Securizarea unui sistem de operare



Securizarea unui sistem de operare

Fisa de documentare 1 Securizare in sisteme Windows XP & Vista

Acest material vizeaza competenta/rezultat al invatarii: "Instaleaza si configureaza  sisteme de securitate a sistemelor de calcul si a retelelor de calculatoare" si "Utilizeaza instrumente, proceduri de diagnostic si tehnici de depanare pentru securizarea sistemelor de calcul si a retelelor de calculatoare"



Windows XP este succesorul sistemelor de operare Windows Me si Windows 2000 si este primul sistem de operare axat pe consumator produs de Microsoft pe modelul kernel-ului si a arhitecturii NT. Windows XP a fost lansat pe 25 octombrie 2001 si a fost vandut in 400 de milioane de exemplare in ianuarie 2006, conform unei estimari facute de un analist IDC.

Cele mai intalnite editii de Windows XP sunt Windows XP Home Edition, a carui public tinta sunt utilizatorii care lucreaza la domiciliu si Windows XP Professional, care are facilitati aditionale, ca suportul pentru domeniile Windows Server si suportul pentru doua procesoare fizice, si este facut pentru utilizatorii avansati si clientii de business. Windows XP Media Center Edition este imbunatatit cu facilitati multimedia ce permit utilizatorului sa inregistreze si sa vizioneze televiziunea digitala, sa vizioneze filme DVD si sa asculte muzica. Windows XP Tablet PC Edition este proiectat sa poata rula pe platformele PC-urilor tableta. Au fost lansate deasemenea Windows XP 64-bit Edition pentru procesoarele IA-64 (Itanium) si Windows XP Professional x64 Edition pentru x86-6

Windows XP este cunoscut pentru stabilitatea si eficienta sa, in contrast cu versiunile 9x de Microsoft Windows. Prezinta o interfata semnificant modificata, mai prietenoasa pentru utilizator decat in celelalte versiuni de Windows. Capacitatile de management noi al software-ului au fost introduse pentru a evita 'iadul DLL-urilor' care a marcat celelalte versiuni de Windows. Este prima versiune de Windows care necesita activare pentru a combate pirateria informatica, o facilitate care nu a fost primita cu placere de toti utilizatorii. Windows XP a fost criticat pentru vulnerabilitatile legate de securitate, pentru integrarea aplicatiilor ca Internet Explorer sau Windows Media Player si pentru aspecte legate de interfata implicita a spatiului de lucru.

 Windows XP Home Edition este proiectat pentru persoane individuale si include noi experiente pentru mediile digitale, retea si comunicatii. Include un numar de imbunatatiri fata de Windows 2000 Professional. Astfel:

  • software imbunatatit si compatibilitate hardware
  • securitate simplificata
  • log-are simplificata cu nou ecran "welcome"
  • schimbare de utilizator rapida
  • o noua interfata
  • suport imbunatatit pentru multimedia (filme, poze, muzica)
  • DirectX 8.1 pentru jocuri

Windows XP Professional este sistemul de operare destinat oamenilor de afaceri si firmelor de toate dimensiunile, precum si tuturor acelor utilizatori individuali care doresc sa exploateze la maximum posibilitatile de calcul oferite de PC. La Windows XP Professional se adauga accesul la distanta, securitate, performanta, usurinta in utilizare, posibilitatile de conectare.

Cea mai evidenta deosebire insa intre Windows XP Home Edition si Windows XP Professional este securitatea, care este simplificata pentru Windows XP Home Edition. Fiecare utilizator interactiv al Windows XP Home Edition este presupus a fi un membru al grupului local de proprietari (Owners Local Group), care este echivalentul Windows XP al lui Windows 2000 Administrator Account. Aceasta inseamna ca oricine se logeaza la un calculator cu Home Edition are deplinul control. Totusi facilitatile Backup Operatores, Power Users si Replicator Groups detinute de Windows 2000 sau de Windows XP Professional lipsesc la Windows XP Home Edition. In schimb Windows XP Home Edition beneficiaza de un nou grup numit: Restricted Users. Partile administrative ascunse nu sunt disponibile in Home Edition.

Pentru Windows XP deosebim cateva aspecte foarte importante in vederea asigurarii unui nivel de securitate minim:

discurile sa fie formatate in sistem NTFS - prin acest sistem oferindu-se posibilitati de administrare foarte importante;

activarea Windows Firewall (sau instalarea unui program de la terti);

realizarea de politici clare pentru parole si obligativitatea introduceri secventei CTRL+Alt+Delete pentru logare (anumite programe pot simula aceasta secventa pentru realizarea unei conexiuni ascunse);

Realizarea unor politici la fel de clare privind realizarea de backup-uri la intervale regulate si nu numai - pentru protejarea datelor in cazuri nedorite;

Activarea serviciului de Restore Point - procedura ce ofera posibilitatea salvarii unor stari de moment ale sistemului;

Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru site-urile din cadrul organizatiei sau care se afla in spatele firewall-ului utilizatorului, Zona Trusted Sites, pentru site-uri care nu se afla in spatele firewall-ului utilizatorului, dar pentru care utilizatorul are incredere totala, Zona Restricted Sites, pentru site-uri cunoscute de utilizator ca fiind malitioase, Zona Internet Zone, pentru restul de site-uri, Zona My Computer, care insa de obicei nu e configurabila, deoarece controalele ActiveX pe care chiar sistemul de operare le instaleaza ruleaza pe setarile de securitate din aceasta zona)

Nu in ultimul rand este necesara acordarea de atentie marita datelor critice cu caracter personal (conturi, parole, documente private) folosindu-se de criptari EFS.

Windows Xp nu vine instalat cu un program antivirus si de aceea este necesar sa se instaleze si o astfel de aplicatie (de preferat o solutie Internet Suite - care contine si alte aplicatii gen anti-spyware, firewall, back-up, etc.).

Windows Vista este cea mai recenta versiune a sistemului de operare Microsoft Windows, proiectata de corporatia Microsoft. Inainte de anuntul sub acest nume din 22 iulie 2005, Windows Vista a fost cunoscut sub numele de cod Longhorn, dupa Salonul Longhorn, un bar cunoscut din orasul Whistler din provincia canadiana Columbia Britanica. Windows Vista a fost lansat in noiembrie 2006 pentru firme si parteneri de afaceri iar in ianuarie 2007 a fost lansat pentru utilizatorii obisnuiti. Aceasta lansare vine dupa mai mult de cinci ani de la aparitia pe piata a sistemului de operare Windows XP, fiind cea mai mare distanta intre doua lansari succesive .

Windows Vista are sute de facilitati noi, cum ar fi o interfata grafica moderna si un stil vizual nou, Windows Aero, tehnologia de cautare imbunatatita, noi unelte multimedia, precum si sub-sistemele complet remodelate de retea, audio, imprimare si afisare (display). Vista va imbunatati comunicarea dintre masini pe o retea casnica folosind tehnologia peer-to-peer, si va facilita folosirea in comun a fisierelor, parolelor, si mediilor digitale intre diverse computere si dispozitive. Pentru proiectantii de software, Vista pune de asemenea la dispozitie versiunea 3.0 a sistemului de proiectare numit .NET Framework.

De o securitate imbunatatita putem beneficia folosind si ultima versiune a aplicatiei 'Windows Firewall' inclusa in sistemul de operare Windows Vista. Dar securitate inseamna mult mai mult decat updatarea sistemului de operare, o aplicatie antispyware/antivirus sau o aplicatie firewall. Un sistem de operare trebuie sa ofere incredere utilizatorilor si sa protejeze datele (mai mult sau mai putin confidentiale) stocate pe aceste sisteme. In acest domeniu al securitatii (protectia datelor, identitate si control acces) intra si tehnologiile 'User Account Control' sau 'Internet Explorer 7 - Protected Mode'.

'User Account Control' - tehnologie care nu exista in Windows XP, aparand prima data in Windows Vista si in Windows Server 2008 - reduce posibilitatea ca o aplicatie cu privilegii minime (low) sa dobandeasca in mod automat si necontrolat privilegii sporite si sa aiba acces la fisierele utilizatorului fara consimtamantul acestuia.

Aceasta posibilitate exista in Windows 2000/XP unde un utilizator (cu drepturi de administrator) putea fi indus in eroare mai usor sa execute un anumit cod (aplicatie ostila acelui sistem) si care putea duce la compromiterea acestuia.

In Windows Vista orice aplicatie care solicita acces la zone sensibile ale sistemului de operare (fisiere de sistem, registry-ul de sistem) va primi acces sa ruleze numai dupa consimtamantul explicit al utilizatorului.

Windows Vista introduce conceptul de eticheta (label) si 4 nivele de integritate: low, medium , high si system. In mod uzual toti utilizatorii sistemului de operare Windows Vista (inclusiv administratorul) ruleaza la un nivel de integritate 'Medium'.

In momentul cand un utilizator (administrator) trebuie sa-si eleveze (sporeasca) privilegiile pentru a rula o aplicatie ce acceseaza zone sensibile ale sistemului de operare (sistem de fisiere, registry) nivelul sau de integritate devine 'High'.

 Internet Explorer ruleaza in mod normal la un nivel 'Low' de integritate. Orice aplicatie care se descarca din Internet va dobandi un nivel de integritate 'Low' (egal cu al procesului Internet Explorer) si nu va putea sa se execute si sa-si eleveze privilegiile compromitand sistemul respectiv. Acesta este modul protejat (Protected mode) in care ruleaza IE7 pe Windows Vista. Modul protejat oferit de IE7 este o facilitate prezenta numai pe sistemul de operare Windows Vista.

Atentie! 'User Account Control si Internet Explorer Protected Mode' se pot dezactiva, dar nu este recomandat. In plus, pentru site-urile web din zona Trusted Sites din Internet Explorer 7 - modul protejat (Protected mode) este dezactivat.

Un utilizator poate accesa si modifica un obiect in Windows Vista numai daca nivelul sau de integritate este mai mare decat cel al obiectului.

In acest scop in Windows Vista sunt definite 3 politici obligatorii de acces:

  • No WRITE UP - o entitate nu poate modifica un obiect daca poseda un nivel de integritate mai mic decat al obiectului respective
  • No READ UP - o entitate nu poate citi un obiect daca poseda un nivel de integritate mai mic decat al obiectului respective
  • No EXECUTE UP - o entitate nu poate executa un obiect daca poseda un nivel de integritate mai mic decat al obiectului respectiv

Principii de securitate

Putem privi aceste tehnologii si prin prisma altui principiu de securitate - 'principle of least privilege' sau 'principle of minimal privilege' - 'principiul privilegiului minim' in care utilizatorul trebuie sa aibe privilegii minime pentru accesarea unui sistem informatic conform fisei postului si sarcinilor pe care trebuie sa le indeplineasca.

In acest fel, in Windows Vista toti utilizatorii au acelasi nivel de integritate (incredere) pe un sistem iar privilegiile administrative se folosesc doar in cazul in care este necesar.

Aceste tehnologii de securitate sunt o implementare a modelelor de securitate dezvoltate inca din anii '70 - modelul de integritate a datelor Biba si modelul de confidentialitate a datelor Bell - LaPadula.

Mai multe informatii se gasesc la adresa https://msdn2.microsoft.com/en-us/library/bb62596aspx si https://msdn2.microsoft.com/en-us/library/bb625959.aspx


Activitatea de invatare 1 Securitatea in Windows XP si Vista

Obiectivul/obiective vizate:

La sfarsitul activitatii vei fi capabil sa prezinti diferentele de securitate intre Windows Xp Home Edition, Windows XP Professional si Windows Vista.

Durata: 50 min

Tipul activitatii: Metoda grupurilor de experti

Sugestii : activitatea se poate efectua pe grupe

Sarcina de lucru: 

Fiecare grupa va trebui sa trateze una din urmatoarele teme de studiu: elemente de securitate in Windows XP Home si Professional si Windows Vista. Aveti la dispozitie 30 minute, dupa care se vor reorganiza grupele astfel incat in grupele nou formate sa existe cel putin o persoana din fiecare grupa initiala. In urmatoarele 20 de minute in noile grupe formate se vor impartasi cunostintele acumulate la pasul I.

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 1 precum si sursele de pe Internet.

Fisa de documentare 2 Securizarea sistemelor de operare de tip server

Acest material vizeaza competenta/rezultat al invatarii: "Instaleaza si configureaza  sisteme de securitate a sistemelor de calcul si a retelelor de calculatoare" si "Utilizeaza instrumente, proceduri de diagnostic si tehnici de depanare pentru securizarea sistemelor de calcul si a retelelor de calculatoare"

Windows Server 2003 este construit pe structura sistemului Windows 2000 si include toate facilitatile pe care un client le asteapta de la un sistem de operare Windows Server: siguranta, securitate si scalabilitate. Familia cuprinde patru produse:

Windows Web Server 2003 reprezinta o buna platforma pentru dezvoltarea rapida a aplicatiilor si desfasurarea serviciilor pe Web. Este usor de administrat si se poate gestiona, de la o statie de lucru aflata la distanta, cu o interfata de tip browser.

Windows Standard Server 2003 este un sistem de operare in retea care ofera solutii pentru firmele de toate marimile. Accepta partajarea fisierelor si imprimantelor, ofera conectivitate sigura la Internet, permite desfasurarea centralizata a aplicatiilor din spatiul de lucru, ofera colaborare intre angajati, parteneri si clienti, accepta multiprocesarea simetrica cu doua cai si pana la 4 GO de memorie.

Windows Enterprise Server 2003 este destinat firmelor medii si mari. Este un sistem de operare cu functionare completa care accepta pana la 8 procesoare de tip Intel Itanium.

Windows Data Center Server 2003 este o platforma pentru firmele cu un volum mare de tranzactii si cu baze de date scalabile. Este cel mai puternic si mai functional sistem de operare pentru servere oferit de Microsoft.

In general, sistemele Windows se compun din trei clase de programe: programele sistemului de baza; programele API (Application Programming Interface) si programele "masini virtuale".

Programele sistemului de baza asigura controlul fisierelor, servicii de comunicare si control in retea, controlul masinii virtuale, controlul memoriei, controlul implementarii standardului de interconectare "plag&play".

Sistemul API cuprinde trei componente: nucleul Windows - Kernel, interfata grafica cu echipamentele periferice GDI (Graphic Devices Interface) si componenta USER. Aceste componente sunt biblioteci de programe adresate programatorului de aplicatii si mai putin utilizatorului obisnuit.

Sistemul "masini virtuale" asigura interfata cu utilizatorul si aplicatiile sale, modulele din aceasta clasa fiind apelate de sistemul API. Aceasta componenta asigura incarcarea si folosirea corecta a spatiului de adresare. Din aceasta clasa face parte si programul Explorer.

Atunci cand se ia in calcul politica de securitate pentru platformele Windows Server 2003 si 2008 trebuie evaluate obligatoriu urmatoarele:

Domain Level Acount Polices - reguli ce se pot seta la nivel de Group Policies, setari care sunt aplicate la intreg domeniul: politici cu privire la parole, blocarea conturilor, autentificarea folosind protocolul Kerberos - tot ceea ce uzual se intelege prin "acount polices" - politici de cont;

Audit Policy - posibilitatile de utilizare a politicilor de audit pentru a monitoriza si forta setarile de securitate instalate. Este obligatoriu sa se explice diferitele setari, folosindu-se de exemple, pentru a se intelege ce informatii se modifica cand acele setari sunt modificate;

User Rights - trateaza diferitele posibilitati de logon - drepturi si privilegii ce sunt puse la dispozitie de sistemul de operare si oferirea de indrumare privind care conturi ar trebui sa primeasca drepturi distincte - si natura acestor drepturi;

Security Options - tratarea setarilor de securitate cu privire la date criptate cu  semnaturi digitale(digital data signature), statutul conturilor "Administrator" si "Guest", accesul la unitatile de discheta si CD-ROM(sau echivalent), instalarea driver-elor si posibilitatile de logare(logon prompts);

Event Log - configurarea setarilor pentru diferitele jurnale care exista sum Windows Server 2003(respectiv 2008);

System services - utilizarea serviciilor care sunt absolut necesare si documentarea lor - dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe cat posibil a acestor servicii - pentru eliminarea setarilor "by default";

Software restriction polices - descrierea pe scurt a software-ului instalat si mecanismele folosite pentru restrictia rularii acestora;

Additional System Countermeasures - descrierea unor masuri suplimentare de securitate care sunt necesare, setari care rezulta din discutia privind rolul acelui server, posibilitatile de implementare, disponibilitatea utilizatorilor si existenta personalului calificat - setari cum ar fi:setari care nu pot fi introduse iintr-o maniera compacta in cadrul Group Policies, setari la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setari Terminal Services, setari IPsec, Dr. Watson, nu in ultimul rand setarile cu privire la Windows Firewall.

Additional Registry Entries - documentarea modificarilor necesare la nivel de registri;

Este de retinut faptul ca in Windows 2008 s-a pus un accent mai mare pe securitate , ca un exemplu daca in Windows 2003 server cu SP1 erau in jur de 1700 de setari in Group Polices in Windows 2008 Server a crescut la aproximativ 2400.

Activitatea de invatare 2 Securitatea in Windows Server 2003 si 2008

Obiectivul/obiective vizate:

La sfarsitul activitatii vei fi capabil sa identifici diferentele de securitate intre Windows Server 2003 si 2008.

Durata: 50 min

Tipul activitatii: Potrivire

Sugestii : activitatea se poate efectua individual sau pe grupe

Sarcina de lucru: 

Fiecare elev(a) sau grupa va trebui sa completeze in tabelul urmator, in coloana "Denumire" cu elementele corespondente din lista: Security Options, Domain Level Acount Polices, Event Log, Audit Policy, User Rights, System services, Software restriction polices, Additional Registry Entries, Additional System Countermeasures.


Denumire

Descriere


Un set de reguli ce se pot seta la nivel de Group Policies, setari care sunt aplicate la intreg domeniul: politici cu privire la parole, blocarea conturilor, autentificarea folosind protocolul Kerberos, etc.


Reprezinta posibilitatile de utilizare a politicilor de auditare pentru a monitoriza si forta setarile de securitate instalate.


Trateaza diferitele posibilitati de logare precum si drepturi si privilegii ce sunt puse la dispozitie de sistemul de operare si oferirea de indrumare privind conturi care ar trebui sa primeasca drepturi distincte (evidentierea acestor drepturi)


Tratarea setarilor de securitate cu privire la date criptate cu  semnaturi digitale (digital data signature), statutul conturilor "Administrator" si "Guest", accesul la unitatile de discheta si CD-ROM (sau echivalent), instalarea driver-elor si posibilitatile de logare (logon prompts);


Utilizarea serviciilor care sunt absolut necesare si documentarea lor - dezactivarea serviciilor care nu sunt folosite sau necesare.


Configurarea setarilor pentru diferitele jurnale care exista sum Windows Server 2003 (respectiv 2008);


Descrierea unor masuri suplimentare de securitate care sunt necesare, setari care rezulta din discutia privind rolul acelui server, posibilitatile de implementare, disponibilitatea utilizatorilor si existenta personalului calificat.


Descrierea pe scurt a software-ului instalat si mecanismele folosite pentru restrictia rularii acestora


Documentarea modificarilor necesare la nivel de registri;

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 2 precum si sursele de pe Internet.

Tema 5: Configurarea serviciilor de audit si jurnalizare la sistemele de operare

Fisa de documentare 5 Configurarea serviciilor de jurnalizare si audit

Acest material vizeaza competenta/rezultat al invatarii: "Instaleaza si configureaza  sisteme de securitate a sistemelor de calcul si a retelelor de calculatoare" si "Utilizeaza instrumente, proceduri de diagnostic si tehnici de depanare pentru securizarea sistemelor de calcul si a retelelor de calculatoare"

Auditul sistemelor informatice se defineste ca examinarea unui sistem informatic si comparare lui cu prevederile unui standard agreat.

Auditul sistemelor informatice reprezinta activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale intreprinderii si utilizeaza eficient resursele informationale. In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificarile, evaluarile si testarile mijloacelor informationale.

Principalele tipuri de audit informatic sunt:

- auditul sistemului operational de calcul presupune revizia controalelor sistemelor operationale de calcul si a retelelor, la diferite niveluri; de exemplu, retea, sistem de operare, software de aplicatie, baze de date, controale logice/procedurale, controale  preventive /detective /corective etc;

- auditul instalatiilor IT include aspecte cum sunt securitatea fizica, controalele mediului de lucru, sistemele de management si echipamentele IT;

- auditul sistemelor aflate in dezvoltare acopera unul sau ambele aspecte: (1) controalele managementului proiectului si (2) specificatiile, dezvoltarea, testarea, implementarea si operarea controalelor tehnice si procedurale, incluzand controalele securitatii tehnice si controalele referitoare la procesul afacerii;

- auditul managementului IT include: revizia organizatiei, structurii, strategiei, planificarii muncii, planificarii resurselor, stabilirii bugetului, controlul costurilor etc.; in unele cazuri, aceste aspecte pot fi auditate de catre auditorii financiari si operationali, lasand auditorilor informaticieni mai mult aspectele tehnologice;

- auditul procesului IT - revederea proceselor care au loc in cadrul IT cum sunt dezvoltarea aplicatiei, testarea, implementarea, operatiile, mentenanta, gestionarea incidentelor;
- auditul managementului schimbarilor prevede revizia planificarii si controlului schimbarilor la sisteme, retele, aplicatii, procese, facilitati etc., incluzand managementul configuratiei, controlul codului de la dezvoltare, prin testare, la productie si managementul schimbarilor produse in organizatie;

- auditul controlului si securitatii informatiilor implica revizia controalelor referitoare la confidentialitatea, integritatea si disponibilitatea sistemelor si datelor;

- auditul conformitatii cu legalitatea se refera la copyright, conformitate cu legislatia, protectia datelor personale;

Pentru realizarea un set de politici si proceduri pentru managementul tuturor proceselor IT intr-o organizatie s-a definit un set indrumator sub numele de CoBIT. Acest model (in varianta 1) ilustrativ se poate modela ca o impartire a IT-ului in 4 domenii si 34 de procese in line cu responsabilitatea ariilor de acoperire, construire si monitorizare oferind o solutie de la cap la coada pentru intreg conceptul IT. Rezumat la conceptul de arhitectura la nivel de intreprindere, ajuta foarte mult sa se identifice resursele esentiale pentru succesul proceselor, de ex. - aplicatii, informatii, infrastructura si oameni.

Un alt sistem de auditare este oferit spre certificare folosindu-se standardul ISO/IEC 17799:2000 - set de politici care odata implementat este sinonim cu atingerea unui nivel ridicat de securitate IT(acest standard este agreat si de Comisia Europeana).

Desi acest standard confera bancilor care doresc sa implementeze un system de internet banking, autorizatia de functionare - autorizatie care se va face in fiecare an, de catre o companie independenta cu competente solide in activitati de securitate informatica, el poate fi folosit ca si ghid pentru celelalte domenii.

In mod uzual in tara noastra se folosesc 3 categorii de auditare:

Auditul specializat - 1 - care asigura conformitatile cu prevederile Ordinului MCTI nr. 16/201.2003 este adresat furnizorilor de servicii care doresc eliminarea birocratiei prin listarea unui singur exemplar de factura fiscala. Este auditat planul de securitate al sistemului informatic, iar analiza este efectuata anual de catre o echipa independenta, specializata, care are in componenta si membri certificati CISA.

Auditul specializat 2 - se refera la auditarea planului de securitate in vederea aplicarii prevederilor Ordinului Min. Finantelor nr. 1077/06.08.2003 si presupune scanarea de vulnerabilitati - adica este testata vulnerabilitatea unui sistem informatic la atacuri din afara sau din interiorul retelei. Este analizat modul in care sunt configurate echipamentele de retea, sistemele de operare de pe statii si servere si se compara cu recomandarile de securitate ale producatorului. Acest tip de audit de securitate este executat de catre un specialist certificat si experimentat pe produsul auditat.

Auditul specializat 3 - se refera la securitatea infrastructurii IT. Aceasta forma de audit de securitate presupune know-how, experienta, specialisti si certificari.

Relativ la sistemele de operare si jurnalizarea informatiilor din sistem, se deosebesc trei tipuri de jurnale: jurnalul de aplicatii, jurnalul de securitate si jurnalul de sistem.

Tipuri de jurnal de evenimente

Jurnalul de aplicatii (Application log). Jurnalul de aplicatii contine evenimentele inregistrate de programe. De exemplu, un program de baze de date poate inregistra o eroare de fisier in jurnalul de aplicatii. Evenimentele ce se scriu in jurnalul de aplicatii sunt determinate de dezvoltatorii programului software.

Jurnalul de securitate (Security log). Jurnalul de securitate inregistreaza evenimente precum incercarile valide si invalide de Log on, precum si evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau stergerea de fisiere. De exemplu, cand este activata auditarea la Log on, este inregistrat un eveniment in jurnalul de securitate de fiecare data cand un utilizator face Log on pe computer. Trebuie sa faceti Log on ca administrator sau ca membru al grupului de administratori pentru a activa, utiliza si specifica evenimentele de inregistrat in jurnalul de securitate.

Jurnalul de sistem (System log). Jurnalul de sistem contine evenimente inregistrate de componentele de sistem. De exemplu, daca un driver nu reuseste sa se incarce in timpul pornirii, va fi inregistrat un eveniment in jurnalul de sistem. Sistemele bazate pe platforma Windows determina anticipat evenimentele inregistrate de componentele de sistem.

Modul de interpretare a unui eveniment

Fiecare intrare din jurnal este clasificata prin tipul sau si contine informatii de antet si o descriere a evenimentului.

Antetul evenimentului

Antetul evenimentului contine urmatoarele informatii despre eveniment:

Date: Data la care s-a produs evenimentul.

Time: Ora la care s-a produs evenimentul.

User: Numele de utilizator al utilizatorului care era conectat cand s-a produs evenimentul.

Computer: Numele computerului pe care s-a produs evenimentul.

Event ID: Un numar care identifica tipul evenimentului. ID-ul evenimentului poate fi utilizat de reprezentantii serviciului de asistenta pentru produs pentru a intelege ce anume s-a intamplat in sistem.

Source: Sursa evenimentului. Aceasta poate fi numele unui program, o componenta de sistem sau o componenta individuala a unui program mare.

Type: Tipul evenimentului. Exista cinci tipuri de evenimente: Error, Warning, Information, Success Audit sau Failure Audit.

Category: O clasificare a evenimentului in functie de sursa evenimentului. Aceasta este utilizata in principal in jurnalul de securitate.

Tipuri de evenimente. Descrierea fiecarui eveniment inregistrat depinde de tipul evenimentului. Fiecare eveniment dintr-un jurnal poate fi clasificat intr-unul din urmatoarele tipuri:

Information: Un eveniment care descrie desfasurarea cu succes a unei activitati, cum ar fi o aplicatie, un driver sau un serviciu. De exemplu, un eveniment de informare este inregistrat cand se incarca cu succes un driver de retea.

Warning: Un eveniment care nu este neaparat important poate totusi sa indice aparitia unei probleme in viitor. De exemplu, un mesaj de avertizare este inregistrat cand spatiul liber pe disc incepe sa fie scazut.

Error: Un eveniment care descrie o problema importanta, precum eroarea unei activitati critice. Evenimentele de eroare pot implica pierderi de date sau de functionalitate. De exemplu, un eveniment de tip eroare este inregistrat daca un serviciu nu reuseste sa se incarce in timpul pornirii.

Success Audit (in jurnalul de securitate): Un eveniment care descrie completarea cu succes a unui eveniment de securitate auditat. De exemplu, un eveniment de tip auditare reusita este inregistrat cand un utilizator face Log on pe computer.

Failure Audit (in jurnalul de securitate): Un eveniment care descrie un eveniment de securitate auditat care nu s-a terminat cu succes. De exemplu, un eveniment de tip auditare nereusita se inregistreaza cand un utilizator nu poate accesa o unitate de retea.

Gestionarea continutului jurnalului

In mod implicit, dimensiunea initiala maxima a jurnalului este setata la 512 KO si cand se ajunge la aceasta dimensiune evenimentele noi se suprascriu peste cele vechi. In functie de nevoile dvs., aveti posibilitatea sa modificati aceste setari sau sa goliti un jurnal de continutul sau.

Daca doriti salvarea datelor jurnalului, aveti posibilitatea sa arhivati jurnalele de evenimente in oricare dintre urmatoarele formate:

Format fisier jurnal (.evt)

Format fisier text (.txt)

Format fisier text cu delimitator virgula (.csv)

Pentru o mai buna gestionare a acestor fisiere - raportari diferite, cautari incrucisate, etc. se pot folosi diferite programe care "traduc" aceste fisiere in forme vizuale cu detalierea informatiilor prezentate. Solutiile profesionale - de obicei folosite pe servere sunt asa numitele Log Processing System (LPS) care ofera suport pentru procesarea in timp real a logurilor generate de diverse servere din reteaua dumneavoastra si raportarea imediata a evenimentelor detectate.

Permite cunoasterea imediata si permanenta a starii retelei, in detaliu. Procesarea logurilor functioneaza pe baza de plug-in-uri configurabile in functie de necesitatile de monitorizare a clientului

Permite analiza oricarui fisier de log, a oricarei aplicatii, pentru monitorizarea activitatii afacerii si din alte puncte de vedere decat securitatea tehnologica a informatiei

Faciliteaza separarea alarmelor false de cele reale, reducand cantitatea de munca a personalului tehnic

Accelereaza procesele de reactie in caz de atac, prin indicarea clara a zonelor si statiilor vulnerabile

Plugin-uri LPS diponibile:

WSPT - Windows Station Process Tracking - raporteaza data si durata executiei aplicatiilor instalate;

WSSA - Windows Server Share Access - raporteaza accesul pe un director partajat identificand serverul, utilizatorul, domeniul si activitatile intreprinse - scriere, citire, modificare;

GWEL - Generic Windows Event Log - asigura procesarea generica de log-uri Windows privind aplicatiile rulate si evenimentele de securitate;

ASLP - Axigen Server Log Processor - asigura procesarea informatiilor privind schimburile de corespondenta;

WPLA - Web Proxy Log Analyzer - ofera informatii privind adresele web accesate de utilizatori, durata si traficul efectuat;

SPMM - Server Performance Monitoring Module - asigura procesarea datelor specifice functionarii serverelor - nivelul de solicitare al procesorului, memoria utilizata, spatiul disponibil pe HDD;

Activitatea de invatare 5 Tipuri de loguri

Obiectivul/obiective vizate:

La sfarsitul activitatii vei capabil sa identifici un anumit jurnal dintr-o categorie.

Durata: 50 min

Tipul activitatii: Potrivire

Sugestii : activitatea se poate efectua individual

Sarcina de lucru: 

Fiecare elev(a) va trebui sa completeze spatiile punctate cu elementele precizate mai jos.

Exista trei mari categorii de jurnale: de ..., de ... si de .... Jurnalul de ... contine evenimentele inregistrate de programe. De exemplu, un program poate inregistra o eroare de fisier in acest jurnal. Evenimentele ce se scriu in jurnalul de ... sunt determinate de producatorii programului software. Jurnalul de ... inregistreaza evenimente precum incercarile valide si invalide de Log on, precum si evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau stergerea de fisiere. De exemplu, cand este activata auditarea la Log on, este inregistrat un eveniment in jurnalul de ... de fiecare data cand un utilizator face Log on pe computer. Trebuie sa fiti conectat ca administrator sau ca membru al grupului de administratori pentru a activa, utiliza si specifica evenimentele de inregistrat in jurnalul de .... Jurnalul de ... contine evenimente inregistrate de componentele de sistem. De exemplu, daca un driver nu reuseste sa se incarce in timpul pornirii, va fi inregistrat un eveniment in jurnalul de .... Sistemele bazate pe platforma Windows determina anticipat evenimentele inregistrate de componentele de sistem.

Se vor completa spatiile punctate cu unul dintre cuvintele: sistem, aplicatii sau securitate.

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 5.1 precum si sursele de pe Internet.