книги / Теория и практика борьбы с компьютерной преступностью

Все файлы, образующие peecip, кроме настроек, относящихся к опреде­ ленному пользователю, хранятся в каталоге %systemroot %\system32\confîg. Информация, относящаяся к конкретному пользователю, хранится в соот­ ветствующем каталоге в файле NUSER.DAT. Исчерпывающий список фай­ лов, входящих в состав реестра, приведен в табл. 2.4.2 [77, с. 510-511J.

Реестр разделен на части - ульи1. Улей поддерживается одиночным фай­ лом и файлом .LOG, который находится в каталоге %systemroot %\ \system32\config, В табл. 2.4.3 приведены ульи для компьютеров, работаю­ щих под управлением W in d o w s NT.

1Улей - дискретный набор ключей, подключей и значений, находящихся вверху иерархии реестра

Таблица 2.4.3

Реестр гарантирует целостность индивидуальных действий. Это означа­ ет, что любое одиночное изменение значения для установки, удаления или сохранения будет работать или не работать, даже если система отключается из-за сбоя питания, отказа аппаратных средств или проблем с программным обеспечением.

Сервер удаленного доступа Windows NT позволяет одновременно под­ ключиться до 256 удаленным клиентам и работать так же, как если бы они были подключены непосредственно к сети. К Windows NT Workstation мо­ жет подключиться только один клиент.

Для подключения к сети через RAS пользователь должен обладать при­ вилегией удаленного доступа. Система защиты Windows NT Server объеди­ нена с RAS. Бюджет пользователя содержит всю информацию о пользова­ теле Windows NT, включая имя пользователя и пароль, необходимый для регистрации, группы, в которые входит данный бюджет, права и привиле­ гии пользователя при работе в системе и доступе к ресурсам.

В Windows NT при установке Internet Information Server (IIS) может быть запущен журнал регистрации событий о работе запущенных служб. Intemetсервер - сложная система, и работающий с ней пользователь вынужден оставлять много следов. Журналы в IIS могут быть двух видов:

« в виде текстового файла;

•в виде базы данных, совместимой с ODBC.

Вэтих файлах строка соответствует одному запросу, а поля отделяются друг от друга запятыми (табл. 2.4.4).

Каждый день Internet -сервер закрывает текущий файл и образует новый. Данные файлы располагаются в папке \WlNNT\System32\LogFiles. Изначаль­ но на них дано разрешение Everyone - Change. При включенном аудите входов пользователей в систему в журнале безопасности операционной системы также появляются записи, связанные с функционированием IIS.

ВWindows NT Workstation бюджеты пользователей редактируются с помощью User Manager, в Windows NT Server - User Manager for Domains. База данных SAM - информация безопасности, содержащая имена бюдже­ тов пользователей и пароли, а также установки политики безопасности.

ВWindows NT Workstation управление базой данных SAM выполняется

вUser Manager, в Windows NT Server - в User Manager for Domains.

NETWARE

Возможности операционной системы позволяют:

"следить за доступом пользователей к сети;

■генерировать и анализировать массивы данных для аудита;

■фиксировать результаты наблюдения в файлах протоколов.

ВIntranetWare предусмотрена возможность регистрации па сервере IntranetWare событий, произошедших на рабочих станциях поль^овсиелей External Auditing). В IntranetWare используется специальная структура дан­ ных NDS, называемая Audit File Object (AFO). AFO обладает следующими свойствами:

■AuditPolicy - содержит параметры конфигурации аудита; включает в се­ бя максимальный размер файла, информацию о предшествующих фай­ лах аудита, номенклатуру регистрируемых событий и другую информа­ цию;

■AudiiContens —пользователи, имеющие право Read на это свойство, мо­ гут просматривать результаты аудита; пользователи, имеющие право Write, могут добавлять в данный файл результаты регистрации событий из других файлов аудита;

■Access Control List - определяет, кто и какие права имеет на AFO;

■Audit Link List - определяет, к какому контейнеру, тому, рабочей станции относится данный AFO;

■Audit Path - для внешнего аудита (аудита на рабочих станциях); это свойство указывает имя тома и сервера, на которых хранятся результаты аудита;

■Audit Туре - определяет то, к чему относится аудит (контейнер, том, ра­ бочая станция пользователя).

Сервер IntranetWarc обеспечивает возможность вести записи о событиях на сервере в защищенном каталоге SYS NETWARE. Отдельно регистриру­ ются события в файловой системе NDS.

Для файловой системы контроль осуществляется на уровне томов, а для NDS - на уровне контейнеров. События, которые могут протоколироваться, приведены в табл. 2.4.5.

Контролю подлежат такие события в сети, как:

■для файлов и каталогов ~ создание, удаление, перемещение, восстанов­ ление, переименование и т. д.;

■для очередей - создание и удаление;

■выключение сервера;

■для Bindery-объектов - создание и удаление;

■для томов - монтирование и демонтирование;

■изменение в механизме обеспечения безопасности (передача прав);

■для объектов NDS - добавление, удаление, переименование, перемеще­

ние;

»для Security Equivalences - добавление, удаление;

■ для пользователей - регистрация в сети, выход из сети.

UNIX

Внастоящее время существует несколько десятков различных клонов операционной системы UNIX: AIX, BSD, HP-UX, IRIX, Ultrix, SunOS, Solaris, LINUX и многие другие. В UNIX-системах большинство исполняе­ мых процессов протоколируют свою работу. При этом информация сохра­ няется на дисках в файлах регистрации.

Взависимости от диалекта UNIX-системы файлы регистрации могут располагаться в разных каталогах.

Solaris

■/var/log/*; /var/cron/log; /var/lp/logs/*; /var/saf/Jog; /var/saf/zsmon/log;

■/var/adm. {messages,aculog,sulog,wtmp} ; /var/adm/aspp.log.

IRIX

■ /usr/adm/.

SunOS

/var/admn может иметь различные имена:

■/usr/adm/lastlog - данные о последнем входе в систему по каждому пользователю;

■acct - учет процессов;

•wtmp - учет времени соединения;

•aculog - учетная информация по модемной связи, инициированной сис­

темой;

■messages - сообщения консоли;

•shutdownlog - причина выполнения shutdown;

■sulog - доступ привилегированного пользователя через su;

■authlog - регистрация полномочий;

■mqueue/syslog - файл регистрации электронной почты;

■timed.log - файл регистрации демона контроля времени;

■uucp/logfile - файл регистрации соединений, пересылок UUCP;

■ftp.log - файл регистрации соединений FTP;

■gatedlog - файл регистрации маршрутизации в сети;

■news/*log - деятельность участников телеконференций;

■sudo.log - файл регистрации через sudo;

■tcp.log - соединение tcp;

■httpd/*_log - файл регистрации сервера WWW.

Сэтими файлами большинство системных администраторов работают, используя возможности программы syslog. В конфигурационном файле /etc/syslog.conf данной программы содержится информация по управлению демоном syslogd, а также информация по размещению файлов регистрации, относящаяся к таким процессам, как:

■kem - ядро;

■user - пользовательские процессы;

■mail - система электронной почты;

■daemon ~ системные демоны;

•auth - команды, связанные с защитой и полномочиями;

■news - система телеконференций USENET;

■cron - домен cron;

■syslog - внутренние сообщения домена syslog;

■authpriv - частные (не системные) сообщения о полномочиях;

■ftp-домен ftp.

Процессы учета данных сетевых операционных систем семейства UNIX используют иерархическую структуру размещения файлов управления и данных (рис. 2,4.4).

Это позволяет процессам держать временные и постоянные файлы в мес­ тах, логически связанных с их типом. Каждый каталог структуры содержит группы файлов, команд и подкаталогов.

Структура каталогов верхнего уровня:

■/var/adm ~ содержит файлы сбора данных;

■/var/adm/acct/nite - повседневные данные и файлы команд, используемые runacct;

*/var/adm/acct/sum - итоговые данные и файлы команд, используемые runacct для создания итоговых отчетов;

■/var/adm/acct/fiscal - итоговые данные и файлы команд, используемые monacct для создания итоговых отчетов;

■/var/lib/acct - команды учета ресурсов системы.

•ctacct. {mmdd} - суммарные записи учета, созданные процессом учета времени соединения;

•ctmp - вывод acctconl, содержит список сеансов, отсортированных по userlist и login именам;

■daytacct - итоговые записи за текущий день;

■disktact - итоговые записи, созданные командой dodisk;

■fd21og - вывод данных диагностики в результате выполнения runacct;

■reboots - содержит даты начала и конца процесса, получаемые от про­ граммы wtmp, а также список перезагрузок.

Файлы каталога /var/adm/acct/sum:

■cms - файл итоговой сводки команд за текущий месяц во внутреннем формате подведения итогов;

■cmsprev - файл сводки команд без последнего обновления;

■loginlog - отображает дату последнего входа в сеанс для каждого

«cms.{mm} - итоговая сводка команд за месяц {mm} во внутреннем фор­ мате подведения итогов;

»tact, {mm} - итоговый файл данных учета за месяц {mm}.

LINUX

В последние годы получил популярность клон UNIX - LINUX, разраба­ тываемый широкими кругами энтузиастов. По умолчанию LINUX регист­ рирует любые действия, предупреждения и сообщения об ошибках. Начи­ ная с загрузки системы средства внутреннего аудита подключают внутрен­ ние системы защиты.

Программа Syslog записывает все сообщения в файл так, что он может быть впоследствии просмотрен. Syslog можно сконфигурировать так, что сообщения будут сортироваться и записываться в разные файлы по приори­ тету. Например, сообщения ядра часто направляются в отдельный файл, так как эти сообщения наиболее важные и должны регулярно просматриваться во избежание серьезных проблем. Это позволяет системе контролировать работу пользователей и регистрировать их действия.

Программа Login записывает все неудачные попытки подключения к системе в системный журнальный файл (при помощи процесса syslog). Все успешные подключения к системе записываются в файл /var/log/wtmp. Объем файла способен неограниченно расти, поэтому он может периодиче­ ски удаляться, например с использованием процесса cron и установленной в нем задачи, выполняемой каждую неделю.

Возможна установка скрипта ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину. Для этого используют пакет logrotate, который включается в последние версии дистрибутива RedHat.

§ 4.3. Регистрационные файлы СУБД

Крупные организации, учреждения, банки, как правило, используют корпоративные СУБД, выполненные по технологии «клиент-сервер». К та­ ким СУБД относятся, например, ORACLE-7 и Microsoft SQL Server 7.0.

ORACLE

Особенности инсталляции системы ORACLE дают возможность адми­ нистраторам баз данных (БД) и специалистам, привлекаемым к осмотру, от­ слеживать использование БД.

Администратор БД (DBA) может установить различные опции для от­ слеживания действий над базой. Ни одна общесистемная операция не будет регистрироваться до выполнения общесистемного оператора AUDIT.

Результаты регистрации доступа записываются в единственную таблицу БД. На этой таблице создаются два обзора:

-DBA AUDITJTRAIL;

■USER_AUD1T_TRAIL (как часть первого обзора).

Обзор DBA_AUD1T_TRAIL потенциально содержит сведения о прошлой работе БД. В зависимости от выбранной опции общесистемной регистрации доступа этот обзор может содержать любой тип информации о работе БД (например, регистрация, создание объектов и информация о сеансах). При помощи инструментария администрирования в ORACLE-7 возможен также контроль таких основных ресурсов, как:

■число сессий для определенного пользователя;

■время соединения для него;

■время процессора, затраченное на сессию и др.

Microsoft SQL Server

Изначально Microsoft SQL Server разрабатывался в расчете на использо­ вание преимуществ операционных систем Windows. Это подразумевает, что некоторые общие компоненты самой операционной системы предоставляют SQL Server дополнительные функциональные возможности. В частности, данный подход характерен для построения систем безопасности, включаю­ щий в себя средства аудита. На любом сервере система защиты SQL Server может быть реализована одним из двух способов.

Первый - стандартный (комбинация средств защиты SQL Server и сер­ вера Windows).

Второй - интегрированный (с использованием только средств защиты сервера Windows).

Способы организации защиты определяют то, каким образом пользова­ тели SQL Server будут регистрироваться на сервере и каким образом они будуз входить в систему Windows.