описании событий в журнале старайтесь придерживаться следующих рекомендаций, это поможет вам сделать журналы событий удобочитаемыми и опрятными. Помните, что журналы - это уже не только ваши собственные файлы трассировки, а разделяемый сервис, и не только вы ими пользуетесь. • Сообщение в журнале событий – это, прежде всего, информация, способная помочь вам, администратору и даже пользователю понять, какая проблема возникла в приложении и как её устранить. В частности, это событие может предназначаться специалисту технической поддержки в вашей компании, и даже ему будет тоскливо читать сообщение: «Процесс А не смог прочитать 0x05 байт 0x2-ого сектора дисковода В». Поэтому идеальное сообщение должно помочь пользователю ответить на следующие вопросы: • Что случилось и почему? • Что ему (пользователю) делать дальше? • Что он (пользователь) может сделать, чтобы этого больше не повторилось? • Могут пригодиться и следующие рекомендации: • Избегайте условных ошибок. Если вы можете спрогнозировать ошибку, которая может случиться в случае выполнения некоторого действия, перепишите свой код так, чтобы пользователь не получал сообщения об ошибке. • Напишите текстовое сообщение для каждой известной ошибки. • Используйте системные коды и сообщения об ошибках. • Предоставьте пользователю хотя бы один вариант решения проблемы, возникшей вследствие вашей ошибки. • Не используйте технические термины, жаргон, сленг и аббревиатуры. • В диалоговых сообщениях используйте именно необходимые кнопки (такие как Yes, No, Cancel). • Соглашения о стиле содержания сообщения: • Используйте подробные, но простые предложения. • Не используйте слова, состоящие из одних заглавных букв. • Используйте точную семантику. Например, вместо сообщения “Bad size” лучше всё-таки указать пользователю правильный размер.

  9. События в журнале • В журнал можно записывать пять типов событий. Все типы событий достаточно понятно классифицированы, определены и могут включать много дополнительной информации. Каждое событий, которое мы посылаем из своего приложения, может иметь только один тип. Определены следующие типы событий: СОВЕТВ тексте сообщения о событии лучше не применять символы табуляции и точку с запятой, так как журнал может экспортироваться в текстовый файл с разделителями. Многие организации импортируют журналы событий в свои базы данных для диагностики своими средствами. Строки в формате UNC лучше заключать в треугольные скобки, например <\\sharename\servername>. Поскольку запись в журнал может происходить нечасто, в тексте сообщения следует достаточно полно описывать происшедшее событие. Следует достаточно понятно описывать событие, так как информацию о событии, до того как она попадёт к разработчику, может просмотреть, например, администратор системы и не придав ей особого значения, просто проигнорировать.

  10. Форматы файлов с архивами журналов • Форматы файлов с архивами журналов • Журнал событий можно сохранить в файле одного из трех форматов. • Журнал событий (EVT-файл). Позволяет просматривать сохраненный файл журнала в окне просмотра событий. • Текст (разделители — табуляция) (TXT-файл). Позволяет использовать сведения журнала в таких программах, как текстовый процессор. Журнал, сохраненный в формате .txt, нельзя открыть в окне «Просмотр событий».  • Текст (разделители — запятые) (CSV-файл). Позволяет использовать сведения журнала в таких программах, как средства работы с электронными таблицами и базами данных. Журнал, сохраненный в формате .csv, нельзя открыть в окне «Просмотр событий». 

  11. Элементы журнала событий • Всю информацию о настройках журнала сервис берёт из реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog. • Каждая ветка в этом ключе – это журнал. Изначально их всего три, но можно создавать свои журналы, и регистрировать свои приложения как источники событий для этих журналов.

  12. Советы и рекомендации по аудиту событий безопасности • Составьте план аудита перед реализацией политики аудита • Определите, какие сведения нужно получить в результате сбора сведений аудита событий.  • Если вас интересует выявление вторжений (отслеживание попыток несанкционированного доступа пользователей к ресурсам), можно вести аудит отказов. Однако включение аудита отказов несет в себе риск для организации. Если попыток несанкционированного доступа пользователей к ресурсам будет так много, что переполнится журнал безопасности, компьютер не сможет дальше собирать сведения аудита. При включенной политике Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности пользователи могут проводить атаки на службу, используя политику аудита. • Если есть потребность в юридических доказательствах, можно настроить параметры аудита для сбора сведений как аудита успехов, так и аудита отказов. Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит в организации. • Рассмотрите доступные ресурсы для сбора и просмотра сведений журнала аудита. Аудит событий требует дополнительного места на компьютерах и отнимает ваше время и время сотрудников вашей организации. Не рекомендуется проводить аудит событий, которые не являются действительно важными. • Сбор и архивирование журналов безопасности в организации • При совершении вторжения изолируйте и сохраните записи журнала безопасности. Эти записи могут пригодиться при расследовании вторжения. • Контрольный журнал содержит сведения об изменениях, произошедших с компьютерами в сети. Если злоумышленник получит права и разрешения администратора, он может очистить журнал безопасности, уничтожив следы своих действий. То же самое может произойти, если администраторы будут злоупотреблять своими правами и разрешениями. Однако при использовании служебных программ, которые регулярно собирают и сохраняют записи журнала безопасности в организации, действия злоумышленника или администратора скорее всего будут отслежены. Примером такой программы является Microsoft Operations Manager. • Аудит успехов и отказов в категории системных событий • Необычную активность, которая иногда является свидетельством попытки злоумышленника получить доступ к компьютеру или сети, можно отследить с помощью аудита успехов и отказов в категории системных событий. • Когда этот параметр включен, количество повторений аудита обычно относительно невелико при относительно высоком качестве получаемых сведений. 

  13. Советы и рекомендации по аудиту событий безопасности • Аудит успехов в категории событий изменения политики на контроллерах домена • Событие заносится в журнал в категорию событий изменения политики, только если изменены настройки политики безопасности локальный администратор безопасности. • При использовании групповой политики для изменения параметров политики аудита нет необходимости проводить аудит событий в категории событий изменения политики на рядовых серверах. • С помощью аудита отказов в категории событий изменения политики можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры политик, в том числе параметры политики безопасности. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов.  • Аудит успехов в категории событий управления учетными записями • С помощью аудита успехов в категории событий управления учетными записями можно получать подтверждения изменений параметров учетных записей и свойств групп. • С помощью аудита отказов в категории событий управления учетными записями можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры учетных записей или свойства групп. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. • Аудит успехов в категории событий входа в систему • С помощью аудита успехов в категории событий входа в систему можно заносить в журнал время входа каждого пользователя в систему и выход из нее. Таким образом можно будет отследить время нарушения системы безопасности, если неавторизованный пользователь похитит пароль авторизованного пользователя и войдет в систему. • С помощью аудита отказов в категории событий входа в систему можно обнаружить попытки неавторизованных пользователей или злоумышленников войти в систему. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более серьезными — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен.

  14. Советы и рекомендации по аудиту событий безопасности • Аудит успехов в категории событий входа в систему на контроллерах домена • При аудите успехов в категории событий входа в систему в журнал заносится время входа пользователей в домен и время выхода из него. • Нет необходимости проводить аудит событий в категории событий входа в систему на рядовых серверах. • С помощью аудита отказов в категории событий входа в систему можно будет обнаружить попытки неавторизованных пользователей или злоумышленников войти в сеть. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более тяжелыми — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен. • Будьте точны при настройке аудита для объекта • Для аудита доступа к объектам необходимо включить параметр политики Аудит доступа к объектам в системной таблице управления доступом (SACL), связанной с объектом. • Для повышения производительности следует уменьшить число записей в SACL для объекта. 1000 отдельных записей в SACL снижают производительность системы больше, чем одна запись, содержащая 1000 пользователей. • Чтобы снизить количество событий и увеличить эффективность каждого события, аудит следует проводить только для действительно важных действий. Например, для занесения событий чтения файла пользователями в журнал не следует проводить аудит полного доступа. • Установите соответствующий размер журнала безопасности • Размер журнала безопасности важно установить в соответствии с количеством событий, которое зависит от настроек политики аудита. 

More Related