Umiejętna analiza logów stacji roboczych i serwerów Windows może dostarczyć ciekawych informacji o rzeczywistym stanie bezpieczeństwa firmowej infrastruktury informatycznej.

Sieci lokalne uważa się za bezpieczne, ponieważ ruch pomiędzy nimi a światem zewnętrznym jest poddawany wzmożonej kontroli. Czy oznacza to, że firmowe systemy informatyczne są wystarczająco chronione? Bynajmniej. Choć zagrożenia wewnętrzne są z reguły mniejsze, biorąc pod uwagę liczbę incydentów, to jednak istnieją. Użytkownicy próbujący przekroczyć swoje uprawnienia, np. starający się odgadnąć hasło administratora stacji roboczej, czy podejmujący działania o charakterze wywiadu gospodarczego, typu drukowanie listy klientów, to pierwsze sygnały, że w firmie dzieje się coś niedobrego.

Każdy komputer pracujący w sieci tworzy pliki log zawierające rejestr wszystkich wykonywanych przez użytkownika czynności. Niezależnie od systemu operacyjnego własne pliki log tworzą także aplikacje. Ich analiza może często dostarczyć zaskakujących informacji o tym, jaki naprawdę jest stan bezpieczeństwa sieci. Analiza plików log, nawet jeżeli przeprowadzona po fakcie, pozwala zorientować się w skali zagrożeń i zapobiegać kolejnym incydentom.

Ustalenie zakresu analiz jest sprawą kluczową. To, jakie dane będą zbierane, z jaką częstotliwością oraz w jaki sposób będą poddawane analizie, może mieć zasadniczy wpływ na jakoś uzyskiwanych dzięki temu informacji. Jednak im więcej operacji jest poddawanych sprawdzeniu, tym większa jest liczba generowanych wpisów w dziennikach, a im więcej danych jest rejestrowanych, tym trudniej z niezliczonej liczby podobnych do siebie rekordów wychwycić zdarzenia naprawdę istotne. Zdarzenia z kategorii bezpieczeństwa można podzielić na dwie grupy: te, które zakończyły się sukcesem (rekord zawiera informacje o tym, że użytkownik uzyskał dostęp do zasobów), oraz te, które zakończyły się wygenerowaniem błędu (rekord zawiera informacje o tym, że podjęta próba nie przyniosła rezultatów). W obu przypadkach kluczowe znaczenie ma umiejętna interpretacja.

Większość logów związanych z bezpieczeństwem zawiera opis zdarzeń zakończonych sukcesem, co oznacza, że użytkownik żądający dostępu do zasobu uzyskał go. Niby wszystko w porządku, jednak z drugiej strony, system mógł udostępnić użytkownikowi zasób, ponieważ ten pokonał zabezpieczenia. Ważny jest kontekst. Dla przykładu, seria zdarzeń zakończonych błędem, a następnie zdarzenie zakończone sukcesem dotyczące tego samego konta może w niektórych przypadkach świadczyć o tym, że nastąpił atak, który się powiódł. W drugim przypadku interpretacja również wcale nie jest oczywista. Odmowa dostępu mogła wynikać z pomyłki użytkownika lub jego niewiedzy. Mogła też być rezultatem świadomie podejmowanych przez niego działań.

Piramida uprawnień

Systemy Windows zapisują zdarzenia związane z bezpieczeństwem w specjalnie do tego przeznaczonych dziennikach. Niestety, domyślnie analiza jest wyłączona i wszelkie działania w zakresie analizy logów należy rozpocząć od upewnienia się, że przedmiot tej analizy rzeczywiście istnieje i jest dostępny. Aby tego dokonać, potrzebne są uprawnienia administracyjne dla konkretnej stacji roboczej lub serwera. Dlatego na stacjach roboczych wykorzystuje się narzędzia systemowe dostępne pod ścieżką: Local Security Policy -> Security Settings -> Local Policies -> Audit Policy. W przypadku serwerów najwygodniej jest posłużyć się obiektami polityk grupowych Group Policies usług katalogowych Active Directory.

Konfiguracja dzienników oraz parametry analizy zdarzeń powinny zależeć od ról, jakie poszczególne komputery pełnią w systemie informatycznym. Przykładowo, inny poziom monitorowania powinien być zdefiniowany dla serwerów plików, a inny dla serwerów wydruku. W niektórych przypadkach warto również zwrócić uwagę na stacje robocze - przynajmniej część z nich, np. te wykorzystywane przez kierownictwo czy też dział finansowy, automatycznie otrzymuje wyższy priorytet.

Okno dialogowe lokalnej polityki bezpieczeństwa konfiguracji parametrów składa się z dwóch części.

Local Settings, określają ustawienia dokonane na lokalnym komputerze i Effective Settings, dotycząca bieżących ustawień. Na rys. 1 przedstawiono ustawienia, które stacja pobiera z domeny jako politykę grupową. Ustawienia analizy podlegają standardowym regułom nakładania polityk grupowych, a ich hierarchia jest następująca:

• Organizational unit policy settings

• Domain policy settings

• Site policy settings

• Local policy settings