Windows - Felhasználói tevékenységek biztonsági naplózása Windows 2000 Professional alatt

A felhasználók és az operációs rendszer tevékenységeit naplófájlban lehet rögzíteni. Ebből megtudhatjuk mikor ki jelentkezett be és mit csinált a gépünkön. A naplózás beállítható úgy is, hogy csak bizonyos fájlokon vagy mappákon végzett tevékenységeket figyeljük bizonyos felhasználók esetében. Lehetőségeink igen széleskörűek. Ebben a cikkben a biztonsági naplózás lehetőségeit vizsgáljuk meg. A tárgyalásra kerülő objektumok a Vezérlőpult > Felügyeletei eszközök mappájában találhatók.
Kattintsunk rá az "Eseménynapló" nevű ikonra kétszer. A megjelenő ablakban láthatók kategorizálva a helyi számítógépen rögzített események. Ha megnézzük a "Biztonsági napló" kategóriát akkor jó eséllyel üresen találjuk - nincs egyetlen esemény sem rögzítve benne. Ez azért van, mert a Windows 2000 feltelepítés után alaphelyzetben nem állítja be a felhasználói biztonsági események rögzítését. Ha mégis találunk itt bejegyzéseket, azok a rendszer alapvető biztonságával és védelmével kapcsolatos események (például a biztonsági napló törlése).

Az események táblázatos formában jelennek meg. A táblázat oszlopainak a következő a jelentése:

Típus:
Egy rövid "felhasználóbarát" leírás az eseményről.

Dátum, Idő:
Az esemény bekövetkeztekor a Windows aktuális dátum és idő beállítása. Ha pontosan tudni akarjuk az esemény idejét, akkor gondosan kell ügyelni a rendszer dátum és idő beállításaira.

Forrás:
Minden eseményt egy forrásobjektum generál. Egy forrás objektum generálhat több eseményt is. A "Biztonsági napló" a "Security" objektum által előállított eseményeket naplózza.

Kategória:
A logikailag összetartozó események kategorizálva - csoportosítva vannak. Ez nagyban megkönnyíti a keresésüket, amikor már sok adat gyűlt össze.

Esemény:
Minden eseményhez tartozik egy azonosító szám. Ez szintén a keresést könnyíti meg. Nem kell az esemény - olykor hosszú - nevét megadnunk, hanem csak egy háromjegyű számot.

Felhasználó:
Az esemény kiváltójának felhasználói neve. Ha rendszereseményről van szó, akkor itt a "SYSTEM" szó jelenik meg.

Számítógép:
A számítógép gépneve, amelyiken az esemény történt. Lehetőség van másik számítógépekhez is csatlakozni és megtekinteni az eseménynaplójukat.
Ehhez kattintsunk a faszerkezet csúcsán lévő "Eseménynapló (gépnév)" feliratra, utána pedig a Műveletek > Csatlakozás másik számítógéphez menüpontra.
A "Másik számítógép" mezőbe be kell írni az adott gép nevét vagy a "Tallózás" gombra kattintva a megjelenő listából kiválasztani. A csatlakozás feltétele, hogy az adott gépen rendszergazdai jogosultságokkal rendelkezzünk. Ha ez megvan, de mégis megtagadja a rendszer a csatlakozást, akkor a rendszergazdai felhasználói nevünk vagy jelszavunk valószínűleg különbözik a két gépen. Ilyenkor az Intézőben tallózzunk el a másik géphez és próbáljuk megnézni a megosztott mappáit. Ha érkezik egy felhasználói név / jelszó kérés, írjuk be a másik gépen érvényes nevet és jelszót, majd térjünk vissza az eseménynaplóhoz és próbáljuk újra a csatlakozást.
A sikeres csatlakozás létrejötte után az egész eseménynaplóban a másik gép eseményei látszanak. Hogy éppen melyik gépen vagyunk a faszerkezet csúcsán az "Eseménynapló (gépnév)" feliratból tudjuk meg.


Az események naplózásának beállítása:

Az alábbi műveletek csak rendszergazdai jogosultságokkal végezhetők el.
Viszonylag egyszerű a helyzet, mert egy helyen állítható minden a Felügyeleti eszközök > Helyi biztonsági házirend konzolon.
Indítsuk el és tallózzunk el a Helyi házirend > Naplórend mappába.
Az ablak jobb oldalán a "Házirend" oszlopban találjuk a rögzíthető események nevét, a "Helyi beállítás" oszlopban a helyi házirendre vonatkozó beállítások, a "Hatályos beállítás" oszlopban pedig az aktuális érvényes beállítások vannak. Minden objektumnál lehet a sikeres és sikertelen tevékenységeket is rögzíteni. Ha a számítógép egy Active Directory tartomány része, akkor a helyi beállításokat a tartomány csoportházirendje felülbírálhatja.

Naplózni csak a naplórendben felsorolt eseményeket lehet. Ezek és jelentésük a következő:

Bejelentkezés naplózása:

A helyi gépre való felhasználói bejelentkezések tényét rögzíti.
Az eseménynaplóban a "Bejelentkezés/kijelentkezés" csoportba kerül rögzítésre. Ezt a "Kategória" oszlopban láthatjuk. A "Felhasználó" oszlopban jelenik meg a bejelentkezett felhasználó neve. Sikertelen bejelentkezés esetén itt a "SYSTEM" név látható.

Címtárszolgáltatás hozzáférés naplózása:

Az Active Directory objektumaihoz való sikeres vagy sikertelen hozzáférési kísérletek rögzítése. A tartományvezérlők 5 percenként ellenőrzik a házirendváltozásokat, ezért lehet, hogy a beállítások nem aktiválódnak azonnal.

Fiókbejelentkezés naplózása:

A felhasználói fiókokba történő be- és kijelentkezések ténye. A hálózat más gépeiről is.


Fiókkezelés naplózása:

A felhasználói fiókok vagy csoportok létrehozása, törlése, módosítása (átnevezése, engedélyezése, tiltása). Egy fiókkal végzett tevékenységhez több bejegyzés is tartozhat az eseménynaplóban. Ilyen például egy felhasználó létrehozása, ahol van létrehozás, módosítás, engedélyezés.

Folyamatok nyomon követésének naplózása:

A programok futtatás alatti aktivitásának naplózása. Nyomkövetésre is használható, ha elindítunk egy programot, láthatjuk milyen folyamatokat hozott létre, milyenek szűntek meg. Minden eseménynél látszik a hozzátartozó felhasználó neve. Így akár azt is tudhatjuk mikor melyik felhasználó milyen programokat indított el. Tény, hogy sok esemény kerül ezáltal bejegyzésre és a napló hamar megtelhet.

Házirendváltozás naplózása:

Mint a neve is mutatja a házirendek bármilyen megváltozása esetén történik bejegyzés. Nem csak a változás ténye tárolódik el, hanem a teljes új házirend is. Ezzel lépésről lépésre nyomon követhető a teljes házirend változás.

Objektum-hozzáférés naplózása:

A rendszer objektumai a fájlok, mappák, nyomtatók stb. Minden ezekkel kapcsolatos ténykedés eseményt vált ki, ami bejegyzésre is kerül a naplóba. Tehát ha egy felhasználó megnyit egy mappát már ki is váltott egy ilyen eseményt. Az objektum-hozzáférés naplózását és a folyamatok nyomon követésének naplózása együtt teljes képet ad egy adott felhasználó minden ténykedéséről. Használatával szintén sok bejegyzés keletkezik, gyorsan megtöltheti a naplófájlt.

Rendszeresemények naplózása:

A rendszer elindulása, leállása és minden rendszerbiztonsági esemény ide tartozik. Például a cikk elején említett eseménynapló törlése is.

Rendszerjogok használatának naplózása:

Minden felhasználói jogokat igénylő művelet. Ez lehet programok elindítása, leállítása, könyvtárak listázása, a vezérlőpult megnyitása stb. Szintén sok eseményt generál.

További lehetőségünk, hogy a naplózandó tevékenységek kiterjeszthetők: beállíthatjuk fájlok vagy mappák figyelését is, de csak NTFS fájlrendszer alatt működik. Egy példa a használatára: naplózzuk mikor ki lépett be a gépünk megosztott mappájába és milyen műveleteket hajtott ott végre. A beállítások menete a következő:

1. Kattintsunk az Intézőben a vizsgálandó fájlra a jobb oldali egérgombbal.
2. Válasszuk a "Tulajdonságok" menüpontot.
3. Kattintsunk a "Biztonság" fülre.
4. Utána a "Speciális" gombra.
5. Végül a "Naplózás" fülre.

A "Hozzáadás" gomb lenyomására megjelenő ablakban megtaláljuk a számítógépen lévő felhasználók és csoportok listáját. Itt kiválaszthatjuk azokat, akiknek a fájlon végzett tevékenységére kíváncsiak vagyunk.
A következő ablakban megjelenő listából válasszuk ki a naplózandó eseményeket a sikeres és sikertelen műveletek megjelölésével.
Az "Objektum-hozzáférés naplózásá" -t engedélyezzük a "Helyi biztonsági házirend"-ben, ugyanis e nélkül nem valósul meg a naplózás.

A mappák naplózása annyiban különbözik ettől, hogy ott a Tulajdonságok > Biztonság > Speciális > Naplózás oldalon találunk egy jelölőnégyzetet "Naplóbejegyzések alaphelyzetbe állítása az összes gyermekobjektum esetén és az örökölhető naplóbejegyzések terjesztésének engedélyezése." felirattal. Ha ezt megjelöljük, akkor az összes almappa és fájl átveszi a beállításokat. Ha megnézzük egy ilyen objektum naplózási beállításait láthatjuk, hogy nem távolíthatók el a bejegyzések. Az eltávolításhoz meg kell szüntetnünk az öröklődést, ehhez távolítsuk el a jelölést a "A szülőtől örökölhető naplóbejegyzések ezen objektumig terjednek" négyzet elől.
Egy fájl naplózott mappába kerülése esetén átveszi a szülőmappa beállításait. A szülőmappán történő beállítások megváltozásakor az almappák és fájlok mindaddig öröklik a változtatásokat, amíg a "A szülőtől származó örökölhető naplóbejegyzések ezen objektumig terjednek" négyzet elől el nem távolítjuk a jelölést.