Microsoft PowerPoint - Prezentacja.pps

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Wprowadzenie do

Active Directory (1)

Zarządzanie domeną Windows

Wprowadzona w Windows 2000

Domena – grupa komputerów połączona w sieć,

składająca się z serwera pełniącego rolę kontrolera

domeny oraz stacji roboczych – klientów

Baza użytkowników przechowywana tylko na serwerze

Prostsze zarządzanie siecią

Drzewo

Hierarchiczna kolekcja domen ułożonych w ciągłej

przestrzeni nazw

Domeny w drzewie są połączone przeźroczyście przy

pomocy dwukierunkowych przechodnich relacji

zaufania Kerberos

Domeny w obrębie pojedynczego drzewa posiadają

wspólną przestrzeń nazw i hierarchiczną strukturę

nazw

Nazwa domeny-dziecka jest relatywną nazwą tej

domeny-dziecka z dołączoną nazwą domeny-rodzica

Las

Zgrupowanie jednego lub większej ilości

drzew, które uczestniczą w wspólnym systemie

komunikacyjnym

W obrębie lasu istnieje pojedynczy schemat

replikacji, który jest kontrolowany poprzez

nadrzędny schemat serwera w domenie

korzenia

Zaufania Kerberos nigdy nie są przechodnie

między drzewami

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Wybieranie zdarzeń do inspekcji (1)

Żadna strategia projektowania zabezpieczeń nie może

być pełna bez uwzględnienia szczegółowej strategii

inspekcji

Konieczne jest zaplanowanie całościowej strategii

inspekcji

Powody, dla których należy włączyć inspekcję i

monitorować dzienniki zdarzeń:

–

Aby określić poziom odniesienia dla normalnego działania

sieci i komputerów

–

Aby wykryć próby włamania do sieci lub konkretnej maszyny

–

W celu określenia, które dane i systemy zostały zinfiltrowane w

trakcie incydentu lub po nim

Tworzenie planu inspekcji systemu

Określenie, jakie rodzaje działań lub operacji

mają być rejestrowane

Zdarzenia podlegające inspekcji w systemach

Windows opartych o jądro NT:

–

zdarzenia sukcesu (podjęta akcja została pomyślnie

zakończona przez system)

–

zdarzenia niepowodzenia (użyteczne przy śledzeniu

prób ataku na obserwowane środowisko sieciowe

lub komputer)

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Zarządzanie podglądem zdarzeń

Wszystkie zdarzenia

dotyczące zabezpieczeń w

systemach NT są

rejestrowane w dzienniku

zabezpieczeń dostępnym

poprzez narzędzie Event

Viewer

Dla każdego pliku dziennika

możliwe jest określenie:

–

położenia

–

maksymalnego rozmiaru

–

sposobu postępowania w

przypadku przepełnienia

Określenie lokalizacji pliku

dziennika

Domyślnie - %systemroot%\system32\config w pliku

SecEvent.evt

W systemie Windows XP, lokalizację pliku można

zmienić poprzez okno dialogowe Podglądu zdarzeń

W systemie Windows NT oraz 2000 można to zmienić

poprzez edycję rejestru:

HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\

Security

Domyślnie dostęp do niego jest ograniczony dla konta

System oraz grupy Administratorów

Określenie maksymalnego

rozmiaru pliku dziennika

Standardowo 512 kB

Rozmiar nie powinien przekraczać 300 MB

Zmiany rozmiaru można dokonać w karcie Właściwości
lub poprzez Szablony zabezpieczeń i Zasady grupy

Maksymalna wielkość pliku dziennika zabezpieczeń
przechowywana jest w rejestrze w kluczu:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security\MaxSize

Konfigurowanie zastępowania

wpisów (1)

Określenie co ma się wydarzyć, gdy osiągnięty
zostanie ustawiony wcześniej maksymalny rozmiar
pliku dziennika (zachowania zastępowania)

–

Overwrite Events As Needed (Zastąp zdarzenia w razie
potrzeby) – usuwany jest najstarszy wpis

–

Overwrite Events Older Than [x] Days (Zastąp zdarzenia
starsze niż) – zdarzenia są przechowywane przez określony
czas, zanim zaczną być zastępowane przez nowe

–

Do not Overwrite Events (Nie zastępuj zdarzeń) – zdarzenia
nie będą rejestrowane po zapełnieniu pliku dziennika

Konfigurowanie zastępowania

wpisów (2)

Możliwe jest skonfigurowanie systemu tak, aby po wykonał
automatyczne zamknięcie systemu, w przypadku gdy
rejestrowanie nowych zdarzeń nie jest możliwe

Spowoduje to pojawienie się tzw. ekranu „Blue Screen of Death” z
komunikatem: STOP C00000244 [Audit Failed]

Po wystąpieniu tego błędu tylko członkowie grupy Administrator
będą mogli się zalogować w celu ustalenia przyczyny zatrzymania
rejestrowania

W celu uaktywnienia tej funkcji należy klucz rejestru:
HKLM\SYSTEM\CurrectConsolSet\Control\Lsa\CrashOnAuditFail
ustawić na wartość 1

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Zdarzenia podlegające inspekcji

Zdarzenia podlegające inspekcji:

–

Zdarzenia logowania na kontach

–

Zarządzanie kontami

–

Dostęp do usługi katalogowej

–

Zdarzenia logowania

–

Dostęp do obiektów

–

Zmiana zasad

–

Wykorzystanie przywilejów

–

Śledzenie procesów

–

Zdarzenia systemowe

Aktualny stan inspekcji dla poszczególnych obszarów sprawdzić

można przy pomocy przystawki MMC Local Security Policy

Zdarzenia logowania na kontach (1)

Operacja logowania do domeny przetwarzana jest

przez jeden z kontrolerów domeny

Próby logowania rejestrowane są przez ten kontroler,

który dokonał uwierzytelnienia

Zdarzenia logowania na kontach tworzone są w

momencie, gdy pakiet uwierzytelniający potwierdzi (lub

nie) tożsamość użytkownika

Inspekcję tego typu zdarzeń należy prowadzić na

wszystkich kontrolerach, a przed analizą wykonać

konsolidację dzienników ze wszystkich źródeł

Zdarzenia logowania na kontach (2)

Logowanie tych zdarzeń zawiera informacje na temat:

–

na jakie konto zachodzi próba logowania (jaki jest jego SID)

–

z jakiego komputera oraz domeny

–

jaki jest to typ logowania (interaktywne, sieciowe, wsadowe,

usługowe, itd.)

Typowe zdarzenia logowania na kontach zawierają

informację na temat:

–

wydania, potwierdzenia biletu

–

uwierzytelniania Kerberos

–

przemapowania konta na konto domenowe

–

problem z sesją

–

...

Zdarzenia zarządzania kontami

Każdy administrator ma możliwość przyznawania
innym kontom rozszerzonych praw i uprawnień, a
także tworzenia dodatkowych kont

Możliwe jest rejestrowanie zdarzeń:

–

utworzenie

–

zmiana lub usunięcie konta lub grupy

–

zmiana nazwy konta

–

włączenie lub wyłączenie, ustawienie lub zmiana hasła

–

zmiana zasad zabezpieczeń komputera

Inspekcja dostępu do usług

katalogowych

Umożliwia śledzenie zmian dokonywanych w usłudze Active

Directory

Przykład - obiekty Urzędu certyfikacji przedsiębiorstwa (CA)

–

przechowywane w kontenerze konfiguracji po zainstalowaniu

infrastruktury kluczy publicznych przedsiębiorstwa (Public Key

Infrastructure - PKI)

Oprócz włączenie inspekcji usługi katalogowej, należy dodatkowo

dla każdego obiektu lub atrybutu zdefiniować systemową listę

kontroli dostępu (SACL)

Inspekcję należy włączyć na wszystkich kontrolerach, najlepiej

poprzez utworzenie zasady inspekcji w obiekcie Zasad grupy na

poziomie domeny

Inspekcja zdarzeń logowania

Umożliwia śledzenie każdorazowego logowania i

wylogowywania użytkowników lub komputerów z

komputera

Jest rejestrowane przez dziennik zabezpieczeń

komputera, na którym wystąpiła próba logowania

W przypadku łączenia się z inną maszyną, zostanie

wygenerowane na komputerze zdalnym

Zdarzenia logowania tworzone są w momencie

utworzenia lub zniszczenia sesji logowania i

związanego z nią żetonu dostępu

Inspekcja zdarzeń logowania na

kontach a inspekcja zdarzeń logowania

Zdarzenia logowania na kontach są rejestrowane przez
ten komputer, który dokonuje uwierzytelnienia

Zdarzenia logowania są zapisywane w dzienniku
komputera, na którym konto zostało użyte

W przypadku inspekcji na kontrolerze domeny, wpisy
będą tworzone tylko dla logowania interaktywnego
oraz sieciowego

–

logowanie komputerów nie generuje wpisów

Inspekcja dostępu do obiektów (1)

Umożliwia śledzenie udanych oraz nieudanych prób

dostępu do zasobów plikowych, drukowania oraz do

rejestru systemowego

Wymaga określenia SACL dla każdego zasobu

–

SACL złożone są z wpisów kontroli dostępu (Access Control

Entry – ACE). Każdy z nich zawiera trzy fragmenty informacji:

Zwierzchnik zabezpieczeń (użytkownik, komputer), podlegający

inspekcji

Typ dostępu, który ma podlegać inspekcji – maska dostępu

Flaga informująca o typach rejestrowanych zdarzeń – sukcesu

lub niepowodzenia

Inspekcja zmian zasad

Umożliwia śledzenie modyfikacji
dokonywanych w obszarach takich jak:

–

przypisywanie praw użytkowników

–

zasady inspekcji

–

domenowe relacje zaufania

Przydatne przy wykrywaniu prób dodawania
przywilejów (jak np. przywilej Debug czy Back
Up Files And Folders)

Inspekcja użycia uprawnień

Umożliwia rejestrowanie faktu wykorzystania jednego z
praw zezwalających na wykonanie procedury

Przykładowe zdarzenia rejestrowane przez tę
inspekcję:

–

zamykanie systemu lokalnego lub zdalnego

–

ładownie lub usuwanie sterowników urządzeń

–

przeglądanie dziennika zabezpieczeń

–

przejmowanie obiektów na własność

–

działanie jako element systemu operacyjnego

Inspekcja śledzenia procesów

Umożliwia stworzenie szczegółowego rejestru

wykonywanych procesów:

–

aktywizacja programu

–

zakończenie procesu

–

duplikowanie dojść

–

pośredni dostęp do obiektów

Jest idealnym narzędziem do krótkotrwałej

pracy, jak na przykład rozwiązywanie

problemów z działaniem aplikacji

Inspekcja zdarzeń systemowych

Umożliwia śledzenie zdarzeń polegających na
modyfikacji środowiska komputera

Typowe zdarzenia:

–

czyszczenie dziennika zabezpieczeń

–

zamykanie systemu na komputerze lokalnym

–

dokonywanie zmian w pakietach
uwierzytelniających działających na tym komputerze

Włączanie zasad prowadzenia

inspekcji

Można to uczynić korzystając z przystawki MMC Local

Security Policy (Zasady zabezpieczeń lokalnych) lub

poprzez zastosowanie szablonów zabezpieczeń

W przypadku komputerów należących do domeny

możliwe jest również zdalne włączenie inspekcji przy

użyciu Zasad grupy

Aby włączyć zasady prowadzenia inspekcji, należy:

–

otworzyć przystawkę

–

kliknąć gałąź Local Policies (Zasady lokalne) oraz Audit Policy

(Zasady prowadzenia inspekcji)

–

wybrać zasadę i we właściwościach wybrać rodzaj inspekcji

(sukces i/lub niepowodzenie)

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

Wprowadzenie do Active Directory

Wybieranie zdarzeń do inspekcji

Zarządzanie podglądem zdarzeń

Konfigurowanie zasad inspekcji

Monitorowanie rejestrowanych zdarzeń

Podgląd zdarzeń

Prosty program służący do przeglądania i analizy
danych zgromadzonych w dziennikach zdarzeń

Umożliwia wyświetlanie szczegółów, sortowanie oraz
filtrowanie zdarzeń oraz podłączanie do zdalnych
komputerów w celu zarządzania dziennikami

Brak możliwości konsolidacji zdarzeń

Możliwość eksportu do pliku

Niestandardowe skrypty (1)

Dumpel.exe (Dump Event Log)

–

Narzędzie wiersza polecenia kopiujące plik dziennika
komputera lokalnego lub zdalnego do pliku tekstowego
rozdzielanego tabulatorami

–

Umożliwia filtrowanie kopiowanych danych

EventQuery.pl

–

Skrypt Perlowy wyświetlający zdarzenia z dzienników w
formacie Event Viewer na komputerze lokalnym lub zdalnym

–

posiada szeroki zakres filtrów

Niestandardowe skrypty (2)

Eventlog.pl

–

Skrypt w języku Perl, umożliwiający skopiowanie i

wyczyszczenie plików dzienników oraz wyświetlenie

i zmianę właściwości dzienników na komputerze

lokalnym lub zdalnym

–

Użyteczny przy:

zmianie właściwości dzienników zdarzeń

wykonywaniu kopii zapasowych dzienników

eksportowaniu dzienników do plików tekstowych

czyszczeniu dzienników

Niestandardowe skrypty (3)

Event Comb

–

Umożliwia równoległe przeglądanie dzienników zdarzeń z wielu

komputerów

–

Umożliwia wyszukiwanie zdarzeń na podstawie zawartości

dowolnego pola w rekordzie zdarzenia w połączonych plikach

dzienników

–

Możliwości:

wyszukiwanie zdarzeń o konkretnym identyfikatorze lub należącym do

zdefiniowanej grupy

wyszukiwanie zdarzeń według zakresu

ograniczenie wyszukiwania do określonych dzienników

ograniczenie wyszukiwania do określonych typów informacji

ograniczenie wyszukiwania do konkretnych źródeł zdarzeń

wyszukiwanie tekstu w objaśnieniach zdarzeń

określenie przedziału czasowego, dla którego dzienniki mają być

skanowane

Prowadzenie inspekcji

zabezpieczeń kontrolerów domeny

Włączenie inspekcji w domyślnych zasadach

dla kontrolerów domeny gwarantuje, że

ewentualne ataki na kontrolery domeny

zostaną wykryte

Inspekcja umożliwia rejestrowanie zdarzeń w

dzienniku zabezpieczeń systemu

Rejestr ten może być pomocny przy

wykrywaniu prób włamania oraz ataków innego

typu (jak np. DoS – Denial of Service)

Inspekcja DHCP

Włączenie inspekcji DHCP na serwerze pozwoli ustalić, którzy

klienci DHCP łączą się z serwerem DHCP oraz określenia

pochodzenia wpisów BAD_ADDRES,

W tym celu należy włączyć opcję Enable DHCP Auditing Logging

w konsoli konfiguracyjnej serwera DHCP

Codzienne pliki dzienników tworzone są w folderze

%windir%\system32\dhcp

Możliwe jest również dostosowanie inspekcji poprzez modyfikację

klucza w rejestrze:

HKLM\SYSTEM\CurrentControlSet\Services\DhcpServer\Paramet

ers\DhcplogFilesMaxSize

definiującego maksymalny rozmiar plików dzienników DHCP

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (1)

Konfiguracja poprzez przystawkę IIS

Możliwość ustawienia parametrów dziennika:

–

czas tworzenia kolejnego pliku dziennika

–

katalog pliku wpisów

–

obiekty, które będą rejestrowane

Dla każdego zasobu z puli można decydować
czy wpisy o jego „odwiedzeniu” mają być
rejestrowane czy nie

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (2)

Możliwe jest zwiększenie domyślnych zabezpieczeń:

–

zastosowanie certyfikatów

–

zastosowanie kanałów SSL

–

odmowa dostępu wybranych komputerom lub sieciom

Możliwa jest również konfiguracja metod

uwierzytelniania hasła:

–

dostęp anonimowy

–

uwierzytelnianie zintegrowane

–

hasło szyfrowane

Można również limitować pasmo przeznaczone dla

poszczególnych daemonów pakietu IIS

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (3)

Dodatkowe narzędzia, umożliwiające zabezpieczenie

serwera IIS:

–

IIS Lockdown

ustawienie szablonu serwera

limitowanie rodzaju skryptów – mapowanie skryptów

usunięcie zbędnych składników systemu

–

filtr URLScan

porównywanie żądań z plikiem konfiguracyjnym pod względem

poprawności

Narzędzia te usuwają znane słabości konfiguracji IIS i

zapewniają filtry chroniące przed typowymi atakami

kierowanymi przeciwko serwerowi IIS

Monitorowanie IPSec (1)

IPSec szyfruje przesyłane treści po wysłaniu ich przez aplikację

po stronie klienta, po czym rozszyfrowuje je przed przekazaniem

ich do aplikacji na serwerze

Aplikacje nie muszą posiadać funkcji obsługi IPSec, gdyż dane

przekazywanie pomiędzy klientem i serwerem są przesyłane

zazwyczaj w postaci zwykłego tekstu

IPSec składa się z dwóch protokołów

–

IPSec Authentication Header (AH) – zapewnienie integralności

pakietów

–

IPSec Encapsulating Security Payload (ESP) – gwarantuje poufność

Protokoły działają w dwóch trybach (trybie transportowym oraz

tunelowania) przy użyciu trzech różnych metod uwierzytelniania:

–

przy pomocy mechanizmu Kerberos

–

Przy użyciu certyfikatów X.509

–

Przy użyciu zdefiniowanego klucza

Monitorowanie IPSec (2)

Możliwe monitorowanie IPSec przy użyciu programu

Ipsecmon.exe lub przystawki IP Security Monitor

IPSec może rejestrować wymiany kluczy internetowych

w pliku dziennika na dysku twardym komputera

W celu włączenia rejestrowania wymian kluczy

internetowych, należy w kluczu rejestru

HKLM\System\CurrentControlSet\Services\PolicyAgent

\Oakley

utworzyć wpis o nazwie EnableLogging a następnie

przypisać mu wartość 1

Dane dziennika zapisywane są w pliku

%systemroot%\debug\oakley.log

Protokół SNMP (1)

SNMP: Simple Network Management Protocol

Narzędzie służące do konfiguracji i nadzorowania

urządzeń sieciowych i hostów działających w sieciach

Możliwość monitorowania poprzez sterowanie

poszczególnymi urządzeniami oraz zarządzania z

wykorzystaniem dedykowanych pakietów

oprogramowania całymi sieciami

Standaryzowany (przez IETF Network Management

Research Group Charter (NMRG))

Relatywna łatwość pisania agentów i narzędzi

zarządzających

Protokół SNMP (2)

Na nadzorowanym systemie/węźle instaluje się tak zwanego

agenta, tj. program działający w trybie usługi/daemona

odpowiadający na żądania stacji zarządzających (tj. klientów),

wydających zlecenia agentowi

Zlecenia te mogą odnosić się do pobrania pewnej wartości (GET,

GET-NEXT, GET-BULK, GetNextRequest), ustawienia wartości

(SET)

W wypadku agentów SNMP w Windows NT i 2000

uwierzytelnianie odbywa się za pomocą tak zwanej community

(znaku współposiadania, wspólnoty), wywodzącej się z protokołu

SNMP v1 i SNMP v2c

W SNMP v3 domyślną metodą uwierzytelniania jest User Security

Model, zawierający oddzielne identyfikatory dla różnych

użytkowników oraz hasła szyfrowane w czasie transmisji

mRTG (1)

mRTG: Multi Router Traffic Grapher

Proste narzędzie administracyjne używane do

monitorowania ruchu w sieci

Z usługi SNMP pobiera informacje o stanie sieci czy

innych zasobów serwera i na ich podstawie tworzy

strony HTML z wykresami np. ilości danych

przesyłanych przez łącze

Generuje czytelne wykresy ruchu w sieci oraz

ogólnego wykorzystania komputera w ostatnim

tygodniu, miesiącu lub roku

mRTG (2)

Instalacja mRTG:

–

Zainstalować SNMP:

w Panelu Sterowania należy wybrać Dodaj/Usuń programy

następnie Dodaj/Usuń składniki Windows

składnik Narzędzia zarządzania i monitorowania

Sczegóły -> Protokół Simple Network Management
Protocol

mRTG (3)

Instalacja mRTG (c.d.):

–

Ustalić nazwę grupy:

Narzędzia Administracyjne -> Usługi -> SNMP Service

w zakładce Bezpieczeństwo, w polu Akceptowane nazwy

społeczności po kliknięciu przycisku Dodaj, w oknie, które

się pokaże, należy wybrać opcję TYLKO DO ODCZYTU i

wpisać nazwę community

–

domyślna nazwa, to Public

Sprawdzić czy wybrana jest opcja Akceptuj pakiety SNMP

z tych hostów i czy na liście jest tylko jeden host, tzn.

localhost

Pomocna literatura

Ben Smith, Brian Komar i Microsoft Security Team, „Microsoft

Windows

Security Resource Kit”, Microsoft

Press

Mitch Tulloch, „Microsoft

Encyclopedia of Security”, Microsoft

Press

The Microsoft

IIS Team, „Internet Information Services (IIS) 6

Resource Kit”, Microsoft

Press

William R. Stanek, „Vademecum Administratora Microsoft

IIS

6.0”, Microsoft

Press

David Iseminger, „Usługi Active Directory dla Microsoft

Windows

2000 Server Przewodnik Techniczny”, Microsoft

Press

Mike Mulcare, Stan Reimer, „Active Directory for Microsoft

Windows

Server 2003 Technical Reference”, Microsoft

Press

Ed Bott, Carl Siechert, „Bezpieczeństwo Microsoft

Windows

XP i Windows

2000 dla ekspertów”, Microsoft

Press