Анализ доступа к объектам системы (Audit object access)

Замечания:

1) Аудит можно применять (задавать) как напрямую к объектам, так и к любым дочерним объектам с помощью наследования.

После настройки аудита для родительской папки новые файлы и подпапки, созданные в этой папки, будут наследовать аудит. Если требуется предотвратить наследование аудита, при настройке аудита для родительской папки в поле Применять диалогового окна Элемент аудита для файл или папка выберите пункт Только для этой папки. В случаях, когда требуется предотвратить наследование только для некоторых файлов или подпапок, щелкните файл или подпапку правой кнопкой мыши, выберите команду Свойства, перейдите на вкладку Безопасность, нажмите кнопку Дополнительно, перейдите на вкладку Аудит и снимите флажок Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к явно заданным в этом окне.

Если флажки в диалоговом окне Элемент аудита для файла или папки или кнопка Удалить в диалоговом окне Параметры управления доступом недоступны, значит параметры аудита унаследованы от родительской папки.

Чтобы изменить наследуемые параметры аудита:

- внесите в параметры аудита родительской папки изменения, которые будут унаследованы файлом или папкой.

- на вкладке Аудит диалогового окна Дополнительные параметры безопасности для файла или папки снимите флажок Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к явно заданным в этом окне. После этого можно нажать кнопку Изменить или Удалить, чтобы внести изменения или отменить аудит. Теперь данный файл или папка больше не будут наследовать изменения параметров аудита родительской папки.

2) При аудите файлов или папок открывается диалоговое окно Элемент аудита. В поле Применять этого диалогового окна показано, к каким объектам будут применяться элементы аудита. Применение этих элементов аудита зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок не установлен.

То, как применяются элементы аудита в зависимости от флажка, показано в таблицах ниже:

флаг снят

флаг установлен

3) Если нарушитель обращается со своего компьютера к серверу, то соответствующие события аудита регистрируются и в журнале аудитора компьютера нарушителя, и в журнале аудита сервера.

3) Аудит доступа к объектам ведется в журнале событий, а не в журнале транзакций. Поэтому Windows не фиксирует, что именно сделал (уже сделал) пользователь с объектом, а указывает только тип доступа (что пытался сделать) к данному объекту.

4) Аудит доступа к объектам обычно используется применительно к обычным отдельным (монолитным) файлам. Однако специальные клиент-серверные приложения, такие, как серверы баз данных, работают с таблицами, расположенными в нескольких больших файлах базы данных. Аудит на уровне системы в таких случаях обычно сводится к записи одного события при запуске соответствующей службы сервера и одного — при ее остановке. При этом не остается сведений о том, какой пользователь выполнял те или иные транзакции и в каких таблицах он менял данные. Эту информацию ведет и сохраняет только сам сервер. Тем не менее аудит на уровне монолитных файлов помогает выяснить, не пытался ли кто-то заменить файлы базы данных в тот момент, когда сервер базы данных был остановлен.

5) Для включения аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».

Аудит доступа к объектам включает в себя всего четыре события (560, 561, 562, 564), однако он очень важен, поскольку позволяет отслеживать обращения к любым объектам, включая каталоги, файлы, принтеры и ключи реестра. Для использования перечисленных возможностей необходимо включить категорию регистрации доступа к объектам в меню настройки аудита системы (на уровне системы – в политике аудита), а также указать все объекты (на закладке «Безопасность» включить аудит для этих объектов), доступ к которым требуется регистрировать.

Основные два события аудита доступа к объектам: 560 (object opened) и 562 (handle closed). Первое фиксирует открытие объекта (номер 560), а второе — его закрытие (событие 562). Это взаимодополняющие друг друга события, подобные событиям входа и выхода из системы.

Windows производит аудит доступа в тот момент, когда пользователь пытается получить доступ к объекту через прикладную программу. Когда пользователь обращается к объекту из приложения, программа запрашивает у Windows дескриптор (handle) объекта. С помощью дескриптора приложение выполняет операции над объектом. Прежде чем предоставить дескриптор, Windows сопоставляет DACL объекта с учетной записью пользователя, запустившего прикладную программу, и типами доступа (например, запись или чтение), запрошенными приложением. Затем Windows определяет, предусмотрена ли системной политикой аудита запись результатов этого сравнения в журнал. Если системной политикой аудита предусмотрена запись результата в журнал, то Windows обрабатывает SACL объекта. Система исследует каждый элемент ACE, имеющий отношение к результату, и определяет, какие из элементов идентифицируют учетную запись пользователя, запустившего приложение, и все группы, к которым он принадлежит. Затем Windows исследует типы доступа, указанные в этих ACE. Если хотя бы один тип доступа в ACE совпадает с любым из типов доступа, запрошенных приложением, то Windows генерирует событие с ID 560 «объект открыт» с соответствующим типом события (Failure Audit или Success Audit).

Успешное событие номер 560 записывает информацию:

- Object Server (SourceName) - всегда Security;

- Object Type – информация об открытом объекте аудита (файл, папка, раздел реестра, принтер или служба);

- Primary User Name и Primary Domain - идентифицируют учетную запись пользователя, напрямую обратившегося к объекту. Когда пользователь обращается к объекту со своего локального компьютера через настольное приложение, такое, как Microsoft Word или Excel, то Primary User Name и Primary Domain показывают учетную запись компьютера, а поля Client User Name и Client Domain – учетную запись пользователя;

- Primary Logon ID и Client Logon ID - содержат идентификатор (номер) сессии (logon ID), присваиваемый при регистрации с учетной записью пользователя, обратившегося к объекту. Н омер сессии пользователя позволяет выяснить, в какой именно сессии тот обращался к объекту, если таких сессий было несколько. Чтобы определить, в каком сеансе был произведен доступ, следует посмотреть на событие с ID 540 (удаленная регистрация) или с ID 528 (все другие виды регистрации) с этим идентификатором. Если пользователь напрямую открывает объект на своей локальной машине, то Primary Logon ID события с ID 560 соответствует Logon ID события с ID 528, зафиксированного Windows при регистрации пользователя в системе; поле Client Logon ID остается пустым. Если пользователь обращается к файлу на удаленной машине, то поле Primary Logon ID события с ID 560 идентифицирует сеанс, связанный с учетной записью локального компьютера, а поле Client Logon ID события с ID 528 соответствует Primary Logon ID;

- Process ID - название приложения, с помощью которого был открыт объект; для событий, отображающих непрямой доступ к объектам, Process ID идентифицирует серверное приложение, а не клиентскую программу, через которую пользователь открыл объект. Если пользователь открывает файл в каталоге общего доступа, то Process ID указывает на процесс System как на программу, открывшую объект.

- Accesses - типы доступа, запрошенные приложением. Одни типы доступа специфичны для определенного класса объектов, другие применимы к любому объекту. Когда пользователь открывает файл или папку, в поле Accesses отмечаются предоставленные пользователю типы доступа, специфичные для данной папки или файла. Эти типы доступа соответствуют специальным разрешениям, приведенным в DACL файла. Параметры ReadAttributes и WriteAttributes указывают, что пользователь открыл файл с возможностью изменения его свойств (только чтение, архивный, скрытый, системный). ReadEA и WriteEA применяются к расширенным атрибутам файла, определяемым конкретными приложениями. Чтобы увидеть расширенные атрибуты файла, нужно открыть Windows Explorer и щелкнуть на файле правой кнопкой мыши. Выбрав Properties, следует перейти к закладке Custom, а затем к закладке Summary. Тип AppendData означает, что пользователь имеет право добавить данные в открытый файл. ReadData и WriteData означают, что пользователь, открывший файл, имеет возможность прочитать или изменить его данные. Если задан режим аудита запуска исполняемых файлов, то Windows регистрирует доступ типа Execute при каждом запуске программы. Те же типы доступа – с небольшими отличиями – используются Windows для контроля работы с папками. AppendData указывает, что пользователь создал в папке подпапку. Windows регистрирует тип WriteData, если в папке создается новый файл. Чтобы определить имя нового файла или подпапки, нужно посмотреть на последующее событие с ID 560, соответствующее новому дочернему объекту. Windows регистрирует тип ReadData, если пользователь просматривает содержимое папки (например, командой Dir или через Windows Explorer).

- дескриптор файла (Handle ID в событии с ID 562 и New Handle ID в событии с ID 560) - Handle ID является уникальным кодом для контроля операционной системы за каждым объектом. Найдя пару событий открытия и закрытия (560 и 562) с одним и тем же значением Handle ID, можно выяснить время работы пользователя с данным открытым объектом. Из оснастки Event Viewer следует открыть событие с ID 560 и запомнить Handle ID события. Затем нужно щелкнуть правой кнопкой мыши на журнале Security и выбрать функции View, Find. В поле Event ID следует ввести значение 562, а в поле Description – значение Handle ID. Если Event Viewer показывает сначала новые объекты, то следует изменить направление поиска на Up, а затем щелкнуть Find Next.

Код ошибки для события с ID 560 на рис. ниже показывает, что пользователь пытался открыть файл на чтение, в то время как у него такого права не было. Можно сделать вывод, что он не получил доступа, поскольку было сгенерировано событие о сбое при обращении к объекту. Вместе с тем наверняка известно, что он пытался открыть файл на чтение, так как ReadData указано в поле Accesses.

Событие с ID 560

Третьим важным событием в категории аудита объектов является событие номер 564, удаление объекта — object deleted. Оно записывает только дескриптор и номер процесса. Чтобы разобраться, какой именно объект и каким пользователем был удален, необходимо отыскать по значению Handle ID соответствующее событие 560 открытия объекта. В событии номер 560 есть вся необходимая информация о пользователе, так что событие 564 удаления объекта следует связывать именно с ним.

Событие с ID 561 соответствует неудачной попытке открыть объект.

Категория Audit object class используется не только для контроля доступа не только к файлам. Например, с помощью программы regedt32 можно запустить аудит разделов реестра и затем контролировать доступ к разделам и элементам реестра. Элементы реестра не имеют собственных списков DACL и SACL; как и операции управления доступом, операции аудита проводятся через родительский раздел реестра. Windows регистрирует типы доступа, соответствующие разрешениям в списке DACL раздела, и описывает разрешения, указанные в событии с ID 560. Если обращение к разделу реестра вызывает событие с ID 560, то Windows указывает в поле Object Type значение Key. Значение в поле Object Name начинается с \REGISTRY, за которым следует ветвь и остальной путь к разделу. Например, подраздел HKEY_LOCAL_MACHINE\SOFTWARE\Acme отображается как \REGISTRY\MACHINE\SOFTWARE\Acme.

Из меню Settings (Настройки) --> Printers можно получить доступ к спискам SACL принтеров. Для этого достаточно выполнить те же операции, что и при доступе к SACL файла или папки, но пунтком настройки будет служить не Проводник Windows, а меню Settings --> Printers.

Какую стратегию избрать для аудита объектов?

- если требуется проверить определенный каталог или раздел реестра на нескольких машинах, нужно использовать групповые политики. Например, чтобы исследовать неудачные попытки записи в каталоге \%systemroot% на всех компьютерах домена, следует открыть оснастку MMC Active Directory Users and Computers и щелкнуть правой кнопкой мыши на корневом домене. Затем, выбрав Properties, необходимо перейти к закладке Group Policy. Отметив пункт Default Domain Policy Group Object (GPO), следует щелкнуть на кнопке Edit и пройти по Computer Configuration, Windows Settings, Security Settings, File System. Щелкнув правой кнопкой мыши на File System, нужно выбрать пункт Add File. Затем введите с клавиатуры %systemroot% и щелкните OK. Чтобы запустить процесс аудит объекта, следует повторить описанную ранее последовательность действий. При этом нужно внимательно отнестись к определению области аудита. Не рекомендуется ограничивать круг проверяемых лиц, так как взломщики часто используют чужие пароли. Поэтому в списке управления следует указать аудитом группу Everyone, чтобы охватить всех пользователей. Однако желательно ограничить подлежащие аудиту типы доступа и объекты. В процессе аудита объектов генерируется большой объем данных. Чтобы журнал безопасности не наполнялся бесполезными сведениями, лучше остановиться на небольшом числе типов доступа к немногим объектам.

С помощью категории Audit object access можно решить ряд трудных задач: например, выяснить, имели ли место попытки несанкционированного доступа к данным, и кто мог изменить тот или иной файл. Несмотря на трудности анализа избыточных данных журнала, эта категория занимает достойное место в арсенале администратора.