36wininout.pdf

Rozdzia³ 36

O inspekcji

986

Inspekcja

zabezpieczeñ

Sprawdzaj, kto u¿ywa twojego

komputera

986

Przegl¹danie zdarzeñ

zabezpieczeñ

990

Czêœæ VIII: Administracja systemu

Rozdzia³ 36: Inspekcja zabezpieczeñ

Jako bezpieczny system operacyjny, Microsoft

Windows XP jest zaprojektowany tak, aby unie-

mo¿liwiæ nie uwierzytelniony dostêp do plików,

folderów i drukarek komputera. W wyniku

niew³aœciwych ustawieñ wprowadzonych nie-

umyœlnie przez u¿ytkownika albo wytrwa³ych

wysi³ków intruza, ktoœ mo¿e uzyskaæ dostêp do

zasobów, które powinny byæ chronione. Monito-

rowanie (albo inspekcjonowanie ) u¿ycia systemu

mo¿e byæ przydatnym narzêdziem przy admini-

strowaniu zabezpieczeniami systemu. Na przy-

k³ad powtarzaj¹ce siê próby logowania siê za

pomoc¹ z³ego has³a mog¹ oznaczaæ, ¿e nie uwie-

rzytelnieni u¿ytkownicy próbowali uzyskaæ do-

stêp do twojego systemu. Powtarzaj¹ce siê nie-

udane próby dostania siê do folderu mog¹ ozna-

czaæ, ¿e oprogramowanie zosta³o niepoprawnie

zainstalowane albo ¿e zabezpieczenia tego folde-

ru s¹ niepoprawnie skonfigurowane.

System Microsoft Windows XP umo¿liwia pro-

wadzanie inspekcji zdarzeñ zabezpieczeñ po-

przez zapisywanie prób uzyskania dostêpu do

zasobów systemu. W tym rozdziale opiszemy

ró¿ne narzêdzia do przeprowadzania inspekcji,

których mo¿esz u¿yæ jako administrator systemu

albo w³aœciciel zasobu. Analizujemy ich cel oraz

zastosowanie, a tak¿e wyjaœniamy, jakich infor-

macji dostarczaj¹, kiedy s¹ w³aœciwie u¿ywane.

Zobacz, kto próbowa³ uzyskaæ

dostêp do twoich plików

i folderów

991

Zobacz, kto próbowa³ u¿yæ

twojej drukarki

995

UWAGA

Poniewa¿ system Windows XP Home Edition nie posiada

konsoli Ustawienia zabezpieczeñ lokalnych, nie mo¿esz

w³¹czyæ inspekcji na komputerze z systemem w wersji Home

Edition.

986

Czêœæ VIII: Administracja systemu

O inspekcji

Kiedy u¿ytkownik próbuje uzyskaæ dostêp do zasobu systemowego, Windows

sprawdza listê kontroli dostêpu (ACL) tego zasobu, aby okreœliæ, czy u¿ytkownik po-

winien uzyskaæ dostêp. Jest to podstawa bezpieczeñstwa w systemie Windows XP.

UWAGA

Nawet je¿eli twój komputer jest skonfigurowany do u¿ywania Prostego udostêpniania plików (domyœlna

konfiguracja dla komputera pojedynczego lub nale¿¹cego do grupy roboczej), system Windows nadal u¿y-

wa list ACL. W przypadku Prostego udostêpniania plików standardowy interfejs u¿ytkownika dostarcza

mniej opcji do przegl¹dania i edytowania list ACL, ale lista – oraz ochrona, jak¹ zapewnia – ca³y czas jest na

swoim miejscu. Szczegó³owe informacje o prostym udostêpnianiu plików znajdziesz w podrozdziale „Pro-

ste udostêpnianie plików a styl udostêpniania plików w Windows 2000” na stronie 80.

Je¿eli inspekcja jest w³¹czona, mo¿esz równie¿ za¿¹daæ, aby Windows nadzorowa³

dostêp do danego zasobu. (Dodatkowe informacje znajdziesz w podrozdziale

„Sprawdzaj, kto u¿ywa twojego komputera”). Wtedy system Windows zapisze

w dzienniku ka¿d¹ próbê uzyskania dostêpu do tego zasobu. Mo¿esz na przyk³ad

zdecydowaæ, aby Windows zapisywa³ wszystkie nieudane zadania wydruku dla da-

nej drukarki albo wszystkie nieudane ¿¹dania odczytania plików dla okreœlonego fol-

deru.

Windows zapisuje te informacje w dzienniku Zabezpieczenia (Secevent.evt), jednym

z trzech ogólnosystemowych dzienników, którymi zarz¹dza. Pozosta³e dwa to dzien-

nik System (Sysevent.evt), który zapisuje zdarzenia wygenerowane przez sk³adniki

systemu operacyjnego – takie jak sterowniki ekranu lub sieci – oraz dziennik Aplika-

cja (Appevent.evt), który zapisuje zdarzenia wygenerowane przez aplikacje. Na przy-

k³ad narzêdzie Kopia zapasowa generuje zdarzenia, kiedy czyœcisz taœmê albo przy-

wracasz pliki, i zapisuje te zdarzenia w dzienniku Aplikacja.

Szczegó³owe informacje o dziennikach System i Aplikacja znajdziesz w Rozdziale 35 „Monitorowanie aktywnoœci syste-

mu za pomoc¹ Podgl¹du zdarzeñ”.

Unikaj przeprowadzania inspekcji, je¿eli jej nie potrzebujesz. Inspekcje zabezpieczeñ,

takie jak inspekcja IRS, mog¹ byæ czasoch³onne. (W porz¹dku, inspekcje zabezpieczeñ

nie s¹ takie z³e). Kiedy w³¹czysz inspekcjê, system musi zapisaæ rekord zdarzenia

w dzienniku Zabezpieczenia dla ka¿dej kontrolnej inspekcji, jak¹ przeprowadzi sys-

tem. Poniewa¿ mo¿e to powa¿nie zmniejszyæ wydajnoœæ systemu, powinieneœ in-

spekcjonowaæ tylko te zdarzenia, które s¹ dla ciebie wa¿ne.

Sprawdzaj, kto u¿ywa twojego komputera

¯adne zdarzenia nie s¹ zapisywane w dzienniku Zabezpieczenia, dopóki nie

w³¹czysz inspekcji, co mo¿esz zrobiæ za poœrednictwem Ustawieñ zabezpieczeñ lo-

kalnych. Nawet je¿eli ustawisz inspekcjê dla plików, folderów albo drukarek, jak wy-

jaœnimy dalej w tym rozdziale, zdarzenia te nie bêd¹ zapisywane, jeœli nie w³¹czysz

inspekcji równie¿ w Ustawieniach zabezpieczeñ lokalnych. Musisz byæ zalogowany

jako cz³onek grupy Administratorzy, aby w³¹czyæ inspekcjê. (Odmiennie ni¿ w przy-

Rozdzia³ 36: Inspekcja zabezpieczeñ

987

Upewnij siê, ¿e nie omin¹³eœ ¿adnego zdarzenia zabezpieczeñ

Domyœlnie, jeœli dziennik Zabezpieczenia zape³ni siê, Windows wymazuje najstar-

sze wpisy, kiedy potrzebuje dokonaæ nowych – tak samo jak w przypadku dzienni-

ków Aplikacja i System. Ale je¿eli bezpieczeñstwo jest dla ciebie spraw¹ kluczow¹,

mo¿esz wprowadziæ w rejestrze ustawienia, które sprawia, ¿e zdarzenia bêd¹

mog³y byæ usuwane tylko przez cz³onków grupy Administratorzy. (Nawet bez

tego ustawienia w rejestrze tylko administratorzy – oraz inni z prawem do

zarz¹dzania inspekcj¹ i dziennikiem zabezpieczeñ – mog¹ przegl¹daæ dziennik Za-

bezpieczenia lub usuwaæ jego zawartoœæ. Aby uniemo¿liwiæ u¿ytkownikom zacie-

ranie œladów, nikt nie mo¿e usun¹æ swoich w³asnych wpisów; osoby uwierzytel-

nione musz¹ usun¹æ wszystkie albo ¿adne).

Rozwi¹zanie to jest raczej drastyczne i dlatego te¿ powinno byæ u¿ywane tylko

wtedy, gdy jest istotne chronienie ka¿dego zdarzenia zabezpieczeñ. Jeœli w reje-

strze figuruje ten wpis, system zatrzymuje siê, kiedy dziennik Zabezpieczenia

zape³ni siê, uniemo¿liwiaj¹c dalsze jego wykorzystywanie – oraz umo¿liwiaj¹c

utratê danych, jeœli jakieœ dokumenty by³y w tym momencie otwarte. Je¿eli chcesz

aktywowaæ ten poziom bezpieczeñstwa, wykonaj nastêpuj¹ce czynnoœci:

1. W Podgl¹dzie zdarzeñ kliknij prawym przyciskiem myszy Zabezpieczenia,

a nastêpnie kliknij W³aœciwoœci.

2. Na karcie Ogólne zaznacz Zast¹p zdarzenia starsze ni¿ albo dla maksymalnego

bezpieczeñstwa, Nie zastêpuj zdarzeñ (rêczne czyszczenie dziennika).

3. U¿yj Edytora rejestru do zmiany lub utworzenia wartoœci DWORD o nazwie

CrashOnAuditFail w kluczu HKLM\System\CurrentControlSet\Control\Lsa.

Ustaw jej wartoœæ na 1.

4. Uruchom ponownie komputer.

Jeœli wykonasz powy¿sze czynnoœci, komputer zatrzyma siê, kiedy dziennik Za-

bezpieczenia stanie siê pe³ny. W takiej sytuacji musisz ponownie uruchomiæ kom-

puter i zalogowaæ siê jako cz³onek grupy Administratorzy; ¿adne inne konto nie

jest dopuszczone do zalogowania siê. Twoim pierwszym dzia³aniem po zalogowa-

niu siê powinno byæ przejrzenie, eksportowanie, je¿eli potrzeba, oraz wyczyszcze-

nie dziennika Zabezpieczenia. Nastêpnie musisz ponownie ustawiæ wartoœæ wpisu

w rejestrze na 1. (System operacyjny automatycznie ustawi³ j¹ na 2 – ten mecha-

nizm uniemo¿liwia innym zalogowanie siê). Aby przywróciæ normalne dzia³anie

komputera (to znaczy aby kontynuowa³ dzia³anie, nawet jeœli dziennik Zabezpie-

czenia jest pe³ny), ustaw wartoœæ na 0.

Naturalnie, je¿eli zastosujesz ten trik, powinieneœ podj¹æ odpowiednie dzia³ania,

aby unikn¹æ zape³nienia siê dziennika zabezpieczeñ i zablokowania komputera

w nieodpowiednim momencie. Przegl¹daj, a nastêpnie czyœæ dziennik okresowo.

(Eksportuj uprzednio jego zawartoœæ, je¿eli chcesz j¹ zachowaæ). Mo¿esz równie¿

chcieæ zwiêkszyæ rozmiar dziennika. Dodatkowe informacje znajdziesz w podroz-

dziale „Praca z plikami dziennika” na stronie 979.

988

Czêœæ VIII: Administracja systemu

padku wiêkszoœci praw, prawo do w³¹czania inspekcji nie mo¿e byæ przyznane in-

nym u¿ytkownikom lub grupom).

UWAGA

Tak jak wiêkszoœæ ustawieñ w konsoli Ustawienia zabezpieczeñ lokalnych, ustawienia zasad inspekcji

mog¹ byæ zast¹pione przez ustawienia zasad na poziomie domeny. Je¿eli twój komputer jest czêœci¹ do-

meny systemu Windows 2000 Server lub Windows .NET Server, powinieneœ u¿yæ Zasad grupy na pozio-

mie domeny, aby wprowadziæ ustawienia, zamiast u¿ywaæ Ustawieñ zabezpieczeñ lokalnych.

Aby w³¹czyæ inspekcjonowanie, wykonaj nastêpuj¹ce czynnoœci:

1. W Panelu sterowania otwórz Narzêdzia administracyjne i kliknij Zasady zabez-

pieczeñ lokalnych. (Je¿eli u¿ywasz widoku kategorii, Narzêdzia administracyjne

odnajdziesz, klikaj¹c kategoriê Wydajnoœæ i konserwacja). Alternatywnie, mo¿esz

wpisaæ w wierszu polecenia secpol.msc .

2. Rozwiñ Zasady lokalne, a nastêpnie kliknij Zasady inspekcji, aby wyœwietliæ listê

pokazan¹ na rysunku 36-1.

Rysunek 36-1. Inspekcje w³¹czasz, u¿ywaj¹c konsoli Ustawienia zabezpieczeñ lokalnych.

3. Dwukrotnie kliknij ka¿d¹ zasadê, dla której chcesz w³¹czyæ inspekcjê, a nastêpnie

zaznacz pole Sukces, Niepowodzenie albo oba.

Rysunek 36-1 pokazuje typy dzia³añ, które mog¹ byæ objête inspekcj¹. Niektóre, takie

jak zarz¹dzanie kontami i zmiana zasad, mog¹ dokonaæ próbnej inspekcji dla zmian

administracyjnych. Inne, takie jak zdarzenia logowania oraz dostêp do obiektów,

mog¹ pomóc ci w lepszym zabezpieczeniu systemu. Jeszcze inne, w³¹czaj¹c w to zda-

rzenia systemowe oraz œledzenie procesów, mog¹ pomóc w zlokalizowaniu proble-

mów w systemie. Tabela 36-1 zawiera wiêcej szczegó³ów.

Rozdzia³ 36: Inspekcja zabezpieczeñ

989

Tabela 36-1. Zdarzenia, które mog¹ byæ inspekcjonowane

Zasada inspekcji

Opis

PrzeprowadŸ inspekcjê dostêpu

do obiektów

Zdarzenia dostêpu do obiektów pojawiaj¹ siê, kiedy u¿ytkownik

uzyskuje dostêp do pliku, folderu, drukarki, klucza rejestru lub innego

obiektu, który zosta³ okreœlony jako podlegaj¹cy inspekcji.

PrzeprowadŸ inspekcjê dostêpu

do us³ugi katalogowej

Zdarzenia dostêpu do us³ugi katalogowej pojawiaj¹ siê, kiedy

u¿ytkownik uzyskuje dostêp do obiektu us³ugi Active Directory, który

posiada swoj¹ w³asn¹ listê kontroli dostêpu. (Nie ró¿ni siê to od

dostêpu do obiektów, z tym wyj¹tkiem, ¿e dotyczy tylko obiektów

us³ugi Active Directory w domenie Windows).

PrzeprowadŸ inspekcjê œledzenia

procesów

Œledzenie procesów zawiera ukryte zdarzenia, takie jak uaktywnienie

programu, duplikacja uchwytów, uzyskanie poœredniego dostêpu do

obiektu oraz zamkniêcie procesu. Zasada ta nie jest zazwyczaj

przydatna w wypadku kontroli rutynowych zabezpieczeñ.

PrzeprowadŸ inspekcjê u¿ycia

uprawnieñ

Zdarzenia u¿ycia uprawnieñ pojawiaj¹ siê, kiedy u¿ytkownik

wykorzystuje prawo u¿ytkownika (inne ni¿ logowanie, wylogowywanie

oraz prawa dostêpu sieciowego, które wywo³uj¹ inne typy zdarzeñ).

PrzeprowadŸ inspekcjê

zarz¹dzania kontami

Zdarzenia zarz¹dzania kontami pojawiaj¹ siê, kiedy konto u¿ytkownika

lub grupa zostaj¹ utworzone, zmienione lub usuniête. Równie¿ wtedy,

gdy zmieniana jest nazwa konta u¿ytkownika albo jest ono w³¹czane

lub wy³¹czane, albo kiedy zostaje zmienione lub utworzone has³o.

PrzeprowadŸ inspekcjê zdarzeñ

logowania

Zdarzenia logowania pojawiaj¹ siê wtedy, kiedy u¿ytkownik loguje siê

albo wylogowuje siê na stacji roboczej, albo ³¹czy siê poprzez sieæ.

PrzeprowadŸ inspekcjê zdarzeñ

logowania na kontach

Zdarzenia logowania na kontach pojawiaj¹ siê wtedy, kiedy u¿ytkownik

loguje siê albo wylogowuje na innym komputerze, który u¿ywa tego

komputera do zatwierdzenia konta. Zdarza siê to jedynie na serwerze

z systemem Windows 2000 albo Windows .NET, dlatego te¿ nie ma

zastosowania na komputerach dzia³aj¹cych w systemie Windows XP.

PrzeprowadŸ inspekcjê zdarzeñ

systemowych

Zdarzenia systemowe pojawiaj¹ siê wtedy, kiedy u¿ytkownik

ponownie uruchamia lub wy³¹cza komputer albo kiedy pojawia siê

zdarzenie, które ma wp³yw na bezpieczeñstwo systemu lub dziennik

Zabezpieczeñ.

PrzeprowadŸ inspekcjê zmian

zasad

Zdarzenia zmian zasad pojawiaj¹ siê wtedy, gdy dokonywana jest

zmiana zasad przypisywania praw u¿ytkownika, zasad inspekcji albo

zasad zaufania.

ROZWI¹ZYWANIE PROBLEMÓW

System Windows wymaga has³a logowania, a ty ¿adnego nie posiadasz

Zwykle u¿ytkownik, który nie posiada przypisanego has³a logowania, mo¿e zalogowaæ siê, po prostu kli-

kaj¹c swoj¹ nazwê na Ekranie powitalnym. W niektórych przypadkach klikniêcie tej nazwy wyœwietla ¿¹da-

nie podania has³a i nic, cokolwiek byœ tam wpisa³ (nawet zwyk³e wciœniêcie klawisza Enter), nie spe³ni tego

¿¹dania.

Nowe funkcje zabezpieczeñ w systemie Windows XP uniemo¿liwiaj¹ zalogowanie siê (w pewnych sytu-

acjach) u¿ytkownikom nie posiadaj¹cym has³a. (Ma to na przyk³ad uniemo¿liwiæ komuœ, kto zna nazwê

twojego konta, zalogowanie siê poprzez sieæ lub Internet – mo¿e jednak wp³ywaæ równie¿ na konta lokal-

ne). Jedna z tych sytuacji mo¿e siê pojawiæ, kiedy w³¹czone jest inspekcjonowanie.

Mo¿esz rozwi¹zaæ ten problem, wy³¹czaj¹c inspekcjonowanie (oraz ustawiaj¹c wartoœæ CrashOnAuditFail

na 0, je¿eli j¹ wczeœniej zmieni³eœ), ale znacznie lepszym rozwi¹zaniem jest przypisanie has³a logowania –

nawet jakiegoœ krótkiego – ka¿demu u¿ytkownikowi. Aby to zrobiæ, przejdŸ do Kont u¿ytkowników w Pa-

nelu sterowania.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: