15 Granskning//Auditing Jag vill lyfta fram granskning//auditing därför att den handlar mycket om att veta vad som försiggår i nätverket i allmänhet och i en Windows NT-domän i synnerhet. Verktyget du använder för att studera resultatet av din granskning//auditing har ett väldigt bra svenskt namn: Loggboken (eng. Event Viewer). Föra en loggbok över verksamhet på Windows NT-datorer är ju just det du gör med granskning. Granskning är inte begränsat till Windows NT-domäner det kanske är ännu viktigare på fristående Windows NT-datorer vilka ofta används för viktiga program, såsom webb-ställen och databaser. Inte heller är granskning en angelägenhet endast för Windows NT Server även Windows NT Workstation har denna möjlighet. Om du har Windows NT-datorer till vilka andra användare än dina egna har tillgång (i ett extranät, eller en webb-server med Internet-koppling) bör du slå på granskning på dessa datorer. I början kanske du väljer att granska all verksamhet på datorn, med tiden kan du förmodligen minska granskningens omfattning. När du granskar har du faktiskt god användning av den förhatliga specialgruppen Alla//Everyone (och kanske även Nätverk//Network). För att granska åtkomst av Registret//Registry, mappar, filer och utskriftsjobb används de vanliga användargrupperna. Alltså, önskar vi granska all åtkomst på en Windows NT-dator granskar vi helt enkelt vad gruppen Alla//Everyone försöker komma åt i Registret//Registry och på andra ställen. Vad kan granskas Granskning i Windows NT rör sig kring säkerhet, det är endast händelser som påverkar säkerheten eller som styrs av säkerhets- 551
15 Granskning//Auditing inställningar som kan granskas: q In- och utloggning q Utnyttjande av användarrättigheter q Hantering av användare och grupper q Ändringar i säkerhet q Omstart, avslutning och händelser som påverkar säkerheten q Processpårning q Fil- och objektåtkomst Denna lista är oföränderlig du kan inte själv lägga till något till den. Granskning//Auditing gör det möjligt att granska vad användare (egna och andras) gör, allt från inloggning till filhantering. Granskningen är inte begränsad till vad användare hittar på utan även tjänster och processer kan utsättas för granskning. Samtliga granskningstyper, utom den sista, i uppräkningen ovan gäller samtlig verksamhet på datorn den kan inte hanteras för enskilda användargrupper. Den sista granskningstypen, Filoch objektåtkomst, är den enda som kan ställas in olika för olika användargrupper. Både medgivna och nekade försök att utnyttja något privilegium kan granskas. Hur studerar jag resultatet från granskningen Journalen från granskningen läser du med hjälp av Loggboken/ /Event Viewer, loggen Säkerhet//Security (granskningen handlar ju enbart om slika händelser). Hur ställer jag in granskning Kontohanteraren för domäner//user Manager for Domains används för att ställa in granskningen av Windows NT Server (på en Windows NT Workstation är det Kontohanteraren//User Manager du använder). Med denna information inser du att inställningen av granskning sker för varje kontodatabas domänkontrollanter delar på samma kontodatabas så inställningar av granskning på den primära 552
Hur ställer jag in granskning domänkontrollanten gäller även för reservdomänkontrollanter. Du måste dock göra fininställning för granskning av fil- och objektåtkomst på varje enskild domänkontrollant. I Kontohanteraren för domäner//user Manager for Domains når du inställningar för granskning i menyvalet Principer.Granskning//Policies.Auditing. När du valt detta kommer en dialogruta visas: Dialogrutan för att ställa in granskning//auditing. Händelse In- och utloggning//logon and Logoff En användare eller tjänst har loggat in, loggat ut eller upprättat en nätverksanslutning. Händelse Fil- och objektåtkomst//file and Object Access En användare har hanterat en mapp eller fil vilken är inställd för granskning//auditing i Filhanteraren//File Manager (endast NTFS), eller en användare har skickat en utskrift till en skrivare som är inställd för granskning//auditing i Utskriftshanteraren/ /Print Manager. Händelse Utnyttjande av rättigheter//use of User Rights En användare har använt en åsatt användarrättighet (förutom de som berör in- och utloggning). Händelse Hantering av användare och grupper//user and Group 553
15 Granskning//Auditing Management Ett användarkonto eller en grupp (global eller lokal) har upprättats, ändrats eller tagits bort. Ett användarkonto har givits nytt namn, inaktiverats//aktiverats, lösenord har angivits eller ändrats. Händelse Ändringar i säkerhet//security Policy Changes Ändring av användarrättigheter//user rights, kontoprinciper/ /account policies eller granskning//auditing Händelse Omstart, avslut och händelser som påverkar säkerheten/ /Restart, Shutdown and System En användare har startat om eller stängt av datorn eller en händelse som påverkar systemsäkerheten eller säkerhetsloggen har inträffat. Händelse Processpårning//Process Tracking Detaljerad information om programstart, processstart, processavslut, m.m. Åstadkommer många (jag menar verkligen många) poster i loggen. Granskningstypen Fil- och objektåtkomst//file and Object Access skiljer sig från de andra på tre punkter: q Den kan slås på eller av för olika användargrupper q Den måste ställas in särskilt för Registret//Registry samt skrivare och mappar/filer innan något loggas q Den gäller endast mappar och filer på NTFS-volymer, inget annat tillgängligt filsystem In- och utloggning//logon and Logoff När du granskar in- och utloggning ser du alltid uppgift om typ av inloggning. Enligt TechNet-artikel Q174073 ser du då en av upp till fem olika koder: Interaktiv//Interactive 2 Nätverk//Network 3 Batch-jobb//Batch 4 Tjänst//Service 5 554
Hur ställer jag in granskning Proxy 6 Låsa upp dator//unlock workstation 7 (De första fyra, 2 5, är samma som används till API-anropet LogonUser.) Inloggade användare får särskild SID, S-1-5-5-n1-n2 Du kommer säkert att se intressanta SID:ar i händelsejournalerna, SID:ar som alla börjar med S-1-5-5, följt av två heltal. (Jag ser oftast en nolla som det första av dessa heltal.) Dessa är inloggnings-sid:ar vilka upprättas nya för varje inloggning. Det finns inget sätt att omvandla inloggnings-sid:ar till användarens egentliga SID. Fil- och objektåtkomst//file and Object Access Inställningar för granskningstypen Fil- och objektåtkomst//file and Object Access styrs med de vanliga användargrupperna vi kan alltså välja någorlunda fritt vilka gruppers verksamhet som skall loggas. Inställningen i Kontohanteraren för domäner//user Manager for Domains för denna granskningstyp avgör endast om den är tillgänglig för granskning av åtkomst i Registret//Registry, av NTFS-mappar/filer och skrivare. Inställning av Granskning sker per kontodatabas Skall du granska en dator som inte är domänkontrollant måste du vara uppmärksam på inställningarna för granskning tänk på att välja rätt kontodatabas (jag glömmer mig ofta). Granskning av mappar i NTFS Inställning av granskning för mappar och filer i NTFS finns på fliken Säkerhet//Security när du kallar fram Egenskaper//Properties för mappar/filer. I bilden nedan granskas hela volymen c: för alla användare som kommer över nätverket (jag bryr mig alltså inte alls om dem som loggar in lokalt): 555
15 Granskning//Auditing Granskning påslagen för hela c:-volymen, men endast för dem som kommer över nätverket. Granskning av mappar och filer kan ställas in att omfatta enstaka mappar och även enstaka filer om så skulle önskas. Det är alltså möjligt att granska all åtkomst till viktiga filer (loggfiler från webb-stället, med flera). Granskning av all hantering av den enskilda filen UsageLog.Txt påslagen för alla användare en god användning av specialgruppen Alla//Everyone. Vad kan granskas för mappar och filer Mappar och filer på NTFS-volymer kan granskas med avseende på medgiven eller nekad: 556
Hur ställer jag in granskning q Läsåtkomst q Skrivåtkomst (ändra) q Köråtkomst (starta ett program) q Ändring av behörighetslistan q Övertagande av ägandeskap (Granskningen motsvarar mycket nära behörigheterna R, W, X, P och O om du jämför med kapitel 25.) Granskning av skrivare Varje skrivare har sin egen inställning av granskning, du kan även för skrivare välja vilka gruppers verksamhet som skall granskas. Bilden nedan visar inställningar för en skrivare där man är angelägen att veta i vilken omfattning användare nekas tillgång till skrivaren när de kommer över nätverket. Granskning av skrivare inställd att granska all nekad åtkomst för användare som kommer över nätverket. För skrivare kan detta granskas: q Utskrift q Försök att använda Fullständig behörighet//full Control q Borttagande av utskrifter från kön q Ändring av skrivarens behörighetslista q Övertagande av ägandeskap för skrivaren 557
15 Granskning//Auditing Vem gör vad i domänens kontodatabas Även om du är ensam administratör i er Windows NT-domän finns det en stor grupp människor som kan lägga till och ta bort saker i domänens kontodatabas: användarna. Alla som har konton i den lokala gruppen Användare//Users på Windows NT-datorer (även domänkontrollanterna) kan upprätta lokala grupper på datorn. Den globala gruppen Domänanvändare//Domain Users är vanligen med i Användare//Users på domänkontrollanterna vilket innebär att alla konton som upprättats i domänen har möjlighet att upprätta nya lokala grupper (och ta bort egna lokala grupper) på den primära domänkontrollanten. För att granska detta sätter du ett kryss för både medgivna och nekade försök vad gäller Hantering av användare och grupper//user and Group Management. I Loggboken//Event Viewer står sedan alltid användarnamnet när lokala grupper upprättas eller tas bort (och även för allt annat som händer med användarkonton och grupper). (Vill du ta bort möjligheten för användare att upprätta lokala grupper efter eget skön kan du ta en titt på verktyget Create Alias, läs mer om det i nästa kapitel.) Om ni är flera administratörer Om ni är flera administratörer är det bra om ni har varsitt administratörskonto. Med varsitt administratörskonto och genom att granska både Hantering av användare och grupper//user and Group Management och Ändringar i säkerhet//security Policy Changes får ni en god bild av vem som gör vad i domänens kontodatabas. Hur ser det ut i Loggboken//Event Viewer Resultatet av granskningen studeras i loggen Säkerhet//Security vilken nås i Loggboken//Event Viewer. Samtliga poster i loggarna innehåller uppgifter om: Datum och tid när händelsen inträffade (egent- Datum//Date ligen loggades) Tid//Time Källa//Source Den del av Windows NT som skriver till 558
Hur ser det ut i Loggboken//Event Viewer loggen. Kategori//Category Händelser indelas av källorna i olika kategorier ID//Event Nummer på händelsen. Dessa nummer kan man ofta finna i dokumentationen och även i TechNet Användare//User Vilken användare som varit inloggad eller försökt att logga in eller den användare som tjänsten (källan) använder Dator//Computer Den dator som användes av användarkontot ovan. Loggen Säkerhet//Security på en primär domänkontrollant. Både medgivna och nekade försök syns i bilden. När du använder Loggboken//Event Viewer skall du noga ge akt på symbolerna i första kolumnen och användarnamnet i kolumnen Användare//User. Symbolen används för medgiven åtkomst/användning och används för nekad åtkomst/användning. Kom ihåg att medgiven åtkomst/användning inte alltid är av godo det kan ju vara så att den användare som medgavs åtkomst/användning inte var tänkt att få detta. Kanske blev det fel när behörigheter åsattes objektet eller vid senaste förändringen av gruppmedlemskap. Omvändningen gäller också nekad åtkomst kan innebära att en användare som var tänkt att komma åt resursen inte medgivits detta. Du måste alltid studera användarnamnet för att kunna avgöra om slutresultatet är positivt eller negativt. 559
15 Granskning//Auditing Detaljer i loggen Låt oss studera en av händelserna ovan den som är markerad i bilden Mer information för en post i Loggboken//Event Viewer fås genom att dubbelklicka på posten. Som du ser av bilden i huvudfönstret handlar det om nekad åtkomst/användning. Kategorin Logon/Logoff säger oss det är inloggning/utloggning som nekats (förmodligen inloggning jag vet inte vad nekad utloggning är). Vad vi mer ser: Delpostnamn Användare//User: NT Authority\System Den användare i vars namn posten registrerats, i detta fall det användarkonto som tjänsten Net Logon använder. Det är Net Logon som hanterar all inloggning i en Windows NT-domän, lokal eller över nätverket. Delpostnamn Dator//Computer: Draupner Den dator som medgivit eller nekat åtkomst/användning Delpostnamn Källa//Source: Security Det är alltid samma källa för granskning Delpostnamn Typ//Type: Granska nekade//failure audit Posten härrör sig från nekad åtkomst/användning Delpostnamn Kategori//Category: Logon/Logoff Granskningstypen är in- och utloggning, Logon/Logoff 560
Granskning kan ta mycket kraft Delpostnamn Beskrivning//Description Detaljinformation för posten. Du ser anledningen till att användaren nekades inloggning, vilken användare som nekats inloggning, vilken arbetsgrupp/domän användarkontot finns i, vilken typ av inloggning det rörde sig om, från vilken dator inloggningsförsöket skedde, m.m. Allt fungerar som väntat nästan allt En liten detalj som stör: om någon grupp tilldelas den avancerade användarrättigheten Agera som del av operativsystemet//act as Part of The Operating System (SeTcbPrivilege) loggas alltid detta som en nekad användarrättighet. Det är en mängd av dessa poster du ser i loggen ovan. Granskning kan ta mycket kraft Betänk att ju mer granskning//auditing en dator måste utföra desto mer kraft tas från det nyttiga arbetet. Framför allt Processpårning resulterar i en mängd granskningsarbete. Använd gärna en testdator det brukar vara intressant, om än inte upplysande, att se hur mycket som verkligen händer i ett Windows NT-system. Exportera loggar till ett annat verktyg Loggboken//Event Viewer kan spara journalerna i tre olika format: sitt eget (.evt), som textfil och med kommatecken som åtskiljare mellan delposterna. På så sätt kan du läsa in loggar i andra verktyg, ex. Microsoft Excel, för att enklare hantera dem. Du kan också spara loggar på en central server för att säkerhetskopiera dem och bygga upp ett arkiv av loggar. Försäkra dig om att all granskningsinformation loggas Skulle det vara så viktigt att alla händelser loggas på ett visst system och att du hellre låter datorn stoppa än fortsätta om den inte längre kan logga händelser kan du lägga till ett DWord-värde i Registret//Registry. Värdet skall ha namnet CrashOnAuditFail och skall finnas i HKLM\System\CurrentControlSet\Control\Lsa\ 561
15 Granskning//Auditing Registret//Registry efter tillägg av CrashOnAuditFail och dess innehåll angivet till 1. Med CrashOnAuditFail satt till 1 kommer systemet att stanna med ett STOP-fel när loggen Säkerhet//Security blir full. Matcha omstart vid STOP-fel med CrashOnAuditFail När du ställt in systemet att skriva över händelser i loggen Säkerhet//Security vill du förmodligen studera den datorn och själv starta om den. Därför bör du se till att datorn inte startar om själv när den råkar ut för ett STOP-fel. Inställningen för omstart vid STOP-fel finner du på fliken Uppstart/Avstängning//Startup/Shutdown, sektionen Återställning//Recovery i Egenskaper//Properties för Den här datorn//my Computer eller verktyget System//System i Kontrollpanelen/ /Control Panel. Inställningar för omstart vid STOP görs i Kontrollpanelen//Control Panel, verktyget System//System. 562
Försäkra dig om att all granskningsinformation loggas Se till att Starta om automatiskt//automatically reboot inte är ikryssad. När systemet stannar på grund av full logg Med CrashAuditOnFail satt till 1 kommer Windows NT självt åstadkomma ett STOP-fel när loggen Säkerhet//Security blir full. Ett STOP-fel ser ut som en blåskärm, d.v.s. Windows NT stannar och det enda som syns är vit text på blå bakgrund. I detta fall visas texten: STOP: c0000244 {Audit Failed} An attempt to generate a security audit failed. När loggen Säkerhet//Security blir full ändrar systemet värdet på CrashOnAuditFail från 1 till 2 innan STOP-felet åstadkoms. Så länge detta värde förblir 2 kan endast konton som är medlemmar av Administratörer//Administrators logga in, lokalt eller via nätverket, på den aktuella datorn. Det är därför viktigt att en administratör loggar in och återställer värdet på CrashOnAuditFail till 1. Rensa också loggen Säkerhet//Security, förmodligen vill du spara alla gamla händelser innan du rensar loggen. En litet lustig sak kan noteras: när systemet ändrar värdet på CrashOnAuditFail från 1 till 2 byter den också typ på den från Reg_DWord till Reg_None. Det verkar inte påverka något, det går fortfarande att ändra tillbaka värdet till 1, även om dialogen som används för att ändra värde ser en smula avskräckande ut. Om du glömmer att återställa värdet på CrashOnAuditFail Om innehållet i CrashOnAuditFail lämnas som 2 kommer, som sagt, vanliga användare inte kunna använda den datorn. Att de inte kan logga in lokalt är förmodligen inget problem eftersom det troligen bara är servrar du är så här noga med. Tyvärr får användarna ett felmeddelande som inte kan anses särskilt hjälpsamt när de försöker ansluta över nätverket. När en användare (medlem av gruppen Användare//Users, direkt eller indirekt) försöker ansluta till en Windows NT-dator där CrashOnAuditFail är 2 ser hon detta felmeddelande: Systemfel 2240 har uppstått. Användaren får inte logga in från det [den] här arbetsstationen. 563
15 Granskning//Auditing System error 2240 has occurred. The user is not allowed to log on from this workstation. Det skulle även kunna inträffa att det snarlika fel nummer 1329 rapporteras: Inloggningsfel: Användaren får inte logga in på den här datorn. Logon failure: user not allowed to log on to this computer. Windows NT hävdar alltså att användaren inte tillåts använda sin egen dator för att ansluta till servern, som om administratörer begränsat detta i Kontohanteraren för domäner//user Manager for Domains. Med andra ord: var vaksam på konstiga felmeddelanden (det är du väl van vid ). Hjälpfrågor 1. Vad syftar granskning//auditing till? 2. Kan en administratör själv lägga till nya händelser att granska? 3. Om du vill granska händelser på NTFS-volymer måste du först slå på dessa möjligheter. Hur gör du det? 4. På vilket sätt är den oftast förhatliga specialgruppen Alla/ /Everyone användbar vid granskning? 5. I vilken av systemets händelsejournaler hamnar granskningsinformationen? 6. Vilket verktyg använder du för att studera granskningsinformationen? 564
Hjälpfrågor 7. Går det att exportera granskningsinformation till något annat verktyg? 8. Varför skulle man vilja att datorn stannar när loggen Säkerhet//Security blir full? 9. Vad kan det vara för fel på en Windows NT-server om användarna får felmeddelande 2240 när de försöker komma åt utdelade mappar/skrivare på servern? 10.Behöver man bry sig om de poster i loggen Säkerhet//Security som handlar om medgiven åtkomst? 11.På vilka filsystem kan man granska fil- och mappåtkomst? 12.På vilket sätt kan du använda den hemska specialgruppen Nätverk//Network (om det nu är tillrådligt) i granskning? 565
15 Granskning//Auditing Förslag till svar på frågor 1. Vad syftar granskning//auditing till? Med granskning kan man följa olika händelser i Windows NT-datorer: q Hur många felaktiga inloggningsförsök som gjorts q Hur många som öppnat en viss fil i en viss mapp q Vilka som nekats tillgång till skrivare, mappar och filer q Vilka som försökt, men inte lyckats skriva ut på en viss skrivare q Vilka som försökt ta bort andras filer från utskriftsköer q Med mera, med mera 2. Kan en administratör själv lägga till nya händelser att granska? Nej, Windows NT kommer med en oföränderlig uppsättning händelser som kan granskas, de kan inte utökas. 3. Om du vill granska händelser på NTFS-volymer måste du först slå på dessa möjligheter. Hur gör du det? Innan man kan granska händelser på NTFS-volymer måste man först slå på granskning av Fil- och objektåtkomst//file and Object Access med hjälp av Kontohanteraren för domäner//user Manager for Domains. Använd menyvalet Granskning//Auditing på menyn Principer//Policies. 4. På vilket sätt är den oftast förhatliga specialgruppen Alla/ /Everyone användbar vid granskning? Eftersom specialgruppen Alla//Everyone omfattar alla som över huvud kan få kontakt med en Windows NT-dator över nätverket (eller genom lokal) inloggning är den ett bekvämt 566
Förslag till svar på frågor sätt att granska allas göranden och låtanden på en viss Windows NT-dator. 5. I vilken av systemets händelsejournaler hamnar granskningsinformationen? Granskningsinformationen hamnar i loggen Säkerhet//Security där den studeras med Loggboken//Event Viewer. 6. Vilket verktyg använder du för att studera granskningsinformationen? Loggboken//Event Viewer används för att studera systemets samtliga loggar och alltså även granskningsinformation i loggen Säkerhet//Security. 7. Går det att exportera granskningsinformation till något annat verktyg? Ja, Loggboken//Event Viewer kan skriva alla händelsejournaler till disk i sitt eget interna format (.evt), i rent textformat eller i komma-separerad form. 8. Varför skulle man vilja att datorn stannar när loggen Säkerhet//Security blir full? Om man har behov av hög säkerhet vill man inte att en dator slutar journalföra säkerhetsinformation (granskningsinformation). I detta läge väljer man att avsluta datorn hellre än att låta den fortsätta utan möjlighet att granska händelser. 9. Vad kan det vara för fel på en Windows NT-server om användarna får felmeddelande 2240 när de försöker komma åt utdelade mappar/skrivare på servern? Felmeddelande 2240 skulle kunna bero på att servern varit inställd på att avslutas när loggen Säkerhet//Security blir full. Efter omstart, med full logg, kan endast administratörer logga in till servern. 10. Behöver man bry sig om de poster i loggen Säkerhet//Security som handlar om medgiven åtkomst? Man måste noga studera alla poster i loggen Säkerhet//Security (granskningsinformationen). Medgiven åtkomst kan ju betyda att någon vi inte tänkt skulle ha denna möjlighet just nu sitter och läser känsliga dokument. 11.På vilka filsystem kan man granska fil- och mappåtkomst? 567
15 Granskning//Auditing Av filsystemen är det endast NTFS som medger granskning av fil- och mappåtkomst. Åtkomst av mappar och filer på FastFAT, CDFS och HPFS (i Windows NT 3.51 och tidigare) kan inte granskas. 12.På vilket sätt kan du använda den hemska specialgruppen Nätverk//Network (om det nu är tillrådligt) i granskning? Den hemska specialgruppen Nätverk//Network kan vara bra att använda i granskning. Den betyder ju alla (användare och nätbusar om vartannat) som försöker nå en viss Windows NT-dator över nätverket. Med hjälp av Nätverk//Network vet vi att alla åtkomstförsök över nätverket granskas, inte bara de som härrör från användare. 568