BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) TÉMA Č. 10: AUDIT MS WINDOWS mjr. Ing Milan Jirsa, PhD.

Auditní záznamy Windows Události související s bezpečností operačního systému se zaznamenávají do bezpečnostního logu. Kromě něj existuje ještě aplikační log, do kterého zaznamenávají události některé ze spuštěných aplikací, a systémový log, který využívá samotný operační systém - například k zápisu informací o průběhu svého spouštění, zavádění ovladačů a spouštění služeb. Další logy se vytvářejí v závislosti na roli, jakou počítač v síti plní. Vlastní logy tak má adresářová služba, DNS server a služba replikace souborů. Prohlížet obsah log souborů a konfigurovat jejich vlastnosti umožňuje nástroj Event Viewer (eventvwr.msc).

Audit MS Windows Audit se zapíná v nástroji administrátora Local Security Settings (secpol.msc).

Kategorizace auditních událostí Account logon events - Řadič obdržel požadavek na ověření uživatelského účtu. Account management - Administrátor vytvořil, změnil nebo smazal uživatelský účet nebo skupinu. Byl přejmenován, vypnut nebo zapnut uživatelský účet, nebo došlo k nastavení a změně hesla. Directory service access - Uživatel získal přístup k objektu aktivního adresáře. K vygenerování záznamu je ještě třeba nastavit audit u konkrétního objektu v aktivním adresáři. Logon events - Přihlášení a odhlášení uživatele, vytvoření a zrušení síťového spojení.

Kategorizace auditních událostí Object access - Uživatel přistupuje k souboru, adresáři nebo tiskárně. K vygenerování záznamu je ještě třeba nastavit audit u konkrétního objektu (modifikovat systémový ACL). Policy change - Došlo ke změně v uživatelských právech nebo v politice auditu. Privilege use - Uživatel použil některé z uživatelských práv, například změnil systémový čas. Process tracking - Program provedl nějakou akci. System - Došlo k restartování nebo vypnutí počítače nebo nastala událost, která ovlivnila bezpečnost Windows.

Sledování přístupu k objektům Pokud chceme sledovat přístup k objektům, jako jsou soubory, adresáře, tiskárny a klíče registru, musí být nejprve povolena politika Audit object access. To ale nestačí, ještě je třeba upravit SACL (System Acces Control List). Například u adresáře a souboru stačí kliknout pravým tlačítkem myši a zvolit Properties – panel Security – tlačítko Advanced – panel Auditing. Soubory a adresáře lze sledovat jen tehdy, pokud se nachází na NTFS disku, protože FAT disky audit nepodporují. Úpravu SACL typicky provádí administrátor, přičemž určí uživatele a skupiny, jejichž přístup k objektu chce sledovat; spolu s typem přístupu, který ho zajímá.

Identifikátory důležitých událostí Id událostiVýznam 528Úspěšné přihlášení 529Neúspěšné přihlášení - neznámé jméno uživatele nebo špatné heslo 530Neúspěšné přihlášení - v uvedenou dobu je zakázáno přihlášení 531Neúspěšné přihlášení - účet je zakázán (disabled) 532Neúspěšné přihlášení - platnost účtu již vypršela 533Neúspěšné přihlášení - uživatel nemá povoleno místní přihlášení 534 Neúspěšné přihlášení - požadovaný typ přihlášení nemá uživatel povolen Typy přihlášení: 2 - místní (interactive) z klávesnice 3 - síťové, např. ke sdílenému adresáři 4 - dávkový soubor 5 – služba 7 - odemčení heslem chráněného spořiče obrazovky 535Neúspěšné přihlášení - vypršela platnost hesla k tomuto účtu 539Neúspěšné přihlášení - účet je uzamčen