安全监视及入侵检测规划指南.doc

安全监视及入侵检测规划指南第一章：导言概要媒体对于网络恶意软件泛滥的报道主要是网络资源遭受的外部威胁，但是组织的基础架构可能遭受的最大侵害往往来自内网。安全监视系统为受法规限制的组织机构运营所必需。全球众多机构陆续推出各种需求，说明使得监视网络、资源使用审查和用户识别需求大涨。组织机构出于对规则限制的考虑，也要求对指定时长内的安全监视数据进行归档。本指南将介绍在Windows网络中如何规划来自内网和外网的入侵进行监视的系统，以识别恶意行为或程序错误导致的网络异象。挑战大型网络和要求不很复杂的网络的监视规划必须包括以下几点:定义需求管理员与用户权限定义监视政策执行检出事件的处理收益安全监视有助于提高识别入侵的能力以及对事件全程进行分析的能力。可使安全部门快速反应减少实际损失，确定受袭范围，以及控制袭击的影响范围、快速识别反常行为特征以及搜集满足规则要求的审计情报，详见第二章。 适用人群本指南适用于对数据保密要求较严格，需要进行身份保护和数据访问控制组织机构，并对受法规限制的机构特别有用。目标读者是IT经理和IT专员、决策者以及提供相关咨询服务的顾问。对读者的要求读者应理解和熟悉自有网络的安全及风险，熟悉Windows事件日志。本指南采用微软MOF处理模式的操作和支持象限，及MOF安全管理和事件管理方法。规划指南概要本指南涵盖了规划方案的基本内容。主要章节如下：第一章: 导言本章概括性介绍业务挑战和对组织机构的帮助，适合阅读人群并对本文内各章节和所供方案进行了简要介绍。第二章：安全监视方法本章节介绍使用微软及第三方技术实施安全监视和攻击检测的多种可选操作。. 第三章：问题和需求本章介绍如何使安全监视与其他业务需求相配合，如何防范企业网络内已知潜在威胁和袭击。对违规行为监测、外部入侵识别及进行鉴识分析业务及其技术和安全性挑战的讨论。本章还阐述了与组织机构策略发生冲突的处理方法，并在最后列出此系统的方案需求。第四章: 方案设计本章详细介绍如何通过安全监视进行检测入侵及安全审计归档。介绍有效进行安全监视的建议配置，以及组织机构安全策略应进行的调整。对大型组织机构进行安全监视的详细指导，告诉组织机构如何处理大量安全事物存储的审计，以及如何在分布式网络中进行入侵检测的规划。第二章：安全监视方法导言很多企业没有认识到采取安全措施保护网络资产免于内、外部侵袭的必要性，正如使用录像系统发现有人企图进入大厦或某限制区域一样，网络也需要监视网络资产和检测入侵的系统。安全监视是合格网络安全策略的重要部分。2004年8月，美国密勤局与Carnegie Mellon软件工程学院共同发布的白皮书以及2004年电子犯罪调查报告都证明公共机构更容易遭受来自内部用户的攻击。本章将介绍微软的相关技术及如何利用安全日记进行分析和归档，以满足用户对安全监视的需求，使用户了解执行方案所需的技术从而进行有效监视。注：雇员行为产生侵害为内部袭击。来自组织外部的袭击为外部袭击。即使外部人员从网络内部实施侵害依然为外部袭击。执行安全监视Windows很多版本在%systemroot%System32config目录下内置的安全日志文件可对Windows网络进行安全监视，可记录用户、服务或程序的成功信息或类似的未完成的失败信息，配合其他功能和程序构成中央知识库。管理员小组成员和有帐号的用户可用事件浏览器阅读安全事件日志记录的计算机姓名和IP地址等信息。注： 安装Service Pack 1的Microsoft Windows Server 2003 版可为不同用户配置不同安全级别，详见第四章。 下表列出了安全事件目录和相应事件。表2.1: 安全时间审核目录 目录作用帐号登陆事件审核本地帐号登陆请求，如用户使用域帐号则在域控制器中也有体现帐号管理事件审核用户和小组帐号的建立、修改和注销，以及密码的更换和重置目录服务访问事件审核Active Directory目录服务中对象的访问登录事件审核登陆工作站和其成员服务器的企图对象访问事件审核对系统访问控制列表上所列的文件、文件夹、注册口令或打印机的访问要求策略更改事件审核任何用户权利分配、审核、帐号以及信任策略方面的变化特权使用事件审核用户权限的使用，如变更系统时间等程序追踪审核程序开始或结束等应用行为系统事件审核计算机系统开机、关机以及影响系统安全的事件或者安全日志审核策略、组策略的设置路径为Computer ConfigurationWindows SettingsSecurity SettingsLocal Policies，通过设置审核策略，或者在地址、域或组织等单位通过组策略和活动目录设置控制安全日志中项的生成设定安全日志审核水平。默认安全设置仅允许管理员使用安全日志。对分散袭击的监视和鉴识分析都需要一个集中关联审核事件的监视系统，可对安全事件进行收集和集中放置。由安全人员分析信息以确定是政策冲突还是外部袭击。这个中央信息库就是鉴识分析的基础。以下将介绍几种具有安全事件日志关联功能的微软产品以及一些第三方产品。Event Comb MTWindows Server 2003提供的一种可解析和收集不同计算机上的事件日志的多线程应用，它可在扫描时定义多种参数，如：*事件标识 (单独或多个)*事件标识范围*事件来源*事件文本确定*事件年龄（分、小时或天）Event Comb中有一些指定搜索目录，如帐号锁定主要搜索以下事件： *529 登陆失败（用户名或密码无效）*644 用户帐号自动锁定*675 预身份验证失败(密码无效)*676 身份验证票证请求失败*681 尝试域帐号登陆 由于管理员帐号无尝试次数锁定限制，因此在系统日志（而非安全日志）中添加安全帐号管理事件12294（超过尝试数量限制即锁定帐号）对保护管理员帐号免于入侵者多次尝试具有重要意义。Event Comb MT 将事件存储在Microsoft SQL Server 表单中供长期的存储和分析。可用SQL Query Analyzer, Microsoft Visual Studio .NET 或其他第三方工具读取。Event Comb MT v10.0具有一个可创建定期自动事件收集的命令语句选项。由于Event Comb MT具有事件收集代理程序或自动推送功能，所以不一定适用于任何威胁发生的情况。Microsoft 操作管理(MOM) 2005(MOM) 2005可在企业级环境下监视数台服务器，通过代理程序搜集安全事件并推送至MOM管理服务器存放于MOM数据库。MOM多种安全监视和攻击检测功能，通过管理规则来确认那些影响服务器运行效率的事件。当事件发生时，立即报警。未来版本的MOM将具有更强大的收集安全日志的功能，无需运行MOM代理程序就可以搜集事件。独立软件厂家解决方案Microsoft的产品并不能对所有安全监视问题提供端到端的解决方案，主要缺陷如下： *实时事件日志报警*安全事件日志搜集系统Microsoft合作伙伴的一些产品（按字母顺序排列）可以弥补这些缺陷：Adiscon公司的EventReporter ：可在单一环境中结合UNIX和Windows事件日志报告并可通过电子邮件报警。详情请查阅。GFI公司的LANguard 安全事件日志监视器：此产品通过记录和分析全网计算机事件日志完成入侵检测和安全日志管理。详情请查阅/lanselm。Lakeside软件公司的Systrack 3： 此产品使用事件日志监视器定期监视，通过对过滤器的设定，监视指定事件的发生并提供接近实时的告警。详情请查阅.。第三章：问题和需求导言对网络风险的准确估计是有效安全策略的重要部分。组织机构对网络数据风险的认识所属行业，数据价值和以前遭袭经历等几个因素决定。 综合多方信息可确定安全监视和攻击检测的三大功能：发现策略冲突 识别外部袭击进行鉴识分析 本文将区分典型行为和异常行为，以帮助识别网络异常行为。为了识别异常行为，请在所有的计算机中设置安全底线，设置方法见/technet/security/howto/default.mspx发现策略冲突安全事件目录中最多的为策略冲突，包括以下行为： 非正当程序的用户帐号创建 无授权的管理员权限使用 服务帐号用于交互登陆 读取未经许可的文件的尝试 用户删除有读取权限的文件 未获批准的程序的执行 最常见的策略冲突是用户打开未授权目录的企图，不过一般受权限制很少造成损失。管理员有意或无意行为产生的策略冲突才更需要关注。管理员拥有最高级别的系统权限往往给组织机构带来重大威胁。他们有能力并不代表他们有权利，如他们可以看到却无权看到财务数据。业务问题大多数组织机构都应该事先发现策略冲突减少损失，主要需关注以下问题： 招聘和使用员工时进行严格的背景审查和定期检查 对管理员行为进行独立的安全审核 对安全监视系统进行定期审核 快速认定违规行为 确认违规范围 减少安全违规导致的损失 组织机构往往对内部用户的危险行为缺乏持续的监视。至少通过协议签署告戒内部用户任何越权企图都会被安全日志记录在案。注意：受数据保护和人权法限制，如果没有证据证明用户明确知道内部安全监视要求，就很难起诉或辞退某个员工。组织机构应建立不具有管理员权限的独立部门监督管理员行为；应每周通过突破或管理员帐号对监视功能进行不定期检测；应建立完善的进行特殊网络操作的程序以快速确认安全违规行为。例如，系统监测发现管理员违反事件624建立用户帐号，就会连接微软身份集成服务器(MIIS)阻止帐号。组织机构应该对可能出现的事故安排响应以减少损失，如快速通知当事人。如果他们知道某个调查将导致安全事故，他们就不会去破坏安全策略。. 尽管媒体大量关注来自外网的安全威胁，但是组织机构始终应该知道来自内部管理员的配置失误可能造成的损失远大于外部入侵造成的危害。 技术问题为了进行基于Windows安全事件日志的安全监视和攻击检测，必须做到以下几点： 仔细考虑如何设置安全审核以管理大量安全数据。 储存和管理中央知识库中的大量事件。本章“进行鉴识分析”段落有详细介绍。 熟悉表明袭击发生的事件模式，以进行快速有效响应。 细分管理员权限并通过安全专家组视察管理员以避免管理员逃避安全审计控制。安全问题安全问题的识别是有效监视和检测的核心内容。有效的监视应注意识别以下事件： 通过改变文件权限浏览资源的企图 通过密码重设来浏览资源的企图 建立新用户 添加新组员 未授权的管理员帐号的使用 使用服务帐号登陆服务台 执行未授权程序 对文件的故意损坏（不包括磁盘错误造成的损坏） 未授权操作系统的使用 信任关系的建立和删除 非法帐号的登陆企图 未授权的安全策略调整 方案需求为了侦测组织级或安全策略冲突，方案应包括： 对覆盖全部网络操作的安全程序的定义 完备的安全审核日志 适当过滤并可用于分析的可靠安全日志的集中 安全审核可调范围 对任何冗长记录、缺失记录等差异的调查 为了识别配置错误，方案应包括： 覆盖全网操作的变动管理程序（包括确认） 有效安全审核日志 可靠的安全日志集中 识别配置变化的安全日志自动分析 详见第四章：方案的设计。 识别外来入侵外来入侵主要有人为袭击和恶意应用攻击两种，各自有不同的特征。人为袭击可根据目标网络调整进攻方式，恶意应用则可影响多个电脑为黑客攻击打开后门。恶意应用包括病毒、蠕虫和木马程序等不同形式，造成的较大麻烦但是易于防治。注：本文所述不包括任何涉及硬件设备的入侵。业务问题本文所述业务问题均由外部入侵所产生。安全监视不适用于识别分布式拒绝服务攻击。恶意应用的识别对于金融领域或受法规限制的组织机构来说意义重大，比如间谍软件可能泄露保密信息。恶意应用主要问题在于不知道他们藏身网络何处。如果恶意软件带有rookit等程序就可能偷偷控制电脑。技术问题大量入侵事件是由缺乏经验使用现成脚本寻找漏洞的人造成，而真正的危险来自技术高超可以使用很多不同方式渗入网络的黑客。 注：文中攻击者专指故意造成入侵的人，而非病毒、蠕虫和木马等的行为。识别恶意应用的主要方式是追踪程序的进程，但是追踪往往产生大量无意义的事件。以下两个领域中进程追踪会有所不同： 使用通用门户界面的网络服务器每次点击都产生新的进程。 工作站的使用这些因素在短时间产生大量事件，有效的过滤可以将袭击事件从大量事件中提取出来。安全问题外部入侵者可以通过以下方式实施入侵： 盗取密码 改变或重设密码 发掘缺陷 欺骗用户或使用恶意应用 扩大授权使用范围侵入其他电脑 安装rootkit或木马程序 使用未授权工作站 使用网络钓鱼实施侵害检测袭击和恶意应用的基本方法是在组策略中严格而精心的配置来追踪进程。注：软件限制策略可对移动电脑或在网络内部造成无意的影响。每次使用新的组策略目标管理软件限制策略，并且不要在默认域策略中应用软件限制策略。方案需求方案要能够区分外部入侵者和来自内部的威胁，要求如下： 一个足够深入的安全执行方法 有效的安全审核日志. 可靠的安全日志的集中 识别袭击特征的自动安全日志分析还有一些用于识别内部威胁的方案需求： 审计网络中所有未授权软件的有效步骤 合理配置安全审核日志 可信赖的安全日志集中和过滤 识别可疑行为的安全日志自动分析（可能需要第三方程序的帮助） 进行鉴识分析鉴识分析必须包括以下几点： 侵袭的时间 侵袭的过程 受影响的电脑 侵袭对网络的改变 业务问题鉴识分析进行事后调查，需要对一个或多个电脑提供详细事件列表。鉴识分析系统需要处理和归档大量数据，关键问题之一是确定多长时间以后数据可以作废。下表可为参考：表3.1: 鉴识分析数据存储时限存储类别存储时限注释在线存储（数据库）21天提供最近事件的快速浏览离线存储（备份）180天适用于大多数组织机构受法规限制的环境7年情报代理永久保存注：医院或政府部门一类机构一般没有固定时限而是规定保存时间“不要超过”某时限。方法之一是在线存储最近三周的事件，超过时限的压缩后离线保存。无论任何系统，都应满足快速调查最近事件并可恢复较早事件的要求。技术问题进行鉴识分析的安全监视系统需要更大量、更可靠的数据库存储和更高效的数据管理。技术方面面临的挑战包括 网络数据的可靠和安全的存储 大量高性能在线存储磁盘空间 可靠的旧事件备份归档媒介 较早的归档存储备份动向的管理 来自旧备份的信息的再存储这些挑战在数据库管理方面有更多考虑。鉴识分析数据库相比读取，需要有更大的写文件的空间。安全问题鉴识分析数据不断增加，应该保证只有一两个可以高度信赖的人可以读取安全数据，不破坏收集进程。方案需求鉴识分析方案需求包括: 安全日志的正确配置. 安全日志项的安全校验 安全日志的安全和集中 安全监视信息的可靠存储 高效归档机制总结本章按三部分描述了方案需求。第四章“方案设计”将介绍如何利用这些要素创建自己的安全监视和攻击检测计划。 第四章：设计解决方案导言安全监视和攻击检测规划的最后一步是设计满足方案需求的系统。系统应可达成以下目标： 发现策略冲突 识别外部袭击 进行鉴识分析 方案要素方案设计主要根据上面三个主要内容。鉴识分析需要额外的在线、离线和归档存储资源，方案结构与另两方面没有很大的差异。方案内容方案要求对以下领域进行适当的安全审核：: 帐号管理行为,如创建用户或在组中添加用户 浏览被保护文档 安全策略变更 信任状的创建和删除 用户权利的使用 系统重启和系统时间改变 注册表设置 未知程序的执行 安全监视和攻击检测系统收集比较安全事件日志，分析可以行为的数据，并将信息储存归档供日后的鉴识分析。次方案的主要部分为分别为用户设置不同级别审核标准的帐号。方案前提Active Directory 目录服务域系统为Windows Server 2003 SP1 或更高级版本。Active Directory域内客户端计算机系统为Windows XP Service Pack 2 或更高版本。 注：由于外围网络中的计算机可能是工作组成员而不是域成员，因此不能用活动目录组策略来配置，不过可以使用本地策略和模板文件进行配置。方案规划实施监视和检测项目前，应该首先回顾现在有效的安全审核设置、明确设置适用的级别、弄清现有日志文件的设置以及额外的安全审核设置，在按本文进行改进之前掌握一条底线（可参考附件B）；然后评估管理员职能搞清楚管理员的职责，评估用户任务；回顾组织策略和程序确保与管理员职能保持一致；找出那些最容易遭到外部黑客袭击的计算机对其采取打补丁、安全升级、取消无用服务和用户帐号、配置服务以及应用更高级别安全计算机策略等补救措施；列出价值高的资产；识别敏感或可疑的帐号列出更高的审核标准，帐号包括默认管理员帐号，所有企业、计划和域管理小组以及服务所用登录帐号等；以及列出合法程序以减少外来袭击等。方案结构安全监视和攻击检测方案包括几个相互配合提供安全告警的部分，如下： 活动目录域控制器 事件关联基础架构 监视和分析工作站 在线存储数据库 备份媒体 短期实时归档存储 长期远程归档存储 活动目录域控制器不是必须部分，因为可以通过本地安全设置来配置安全审核级别。不过，如果需要使用组策略来进行安全审核，活动目录就是方案的必需部分。 方案的工作原理方案结构按以下方式工作1.管理员设置组策略来对应审核水平的需求。参见附录B。2.组策略将变化传递到指定计算机。 3.管理员将改变应用于域外计算机的本地安全策略。 4.安全事件日志按照组策略搜集事件。 5.事件关联系统定时扫描安全事件日志并将信息保存到适当的数据库中。 6.安全管理员可以直接分析数据库中的信息或者使用SysTrack 3这样的工具来识别可疑行为。 为鉴识分析进行的安全监视还要有以下动作1.事件相关系统定期抽取相关事件并在线存入数据库。 2.在线数据库备份系统按设定间隔（一般按天进行）保存和移动在线数据库中的旧记录。3.备份媒体按指定时间在线进行短期存储。 4.按规定间隔（一般按周进行）将数据进行长期远程存储。 5.管理员负责按月进行实验性再存储以确保备份可用。 进行选择性审核Windows Server 2003 SP 1 的新功能支持对用户帐号进行选择性审核水平设置。可以只对用户帐号进行选择性审核而不审核组的安全和分配。可以使用auditusr.exe语句设定选择性审核水平。Windows Server 2003 SP1 和Windows XP SP2都有此功能。注：按用户审核不能将内置管理员小组排除在外。发现策略冲突 第三章中说到网络最大威胁来自内部用户。本章将谈到主要的内部威胁以及如何发现这些威胁。无意中的系统和网络配置错误经常来自管理员的动作。安全监视的实施如果能事先建立和执行一个合适的变更管理程序就可以更为有效。如果没有管理程序就无从校验。发现策略冲突包括以下行动： 改变文件许可访问资源 重设密码来访问资源 创建、改变和删除用户帐号 添加组员 使用未授权帐号的企图 使用服务帐号进行交互登录 运行未授权程序 访问未授权资源 损坏授权文件 (不包括冲突导致的磁盘错误) 引入未授权操作系统 获取其他用户的信任状 逃避审核的企图 创建或取消信任关系 非法改变安全策略 改变文件许可来访问资源管理员可以通过文件所有或将自己加入许可列表来浏览未授权的文件。应该设置安全审核水平来审核重要文件和文件夹的任何变化。ACL项本身不足以防范未授权的访问。为了阻止非法行为，应对所有重要文件确认以下因素： 访问目标是什么？ 提出访问的用户是谁? 用户是否有权访问？ 用户企图进行能够何种访问? 事件是否成功? 用户从哪台电脑发起访问？ 时间浏览器不能进行有效过滤，还需使用EventComb MT 或第三方产品进行分析。下表列出了改变文件许可能够产生的审核事件，审核目录为目标访问：表4.1: 文件许可改变事件事件IDs事件说明560获得现有目标访问权限本事件表明一个目标成功获得访问许可。校验主登录ID， 客户端用户名和用户名字段来发现改变授权的企图。校验访问字段来确认操作类型。这一事件仅表示申请访问或获得许可，并不表示访问发生，进行的用户是客户端用户，或者主用户。 567与操作相关的许可本事件出现在对某一目标的某重访问（列表、读取、创建等）第一次发生时。与560相关，可以比较两种事件的操作ID字段。通过重设密码来访问资源密码重设只在批准的框架内进行。正确配置的安全审核标准将记录安全日志中的密码重设事件，并识别不符合正确程序的重设。下表列出了重设密码引起的审核事件，审核目录为帐号管理。表4.2: 密码重设事件事件ID事件说明627变更密码的企图当用户提交旧密码要求改变密码时会产生此事件。通过比较主帐号名和目标帐号名来确认是帐号所有者还是他人企图变更密码。不过，一般申请者会被要求提供旧密码，所以安全风险不大。628用户帐号密码设置和重设当用户或进程通过管理界面而不是密码改变程序重设密码时产生此事件。只有授权用户或进程可以进行此操作。698改变目录服务恢复模式密码当有人企图在域控制器上改变目录服务恢复模式密码时会生成此事件。核对工作站IP和帐号名称并马上进行调查。创建、改变和删除用户帐号创建新帐号必须按程序进行。大型组织中一般需要经理登录来批准经过多个步骤才可以建立。小组织中，通过活动目录建立新帐号也必须通过正式申请。所有动作必须符合要求。不可靠的管理员可以轻易创建假用户来进行非法或恶意行为。应该限制帐号建立和密码修改的时间间隙，如果新帐号迟迟不修改密码就应该马上停止帐号并进行调查。使用安全监视和和入侵检测需要识别用户帐号事项需要进行如下配置： 发现不规则或不正常的网络帐号行为 识别滥用特权创建或修改帐号的管理员 发现破坏组织机构安全策略的帐号活动特征下表所列为识别用户帐号改变产生的事件，属于帐号管理审核目录。表4.3: 用户帐号改变事件事件ID事件说明624创建用户帐号检验主用户名字段来查看是否由授权人或进程创建帐号。本时间还可发现管理员是否在超过组织策略限制创建帐号。630删除用户帐号搜索相关事件并检验主帐号名字段来发现为授权人员删除帐号的行为。642改变用户帐号此事件记录627-630未包括的用户与安全相关资料的改变。685改变帐号名称验证主用户名与授权人或进程一致。 添加组员最佳安全建议推荐给用户工作所需最少授权，大部分用户帐号仅是域用户群帐号和机构明确指出的安全小组成员。在安全小组中添加具有高度权限的成员必须在策略指导下，利用已有或已获批准的帐号或进程生成。任何其他生成帐号均为可疑，留待观察。注：分发组员不涉及安全原则，但是错误添加会导致有人收到不应该收到的信件。下表列出了识别小组变化所引发的事件，属于帐号管理审核目录。表4.4: 组员变更事件事件ID事件说明631 to 634激活全球工作组变化的安全检查具有全球或广大访问特权的小组的事件来保证没有违反小组策略的行为。小组名称在目标帐号名称字段中。635 to 638激活本地小组变化的安全检查管理员、服务器操作者或备份操作小组的这一事件以保证没有超越小组策略的改变发生。小组名称在目标帐号名字段中。639、641、668激活组变化的安全这一事件标明除了删除、创建或成员改变以外的变化。通过检查这一事件确保没有超越策略的改变发生。小组名称在目标帐号名称字段中。659 to 662激活全体小组变化的安全检查拥有高级权限的小组来保证没有超越策略的改变发生。小组名称在目标帐号名称字段中。使用未授权帐号的企图在目录林中对活动目录域控制器的第一次推动创建了域管理和企业管理组的成员。这一帐号因为没有帐号锁死设置而最容易遭受袭击。安全监视应始终监视任何登录管理员帐号的企图。下表列出了识别未授权帐号使用所用的事件，属于帐号登录和登录审核目录。表4.5: 未授权登录事件 事件ID事件说明528/540成功登录目标帐号姓名为默认管理员帐号的登录为可疑。528为常见事件。529登录失败：未知用户名或密码校验目标用户名为管理员或重命名过的默认管理员帐号。校验没有超过帐号锁死极限的登录失败尝试。531登录失败：失效帐号对此事件调查。核对目标用户名和工作站名称。这一事件一般由合约人或临时用户造成。532登录失败：帐号过期调查此事件。核对目标帐目姓名和工作站姓名。这一事件一般由合约人或临时用户造成。576为新的登录分配特殊权限当新的登录获得管理员权限或可以破坏审核追踪是会产生此记录。与事件528和540相关联，比较登录ID字段。事件576能够更快发现帐号登录时获得管理员权限。这一方法相对计算组员数量更为简单。使用服务帐号进行交互登录开始服务时必须提交登录信任，服务帐号可以要求连接域帐号并运行远程计算机上的服务。有些服务帐号必须获得管理员信任或与桌面互动才可运行。在Windows Server 2003 和以后版本中，应该核对所有需要用户帐号的服务以确保这些帐号使用的是高权限密码。安全监视应确认这些帐号的登录事件只在相关服务开始时才发生。当服务帐号进行互动登录而非服务登录时就可能有安全隐患。这一事件仅在入侵者找到服务帐号密码并登录才会发生。如果这一服务帐号有管理员权限，入侵者就可能干扰正常服务。应该识别所有服务帐号可以登录的资源。下表所列事件就可识别服务帐号信任的未授权使用，目录为帐号登录和登录审计。表4.6: 服务帐号信任状登录事件事件ID事件说明528登录成功：控制台袭击或终端服务服务帐号发生事件528或本地系统2型登录说明有袭击发生，入侵者获得服务帐号密码并已登录控制台。如事件日记记录10型登录，说明入侵者使用终端服务登录。另中情况都要马上调查。534登录失败：登录类型未获允许校验目标帐号名称，工作站名称和登录类型。这一事件说明在组策略设置下使用服务帐号信任状的交互登录失败。600进程被分配为主标记此事件在服务使用指定帐号登录Windows XP及以上版本的计算机时发生。这一事件与事件672, 673, 528和592关联。601用户企图安装服务这一事件很少发生，但发生以后不论成功与否都要进行调查。运行未授权程序组织机构应该建立批准执行程序和进程列表供新程序审批使用。另外应在隔离网络部分试用新程序，管理员不应运行列表中没有包括的任何程序。 进程追踪的安全审核可以识别未授权程序。下表所列为识别为授权程序的事件，属于进程追踪目录。表4.7: 执行未授权程序的事件事件ID事件说明592建立新进程校验新程序的图片文件名称和用户姓名。所有进程都应在授权程序表中有体现。602创建工作计划校验授权目标名称来运行预定程序，并校验与事件相关的已知任务计划的任务时间。访问未授权资源这一情况要求对事件560审核失败的确认。下表所列为访问未授权资源产生的事件，属于目标访问目录。表4.8:访问未授权资源的企图产生的事件事件ID事件说明560对现有目标的访问拒绝监视审核失败。查看访问资源的目标名称字段。与主用户名和主域字段或者客户端用户名称和客户断域字段相关联。568与某个审核文件建立硬连接的企图当用户或程序企图与某文件或对象建立硬连接时会产生这一事件。当硬连接建立以后，用户可无需用户权限操纵文件并不会被审核追踪。破坏授权文件在此情况下用户故意破坏他们有权访问的文件。为减少此类破坏需要进行文件准备，马上取消用户帐号权限，强行注销用户。引入未授权的操作系统通过以下机制管理员和用户可在系统中引入未授权的操作系统： 家用电脑接入网络 光盘启动的操作系统 Windows XP 或其他Windows 操作系统的重装 Microsoft 的虚拟PC映像 未授权操作系统可以引发以下问题： IP地址重复 增加遭受病毒或其他恶意软件侵害的弱点 增加文件出错几率 增加对支持小组的呼叫 降低生产效率 注：有些光盘启动的软件不会被事件日志所监视。摘掉客户端电脑光驱是一个有效却不一定可行的方法。 运行Windows XP安装盘重装Windows XP的情况下，监视其他电脑的事件日子会发现管理员用户使用为认证的工作组名称或默认的“工作组“的名称尝试登录。虚拟PC映像在主机上提供完全虚拟的计算机环境，可在不影响主机的情况下完全使用自己的用户名进行操作，也需要IP地址和访问公司网络资源。使用虚拟PC映像是危险的。应该配置安全审核来发现以下情：: 未被承认的用户名、计算机、工作组或域名 重复或超出范围的IP地址 使用默认管理员帐号的登录请求下表所列为识别未授权操作系统引起的事件列表，属于进程追踪审核目录：表4.9：运行未授权平台的事件事件ID事件说明529登录失败：未知用户名或密码当目标帐号名称为管理员或者域名为未知或目标帐号名为root时应进行核对592建立新进程核对新进程的映像文件名称和用户名。所有进程都应为授权程序。注：为确保可靠检验出rootkit程序，可利用第三方工具。获取他人信任状好的密码使用策略带来的后果是用户写下密码。组织机构必须要防止非授权用户得到这些写下的密码。当用户不按惯例登录电脑时安全监视应有所察觉。需要使用工作站名称、用户访问或对此工作站的授权等交叉关联检测此类入侵。注：活动目录可以控制用户允许登录的工作站。这一功能需要网络基础输入输出系统(NetBIOS)的命名，如通过Window互联网命名服务器(WINS)。这种情况下与表4.5所列相同。避免审核的企图黑客经常采用修改安全策略或清除安全日志的方法避免被发现。由于这种操作常被认为是典型的网络操作，所以很难被察觉。下表所列为黑客企图掩盖证据时所产生的时间，属于多种审核目录。表4.10：逃避审核事件事件ID事件说明512Windows启动经常在事件513后发生。调查意外的重启。513Windows关闭经常在事件512前发生。有授权的人员应按程序重启电脑。任何服务器产生此事件都应马上调查。516审核失败过多审核日志堵塞日志缓冲区时会发生此类事件。注意观察在需要高安全性的电脑上发生516事件的情况。517清除安全事件日志管理员未经授权不应该清除日志。核对客户端用户名称和域，并与授权人联系。520改变系统时间这一行为可以误导鉴视分析或给黑客提供假的证据。进程名称为%windir %system32svchost.exe。核对客户端用户名称和域，并与授权人联系。521无法记录事件日志Windows无法记录安全事件日志。如此情况发生在高价值电脑上要马上调查。608赋予用户帐号特权为用户帐号赋予新授权。事件日志一般会与用户帐号安全认证(SID)记在一起，而不是与用户帐目名称记在一起。609用户帐号特权被取消用户帐号特权被取消。事件日志一般会与用户帐号安全认证(SID)记在一起，而不是与用户帐目名称记在一起。612改变审核策略这一事件并不说明发生问题。但是，如果黑客可以改变审核策略是入侵行为的一部分。如高价值电脑或域控制器上出现此事件应给予监视。621帐号同意系统访问某个用户同意对系统的访问。特别是进行交互访问时，一定要核对用户名和帐号的修改。622帐号取消对系统的访问这可能说明黑客抹去了事件621保存的证据，或者企图拒绝对某些帐号的服务。643域安全策略的改变这说明有人企图修改密码策略或其他域安全策略设置。核对主体用户名并与授权人取得联系。建立或中断信任关系信任关系使一个域的用户帐号可以访问另一个域的网络资源。在同一活动目录林中，所有域自动具有平等的双向信任关系。一般需要手动建立信任关系，例如： 信任包括Windows NT 4.0 在内的域 域间直接信任 Windows 2000 Server下不同目录林之间相互信任 Windows Server 2003目录林内部相互信任 信任关系的建立只有企业级管理员通过清晰定义、批准和建立的程序才可以建立。同样的，企业管理员只有在经过认真分析后才能取消信任。下表所列为识别信任关系产生的事件，属于策略改变审核目录： 表4.11 改变信任关系的事件事件ID事件说明610，611，620与其他域信任关系的建立、删除和修改此事件一般出现在生成信任域目标的域控制器上。这一事件应发出警报并立即调查。核对进行信任操作的主体用户名称。非法改变安全策略对批准安全配置的修改只能在框架内按照事先确定的步骤进行。在框架结构外的任何安全配置修改都应引起注意。以下安全配置的设定都不应在指定框架外进行修改 组策略设置 使用者帐号密码策略 使用者帐号所定策略 审核策略 针对安全事件日志的事件日志设置 IPSec策略 无线网络(IEEE 802.11) 策略 公用口令，特别是用于加密文件系统(EFS)的口令的策略 软件限制策略 安全设置策略 用户权限分配 使用者帐号密码策略 安全选项 此处所列为最小需求，大部分组织机构还要增加更多的组策略设置。对安全审核的配置要能够识别成功和不成功的修改设置的企图，而且所有成功的企图必须与具有授权的使用者帐号相关联。下表所列为识别策略修改产生的事件，属于策略修改审核目录。表4.12: 策略修改事件事件ID事件说明612改变审核策略识别任何审核策略的变化，并与授权人对系统策略的修改相关联613、614、615改变IPSec策略监视这些事件并调查系统启动之外的任何情况618加密数据恢复策略如果加密数据恢复策略正在使用，监视此事件并调查指定策略外的任何情况识别外来侵袭人、恶意程序或二者同时作用都可造成外来侵袭。外部侵袭往往从对一个拥有较低权限的帐号的侵犯开始。然后入侵者会尝试通过提高系统文本内的某种进程或服务的权限，然后上载、运行软件来进一步侵入网络。入侵者还会试图在服务器上安装rootkit程序,rootkit可以完全控制电脑并逃避标准诊断工具的查找。端口扫描也不能发现rootkit使用端口为开放状态。所以对付rootkit的最好方法就是不要让它进入电脑。木马程序与rootkit相比破坏性更高但是比较容易侦测。木马具有类似rootkit的远程控制功能可以像病毒一样破坏数据。主要的区别在于木马会伪装成有用的程序欺骗用户来运行它。大部分恶意程序不具有人为袭击的灵活性和互动性。但是，还应特别注意可能纵容病毒传播的机制，如电子邮件等。对电子邮件附件的过滤可以帮助减少这类袭击。外来侵袭包括以下情况： 危及信任状的企图 攻击弱点 安装rootkit 或木马程序 骗取用户执行恶意程序 访问未授权的计算机危及信任状的企图入侵者通过不同方式获得用户帐号的信任。最著名的方法是使用单一用户帐号实施目录袭击。在这种情况下，袭击者只知道一个用户帐号名称。另一种方法对同一目录服务数据库中的不同帐号使用同一密码。第二种情况下，入侵者可能访问了组织级目录服务。为了检测第二种袭击，即使总的登录次数没超过帐号锁死的上限，也需要监视一系列帐号的帐号锁死和多次登录失败的情况。 密码修改或重设是获得用户登录信息的另一方法。由于密码修改或重设操作成功或失败生成同样的事件，入侵者可以通过回避帐号锁死策略来避免被发现。安全监视解决方案必须识别不同的密码修改或重设企图，特别是那些发生在基础架构以外的密码修改或重设。密码循环不属于袭击，但是当用户启动脚本循环使用一套密码并允许用户返回以前使用的密码就会发生问题。密码数量的修改企图相当于密码的重新使用。当主帐号名称等于目标帐号名称时就会出现627系列的事件。实行最短密码寿命周期可以挫败修改密码的企图。下表所列为针对用户信任的袭击产生的事件，当然网络操作时或当合法用户忘记密码时也会出现这种情况。表4.13: 袭击信任状认证的事件事件ID事件说明529登录失败：未知用户名和密码核对目标帐号名称为管理员或者为重命名的默认管理员帐号。核对失败次数没有达到帐号锁死极限的登录。这一事件说明有未授权用户试图猜中本地管理员密码。 与事件529和539关联来识别持续帐号锁死的特征。534登录失败：未允许的登录类型用户试图登录但是登录类型未获许可。核对目标帐号名称、工作站名称和登录类型。539帐号锁死用户试图登录某个已经锁死的帐号。与事件529关联来识别持续帐号锁死的特征。553重复袭击的检出这一事件会在有人企图重新提交用户信任状进行登录时发生，应马上调查。或者说，这一事件说明网络配置有误。627修改密码的企图比较主帐号名称和目标帐号名称以确定是帐号所有者还是其他人企图修改密码。如果主帐号名称不是目标帐号名称，就说明有其他人，而不是帐号所有者企图修改密码628用户帐号密码设置或重设只有授权人员或进程可以执行这一任务。如发生，应马上调查。644使用者帐号自动锁死由于连续登录失败次数超过限制数量，帐号自动锁死。与事件529, 675, 676和681相关。另见本表的12294项。675预认证失败与事件529关联可发现登录失败的其他原因。包括时间同步或计算机用户为能正确登录域。12294帐号锁死企图这一事件说明可能有针对默认管理员帐号的强力袭击发生。由于这个帐号不能锁死，所以系统事件日志记录为SAM事件12294。此事件说明可能出现了未授权的操作系统，需要马上调查。可以核对未知域的域名字段。利用弱点进行攻击任何计算机都存在弱点，入侵者试图利用这些弱点来侵入组织机构的网络。最好的保护方法是通过微软系统管理服务器2003或者微软软件升级服务来进行有效的补丁管理程序。由于外围网络内的计算机更容易遭到袭击，因此对外围网络的安全监视特别重要。除非有一个现成的侦测正在进行的袭击的机制，否则可能直到入侵者占据网络，组织机构也不会有任何察觉。对外围网络的监视必须能够发现一系列的事件。典型的利用弱点的方式包括非法访问企图和特权身份的使用。下表所列为可以识别袭击的事件。注：见表4.13,中所列为可能识别出这类袭击的其他一些事件。表4.14：通过提高权限进行弱点攻击的事件事件ID事件说明528、538本地登录与注销在外围计算机上本地登录非常少见。与登录ID字段关联。如果出现未知的用户帐号名称、时间或工作站名称就要进行调查。576特权登录在Windows Server 2003 SP1或更新版本中，这一事件说明“管理员”登录。在更早版本中，这一事件如果包含有SeSecurityPrivilege或 SeDebugPrivilege.这样的权限才有意义。注：Windows Server 2003以前的版本会在特权使用目录中记录事件576；以后版本中登录目录也这样记录。因此对任一目录审核设定的配置都会引发这一事件。安装Rootkit或木马程序通过安全监视很难发觉rootkit的安装，但也并非完全不能发现。一个未知程序快速连续的启动和停止就说明可能有rootkit存在。一旦rootkit启动，操作系统就再也不能检测到它。因此这一程序可以存在并且不产生任何新的事件。木马程序相对更容易识别。按键记录器也在此目录中进行反映。下表所列为安装rootkit可能产生的事件。 表4.15：Rootkit或木马事件Events事件ID事件说明592创建新进程核对新进程的映像文件名称和用户名称。所有进程都应为合法程序。骗取用户执行恶意程序通过这种方法，入侵者试图饶过防火墙和外围网络给用户发送可执行的附件。电子邮件是最常见的传送方法。不过登录感染病毒的网站也能达到同样的效果。入