Аудит событий входа в систему (audit logon events)

Для отслеживания входа/выхода в систему/из системы (с локальной учетной записью) в первую очередь следует просматривать журналы безопасности на рабочих станциях и простых серверах и искать в них события с номерами 528 и 538.

Событие номер 528 имеет несколько очень важных дополнительных параметров (свойств, характеристик):

- поле Domain события ID 528 и события ID 540 идентифицирует домен (или рабочую группу), в котором расположена учетная запись пользователя. В этом поле указывается не DNS-имя домена, а его (домена) NetBIOS-имя (Мой компьютер --> Свойства --> Имя компьютера). Если пользователь регистрируется в системе с помощью локальной учетной записи в локальной базе SAM (диспетчер учетных записей), то в имени Domain события содержится NetBIOS-имя компьютера (на котором учетная запись). В домене редко встречаются процедуры регистрации с использованием локальной учетной записи; однако локальные учетные записи SAM часто используются для несанкционированного доступа - особенно учетная запись Administrator - поэтому следует внимательно следить за событиями ID 528 и ID 540, поле Domain которых совпадает с полем Computer (т.е. был выполнен вход в систему с локальной учетной записью).

- UserName и Domain определяют вошедшего в систему пользователя и позволяют определить, чья учетная запись была при этом задействована.

- Номер сеанса пользователя LogonID - это уникальный для системы код, присваиваемый любому активному сеансу работы пользователя с системой. Именно он будет записан в событии завершения сеанса. Это позволяет определить общее время работы (время сессии) пользователя при анализе событий 528 (или 540) (успешный вход) и 538 (выход) с одним и тем же номером сеанса (LogonID).

- информация о типе входа Logon Type, т.е. то, как пользователь вошел в систему (см. выше Таблицу с типами входа в систему).

NB: В NT 4.0 событие ID 528 применялось для регистрации события входа любого типа (и локального и сетевого), а начиная с Windows 2000 для сетевой регистрации используется событие с иным идентификатором. При подключении к диску на сервере, соединении с реестром сервера и выполнении других операций с использованием сетевой регистрации Windows заносит в журнал новое событие ID 540. Это позволяет отделить сетевую регистрацию от других типов регистрации.

Если требуется отследить все случаи регистрации (подключения) с консоли сервера, необходимо проверять записи события с ID 528 (Successful Logon) с Logon Type 2 и события Audit logon events, помеченные как неудачные (номера с 529 по 537) (также Logon Type 2). Чтобы отследить все случаи подключения к серверу по сети, нужно фильтровать события с ID 540 (Successful Network Logon), что означает успешную регистрацию по сети.

Windows регистрирует множество несущественных событий ID 540. Чтобы отличить их от действительно важных событий, необходимо обращать внимание на поле события User Name, в котором будет указана либо обычная пользовательская учетная запись, либо SYSTEM, либо имя компьютера, заканчивающееся символом доллара ($). Обычная пользовательская учетная запись свидетельствует, что пользователь зарегистрировался в системе через сеть; на эти события следует обратить внимание. Можно игнорировать события, если в поле User Name содержится запись SYSTEM, указывающая, что одна системная служба устанавливает соединение с другой службой на той же машине. Можно также не обращать внимания на события, если в поле User Name указано имя компьютера с символом $, то это значит, что системная служба на удаленной машине устанавливает связь с системными службами на данном компьютере. Например, рабочая станция Windows немедленно после запуска связывается с контроллером DC, чтобы получить информацию из AD и обратиться к другим доменным службам. Прежде чем рабочая станция получит доступ к ним, она должна быть аутентифицирована контроллером домена

С помощью полей Logon Process (процесс входа) и Authentication Package (пакет проверки подлинности) события ID 540 можно определить, через какой протокол аутентификации Windows было установлено соединение с машиной (поле Authentication Package). Когда пользователь подключается к машине Windows через сеть, операционная система выбирает один из двух возможных протоколов: NT LAN Manager (NTLM) или Kerberos. Важно идентифицировать компьютеры, которые не используют Kerberos: они более уязвимы, так как NTLM слабее Kerberos.

В Windows начиная с Windows 2000 предпочтение отдается более надежному Internet-стандарту Kerberos, но использовать его можно лишь для связи между двумя доверяющими друг другу системами Windows (то есть системами в одном лесу, системами в доменах, между которыми явно установлены односторонние доверительные отношения). Во всех остальных случаях (то есть когда один из компьютеров представляет собой машину Windows, не принадлежащую к домену, или если один из компьютеров - машина со старой Windows), Windows переходит к использованию более старого и уязвимого протокола NTLM, чьи пакеты относительно легко распознать и взломать. Можно воспользоваться модернизированным протоколом NTLM v2, обеспечивающим некоторую защиту от несанкционированного доступа, но ненадежные пакеты NTLM будут передаваться по сети до тех пор, пока на всех машинах не будет установлена Windows не ниже Win 2K.

В системе фиксируются все неудачные попытки входа в систему Logon Failure. При этом чаще всего записывается системное событие номер 529, соответствующее указанию неверного имени пользователя или пароля (Unknown user name or bad password).

События 530, 531, 532 и 533 могут означать неправильное использование пользовательской учетной записи. Они указывают на то, что комбинация имени и пароля была введена правильно, но из-за определенных ограничений вход в систему не состоялся.

Так, например:

- если пользователь пытается зарегистрироваться в тот момент, когда ему это запрещено, то Windows регистрирует событие 530;

- если учетная запись пользователя недоступна или заблокирована, то попытка входа отвергается, и записывается событие с номером соответственно 531 или 539;

- когда истекает срок действия учетной записи или заканчивается действие пароля пользователя, регистрируется событие 532 или 535, соответственно;.

- если пользователь, имеющий право регистрироваться лишь на определенных рабочих станциях, пытается обойти это ограничение, Windows регистрирует событие 533.

Назначая полномочия, можно ограничить доступ пользователей к конкретным машинам только определенными типами регистрации. Если пользователь не имеет права доступа к компьютеру по сети, но пытается подсоединиться к его диску или просмотреть системный реестр (удаленно), то регистрируется событие 534. Это же событие отмечается:

- если пользователь пытается зарегистрироваться на компьютере, не имея права регистрироваться локально. Если служба пытается воспользоваться учетной записью, не имеющей права Logon as service;

- если процессы пытаются зарегистрироваться как пакетные задания с использованием учетной записи, которая не имеет права Logon as batch job;

Если попытка регистрации кончается неудачей по другой причине, то регистрируется событие 537 со следующим объяснением: An unexpected error occured during logon («Неожиданная ошибка в процессе регистрации»). Благодаря информации в Logon Type, сопровождающей все неудачные события регистрации, можно отличить неудачные попытки входа с локальной консоли от попыток подключения через сеть.

Таким образом, все возможные попытки незаконного проникновения в систему отслеживаются среди событий с номерами от 529 до 537, а также 539 на всех потенциально доступных для нападения компьютерах.