36wininout.pdf

(547 KB) Pobierz
12263540 UNPDF
Rozdzia³ 36
O inspekcji
986
Inspekcja
zabezpieczeñ
Sprawdzaj, kto u¿ywa twojego
komputera
986
Przegl¹danie zdarzeñ
zabezpieczeñ
990
Czêœæ VIII: Administracja systemu
Rozdzia³ 36: Inspekcja zabezpieczeñ
Jako bezpieczny system operacyjny, Microsoft
Windows XP jest zaprojektowany tak, aby unie-
mo¿liwiæ nie uwierzytelniony dostêp do plików,
folderów i drukarek komputera. W wyniku
niew³aœciwych ustawieñ wprowadzonych nie-
umyœlnie przez u¿ytkownika albo wytrwa³ych
wysi³ków intruza, ktoœ mo¿e uzyskaæ dostêp do
zasobów, które powinny byæ chronione. Monito-
rowanie (albo inspekcjonowanie ) u¿ycia systemu
mo¿e byæ przydatnym narzêdziem przy admini-
strowaniu zabezpieczeniami systemu. Na przy-
k³ad powtarzaj¹ce siê próby logowania siê za
pomoc¹ z³ego has³a mog¹ oznaczaæ, ¿e nie uwie-
rzytelnieni u¿ytkownicy próbowali uzyskaæ do-
stêp do twojego systemu. Powtarzaj¹ce siê nie-
udane próby dostania siê do folderu mog¹ ozna-
czaæ, ¿e oprogramowanie zosta³o niepoprawnie
zainstalowane albo ¿e zabezpieczenia tego folde-
ru s¹ niepoprawnie skonfigurowane.
System Microsoft Windows XP umo¿liwia pro-
wadzanie inspekcji zdarzeñ zabezpieczeñ po-
przez zapisywanie prób uzyskania dostêpu do
zasobów systemu. W tym rozdziale opiszemy
ró¿ne narzêdzia do przeprowadzania inspekcji,
których mo¿esz u¿yæ jako administrator systemu
albo w³aœciciel zasobu. Analizujemy ich cel oraz
zastosowanie, a tak¿e wyjaœniamy, jakich infor-
macji dostarczaj¹, kiedy s¹ w³aœciwie u¿ywane.
Zobacz, kto próbowa³ uzyskaæ
dostêp do twoich plików
i folderów
991
Zobacz, kto próbowa³ u¿yæ
twojej drukarki
995
UWAGA
Poniewa¿ system Windows XP Home Edition nie posiada
konsoli Ustawienia zabezpieczeñ lokalnych, nie mo¿esz
w³¹czyæ inspekcji na komputerze z systemem w wersji Home
Edition.
12263540.002.png
986
Czêœæ VIII: Administracja systemu
O inspekcji
Kiedy u¿ytkownik próbuje uzyskaæ dostêp do zasobu systemowego, Windows
sprawdza listê kontroli dostêpu (ACL) tego zasobu, aby okreœliæ, czy u¿ytkownik po-
winien uzyskaæ dostêp. Jest to podstawa bezpieczeñstwa w systemie Windows XP.
UWAGA
Nawet je¿eli twój komputer jest skonfigurowany do u¿ywania Prostego udostêpniania plików (domyœlna
konfiguracja dla komputera pojedynczego lub nale¿¹cego do grupy roboczej), system Windows nadal u¿y-
wa list ACL. W przypadku Prostego udostêpniania plików standardowy interfejs u¿ytkownika dostarcza
mniej opcji do przegl¹dania i edytowania list ACL, ale lista – oraz ochrona, jak¹ zapewnia – ca³y czas jest na
swoim miejscu. Szczegó³owe informacje o prostym udostêpnianiu plików znajdziesz w podrozdziale „Pro-
ste udostêpnianie plików a styl udostêpniania plików w Windows 2000” na stronie 80.
Je¿eli inspekcja jest w³¹czona, mo¿esz równie¿ za¿¹daæ, aby Windows nadzorowa³
dostêp do danego zasobu. (Dodatkowe informacje znajdziesz w podrozdziale
„Sprawdzaj, kto u¿ywa twojego komputera”). Wtedy system Windows zapisze
w dzienniku ka¿d¹ próbê uzyskania dostêpu do tego zasobu. Mo¿esz na przyk³ad
zdecydowaæ, aby Windows zapisywa³ wszystkie nieudane zadania wydruku dla da-
nej drukarki albo wszystkie nieudane ¿¹dania odczytania plików dla okreœlonego fol-
deru.
Windows zapisuje te informacje w dzienniku Zabezpieczenia (Secevent.evt), jednym
z trzech ogólnosystemowych dzienników, którymi zarz¹dza. Pozosta³e dwa to dzien-
nik System (Sysevent.evt), który zapisuje zdarzenia wygenerowane przez sk³adniki
systemu operacyjnego – takie jak sterowniki ekranu lub sieci – oraz dziennik Aplika-
cja (Appevent.evt), który zapisuje zdarzenia wygenerowane przez aplikacje. Na przy-
k³ad narzêdzie Kopia zapasowa generuje zdarzenia, kiedy czyœcisz taœmê albo przy-
wracasz pliki, i zapisuje te zdarzenia w dzienniku Aplikacja.
Szczegó³owe informacje o dziennikach System i Aplikacja znajdziesz w Rozdziale 35 „Monitorowanie aktywnoœci syste-
mu za pomoc¹ Podgl¹du zdarzeñ”.
Unikaj przeprowadzania inspekcji, je¿eli jej nie potrzebujesz. Inspekcje zabezpieczeñ,
takie jak inspekcja IRS, mog¹ byæ czasoch³onne. (W porz¹dku, inspekcje zabezpieczeñ
nie s¹ takie z³e). Kiedy w³¹czysz inspekcjê, system musi zapisaæ rekord zdarzenia
w dzienniku Zabezpieczenia dla ka¿dej kontrolnej inspekcji, jak¹ przeprowadzi sys-
tem. Poniewa¿ mo¿e to powa¿nie zmniejszyæ wydajnoœæ systemu, powinieneœ in-
spekcjonowaæ tylko te zdarzenia, które s¹ dla ciebie wa¿ne.
Sprawdzaj, kto u¿ywa twojego komputera
¯adne zdarzenia nie s¹ zapisywane w dzienniku Zabezpieczenia, dopóki nie
w³¹czysz inspekcji, co mo¿esz zrobiæ za poœrednictwem Ustawieñ zabezpieczeñ lo-
kalnych. Nawet je¿eli ustawisz inspekcjê dla plików, folderów albo drukarek, jak wy-
jaœnimy dalej w tym rozdziale, zdarzenia te nie bêd¹ zapisywane, jeœli nie w³¹czysz
inspekcji równie¿ w Ustawieniach zabezpieczeñ lokalnych. Musisz byæ zalogowany
jako cz³onek grupy Administratorzy, aby w³¹czyæ inspekcjê. (Odmiennie ni¿ w przy-
12263540.003.png
Rozdzia³ 36: Inspekcja zabezpieczeñ
987
Upewnij siê, ¿e nie omin¹³eœ ¿adnego zdarzenia zabezpieczeñ
Domyœlnie, jeœli dziennik Zabezpieczenia zape³ni siê, Windows wymazuje najstar-
sze wpisy, kiedy potrzebuje dokonaæ nowych – tak samo jak w przypadku dzienni-
ków Aplikacja i System. Ale je¿eli bezpieczeñstwo jest dla ciebie spraw¹ kluczow¹,
mo¿esz wprowadziæ w rejestrze ustawienia, które sprawia, ¿e zdarzenia bêd¹
mog³y byæ usuwane tylko przez cz³onków grupy Administratorzy. (Nawet bez
tego ustawienia w rejestrze tylko administratorzy – oraz inni z prawem do
zarz¹dzania inspekcj¹ i dziennikiem zabezpieczeñ – mog¹ przegl¹daæ dziennik Za-
bezpieczenia lub usuwaæ jego zawartoœæ. Aby uniemo¿liwiæ u¿ytkownikom zacie-
ranie œladów, nikt nie mo¿e usun¹æ swoich w³asnych wpisów; osoby uwierzytel-
nione musz¹ usun¹æ wszystkie albo ¿adne).
Rozwi¹zanie to jest raczej drastyczne i dlatego te¿ powinno byæ u¿ywane tylko
wtedy, gdy jest istotne chronienie ka¿dego zdarzenia zabezpieczeñ. Jeœli w reje-
strze figuruje ten wpis, system zatrzymuje siê, kiedy dziennik Zabezpieczenia
zape³ni siê, uniemo¿liwiaj¹c dalsze jego wykorzystywanie – oraz umo¿liwiaj¹c
utratê danych, jeœli jakieœ dokumenty by³y w tym momencie otwarte. Je¿eli chcesz
aktywowaæ ten poziom bezpieczeñstwa, wykonaj nastêpuj¹ce czynnoœci:
1. W Podgl¹dzie zdarzeñ kliknij prawym przyciskiem myszy Zabezpieczenia,
a nastêpnie kliknij W³aœciwoœci.
2. Na karcie Ogólne zaznacz Zast¹p zdarzenia starsze ni¿ albo dla maksymalnego
bezpieczeñstwa, Nie zastêpuj zdarzeñ (rêczne czyszczenie dziennika).
3. U¿yj Edytora rejestru do zmiany lub utworzenia wartoœci DWORD o nazwie
CrashOnAuditFail w kluczu HKLM\System\CurrentControlSet\Control\Lsa.
Ustaw jej wartoϾ na 1.
4. Uruchom ponownie komputer.
Jeœli wykonasz powy¿sze czynnoœci, komputer zatrzyma siê, kiedy dziennik Za-
bezpieczenia stanie siê pe³ny. W takiej sytuacji musisz ponownie uruchomiæ kom-
puter i zalogowaæ siê jako cz³onek grupy Administratorzy; ¿adne inne konto nie
jest dopuszczone do zalogowania siê. Twoim pierwszym dzia³aniem po zalogowa-
niu siê powinno byæ przejrzenie, eksportowanie, je¿eli potrzeba, oraz wyczyszcze-
nie dziennika Zabezpieczenia. Nastêpnie musisz ponownie ustawiæ wartoœæ wpisu
w rejestrze na 1. (System operacyjny automatycznie ustawi³ j¹ na 2 – ten mecha-
nizm uniemo¿liwia innym zalogowanie siê). Aby przywróciæ normalne dzia³anie
komputera (to znaczy aby kontynuowa³ dzia³anie, nawet jeœli dziennik Zabezpie-
czenia jest pe³ny), ustaw wartoœæ na 0.
Naturalnie, je¿eli zastosujesz ten trik, powinieneœ podj¹æ odpowiednie dzia³ania,
aby unikn¹æ zape³nienia siê dziennika zabezpieczeñ i zablokowania komputera
w nieodpowiednim momencie. Przegl¹daj, a nastêpnie czyœæ dziennik okresowo.
(Eksportuj uprzednio jego zawartoœæ, je¿eli chcesz j¹ zachowaæ). Mo¿esz równie¿
chcieæ zwiêkszyæ rozmiar dziennika. Dodatkowe informacje znajdziesz w podroz-
dziale „Praca z plikami dziennika” na stronie 979.
12263540.004.png
988
Czêœæ VIII: Administracja systemu
padku wiêkszoœci praw, prawo do w³¹czania inspekcji nie mo¿e byæ przyznane in-
nym u¿ytkownikom lub grupom).
UWAGA
Tak jak wiêkszoœæ ustawieñ w konsoli Ustawienia zabezpieczeñ lokalnych, ustawienia zasad inspekcji
mog¹ byæ zast¹pione przez ustawienia zasad na poziomie domeny. Je¿eli twój komputer jest czêœci¹ do-
meny systemu Windows 2000 Server lub Windows .NET Server, powinieneœ u¿yæ Zasad grupy na pozio-
mie domeny, aby wprowadziæ ustawienia, zamiast u¿ywaæ Ustawieñ zabezpieczeñ lokalnych.
Aby w³¹czyæ inspekcjonowanie, wykonaj nastêpuj¹ce czynnoœci:
1. W Panelu sterowania otwórz Narzêdzia administracyjne i kliknij Zasady zabez-
pieczeñ lokalnych. (Je¿eli u¿ywasz widoku kategorii, Narzêdzia administracyjne
odnajdziesz, klikaj¹c kategoriê Wydajnoœæ i konserwacja). Alternatywnie, mo¿esz
wpisaæ w wierszu polecenia secpol.msc .
2. Rozwiñ Zasady lokalne, a nastêpnie kliknij Zasady inspekcji, aby wyœwietliæ listê
pokazan¹ na rysunku 36-1.
Rysunek 36-1. Inspekcje w³¹czasz, u¿ywaj¹c konsoli Ustawienia zabezpieczeñ lokalnych.
3. Dwukrotnie kliknij ka¿d¹ zasadê, dla której chcesz w³¹czyæ inspekcjê, a nastêpnie
zaznacz pole Sukces, Niepowodzenie albo oba.
Rysunek 36-1 pokazuje typy dzia³añ, które mog¹ byæ objête inspekcj¹. Niektóre, takie
jak zarz¹dzanie kontami i zmiana zasad, mog¹ dokonaæ próbnej inspekcji dla zmian
administracyjnych. Inne, takie jak zdarzenia logowania oraz dostêp do obiektów,
mog¹ pomóc ci w lepszym zabezpieczeniu systemu. Jeszcze inne, w³¹czaj¹c w to zda-
rzenia systemowe oraz œledzenie procesów, mog¹ pomóc w zlokalizowaniu proble-
mów w systemie. Tabela 36-1 zawiera wiêcej szczegó³ów.
12263540.005.png
Rozdzia³ 36: Inspekcja zabezpieczeñ
989
Tabela 36-1. Zdarzenia, które mog¹ byæ inspekcjonowane
Zasada inspekcji
Opis
PrzeprowadŸ inspekcjê dostêpu
do obiektów
Zdarzenia dostêpu do obiektów pojawiaj¹ siê, kiedy u¿ytkownik
uzyskuje dostêp do pliku, folderu, drukarki, klucza rejestru lub innego
obiektu, który zosta³ okreœlony jako podlegaj¹cy inspekcji.
PrzeprowadŸ inspekcjê dostêpu
do us³ugi katalogowej
Zdarzenia dostêpu do us³ugi katalogowej pojawiaj¹ siê, kiedy
u¿ytkownik uzyskuje dostêp do obiektu us³ugi Active Directory, który
posiada swoj¹ w³asn¹ listê kontroli dostêpu. (Nie ró¿ni siê to od
dostêpu do obiektów, z tym wyj¹tkiem, ¿e dotyczy tylko obiektów
us³ugi Active Directory w domenie Windows).
PrzeprowadŸ inspekcjê œledzenia
procesów
Œledzenie procesów zawiera ukryte zdarzenia, takie jak uaktywnienie
programu, duplikacja uchwytów, uzyskanie poœredniego dostêpu do
obiektu oraz zamkniêcie procesu. Zasada ta nie jest zazwyczaj
przydatna w wypadku kontroli rutynowych zabezpieczeñ.
PrzeprowadŸ inspekcjê u¿ycia
uprawnieñ
Zdarzenia u¿ycia uprawnieñ pojawiaj¹ siê, kiedy u¿ytkownik
wykorzystuje prawo u¿ytkownika (inne ni¿ logowanie, wylogowywanie
oraz prawa dostêpu sieciowego, które wywo³uj¹ inne typy zdarzeñ).
PrzeprowadŸ inspekcjê
zarz¹dzania kontami
Zdarzenia zarz¹dzania kontami pojawiaj¹ siê, kiedy konto u¿ytkownika
lub grupa zostaj¹ utworzone, zmienione lub usuniête. Równie¿ wtedy,
gdy zmieniana jest nazwa konta u¿ytkownika albo jest ono w³¹czane
lub wy³¹czane, albo kiedy zostaje zmienione lub utworzone has³o.
PrzeprowadŸ inspekcjê zdarzeñ
logowania
Zdarzenia logowania pojawiaj¹ siê wtedy, kiedy u¿ytkownik loguje siê
albo wylogowuje siê na stacji roboczej, albo ³¹czy siê poprzez sieæ.
PrzeprowadŸ inspekcjê zdarzeñ
logowania na kontach
Zdarzenia logowania na kontach pojawiaj¹ siê wtedy, kiedy u¿ytkownik
loguje siê albo wylogowuje na innym komputerze, który u¿ywa tego
komputera do zatwierdzenia konta. Zdarza siê to jedynie na serwerze
z systemem Windows 2000 albo Windows .NET, dlatego te¿ nie ma
zastosowania na komputerach dzia³aj¹cych w systemie Windows XP.
PrzeprowadŸ inspekcjê zdarzeñ
systemowych
Zdarzenia systemowe pojawiaj¹ siê wtedy, kiedy u¿ytkownik
ponownie uruchamia lub wy³¹cza komputer albo kiedy pojawia siê
zdarzenie, które ma wp³yw na bezpieczeñstwo systemu lub dziennik
Zabezpieczeñ.
PrzeprowadŸ inspekcjê zmian
zasad
Zdarzenia zmian zasad pojawiaj¹ siê wtedy, gdy dokonywana jest
zmiana zasad przypisywania praw u¿ytkownika, zasad inspekcji albo
zasad zaufania.
ROZWI¹ZYWANIE PROBLEMÓW
System Windows wymaga has³a logowania, a ty ¿adnego nie posiadasz
Zwykle u¿ytkownik, który nie posiada przypisanego has³a logowania, mo¿e zalogowaæ siê, po prostu kli-
kaj¹c swoj¹ nazwê na Ekranie powitalnym. W niektórych przypadkach klikniêcie tej nazwy wyœwietla ¿¹da-
nie podania has³a i nic, cokolwiek byœ tam wpisa³ (nawet zwyk³e wciœniêcie klawisza Enter), nie spe³ni tego
¿¹dania.
Nowe funkcje zabezpieczeñ w systemie Windows XP uniemo¿liwiaj¹ zalogowanie siê (w pewnych sytu-
acjach) u¿ytkownikom nie posiadaj¹cym has³a. (Ma to na przyk³ad uniemo¿liwiæ komuœ, kto zna nazwê
twojego konta, zalogowanie siê poprzez sieæ lub Internet – mo¿e jednak wp³ywaæ równie¿ na konta lokal-
ne). Jedna z tych sytuacji mo¿e siê pojawiæ, kiedy w³¹czone jest inspekcjonowanie.
Mo¿esz rozwi¹zaæ ten problem, wy³¹czaj¹c inspekcjonowanie (oraz ustawiaj¹c wartoœæ CrashOnAuditFail
na 0, je¿eli j¹ wczeœniej zmieni³eœ), ale znacznie lepszym rozwi¹zaniem jest przypisanie has³a logowania –
nawet jakiegoœ krótkiego – ka¿demu u¿ytkownikowi. Aby to zrobiæ, przejdŸ do Kont u¿ytkowników w Pa-
nelu sterowania.
12263540.001.png
Zgłoś jeśli naruszono regulamin