Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Анализ попыток регистрации
|
|
Мониторинг попыток регистрации в системе — это отличная возможность предупредить атаки на систему и обнаружить иную подозрительную активность.
Windows 2000 предоставляет в распоряжение администратора две категории политики аудита, связанных в регистрацией (входом):
а) аудит событий регистрации (аудит входа в систему по-старому);
б) аудит событий регистрации с учетной записью (аудит событий входа по-старому).
Категория аудит событий регистрации проверяет события регистрации на локальной системе (с локальной учетной записью) (в интерактивном режиме или через сеть), на которой, собственно, и предпринимается попытка регистрации, тогда как аудит событий регистрации с учетной записью – генерирует событие, когда происходит аутентификация с учетной записью, хранящейся на другом компьютере (обычно на контроллере домена), где и выполняется запись о данном событии регистрации.
Когда выполняется регистрация на рабочей станции с доменной учетной записью, этот человек (процесс) не только регистрируется на рабочей станции, но и участвует в процедуре аутентификации с использованием учетной записи, хранящейся на DC. Следовательно, аудит событий регистрации (Audit logon events) будет генерировать события в журнале Security рабочей станции (на которую входят), а аудит событий регистрации с учетной записью (Audit account logon events) – в журнале Security контроллера домена. В течение нескольких секунд, пока выполняется регистрация на рабочей станции, аудит событий регистрации (Audit logon events) будет генерировать события и на DC, поскольку сама рабочая станция будет выполнять процедуру регистрации от имени пользователя на DC, например, для применения Group Policy уровня пользователя.
Кроме ого, при регистрации на рабочей станции с доменной учетной записью аудит событий регистрации (Audit logon events) (с доменной учеткой) также будет генерировать события на серверах, являющихся членами домена, поскольку для рабочей станции в процессе регистрации может потребоваться выполнение различных сценариев регистрации и подключение к общим сетевым ресурсам серверов – членов домена. Аналогично аудит событий регистрации (Audit logon events) будет генерировать события на сервере, когда кто-то подключится непосредственно к консоли сервера (если сервер имеет стоечное исполнение) или обратится к нему по сети при помощи доменной учетной записи или локальной учетной записи (на сервере).
Проверяя события, сгенерированные политикой Audit logon events на контроллерах домена, нужно помнить, что они отражают локальные попытки регистрации на DC, а также регистрацию по сети. Компьютеры — члены домена — регулярно обращаются к контроллерам домена за обновлением Group Policy, причем инициатором запроса может быть как компьютер, так и только регистрирующийся пользователь. События, записанные Audit account logon events на станциях DC домена, отображают каждую попытку зарегистрироваться с использованием доменной учетной записи с любого сетевого компьютера, в том числе процедур регистрации с рабочих станций, подключения к серверам — членам домена, а также запросы на регистрацию и подключение собственно к DC.