Hogyan (mivel és mit) naplózzunk? Győri Gábor Terméktámogatási tanácsadó

Miért kell a naplózás? Proaktív Reaktív Bizonyíték

Monitorozás Megmutatja a normálistól eltérő vagy gyanús viselkedést Házirend a monitorozásra: Normál működés (Baseline) Auditálandó objektumok Események Eseménynapló kezelése Monitorozási technológiák Kihatások a rendszerre

Beépített eszközök Eseménynapló (auditálás) Performance Monitor Simple Network Management Protocol (SNMP) Windows Management Instrumentation (WMI)

Eseménynapló Event Viewer Események elemzése Mérete Helye Felülírásra vonatkozó beállítások Crash on Audit Fail Események elemzése Shutdown Event Tracker (W2K3, XP) Uptime.exe Q232243 (NT4 SP4+, W2K)

Az Audit Policy monitorozása A security policyt az LSA kontrollálja Figyeljük az audit policy változásait Okozhatja rosszindulatú adminisztrátor is Felhasználó alapú monitorozás A Naming Context gyökerében állítsuk be az audit policyt

Process és alkalmazás monitorozás – csak ha indokolt Process Tracking Process ID Rengeteg eseményt generál Alkalmazás Alkalmazás napló (Event logban) Az alkalmazás saját naplói

Objektumok monitorozása Auditálás – objektum és hozzáférés alapú www.microsoft.com/technet/security/bestprac/bpent/sec3/monito.asp Objektumok, amiket érdemes figyelni: Files and Directories Registry Services Kernel Objects Directory Services Objects Printers Handles Hozzáférési kísérletek

A felhasználói tevékenység monitorozása Logon Account Logon Account Lockout Privilege Use (felhasználói jogok)

Az Administrative Authority monitorozása Felhasználói adatok kezelése Directory Services hozzáférés A SAM alacsony szintű monitorozása

EventCombMT www.microsoft.com/technet/security/tools.asp

LogParser SQL tábla feltöltése lekérdezés és elemzés céljából http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=8cde4028-e247-45be-bab9-ac851fc166a4

Intrusion Detection Feldolgozásigényes Footprinting (szerver és hálózat) Jellemzők Események figyelése Események gyűjtése és elemzése Válaszreakciók Szignatúrák Riasztások Honeypot - Virtual PC Feldolgozásigényes Néha „farkast kiált” Más gyanús jelek Növekszik a hálózati forgalom Több rossz csomag Hamisított csomagok Váratlan rebootok Például: snort http://www.snort.org/dl/binaries/win32/

Internet Security & Acceleration Server Az jól ismert biztonsági résekre odafigyel IP szint Windows out-of-band Land attack Ping of death Port scan IP half scan UDP bomb Alkalmazás szint DNS DNS hostname overflow DNS length overflow DNS zone transfer from privileged ports (1-1024) DNS zone transfer from high ports (above 1024) POP

Security Management eszközök Elemzés Microsoft Baseline Security Analyser (MBSA) Systems Management Server (SMS) Software Update Services Feature Pack Microsoft Software Update Services (MSUS) Security Configuration and Analysis snap-in RSoP Management Group Policy Management Console (GPMC) Microsoft Operations Manager (MOM) Systems Management Server (SMS) Software Update Feature Pack Microsoft Software Update Services (MSUS) ISA Server

Olvasnivalók Windows 2000 Server: www.microsoft.com/windows2000/en/server/help/els_start_security_log.htm Windows XP: www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_security_logging.asp Best Practices for Enterprise Security http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.asp http://www.winnetmag.com/WindowsSecurity/ Securing Windows 2000 Server- Auditing and Intrusion Detection http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/09detect.asp ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: http://www.gocsi.com/ The SANS Institute (System Administration, Networking, and Security) Institute: http://www.sans.org The 10 Immutable Laws of Security: http://www.microsoft.com/TechNet/security/10imlaws.asp