книги / Теория и практика борьбы с компьютерной преступностью
..pdfВсе файлы, образующие peecip, кроме настроек, относящихся к опреде ленному пользователю, хранятся в каталоге %systemroot %\system32\confîg. Информация, относящаяся к конкретному пользователю, хранится в соот ветствующем каталоге в файле NUSER.DAT. Исчерпывающий список фай лов, входящих в состав реестра, приведен в табл. 2.4.2 [77, с. 510-511J.
Реестр разделен на части - ульи1. Улей поддерживается одиночным фай лом и файлом .LOG, который находится в каталоге %systemroot %\ \system32\config, В табл. 2.4.3 приведены ульи для компьютеров, работаю щих под управлением W in d o w s NT.
|
Таблица 2.4.2 |
Файл реестра |
Использование файла |
DEFAULT |
Значения по умолчанию |
SAM |
Локальная информация по безопасности для учетных записей |
|
пользователей и групп компьютера. На контроллере домена этот |
SECURITY |
файл также содержит сведения по безопасности домена |
Локальная информация по безопасности для прав пользователей |
|
SOFTWARE |
База данных настроек для приложений |
SYSTEM |
Локальная системная база данных |
SYSTEM.ALT |
Копия файла реестра SYSTEM |
DEFAULT.LOG |
Журнал транзакций изменений подраздела HKEY USERS\ |
|
\DEFAULT |
SAM.LOG |
Журнал транзакций изменений подраздела HKEY_LOCAL_ |
|
MACHINE\SAM |
SECURlTY.LOG |
Журнал транзакций изменений подраздела HKEY_LOCAL_ |
|
MACHIIME\SECUTITY |
SOFTWARE.LOG |
Журнал приложений |
SYSTEM.LOG |
Журнал транзакций изменений подраздела HKEY_LOCAL_ |
|
MACHINE\SYSTEM |
DEFAULT.SAV |
Резервная копия подраздела HKEYJJSERS\DEFAULT |
SOFTWARE.SAV |
Резервная копия подраздела HKEY LOCAL MACHINE\ |
SYSTEM.SAV |
\SOFTWARE |
Резервная копия подраздела HKEY„LOCAL_MACHINE\ \SYSTEM |
|
USERDIFF |
Настройки |
NTUSER.DAT |
Настройки |
NTUSER.DAT.LOG |
Журнал транзакций изменений ветви HKEY_CURRENT_ USER |
1Улей - дискретный набор ключей, подключей и значений, находящихся вверху иерархии реестра
Таблица 2.4.3
Улей реестра |
Файлы |
HKEY_LOCAL_MACHINE\SAM |
SAM, SAM.LOG |
HKEY_LOCAL_MACHINE\SECURITY |
SECURITY, SECURITY.LOG |
HKEY_LOCAL_MACHINE\SOFTWARE |
SOFTWARE, SOFTWARE.LOG |
HKEY_LOCALJ/IACHINE\SYSTEM |
SYSTEM, SYSTEM.ALT |
HKEY_CURENT_USER |
USER###, USER###.LOG |
|
или ADMIN###, ADMIN###.LOG |
HKEY_USERS\DEFAULT |
DEFAULT, DEFAULT.LOG |
Реестр гарантирует целостность индивидуальных действий. Это означа ет, что любое одиночное изменение значения для установки, удаления или сохранения будет работать или не работать, даже если система отключается из-за сбоя питания, отказа аппаратных средств или проблем с программным обеспечением.
Сервер удаленного доступа Windows NT позволяет одновременно под ключиться до 256 удаленным клиентам и работать так же, как если бы они были подключены непосредственно к сети. К Windows NT Workstation мо жет подключиться только один клиент.
Для подключения к сети через RAS пользователь должен обладать при вилегией удаленного доступа. Система защиты Windows NT Server объеди нена с RAS. Бюджет пользователя содержит всю информацию о пользова теле Windows NT, включая имя пользователя и пароль, необходимый для регистрации, группы, в которые входит данный бюджет, права и привиле гии пользователя при работе в системе и доступе к ресурсам.
В Windows NT при установке Internet Information Server (IIS) может быть запущен журнал регистрации событий о работе запущенных служб. Intemetсервер - сложная система, и работающий с ней пользователь вынужден оставлять много следов. Журналы в IIS могут быть двух видов:
« в виде текстового файла;
•в виде базы данных, совместимой с ODBC.
Вэтих файлах строка соответствует одному запросу, а поля отделяются друг от друга запятыми (табл. 2.4.4).
|
Таблица 2.4.4 |
Название |
Содержание |
ClientHost |
IP-адрес клиента, от которого поступил запрос. Имя пользователя. При |
sername |
анонимном доступе стоит прочерк, если клиенту удалось применить |
|
схему проверки подлинности Basic - имя пользователя, если Windows |
|
ТЕ Challenge/Response - заносятся имя домена и имя пользователя |
LogTime |
Дата запроса |
datetime |
Время поступления запроса |
service |
Служба, обработавшая запрос. Здесь могут присутствовать идентифи |
|
каторы MSFTPSVC, GopherSvc b W3SVC для серверов FTP, Gopher и |
|
HTTP соответственно |
machine |
Имя сервера, обработавшего запрос |
serverip |
(Р-адрес сервера |
processingtime |
Время, затраченное сервером на обработку запроса |
bytesreevd |
Число байтов в пришедшем от клиента запросе |
bytessent |
Число байтов в ответе, переданном сервером |
servicestatus |
Код завершения операции, возвращенный клиенту |
win32status |
Код ошибки, возвращенный серверу операционной системой Windows |
operation |
Код операции. Для сервера HTTP здесь могут стоять GET или POST |
target |
Параметр операции. Для HTTP здесь указывается путь к ресурсу, за |
|
прошенному клиентом |
parameters |
Параметры Internet -приложения, следующие в HTTP-запросе после во |
|
просительного знака |
Каждый день Internet -сервер закрывает текущий файл и образует новый. Данные файлы располагаются в папке \WlNNT\System32\LogFiles. Изначаль но на них дано разрешение Everyone - Change. При включенном аудите входов пользователей в систему в журнале безопасности операционной системы также появляются записи, связанные с функционированием IIS.
ВWindows NT Workstation бюджеты пользователей редактируются с помощью User Manager, в Windows NT Server - User Manager for Domains. База данных SAM - информация безопасности, содержащая имена бюдже тов пользователей и пароли, а также установки политики безопасности.
ВWindows NT Workstation управление базой данных SAM выполняется
вUser Manager, в Windows NT Server - в User Manager for Domains.
NETWARE
Возможности операционной системы позволяют:
"следить за доступом пользователей к сети;
■генерировать и анализировать массивы данных для аудита;
■фиксировать результаты наблюдения в файлах протоколов.
ВIntranetWare предусмотрена возможность регистрации па сервере IntranetWare событий, произошедших на рабочих станциях поль^овсиелей External Auditing). В IntranetWare используется специальная структура дан ных NDS, называемая Audit File Object (AFO). AFO обладает следующими свойствами:
■AuditPolicy - содержит параметры конфигурации аудита; включает в се бя максимальный размер файла, информацию о предшествующих фай лах аудита, номенклатуру регистрируемых событий и другую информа цию;
■AudiiContens —пользователи, имеющие право Read на это свойство, мо гут просматривать результаты аудита; пользователи, имеющие право Write, могут добавлять в данный файл результаты регистрации событий из других файлов аудита;
■Access Control List - определяет, кто и какие права имеет на AFO;
■Audit Link List - определяет, к какому контейнеру, тому, рабочей станции относится данный AFO;
■Audit Path - для внешнего аудита (аудита на рабочих станциях); это свойство указывает имя тома и сервера, на которых хранятся результаты аудита;
■Audit Туре - определяет то, к чему относится аудит (контейнер, том, ра бочая станция пользователя).
Сервер IntranetWarc обеспечивает возможность вести записи о событиях на сервере в защищенном каталоге SYS NETWARE. Отдельно регистриру ются события в файловой системе NDS.
Для файловой системы контроль осуществляется на уровне томов, а для NDS - на уровне контейнеров. События, которые могут протоколироваться, приведены в табл. 2.4.5.
|
Таблица 2.4.5 |
Тип события |
Описание |
События, относящиеся |
Связаны с изменением масштабных коэффициентов, относя |
к бюджетной сфере |
щихся к плате за пользование сетью. Относятся только к тому |
|
SYS |
События, связанные |
Включают в себя события, связанные как с изменением соот |
с изменением расши |
ветствующих атрибутов, так и со считыванием их значений |
ренного набора атри |
пользователями |
бутов |
|
События в файловой |
Операции с файловой системой. |
системе |
а) создание и удалений директорий; |
|
б) создание, удаление, открытие, закрытие, чтение, запись |
|
и восстановление отдельных файлов |
События, связанные |
Операции по выработке и прочтению служебных отношений, |
с генерацией отноше |
относящихся к тому SYS |
ний |
|
События, связанные |
События, связанные с созданием, уничтожением и прохожде |
|
с очередями |
нием заданий в очередь на печать |
|
События на консоли |
1. |
Выполнение отдельных команд на консоли сервера. |
сервера |
2. |
Монтирование и размонтирование томов. |
|
3. |
Выполнение команд на выключение сервера |
События, связанные |
Фиксируются моменты регистрации и выхода из сети пользова |
|
с отдельными |
телей в режиме эмуляции bindery и изменение отношений опе |
|
пользователями |
кунства |
Контролю подлежат такие события в сети, как:
■для файлов и каталогов ~ создание, удаление, перемещение, восстанов ление, переименование и т. д.;
■для очередей - создание и удаление;
■выключение сервера;
■для Bindery-объектов - создание и удаление;
■для томов - монтирование и демонтирование;
■изменение в механизме обеспечения безопасности (передача прав);
■для объектов NDS - добавление, удаление, переименование, перемеще
ние;
»для Security Equivalences - добавление, удаление;
■ для пользователей - регистрация в сети, выход из сети.
UNIX
Внастоящее время существует несколько десятков различных клонов операционной системы UNIX: AIX, BSD, HP-UX, IRIX, Ultrix, SunOS, Solaris, LINUX и многие другие. В UNIX-системах большинство исполняе мых процессов протоколируют свою работу. При этом информация сохра няется на дисках в файлах регистрации.
Взависимости от диалекта UNIX-системы файлы регистрации могут располагаться в разных каталогах.
Solaris
■/var/log/*; /var/cron/log; /var/lp/logs/*; /var/saf/Jog; /var/saf/zsmon/log;
■/var/adm. {messages,aculog,sulog,wtmp} ; /var/adm/aspp.log.
IRIX
■ /usr/adm/.
SunOS
/var/admn может иметь различные имена:
■/usr/adm/lastlog - данные о последнем входе в систему по каждому пользователю;
■acct - учет процессов;
•wtmp - учет времени соединения;
•aculog - учетная информация по модемной связи, инициированной сис
темой;
■messages - сообщения консоли;
•shutdownlog - причина выполнения shutdown;
■sulog - доступ привилегированного пользователя через su;
■authlog - регистрация полномочий;
■mqueue/syslog - файл регистрации электронной почты;
■timed.log - файл регистрации демона контроля времени;
■uucp/logfile - файл регистрации соединений, пересылок UUCP;
■ftp.log - файл регистрации соединений FTP;
■gatedlog - файл регистрации маршрутизации в сети;
■news/*log - деятельность участников телеконференций;
■sudo.log - файл регистрации через sudo;
■tcp.log - соединение tcp;
■httpd/*_log - файл регистрации сервера WWW.
Сэтими файлами большинство системных администраторов работают, используя возможности программы syslog. В конфигурационном файле /etc/syslog.conf данной программы содержится информация по управлению демоном syslogd, а также информация по размещению файлов регистрации, относящаяся к таким процессам, как:
■kem - ядро;
■user - пользовательские процессы;
■mail - система электронной почты;
■daemon ~ системные демоны;
•auth - команды, связанные с защитой и полномочиями;
■news - система телеконференций USENET;
■cron - домен cron;
■syslog - внутренние сообщения домена syslog;
■authpriv - частные (не системные) сообщения о полномочиях;
■ftp-домен ftp.
Процессы учета данных сетевых операционных систем семейства UNIX используют иерархическую структуру размещения файлов управления и данных (рис. 2,4.4).
Это позволяет процессам держать временные и постоянные файлы в мес тах, логически связанных с их типом. Каждый каталог структуры содержит группы файлов, команд и подкаталогов.
Структура каталогов верхнего уровня:
■/var/adm ~ содержит файлы сбора данных;
■/var/adm/acct/nite - повседневные данные и файлы команд, используемые runacct;
*/var/adm/acct/sum - итоговые данные и файлы команд, используемые runacct для создания итоговых отчетов;
■/var/adm/acct/fiscal - итоговые данные и файлы команд, используемые monacct для создания итоговых отчетов;
■/var/lib/acct - команды учета ресурсов системы.
|
Рис. 2.4.4 |
|
Файлы каталога /var/adm: |
» |
/var/adm/pacct - файлы учета активных процессов; |
■ |
/var/adm/wtmp - файлы учета активных процессов; |
■ |
/var/adm/cpacct?. {mmdd} - файл учета процессов на момент {mmdd} (ме- |
|
сяц, день) выполнения runacct. |
|
Файлы каталога /var/adm/acct/nite: |
•ctacct. {mmdd} - суммарные записи учета, созданные процессом учета времени соединения;
•ctmp - вывод acctconl, содержит список сеансов, отсортированных по userlist и login именам;
■daytacct - итоговые записи за текущий день;
■disktact - итоговые записи, созданные командой dodisk;
■fd21og - вывод данных диагностики в результате выполнения runacct;
■reboots - содержит даты начала и конца процесса, получаемые от про граммы wtmp, а также список перезагрузок.
Файлы каталога /var/adm/acct/sum:
■cms - файл итоговой сводки команд за текущий месяц во внутреннем формате подведения итогов;
■cmsprev - файл сводки команд без последнего обновления;
■loginlog - отображает дату последнего входа в сеанс для каждого
|
пользователя; |
я tacct - объединенный файл итогов по учету за текущий месяц; |
|
" |
tacctprev - то же, что и tact без последнего обновления; |
■ |
tact.{mmdd} - итоговый файл данных учета для даты {mmdd} (досяц, |
|
день). |
|
Файлы каталога /var/adm/acct/fiscal: |
«cms.{mm} - итоговая сводка команд за месяц {mm} во внутреннем фор мате подведения итогов;
»tact, {mm} - итоговый файл данных учета за месяц {mm}.
LINUX
В последние годы получил популярность клон UNIX - LINUX, разраба тываемый широкими кругами энтузиастов. По умолчанию LINUX регист рирует любые действия, предупреждения и сообщения об ошибках. Начи ная с загрузки системы средства внутреннего аудита подключают внутрен ние системы защиты.
Программа Syslog записывает все сообщения в файл так, что он может быть впоследствии просмотрен. Syslog можно сконфигурировать так, что сообщения будут сортироваться и записываться в разные файлы по приори тету. Например, сообщения ядра часто направляются в отдельный файл, так как эти сообщения наиболее важные и должны регулярно просматриваться во избежание серьезных проблем. Это позволяет системе контролировать работу пользователей и регистрировать их действия.
Программа Login записывает все неудачные попытки подключения к системе в системный журнальный файл (при помощи процесса syslog). Все успешные подключения к системе записываются в файл /var/log/wtmp. Объем файла способен неограниченно расти, поэтому он может периодиче ски удаляться, например с использованием процесса cron и установленной в нем задачи, выполняемой каждую неделю.
Возможна установка скрипта ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину. Для этого используют пакет logrotate, который включается в последние версии дистрибутива RedHat.
§ 4.3. Регистрационные файлы СУБД
Крупные организации, учреждения, банки, как правило, используют корпоративные СУБД, выполненные по технологии «клиент-сервер». К та ким СУБД относятся, например, ORACLE-7 и Microsoft SQL Server 7.0.
ORACLE
Особенности инсталляции системы ORACLE дают возможность адми нистраторам баз данных (БД) и специалистам, привлекаемым к осмотру, от слеживать использование БД.
Администратор БД (DBA) может установить различные опции для от слеживания действий над базой. Ни одна общесистемная операция не будет регистрироваться до выполнения общесистемного оператора AUDIT.
Результаты регистрации доступа записываются в единственную таблицу БД. На этой таблице создаются два обзора:
-DBA AUDITJTRAIL;
■USER_AUD1T_TRAIL (как часть первого обзора).
Обзор DBA_AUD1T_TRAIL потенциально содержит сведения о прошлой работе БД. В зависимости от выбранной опции общесистемной регистрации доступа этот обзор может содержать любой тип информации о работе БД (например, регистрация, создание объектов и информация о сеансах). При помощи инструментария администрирования в ORACLE-7 возможен также контроль таких основных ресурсов, как:
■число сессий для определенного пользователя;
■время соединения для него;
■время процессора, затраченное на сессию и др.
Microsoft SQL Server
Изначально Microsoft SQL Server разрабатывался в расчете на использо вание преимуществ операционных систем Windows. Это подразумевает, что некоторые общие компоненты самой операционной системы предоставляют SQL Server дополнительные функциональные возможности. В частности, данный подход характерен для построения систем безопасности, включаю щий в себя средства аудита. На любом сервере система защиты SQL Server может быть реализована одним из двух способов.
Первый - стандартный (комбинация средств защиты SQL Server и сер вера Windows).
Второй - интегрированный (с использованием только средств защиты сервера Windows).
Способы организации защиты определяют то, каким образом пользова тели SQL Server будут регистрироваться на сервере и каким образом они будуз входить в систему Windows.
На уровне операционной системы информация об операциях, связанных с использованием Microsoft SQL Server, записывается в первую очередь в журнал приложений (applicatio log). Информация, связанная с использова нием системных процессов SQL Server, может также записываться в сис темный журнал (system log). Данные журналы находятся в пакете w inj‘oot\system32\config в файлах ÀppEvent.evt и SysEvent.evt соответствен но. По умолчанию журнал приложений и системный журнал могут про сматривать все пользователи, например посредством утилиты Event Log.
В заключение отметим достаточно устойчивые связи между способом совершения компьютерного преступления и характером следов (рис. 2.4.5).
Рис. 2.4.5