Журнал регистрации ОС Windows NT
Операционная система Windows NT имеет возможность запоминать различные события, происходящие в ней. Как написано в документации, событием считается любая ситуация в системе или в приложении, о которой пользователь должен получить уведомление. Существуют три журнала регистрации (EventLog), которые могут анализироваться специалистом по безопасности.
· Журнал системных событий (System EventLog), в котором фиксируются события, регистрируемые системными компонентами Windows NT, например, драйверами
или Менеджером управления службами (Service Control Manager).
· Журнал приложений (Application EventLog), в котором хранятся сведения событиях, фиксируемые прикладным программным обеспечением. Любая программа, разработанная третьей фирмой, может заносить свои события в данный журнал.
· Журнал безопасности (Security EventLog), содержащий события, регистрируемые системой безопасности Windows NT.
Формат журналов, которые хранятся в каталоге %SystemRoot%\system32\config, един для всех трех и содержит 7 полей (рис. 4.4).
· Дата (Data). В данное поле помещается дата регистрации события.
· Время (Time). Поле хранит время регистрации события.
· Источник (Source). В этом поле содержится ссылка на программное обеспечение, которое регистрирует событие, заносимое в журнал регистрации. Например, "DrWatson", "EventLog" или "Security".
Рис. 4.4. Журнал Windows NT EventLog
· Категория (Category). В данное поле помещается название категории событий, зависящей от типа журнала регистрации. К таким категориям относятся: "Вход\Выход", "Изменение политики", "Системное событие", "Доступ к объекту", "Подробное слежение", "Использование прав" и т. д.
· Код (Code). Номер, определяющий конкретное событие. Например, 560 или 528.
· Пользователь (User). Указывает на субъекта системы, с которым связано учитываемое событие. Например, SYSTEM, Administrator или Luka.
· Компьютер (Computer). Идентифицирует имя компьютера, на котором зарегистрировано событие. Например, WS_LUKA.
Чтобы не быть голословным, приведу некоторые типы событий, фиксируемых в журнале регистрации ОС Windows NT 4.0 (табл. 4.1) [Microsoft1-00]. С соответствующим полным списком можно ознакомиться на Web-сервере компании Microsoft.
Таблица 4.1. Типы событий, регистрируемых ОС Windows NT
| Код события | Описание |
| Запуск Windows NT | |
| Останов Windows NT | |
| Успешная регистрация пользователя в системе | |
| Неудачная попытка входа в систему | |
| Попытка входа в систему в запрещенное время | |
| Учетная запись пользователя недоступна | |
| Учетная запись пользователя просрочена | |
| Попытка входа в систему с запрещенного компьютера | |
| Отказ в аутентификации — попытка доступа к запрещенному ресурсу по сети; попытка входа с консоли; попытка запуска сервиса, при отсутствии на то прав | |
| Пароль пользователя устарел | |
| Компонент NetLogon недоступен | |
| Отказ в аутентификации по неизвестной причине | |
| Завершение сеанса, начало которого зафиксировано событием 528 | |
| Учетная запись пользователя заблокирована | |
| Открытие объекта | |
| Закрытие объекта, номер которого зафиксирован событием 560 |
Таблица 4.1 (окончание)
| Код события | Описание |
| Удаление объекта | |
| Вызван привилегированный сервис | |
| Действия с привилегированным объектом | |
| Создание нового процесса | |
| Завершение процесса, номер которого зафиксирован событием 592 | |
| Наделение пользователя какими-либо полномочиями | |
| Аннулирование полномочий пользователя | |
| Создание нового доверенного домена | |
| Удаление доверенного домена | |
| Изменение политики аудита | |
| Создание новой учетной записи | |
| Восстановление полномочий учетной записи | |
| Изменение пароля | |
| Изменение пароля администратором | |
| Блокировка учетной записи | |
| Удаление учетной записи | |
| Создание глобальной группы пользователей | |
| Добавление новой учетной записи в глобальную группу пользователей | |
| Удаление учетной записи из глобальной группы пользователей | |
| Удаление глобальной группы пользователей | |
| Создание локальной группы пользователей | |
| Добавление новой учетной записи в локальную группу пользователей | |
| Удаление учетной записи из локальной группы пользователей | |
| Удаление локальной группы пользователей | |
| Изменение свойств локальной группы пользователей | |
| Изменение свойств глобальной группы пользователей | |
| Изменение учетной записи |
Из этих событий наибольший интерес вызывают те, которые могут указывать на присутствие несанкционированной деятельности (табл. 4.2) [Microsoft2-00].
Таблица 4.2. Типы подозрительных событий регистрируемых ОС Windows NT
| Код события | Описание |
| Журнал регистрации был очищен | |
| Неудачная попытка входа в систему | |
| Попытка входа в систему в запрещенное время | |
| Учетная запись пользователя недоступна | |
| Учетная запись пользователя просрочена | |
| Попытка входа в систему с запрещенного компьютера | |
| Отказ в аутентификации — попытка доступа к запрещенному ресурсу по сети; попытка входа с консоли; попытка запуска сервиса, при отсутствии на то прав | |
| Пароль пользователя устарел | |
| Отказ по неизвестной причине | |
| Учетная запись пользователя заблокирована | |
| Создание новой учетной записи | |
| Добавление новой учетной записи в глобальную группу пользователей | |
| Добавление новой учетной записи в локальную группу пользователей |