سجل أمان ويندوز

سجل الأمان في مايكروسوفت ويندوز، هو سجل يحتوي على سجلات نشاط المُستخدمين (مِن تسجيل الدخول وتسجيل الخروج أو الأحداث الأخرى المتعلقة بالأمان) يتم تحديدها بواسطة «سياسة تدقيق النظام». يُتيح هذا التدقيق للمسؤولين تكوين نافذة لفحص أنشطة نظام التشغيل الواردة في سجل الأمان. حيثُ يتم كتابة الأحداث في السجل. يعد هذا السجل أحد الأدوات الأساسية التي يستخدمها المسؤولون لاكتشاف الأنشطة غير المصرح بها واستكشاف المشكلات وإصلاحها؛ تصفه مايكروسوفت بأنه «أفضل وسيلة دفاع لك» (أي للمُستخدم).[1] يعد السجل وسياسات التدقيق هدف واضح لكشف المُتسللين ومديري الأنظمة المحتالين الذين يسعون إلى تغطية مساراتهم قبل وبعد ارتكاب نشاط غير مصرح به.[2]

أنواع البيانات المسجلة

إذا تم تعيين نهج التدقيق لتسجيل عمليات تسجيل الدخول، فسيؤدي تسجيل الدخول الناجح إلى تسجيل اسم المستخدم واسم الكمبيوتر الخاص بالمستخدم بالإضافة إلى اسم المستخدم الذي قاموا بتسجيل الدخول إليه.[3]  اعتمادًا على إصدار ويندوز وطريقة تسجيل الدخول، قد يتم أو لا يتم تسجيل عنوان IP [3]، على سبيل المثال ويندوز 2000 لا يقوم بتسجيل عناوين IP لعمليات تسجيل الدخول الناجحة، ولكن ويندوز سيرفر 2003 يتضمن هذه الإمكانية.[4]  

فئات الأحداث التي يمكن تسجيلها هي:

  • أحداث تسجيل الدخول إلى الحساب
  • إدارة الحساب
  • الوصول إلى خدمة الدليل
  • أحداث تسجيل الدخول
  • الوصول إلى الكائن
  • تغيير السياسة
  • استخدام الامتياز
  • تتبع العملية
  • أحداث النظام

يعني العدد الهائل من الأحداث القابلة للتسجيل أن تحليل سجل الأمان يمكن أن يكون مهمة تستغرق وقتًا طويلاً.[5]  تم تطوير مرافق الطرف الثالث للمساعدة في تحديد الاتجاهات المشبوهة. من الممكن أيضًا تصفية السجل باستخدام معايير مخصصة.[3]

الهجمات والتدابير المضادة

يُسمح للمسؤولين بمشاهدة ومسح السجل (لا توجد طريقة لفصل حقوق عرض السجل ومحوه).  بالإضافة إلى ذلك، يمكن للمسؤول استخدام Winzapper لحذف أحداث معينة من السجل. لهذا السبب، بمجرد اختراق حساب المسؤول، لا يمكن الاعتماد على سجل الأحداث كما هو مضمن في سجل الأمان.[6]  الدفاع ضد هذا هو إعداد خادم سجل عن بعد مع إيقاف تشغيل جميع الخدمات، مما يسمح فقط بالوصول إلى وحدة التحكم.[7]

عندما يقترب السجل من الحد الأقصى لحجمه، يمكنه إما الكتابة فوق الأحداث القديمة أو إيقاف تسجيل الأحداث الجديدة. هذا يجعله عرضة للهجمات التي يمكن للمتطفل فيها إغراق السجل عن طريق توليد عدد كبير من الأحداث الجديدة. يتمثل الدفاع الجزئي ضد هذا في زيادة الحد الأقصى لحجم السجل بحيث يتطلب الأمر عددًا أكبر من الأحداث لإغراق السجل. من الممكن ضبط السجل بحيث لا يقوم بالكتابة فوق الأحداث القديمة، ولكن كما يلاحظ كريس بينتون، «المشكلة الوحيدة هي أن NT لديها عادة سيئة في الانهيار عندما تمتلئ سجلاتها».[8]

يشير أمان ويندوز المطلق إلى أنه نظرًا لقدرة المسؤولين على التلاعب بسجل الأمان لتغطية النشاط غير المصرح به، وفصل المهام بين العمليات وموظفي تكنولوجيا المعلومات لمراقبة الأمن، جنبًا إلى جنب مع النسخ الاحتياطية المتكررة للسجل إلى خادم يمكن الوصول إليه فقط الأخير، يمكن أن يحسن الأمن.[9]

هناك طريقة أخرى للتغلب على سجل الأمان وهي أن يقوم المستخدم بتسجيل الدخول كمسؤول وتغيير سياسات التدقيق لإيقاف تسجيل النشاط غير المصرح به الذي ينوي القيام به. يمكن تسجيل تغيير السياسة نفسه، اعتمادًا على إعداد «تغيير سياسة التدقيق»، ولكن يمكن حذف هذا الحدث من السجل باستخدام Winzapper ؛ ومن تلك النقطة فصاعدًا، لن يولد النشاط أثرًا في سجل الأمان.[10]

تلاحظ Microsoft أنه «من الممكن اكتشاف محاولات التملص من حل مراقبة الأمان بهذه التقنيات، ولكن من الصعب القيام بذلك لأن العديد من الأحداث نفسها التي يمكن أن تحدث أثناء محاولة تغطية مسارات نشاط تدخلي هي أحداث تحدث بانتظام على أي شبكة أعمال نموذجية».[11]

كما يشير بنتون، فإن إحدى طرق منع الهجمات الناجحة هي الأمن من خلال الغموض. يساعد الحفاظ على سرية الممارسات والأنظمة الأمنية لقسم تكنولوجيا المعلومات في منع المستخدمين من صياغة طرق لتغطية مساراتهم. إذا كان المستخدمون على علم بأن السجل يتم نسخه إلى خادم السجل البعيد عند الساعة 00 من كل ساعة، على سبيل المثال، فقد يتخذون إجراءات لهزيمة هذا النظام من خلال الهجوم على: 10 ثم حذف أحداث السجل ذات الصلة قبل الجزء العلوي من الساعة القادمة.[8]

ليس هناك حاجة للتلاعب في السجل لجميع الهجمات. مجرد إدراك كيفية عمل سجل الأمان يمكن أن يكون كافيًا لاتخاذ الاحتياطات اللازمة ضد الاكتشاف. على سبيل المثال، قد ينتظر المستخدم الذي يرغب في تسجيل الدخول إلى حساب زميل موظف على شبكة شركة حتى بعد ساعات للحصول على وصول مادي غير مراقب إلى جهاز الكمبيوتر في مقصورته؛ استخدام جهاز Keylogger خلسة للحصول على كلمة المرور الخاصة بهم؛ وبعد ذلك قم بتسجيل الدخول إلى حساب هذا المستخدم من خلال Terminal Services من نقطة اتصال Wi-Fi لا يمكن تتبع عنوان IP الخاص بها إلى المتسلل.

بعد مسح السجل من خلال Event Viewer ، يتم إنشاء إدخال سجل واحد على الفور في السجل الذي تم مسحه حديثًا للإشارة إلى الوقت الذي تم مسحه فيه والمسؤول الذي قام بمحوه. يمكن أن تكون هذه المعلومات نقطة انطلاق في التحقيق في النشاط المشبوه.

بالإضافة إلى سجل أمان Windows ، يمكن للمسؤولين التحقق من سجل أمان جدار حماية الاتصال بالإنترنت بحثًا عن أدلة.

كتابة أحداث كاذبة في السجل

من الممكن نظريًا كتابة أحداث خاطئة في السجل. تلاحظ Microsoft ، «لتتمكن من الكتابة إلى سجل الأمان، يلزم SeAuditPrivilege. بشكل افتراضي، فقط حسابات النظام المحلي و Network Service لها مثل هذا الامتياز».[12]  تنص Microsoft Windows Internals على أن «العمليات التي تستدعي خدمات نظام التدقيق... يجب أن تتمتع بامتياز SeAuditPrivilege لإنشاء سجل تدقيق بنجاح».[13]  تشير الأسئلة الشائعة لـ Winzapper إلى أنه «من الممكن إضافة سجلات أحداث» مكونة «خاصة بك إلى السجل» ولكن لم تتم إضافة هذه الميزة لأنها كانت تعتبر «سيئة للغاية»، في إشارة إلى حقيقة أن شخصًا ما لديه مسؤول الوصول يمكن أن يستخدم هذه الوظيفة لنقل اللوم عن نشاط غير مصرح به إلى طرف بريء.أضاف Server 2003 بعض استدعاءات API بحيث يمكن للتطبيقات التسجيل في سجلات أحداث الأمان وكتابة إدخالات تدقيق الأمان. على وجه التحديد، تقوم الدالة AuthzInstallSecurityEventSource بتثبيت المصدر المحدد كمصدر حدث أمان.[14]

المقبولية في المحكمة

تنص النشرة الإخبارية لـ EventTracker على أن «إمكانية التلاعب ليست كافية لعدم قبول السجلات، يجب أن يكون هناك دليل محدد على التلاعب حتى يتم اعتبار السجلات غير مقبولة».[15]

المراجع
  1. "سجل أمان NT - أفضل وسيلة دفاع لك"، مؤرشف من الأصل في 8 نوفمبر 2021.
  2. Archiveddocs، "Tracking Logon and Logoff Activity in Windows 2000"، docs.microsoft.com (باللغة الإنجليزية)، مؤرشف من الأصل في 18 أبريل 2021، اطلع عليه بتاريخ 13 مايو 2022.
  3. "ITPro Today: IT News, How-Tos, Trends, Case Studies, Career Tips, More"، www.itprotoday.com، مؤرشف من الأصل في 12 مايو 2022، اطلع عليه بتاريخ 13 مايو 2022.
  4. "Chapter 2 Audit Policies and Event Viewer"، www.ultimatewindowssecurity.com، مؤرشف من الأصل في 14 مارس 2022، اطلع عليه بتاريخ 13 مايو 2022.
  5. تشوفاكين, أنطون، ""خمسة أخطاء في تحليل سجل الأمان" ، دكتوراه ، GCIA ، GCIH." (PDF)، مؤرشف من الأصل (PDF) في 21 يناير 2022.
  6. "Free tools"، vidstromlabs.com، مؤرشف من الأصل في 10 أبريل 2022، اطلع عليه بتاريخ 13 مايو 2022.
  7. "Centralizing Windows Logs - The Ultimate Guide To Logging"، Log Analysis | Log Monitoring by Loggly (باللغة الإنجليزية)، مؤرشف من الأصل في 28 سبتمبر 2021، اطلع عليه بتاريخ 13 مايو 2022.
  8. "تدقيق Windows NT" (PDF)، مؤرشف من الأصل (PDF) في 8 فبراير 2012.
  9. "امان ويندوز المطلق"، مؤرشف من الأصل في 14 مارس 2022.
  10. "سياسة التدقيق ، Microsoft."، مؤرشف من الأصل في 27 ديسمبر 2007.
  11. "المراقبة الأمنية الهجمات"، مؤرشف من الأصل في 26 مارس 2015.
  12. "تدقيق أحداث الأمان ."، مؤرشف من الأصل في 17 أبريل 2008. {{استشهاد ويب}}: الوسيط |الأول= يفتقد |الأول= (مساعدة)
  13. "book.itzero.com"، book.itzero.com، مؤرشف من الأصل في 10 مارس 2012، اطلع عليه بتاريخ 13 مايو 2022.
  14. wibjorn، "الوثائق الفنية"، docs.microsoft.com، مؤرشف من الأصل في 3 ديسمبر 2021، اطلع عليه بتاريخ 13 مايو 2022.
  15. "الرسالة الإخبارية EventTracker ، أبريل 2006 ، هل ستقف ملفات السجل الخاصة بك في المحكمة؟ المصادقة مقابل أحداث تسجيل الدخول؟"، مؤرشف من الأصل في 21 يونيو 2007.
  • بوابة مايكروسوفت
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.