Анализ выполняющихся задач (отслеживание процессов)

Эта категория аудита называется аудитом выполняющихся задач — process tracking, но иногда используется термин «детальный аудит» — detailed tracking. Данная категория позволяет проследить за тем, какие из программ были запущены на рабочей станции и какие программы выполнялись на сервере. Аудит отслеживания процессов не отслеживает неудачных событий, но когда категория настроена на контроль успешных действий, то фиксируются два события: — создание нового процесса, событие номер 592, и завершение процесса, событие номер 593. Найдя пару событий 592 и 593, имеющих один и тот же номер процесса Process ID, можно определить общее время работы того или иного приложения.

Когда пользователь запускает исполняемый файл, такой, как Microsoft Excel, Windows регистрирует событие с ID 592. Данное событие указывает, какая программа была запущена и когда. Пример сообщения о событии показан на рис. ниже: поля Время, Пользователь и Имя файла образа указывают, что пользователь zolotarev запустил Excel в 16 ч 59 мин пополудни. Windows регистрирует полный путь к выполняемому файлу.

В поле имени пользователя User Name (из события 592) хранится информация о том, кто запустил приложение. Кроме того, значение поля код входа в систему соответствует номеру сеанса (Logon ID) пользователя, по которому (номеру сеанса) можно отыскать соответствующее событие номер 528 и выяснить все подробности о сеансе, в котором запускалось приложение.

Начиная новый процесс, Windows присваивает ему уникальный номер или по-другому Код процесса. Этот номер показан на рисунке выше в поле Код нового процесса события с ID 592. Обычно следующим действием после запуска приложения является открытие пользователем данной программы какого-либо файла. В описании события с ID 560 (открытие объекта) также имеется поле Код процесса, которое можно использовать для идентификации связанных событий с ID 560 (открытие объекта) и ID 592 (запуск процесса, открывшего файл).

Для идентификации процесса (программы), запустившего новый процесс, можно воспользоваться полем Код создателя процесса (Creator Process ID) события с ID 592. Достаточно отыскать предыдущее (по времени) событие с ID 592 со значением поля Код процесса, совпадающим с полем Код создателя процесса избранного события. Это позволит выяснить, какая программа инициировала запуск нового процесса - своя или вражеская.

Найти связь между событиями

- входа в систему (начало сеанса) (528 и 529),

- создание в рамках сеанса нового процесса (592),

- доступ со стороны процесса к объектам (560).

нетрудно при работе на автономном компьютере, где пользователь регистрируется, запускает приложения и обращается к файлам только на одной системе. Но при работе в сети задача усложняется: Windows 2000 регистрирует события образования процессов на компьютере, выполняющем программу (на локальной станции пользователя), а события доступа к объектам регистрируются на компьютере, на котором хранится объект.

Например, пользователь регистрируется на рабочей станции, запускает Excel и редактирует электронную таблицу, расположенную на файл-сервере. Windows 2000 регистрирует событие с ID 592 в журнале безопасности рабочей станции, а событие с ID 560 – в журнале безопасности сервера. Идентификаторы процессов этих двух событий не совпадают (на рабочей станции – Excel, а на сервере - служба Server). Поэтому нужно сильно постараться и отыскать событие с ID 592 в журнале безопасности рабочей станции, соответствующее событию с ID 560 в журнале безопасности сервера (по времени).

Аудит (отслеживание) сеансов работы пользователей, доступа к объектам системы и выполняющихся задач являются тремя важнейшими задачами при анализе журнала безопасности Windows: эти три категории аудита обеспечивают контроль действий вероятного взломщика. Для решения этой задачи (контроля действий нарушителя) можно (нужно) связать сеансы работы пользователей, процессы и доступ к объектам и построитьточную картину деятельности пользователей.

До Win XP Event Viewer не был способен фильтровать события по значениям их параметров, так что использовать номера Logon ID, Process ID и Handle ID было весьма трудно (в Win XP уже есть фильтрация). Однако было можно применять функцию поиска по значению параметра и вручную составлять необходимые цепочки событий.