بازبینی وقایع در ویندوز

عدم وجود ابزارهای بررسی وقایع به عنوان یک خلاء بزرگ در معماری امنیتی بسیاری از سازمان ها محسوب می‌شود. با توجه به دشواری آنالیز وقایع، همواره استفاده از نرم افزار های Log Management و SIEM پیشنهاد شده است. در این مطلب انواع Logها در سیستم عامل ویندوز بررسی می گردد. علارقم اهمیت کلیه وقایع، بدیهی است جمع آوری کلیه Logها با توجه به حجم تولید شده سبب بروز مشکلاتی همچون دشواری ردگیری وقایع، دشواری در مدیریت فضای مورد نیاز و موارد دیگر خواهد بود.

Windows Audit Categories

پیش از Windows Server 2008، دسته های زیر برای Windows Auditing موجود بودند.

نام شرح
Account Logon Events

 

گزارش آنکه هر یک از Security Principal ها همانند user, computer, یا service account در فرآیند Logon در یک کامپیوتر شرکت کرده است، به نحوی که از کامپیوتر دیگری برای Validate کردن اکانت استفاده شده باشد. Account Logon Event زمانی که از یک Domain Security Principal استفاده گردد روی Domain Controller مربوطه ایجاد می گردد. وقایع Logon به صورت Locally روی Local Security Log ذخیره می شود.
Account Management ردگیری وقایع مدیریت کاربران و گروه ها. شامل ایجاد، تغییر نام، تغییر عضویت ها و…
Directory Service Access ردگیری وقایع دسترسی به اشیاء Active Directory. به صورت عمومی روی Domain Controller ها مورد استفاده دارد.
Logon Events وقایع Logon زمانی generate می گردند که یک local security principal روی یک کامپیوتر Authenticate می گردد. علاوه بر آن، Logon event ها وقایع logon با اکانت های دامین را به صورت local ثبت می کند.
Object Access این دسته از وقایع زمانی ثبت می شود که منابع معین شده تحت رخداد های مشخص (همانند Read, Rename و یا Delete) قرار گیرند. پس از آنکه سیاست فعال گردید، لازم است برای منابع و اشیاء مطلوب تنظیمات Auditing مطلوب فعال گردد.
Policy Change این سیاست ثبت رخداد تغییرات روی user rights assignment policies, Windows Firewall policies, Trust policies, audit policy و… را فعال می کند.
Privilege Use این دسته ثبت رخداد های استفاده از user right ها (همانند Logon as a Batch Job و Act as Part of the Operating System) را فعال می کند.
Process Tracking این سیاست معین می کند که ردگیری پروسه ها (همانند Program Activation، Process Exit و Handle Duplication) صورت پذیرد.
System Events این دسته مربوط به کل وقایع قابل ثبت مرتبط با Computer (همانند Shutdown، تغییرات زمان و…) می باشد.

Advanced Windows Auditing

در نسخه Windows Server 2008، مایکروسافت Event Log را با ایجاد یک ساختار بر اساس Category و Sub-Category بهبود بخشید.

با استفاده از Sub-Category ها این امکان ایجاد شد تا به جای ثبت تمام وقایع در Category، فقط بخش‌هایی از آن که مطلوب می‌باشد ثبت گردد.

با استفاده از دستور زیر می توان لیست کامل را مشاهده کرد:

auditpol /list /subcategory:*

image

Category Subcategory توضیح
Account Logon Events Credential Validation نتایج Validation اکانت ها – این وقایع روی کامپیوتر Authoritative ثبت می گردد. به عنوان مثال برای اکانت های دامین، Domain Controller ها Authoritative محسوب می گردند.
Kerberos Service Ticket Operations وقایع Kerberos ticket request
Kerberos Authentication Service وقایع Kerberos authentication service
Other Account Logon Events سایر وقایع همانند:

Remote Desktop Services session disconnections
New Remote Desktop Services sessions
Locking and unlocking a workstation
Invoking a screen saver
Dismissing a screen saver
Detection of a Kerberos replay attack, in which a Kerberos request with identical information is received twice
Access to a wireless network granted to a user or computer account
Access to a wired ۸۰۲٫۱x network granted to a user or computer account

Account Management User Account Management کلیه وقایع مدیریت روی اشیاء User
Computer Account Management کلیه وقایع مدیریت روی اشیاء Computer
Security Group Management کلیه وقایع مدیریت روی اشیاء Security Groups
Distribution Group Management کلیه وقایع مدیریت روی اشیاء Distribution Group
Application Group Management کلیه وقایع مدیریت روی اشیاء Application Group
Other Account Management Events سایر وقایع مدیریت Account ها
Detailed Process Tracking

 

Process Creation ثبت ایجاد یک پروسه و کاربر یا برنامه ایجاد کننده آن
Process Termination ثبت Terminate شدن یک پروسه
DPAPI Activity گزارش فراخوانی های رمزنگاری/رمزگشایی با استفاده از data protection application programming interface (DPAPI)
RPC Events ثبت وقایع remote procedure call (RPC)
Directory Service Access Directory Service Access ثبت وقایع دسترسی به اشیاء Directory
Directory Service Changes ثبت تغییرات روی اشیاء Directory داری Type های زیر:

Create
Modify
Move
Delete

Directory Service Replication زمان شروع و پایان Replication ها
Detailed Directory Service Replication جزئیات اطلاعات Replicate شده
Logon/Logoff Logon ثبت وقایع ورود به سیستم – این رخداد روی کامپیوتری که دسترسی به آن صورت گرفته است ذخیره می گردد. برای Interactive Logon ها، روی کامیپوتری که Logon به آن صورت می گیرد و برای Network Logon ها روی کامپیوتری که منبع (Resource) روی آن قرار دارد ثبت می گردد.
Network Policy Server وقایع درخواست های کاربران به RADIUS (IAS) یا Network Access Protection (NAP) شامل انواع:

Grant
Deny
Quarantine
Discard
Lock
Unlock

IPsec Main Mode نتایج Internet Key Exchange (IKE) protocol و Authenticated Internet Protocol (AuthIP) طی فرآیند Negotiation
IPsec Extended Mode نتایج AuthIP طی فرآیند Extended Mode negotiations
Other Logon/Logoff Events سایر وقایع Logon/Logoff همانند Remote Desktop Services session disconnects /reconnects، استفاده از RunAs و…
Logoff ثبت وقایع Logoff از سیستم ها
Account Lockout ثبت وقایع Lockout شدن اکانت کاربران
IPsec Quick Mode نتایج IKE protocol و AuthIPطی فرآیند Quick Mode negotiations
Special Logon ثبت وقایع Special Logon – یک Special Logon، یک نوع Logon با سطح دسترسی معادل Administrative می باشد.
Policy Change Audit Policy Change ثبت تغییرات Audit Policy و SACL
Authentication Policy Change ثبت تغییرات Authentication Policy
Authorization Policy Change ثبت تغییرات Authorization Policy
MPSSVC Rule-Level Policy Change ثبت تغییرات Rule های Microsoft Protection Service (MPSSVC.exe) – این سرویس توسط Windows Firewall استفاده می شود.
Filtering Platform Policy Change ثبت وقایع افزودن و حذف کردن اشیاء از WFP
Other Policy Change Events ثبت سایر تغییرات امنیتی همانند تنظیمات Trusted Platform Module (TPM) یا cryptographic providers
Privilege Use

 

Sensitive Privilege Use استفاده از یکی از Privilege های زیر:

act as part of the operating system
back up files and directories
create a token object
debug programs
enable computer and user accounts
load and unload device drivers
impersonate a client after authentication
generate security audits
manage auditing and security log
modify firmware environment values
replace a process-level token
restore files and directories
take ownership

Non-sensitive Privilege Use استفاده از یکی از Privilege های زیر:

access Credential Manager as a trusted caller
access this computer from the network
add workstations to domain
adjust memory quotas for a process
allow log on locally
allow log on through Remote Desktop Services
bypass traverse checking
change the system time
create a pagefile
create global object
create permanent shared object
create symbolic links
deny access this computer from the network
deny log on as a batch job
deny log on as a service
deny log on locally
deny log on through Remote Desktop Service
force shutdown from a remote system
increase a process working set
increase scheduling priority
lock pages in memory
log on as a batch job
log on as a service
modify an object label
perform volume maintenance tasks
profile single process|
profile system performance
remove computer from docking station
shut down the system
synchronize directory service data

Other Privilege Use Events استفاده از سایر Privilege ها – در حال حاضر استفاده نمی شود.
Object Access File System گزارش دسترسی به File System Objects – با توجه به SACLs ها انجام می گردد.
Registry گزارش دسترسی به اشیاء Registry – با توجه به SACLs ها انجام می گردد.
Kernel Object گزارش دسترسی به اشیاء kernel همانند پروسه ها و mutexes
SAM گزارش دسترسی به local Security Accounts Manager
Certification Services وقایع Certification Services
Application Generated وقایع ثبت شده توسط Application ها با استفاده از Windows auditing application programming interfaces (APIs)
Handle Manipulation وقایع Open و Close شدن Handle یک شیئ – با توجه به SACLs ها انجام می گردد.
File Share وقایع دسترسی به منابع فایل به اشتراک گذاشته شده – با توجه به SACLs ها انجام می گردد.
Filtering Platform Packet Drop ثبت وقایع Drop شدن Packet ها توسط Windows Filtering Platform
Filtering Platform Connection ثبت وقایع کانکشن های Allow یا Block شده توسط WFP
Other Object Access Events ثبت سایر وقایع همانند Task Scheduler و COM+
System Security State Change ثبت وقایع وضعیت امنیتی سیستم همانند the security subsystem starts
Security System Extension ثبت وقایع extension code های امنیتی همانند authentication packages
System Integrity گزارشات violations of integrity of the security subsystem
IPsec Driver ثبت کلیه وقایع Internet Protocol security (IPsec) driver
Other System Events سایر وقایع سیستمی در این دسته رخداد قرار می گیرد.

جدول زیر لیست کامل سیاست ها را نمایش می دهد.

تنظیم با استفاده از Group Policy

به منظور تنظیم Audit Policy‌ها از طریق Group Policy از مسیر زیر می‌توان استفاده کرد. هر یک از سیاست‌ها می‌تواند برای وقایع Success، Failure و یا هر دو آنها فعال گردد.

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy

image

برای تنظیمات Advanced Audit Policy از Group Policy از مسیر زیر می توان استفاده کرد.

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy

image

تنظیم با استفاده از Auditpol

علاوه بر مورد فوق، از طریق ابزار متنی Auditpol.exe می‌توان از طریق خط فرمان اقدام به تنظیمات Auditing Policy نمود.

Syntax کلی به صورت زیر است:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

در زیر چند مثال ذکر شده است.

auditpol /set /subcategory:”user account management” /success:enable /failure:enable
auditpol /set /subcategory:”logon” /success:enable /failure:enable
auditpol /set /subcategory:”IPSEC Main Mode” /failure:enable

 

لازم به ذکر است Auditpol تنظیمات policy را به صورت Locally تغییر می‌دهد.

برای اعمال Policy روی تعدادی کامیپیوتر امکان استفاده از Scripting وجود دارد. علاوه بر سوییچ اشاره شده در بالا، سایر سوییچ های این ابزار به شرح زیر است:

auditpol /clear
auditpol /backup /file:<filename> –
auditpol /restore /file:<filename>
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable>
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable>
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable>
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable>

تنظیمات پیشنهادی

جدول زیر تنظیمات Audting را بر اساس سه وضعیت پیش فرض (Default) تنظیمات پیشنهادی Security Compliance Manager baseline و پیشنهاد امن تر نشان می دهد.

Windows ۸ and Windows ۷ Audit Settings Recommendations

Audit Policy
Audit Policy Category or Subcategory Windows Default Baseline Recommendation Stronger Recommendation
Success Failure Success Failure Success Failure
Account Logon
Audit Credential Validation NO NO YES NO YES YES
Audit Kerberos Authentication Service YES YES
Audit Kerberos Service Ticket Operations YES YES
Audit Other Account Logon Events YES YES
Account Management
Audit Application Group Management
Audit Computer Account Management YES NO YES YES
Audit Distribution Group Management
Audit Other Account Management Events YES NO YES YES
Audit Security Group Management YES NO YES YES
Audit User Account Management YES NO YES NO YES YES
Detailed Tracking
Audit DPAPI Activity YES YES
Audit Process Creation YES NO YES YES
Audit Process Termination
Audit RPC Events
DS Access
Audit Detailed Directory Service Replication
Audit Directory Service Access
Audit Directory Service Changes
Audit Directory Service Replication
Logon and Logoff
Audit Account Lockout YES NO YES NO
Audit User/Device Claims
Audit IPsec Extended Mode
Audit IPsec Main Mode IF IF
Audit IPsec Quick Mode
Audit Logoff YES NO YES NO YES NO
Audit Logon YES NO YES NO YES YES
Audit Network Policy Server YES YES
Audit Other Logon/Logoff Events YES YES
Audit Special Logon YES NO YES NO YES YES
Object Access
Audit Application Generated
Audit Certification Services
Audit Detailed File Share
Audit File Share
Audit File System
Audit Filtering Platform Connection
Audit Filtering Platform Packet Drop
Audit Handle Manipulation
Audit Kernel Object
Audit Other Object Access Events
Audit Registry
Audit Removable Storage
Audit SAM
Audit Central Access Policy Staging
Policy Change
Audit Audit Policy Change YES NO YES YES YES YES
Audit Authentication Policy Change YES NO YES NO YES YES
Audit Authorization Policy Change
Audit Filtering Platform Policy Change
Audit MPSSVC Rule-Level Policy Change YES
Audit Other Policy Change Events
Privilege Use
Audit Non Sensitive Privilege Use
Audit Other Privilege Use Events
Audit Sensitive Privilege Use
System
Audit IPsec Driver YES YES YES YES
Audit Other System Events YES YES
Audit Security State Change YES NO YES YES YES YES
Audit Security System Extension YES YES YES YES
Audit System Integrity YES YES YES YES YES YES
Global Object Access Auditing
Audit IPsec Driver
Audit Other System Events
Audit Security State Change
Audit Security System Extension
Audit System Integrity

Windows Server ۲۰۱۲, Windows Server ۲۰۰۸ R2, and Windows Server ۲۰۰۸

Audit Policy
Audit Policy Category or Subcategory Windows Default Baseline Recommendation Stronger Recommendation
Success Failure Success Failure Success Failure
Account Logon
Audit Credential Validation NO NO YES YES YES YES
Audit Kerberos Authentication Service YES YES
Audit Kerberos Service Ticket Operations YES YES
Audit Other Account Logon Events YES YES
Account Management
Audit Application Group Management
Audit Computer Account Management YES DC YES YES
Audit Distribution Group Management
Audit Other Account Management Events YES YES YES YES
Audit Security Group Management YES YES YES YES
Audit User Account Management YES NO YES YES YES YES
Detailed Tracking
Audit DPAPI Activity YES YES
Audit Process Creation YES NO YES YES
Audit Process Termination
Audit RPC Events
DS Access
Audit Detailed Directory Service Replication
Audit Directory Service Access DC DC DC DC
Audit Directory Service Changes DC DC DC DC
Audit Directory Service Replication
Logon and Logoff
Audit Account Lockout YES NO YES NO
Audit User/Device Claims
Audit IPsec Extended Mode
Audit IPsec Main Mode IF IF
Audit IPsec Quick Mode
Audit Logoff YES NO YES NO YES NO
Audit Logon YES NO YES YES YES YES
Audit Network Policy Server YES YES
Audit Other Logon/Logoff Events YES YES
Audit Special Logon YES NO YES NO YES YES
Object Access
Audit Application Generated
Audit Certification Services
Audit Detailed File Share
Audit File Share
Audit File System
Audit Filtering Platform Connection
Audit Filtering Platform Packet Drop
Audit Handle Manipulation
Audit Kernel Object
Audit Other Object Access Events
Audit Registry
Audit Removable Storage
Audit SAM
Audit Central Access Policy Staging
Policy Change
Audit Audit Policy Change YES NO YES YES YES YES
Audit Authentication Policy Change YES NO YES NO YES YES
Audit Authorization Policy Change
Audit Filtering Platform Policy Change
Audit MPSSVC Rule-Level Policy Change YES
Audit Other Policy Change Events
Privilege Use
Audit Non-Sensitive Privilege Use
Audit Other Privilege Use Events
Audit Sensitive Privilege Use YES YES YES YES
System
Audit IPsec Driver YES YES YES YES
Audit Other System Events YES YES
Audit Security State Change YES NO YES YES YES YES
Audit Security System Extension YES YES YES YES
Audit System Integrity YES YES YES YES YES YES
Global Object Access Auditing
Audit IPsec Driver
Audit Other System Events
Audit Security State Change
Audit Security System Extension
Audit System Integrity

Log Retention

بر خلاف تصور عمومی، نگه داری Log Fileهای حجیم کمکی به ردگیری وقایع نمی‌کند. به عبارت دیگر، لازم است به جای افزایش حداکثر حجم Log Fileها، Log ها به صورت موثر جمع آوری گردند. از سوی دیگر مدت زمان نگه داری Logها نیز نکته درخور توجهی می‌باشد. Log Retention می‌تواند بر اساس تعداد روز و بر حسب نیاز به Rentetion معین گردد. در این صورت به ترتیب اگر تعداد روزهای سپری شده از یک event از مقدار تعیین شده؛ یا حجم فایل از میزان معین شدن بیشتر گردد، Log Retention صورت می‌پذیرد.  سیاست Log Retention مناسب، برای محیط‌های عملیاتی متمایز می‌باشد. سایر فاکتورها مثل، تعداد رویدادها، بازه زمانی مطلوب جهت نگهداری رویداد‌ها، و تعداد وقایع ثبت شده نیز می‌توانند متمایز باشند.

در نسخ قدیمی سیستم عامل ویندوز، سرویسِ Event Log مشابه سایر سرویس‌های دیگر از Memory-Mapped Files استفاده می‌کند و Eventlog.dll نیز تحت پروسه Services.exe عمل می‌کند.  به صورت تئوری، حجم Log File می‌تواند بازه ۶۴KB الی ۴۱۹۴۲۴۰KB باشد. این در حالیست که مایکروسافت تایید کرده که Log File‌های ترکیبی به صورت عملی در بسیاری از نسخ سیستم عامل Windows Server بیش از ۳۰۰MB نخواهد گردید. ولی فاکتورهای متعددی در این خصوص تاثیر گذار هستند که سبب می‌گردد تایید حجم نهایی حداکثر Log File به صورت عمومی امکان پذیر نباشد. این مشکل در گذشته سبب شده است تا بسیاری از مشتریان مایکروسافت با مدیریت Log Fileها با مشکل رو به رو گردند.

از ویندوز سرور ۲۰۰۸ به بعد، بسیاری از محدودیت‌های Event Log در ویندوز بر طرف شد و دسته بندی جدیدی برای Log‌ها ایجاد گردید. بعلاوه امکان فیلتر کردن و بررسی Logها با امکانات بیشتری میسر گردید. همچنین قابلیت ایجاد Action نسبت به Event ها نیز ایجاد شده است. اکنون این امکان وجود دارد تا طی فرایندی، وقایع مهم برای هر سازمان معین گردد و با استفاده از قابلیت Attach task to this event در صورت نیاز Action لازم نسبت به وقایع انجام پذیرد. با این وجود، این قابلیت برای محیط‌های Active Directory بسیار کوچک موثر خواهد بود. برای محیط با ابعاد بزرگتر است، لازم است از نرم افزارهای مدیریت سرویس و بازبینی وقایع استفاده گردد.

جمع آوری و آنالیز وقایع Active Directory به صورت مرکزی امری است که در هر سازمان کوچک و یا بزرگ لازم است به صورت Periodic و یا به صورت Real-Time صورت پذیرد. اندازه Period مذکور لازم است متناسب با حجم تغییرات و ابعاد شبکه باشد. علاوه بر نرم افزار های ۳rd-Party معمول برای Auditing وقایع، استفاده از راهکارهای SIEM نیز سبب می‌گردد تا آنالیز وقایع با ابزارها و امکانات بیشتری صورت پذیرد. به منظور تنظیم Log Retention از طریق Group Policy به مسیر زیر می توان مراجعه کرد.

Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service

در خصوص Windows Server 2003 به قبل، می توان از مسیر زیر تنظیمات Event Log ویندوز را معین کرد.

Computer Configuration\Windows Settings\Security Settings\Event Log\

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *