Поради з управління журналами безпеки
- Визначення того, що реєструється в журналі
- Централізація журналу безпеки
- Призначений для користувача вигляд
- Завдання для подій
- висновок
Журнал безпеки для Windows сповнений корисної інформації, але якщо ви не знаєте, як контролювати, управляти і аналізувати цю інформацію, у вас піде набагато більше часу на пошук потрібної вам інформації в цьому журналі. У цій статті описані деякі поради та хитрості, які можна використовувати для більш зручного пошуку необхідної інформації в журналі безпеки, що спростить вам роботу, зробить її більш ефективною, і поліпшить загальну безпеку вашої мережі.
Визначення того, що реєструється в журналі
Перш за все вам потрібно зробити так, щоб інформація потрапляла в журнал безпеки. Згодом компанія Microsoft дозволила вказувати те, куди записуються певні моменти, але так було не завжди. Оскільки багато з тих, хто читає цю статтю, все ще використовують Windows 2000, XP і 2003, дуже важливо знати, де можна налаштувати аудит журналу безпеки.
Вся інформація, що записується в журнал безпеки, керується аудитом. Служба аудиту налаштовується і управляється груповою політикою. Ви можете управляти груповою політикою локально (gpedit.msc) або через Active Directory, використовуючи консоль керування груповою політикою (GPMC). Я настійно рекомендую використовувати GPMC і управляти аудитом за допомогою Active Directory. Це набагато ефективніше і становить одну десяту частину тієї роботи, яку доведеться виконувати при управлінні локально.
У груповій політиці необхідно змінити об'єкт групової політики, а потім розгорнути GPO наступним чином: Конфігурація комп'ютера (Computer Configuration) \ Параметри Windows (Windows Settings) \ Налаштування безпеки (Security Settings) \ Локальні політики (Local Policies) \ Політика аудиту (Audit Policy) , малюнок 1.
Малюнок 1: Параметри політики аудиту в об'єкті групової політики
Незалежно від того, чи використовуєте ви локальну групову політику або GPO з Active Directory, ці параметри будуть однакові. Справа тільки в тому, що простіше розгортати параметри на кілька комп'ютерів за допомогою Active Directory.
Як ви бачите, тут є дев'ять різних опцій політики аудиту. Для більш чіткого розуміння того, що робить кожен параметр, обов'язково прочитайте цю статтю .
Централізація журналу безпеки
Тепер, коли всі ваші комп'ютери в мережі записують основні моменти аудиту безпеки в журнал, необхідно їх переглядати. Давайте розглянемо параметри за замовчуванням, якими є наявність у кожного комп'ютера власної копії журналу безпеки. Це означає, що якщо у вас є 1000 серверів і 10000 робочих станцій, в загальному у вас вийде 11000 журналів безпеки, які необхідно переглядати! До недавніх пір не було способу централізації цих журналів для ефективного аналізу.
Однак з виходом Windows Server 2008, Vista і 7 компанія Microsoft створила спосіб централізації журналів, включаючи журнали безпеки з усіх 11000 (або скільки б у вас не було) комп'ютерів. Рішенням стало використання підписок і пересилання журналів подій.
У вас повинен бути хоча б один Windows Server 2008, Vista або 7 комп'ютер. Він стане центральним комп'ютером ведення журналів. Всі інші комп'ютери під управлінням Windows XP, 2003, Vista, 2008 і 7 можуть відправляти свої події на цей центральний комп'ютер. (Вибачте, але Windows 2000 не дозволені!)
Для додаткової інформації про те, як налаштовувати централізоване ведення журналів, читайте цю статтю .
Призначений для користувача вигляд
Тепер, коли у вас є централізований журнал, ви можете налаштувати те, як потрібно відображати в ньому інформацію. Припустимо, у вас в журналі є тисячі подій з сотнями ВД цих подій. Вам би не хотілося намагатися розібратися і переглянути всі ці події, щоб знайти те, що вам потрібно. А вам і не потрібно цього робити!
Тепер при наявності центрального журналу на Windows Server 2008, Vista або 7 комп'ютері ви можете використовувати для користувача вигляд. Призначені для користувача види дозволяють вам створювати «спеціальний журнал» зі звичайних журналів та ВД подій, які ви хочете відображати. Отже, тепер ви можете створювати потрібне вам кількість призначених для користувача видів з існуючих журналів, включаючи надіслані журнали.
Припустимо, вам потрібно, щоб в журналі відображалися тільки входи на всі сервери. Ви можете створити власний вид події Event ID 4624 (для Windows 2008, Vista і 7) і 528 (для Windows 2000, XP, 2003), щоб переглядати всі успішні входи в систему. На малюнку 2 показано, як такий призначений для користувача вигляд повинен виглядати.
Малюнок 2: Призначений для користувача вигляд подій 4624 і 528
Завдання для подій
Ви можете не тільки налаштовувати спеціальні призначені для користувача види ваших журналів, ви також можете створювати тригери при реєстрації певних подій. Ця опція, яку називають прикріпленням завдання до події або журналу, доступна в Windows Server 2008, Vista і 7.
Завдання не являє собою нічого, крім запланованої завдання, але важливо знати, що ця функція доступна. Ви можете налаштовувати ці завдання в програмі перегляду подій або за допомогою планувальника завдань. Завдання можуть бути на високому рівні або на основному рівні, або можна отримати багатогранність настройки за допомогою параметрів, які ви вибираєте для завдання.
Для простих завдань вам лише потрібно створити наступне:
- Event ID
- Дія, що виконується при реєстрації цієї події
Ці опції показані на малюнку 3.
збільшити
Малюнок 3: Проста задача для програми перегляду подій
Для більш багатогранною завдання для події у вас є налаштування. Ви можете налаштовувати специфічні параметри, пов'язані з подією, час дня, порогові значення і т.д. На малюнку 4 показаний приклад однієї з закладок настройки цих параметрів завдання.
збільшити
Малюнок 4: Деталізована завдання для події
Для дій з простими і докладними завданнями у вас є кілька опцій. Ви можете налаштовувати відправку повідомлення електронної пошти при генеруванні певного завдання. Ви також можете налаштовувати дію, при якому програма буде запускатися, якщо певна подія було зареєстровано. Це може бути сценарій, вбудована програма або практично що завгодно, що система повинна виконати при виявленні певної події. Ви також можете просто відображати повідомлення, яке проінформує адміністратора про яка виникла подію і дозволить йому вжити відповідних заходів.
висновок
Як ви бачите, нові опції контролю подій і зокрема подій журналу безпеки досить потужні. Те, що колись було доступно через програми сторонніх виробників, стало доступно при наявності всього одного нового комп'ютера під керуванням Windows 2008, Vista або 7. Так, вам все ще потрібно встановлювати програми на більш старі комп'ютери, щоб вони змогли пересилати події, але це невелика завдання в порівнянні з тими перевагами, які ви отримуєте при централізації журналу реєстрації подій. Можливість створювати призначені для користувача види і пов'язувати з подіями завдання робить новий інструмент перегляду подій дуже корисними і стоїть переходу на нові версії.