Меню сайта
Форма входа
Архив записей
Друзья сайта
  • cs 1.6
  • MISER.НОВИНКИ МОБИЛЬНОГО МИРА
    • Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Журнал событий — это специальный журнал в Microsoft Windows, который содержит записи о входах и выходах из операционной системы и других, связанных с безопасностью событиях.Содержание [убрать]


    Служба журналов событий запускается автоматически при запуске Windows.

    Политика аудита позволяет администраторам правильно настроить Windows для сохранения информации о работе операционной системы в журнале событий. Он является одним из трех журналов, доступных в окне просмотра событий. Локальная служба подсистемы безопасности записывает события в журнал. Это один из основных инструментов, используемых администраторами для выявления успешных и неудачных попыток несанкционированной активности и для устранения проблем. Журнал и политика аудита, которая управляет им, достаточно популярны у хакеров и недобросовестных системных администраторов, которые стремятся скрыть свои следы до и после несанкционированной активности.

    Просмотреть журнал событий можно через Панель управления –> Администрирование –> Просмотр событий (или Пуск –> Выполнить –> и ввести команду eventvwr.msc /s).

    Виды записываемых событий

    Если в политике аудита прописано фиксировать входы в систему, в случае успешной регистрации в системе записываются имя пользователя и имя компьютера. В зависимости от версии Windows и способ регистрации в системе, IP-адреса могут записываться, или же это действие производиться не будет. Windows Web Server 2000, например, не записывает IP-адреса в случае успешного входа, но в Windows Server 2003 это уже используется.

    В Журнале событий фиксируются следующие виды событий:
    Вход в систему
    Управление учетной записью
    Доступ к службе каталогов
    Доступ к объекту
    Изменение политики
    Привилегия использования
    Отслеживание процессов
    Системные события

    Количество событий, которые записываются в журнал, очень велико, поэтому анализ журнала событий может быть довольно трудоемкой задачей. Для этого разработаны специальные утилиты, помогающие выявлять подозрительные события. Кроме того, можно фильтровать журнал по задаваемым критериям.

    Уязвимости и способы защиты

    Администраторы могут осмотреть и очищать журнал, разделить права на чтение и очистку невозможно. Кроме того, администратор может использовать специальную утилиту Winzapper для удаления записей о конкретных событиях из журнала. По этой причине, в случае если учетная запись администратора была взломана, история событий, содержащихся в журнале событий, становится недостоверной. Противостоять этому можно путем создания удаленного сервера журнала, доступ к которому будет осуществляться лишь посредством консоли.

    Как только журнал достигает максимально допустимого размера, он может либо перезаписывать старые события, либо остановить запись. Это делает его восприимчивым к атакам, в которых нарушитель пытается переполнить журнал путем создания большого числа новых событий. Частично против этого может помочь увеличение максимального размера журнала. Таким образом, для переполнения журнала потребуется инициировать большее количество событий. Можно дать команду журналу не перезаписывать старые события, но это может стать причиной сбоя.

    Ещё один способ атаковать журнал событий - зарегистрироваться под учетной записью администратора и изменить политику аудита, а именно - остановить запись в журнал несанкционированной активности. В зависимости от настроек политики аудита, её изменение может быть записано в журнале. Запись об этом событии можно очистить с помощью Winzapper. С этого момента активность не будет фиксироваться в журнале событий.