ЗАЩИТА ЖУРНАЛА СОБЫТИЙ ОПЕРАЦИОННЫХ СИСТЕМ WINDOWS НАЧИНАЯ С WINDOWS 7
© Земнов К.Э.*
Московский государственный машиностроительный университет (МАМИ),
г. Москва
В данной статье рассматривается проблема безопасности журнала событий операционной системы Windows7 и выше. Автор показывает методы защиты системы, подвергающейся нештатному воздействию. Данная методика может реализовываться на серверных операционных системах, является ступенью идеи проектно-инженерного обучения в ВУЗе [1] и способствует продвижению бренда безопасных систем обучения [2]. Рассматриваемая проблема всегда будет актуальна т.к. компании хранят на серверах данные о клиентах, бухгалтерию, базы данных и другую конфиденциальную информацию.
Ключевые слова: журнал событий, логи, безопасность, Windows, методы защиты, защита журнала событий Windows, системный журнал, журнал безопасности, журнал приложений.
При доступе к файлу или папке журнал событий сетевой операционной системы Windows фиксирует все происходящие. Контроль данного журнала крайне важен, потому что очень часто нештатные входы в систему фиксируются именно через него, а точнее через ту его часть, которая называется журнал безопасности.
(СО ► Windows к 5ystem32 ► wlnevt ► Logs гь на оптический диск Нсеая папка
Имя Дата изменения Тип Размер
[ ify-l Application.evtx 06.05 .2015 9:00 Журнал событий 16 452 КБ
Я Doctor Web.evbt 18 Л5.2014 22:44 Журнал событий 68 КБ
jSjjij HardwareEvents.evtx 23.03.2014 13:59 Журнал событий 68 КБ
^ Internet Explorer.evtx 23.03.2014 13:59 Журнал событий 68 КБ
^ Key Management Service.evtx 23.03.2014 13:59 Журнал событий 68 КБ
^ Media Center.evtx 23.03.2014 13:59 Журнал событий 68 КБ
fi M i crosoft-Wi n d ows-API-Tra ci n g %4 Op er. .. 03.05.2015 22:27 Журнал событий 68 КБ
g M i crosoft-Wi n d ows-AppID%4 Operati on... 03.05.2015 22:27 Журнал событий 68 КБ
Я M i crosoft-Wi n d ows-Appl i ca ti on - Exp eri e... 23 Л 3.201413:59 Журнал событий 68 КБ
Я M i crosoft-Wi n d ows-Appl i ca ti on - Exp eri e... 25,02.2015 8:19 Журнал событий 68 КБ
lij^j M i crosoft-Wi n d ows-Appl i ca ti on - Exp eri e... 23 Л 3.201413:59 Журнал событий 68 КБ
lij^j M i crosoft-Wi n d ows-Appl i ca ti on - Exp eri e... 05.05.2015 19:46 Журнал событий 1028 КБ
* Аспирант.
Путь к журналу событий, начиная с Windows 7 представлен на рис. 1 После двойного клика по любому из файлов открывается просмотр событий (рис. 2):
Просмотр событй
_ _
va ил действие вид справка
1 йВ1 В0
Просмотр событий (Локальнь [> Су Настраиваемые представлю л Журналы Windows Ш Приложение Журналы Windows
Файл Тип Число событий Размер
Приложение Административный 26005 16,07 МБ
И Безопасность Безопасность Административный 24 540 18,07 МБ
в Установка Установка Работает 18 68 КБ
б Система Система Административный 56119 20,00 МБ
в Перенаправленные соб Перенаправленные события Работает 0 0 байт
1 [> LË Журналы приложений и сг|
Рис. 2
Журнал событий поделен на три журнала; журнал безопасности (Security), журнал приложении (Application) и системный журнал (System). Каждый журнал фиксируется свои типы событий. Пример описания события доступа к объекту можно видеть в следующем сообщении из журнала безопасности (рис. 3):
Журнал событий имеет формат EVTX - это защищенный формат журнала, который использовался, начиная с Windows Vista. Открыть его можно в любом шестнадцатеричном редакторе, например в Winhex (рис. 4).
WjjiHex - [Applicatior
File Edit Seatch Navigation View Tools specialist Options Windot
Case Data File Edit
D J SB* Iff гз m 0 cat ís'í } и „? ■'■■■i ж 1 -►-И
Application.evtx 1
Offset 0 1 2 3 4 5 6 7 8 9 А в с D Е F *
00000000 05 6С €6 46 69 6С 65 00 00 00 00 00 00 00 00 00 ElfFiie
00000010 F4 00 00 00 00 00 00 00 7В 65 00 00 00 00 00 00 ó {e
00000020 80 00 00 00 01 00 03 00 00 10 F5 00 00 00 00 00 € o
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
ooooooso 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000070 00 00 00 00 00 00 00 00 01 00 00 00 46 48 АА 02 FHa
00000080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000090 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
ооооооао 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
оооооово 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
оооооосо 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOODO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
ООООООЕО 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
000000F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000100 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000110 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000120 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000130 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000140 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOISO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000160 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000170 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOIAO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOIBO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOICO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOIDO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOIEO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
OOOOOIFO 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000200 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000210 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000220 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000230 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000240 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000250 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000260 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000270 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000280 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000290 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Рис. 4
Данная запись состоит из заголовка и данных, защищенных контрольной суммой, записанной в правом столбце рис. 4. Контрольная сумма - это значение в байтах, рассчитанное по набору данных события при помощи, определённого алгоритма и используемое для проверки целостности данных при их передаче или хранении.
Но записи можно менять программой Eventcreate фирмы Microsoft (https://technet.microsoit.com/ru-ru/library/bb490899.aspx), исключая журнал безопасности. Данной программой может заполнять всевозможными новыми записями два остальных журнала, но нельзя изменить или удалить в них какую-либо запись.
При входе в систему, в журнале событий появится соответствующая запись. Если возникла необходимость удалить из журнала эту запись, то это
можно сделать при помощи утилиты Wevtutil фирмы Microsoft (https://tech-net.microsoit.com/en-us/library/cc732848.aspxwevtutil). Используя фильтр для импорта из журнала всех событий, кроме того, которое зафиксировало факт входа. Затем создается чистый файл Security.evtx, который нужно поместить обратно в журнал и таким образом убрать записи входа.
C: \Users\ri0jib3 0BaTejib >uin logcheck~5 . □. 4608\uin logcheck. exe UinLogCheck y.6.0
Opt ions:
-m <exc lude ! inc lude >
Report mode. Required —1 <logname>
Euent Log Name, -f <filtername>
Filter name
Quick usage:
— winlogcheck —m exclude
Get report about 'unknown' euents
— winlogcheck —m include —1 application —r uebeuents
Get report satisfies the rule filter 'uebeuents1 from application euentlog.
Read more in user manual...
22:02:36 ! Info ! Program.Main ! WinLogCheck start
22:02:36 ! Error ! Program.Main => Program.readCommanLineOptions ! UinLogCheck top with error in command line arguments: ,r
Рис. 5
WinLogCheck Report -
Mode: INCLUDE, Eventlog: SYSTEM, Filter: RASCONNECTS, Created: 16.08.2012 09:01:27 Checked 26 events in 1 logs within the Last 24 hours (errors=0, warnings=0, other=3)
Evenllog name: system, use 1 filters. Check 26 events.
(!) Time Source Category EventID User
Info 1:06:05 Remote Access 20272
CoID= {4CC85BD7-47D2-4CD4-AUL3-DC64BB448AB0}: The user: connected on port:
VPN2-3 on: 16.08.2012 at: 0:30 and disconnected on: 16.08.2012 at: 1:06. The user was active for: 35 minntes 55 seconds. 673301 bytes were sent and 303147 bytes were received. The reason for disconnecting was: user request.
Info 12:31:16 RemoteAccess 20272
Col D={ 4AB 86C 79- 0684-46E 0- 87 AO-41879B C24924}: The user: ■ ■ . connected on port:
VPN2-3 on: 15.08.2012 at: 12:25 and disconnected on: 15.08.2012 at: 12:31. The user was active for: 5 minntes 35 seconds. 279793 bytes were sent and 93014 bytes were received. The reason for disconnecting was: nser reqnest.
Info 12:09:06 RemoteAccess 20272
Col D={FD28E463-1537-4004-322A-6333AA543CD5}: The user: I connected on port:
VPN2-3 on: 15.08.2012 at: 8:08 and disconnected on: 15.06.2012 at: 12:09. The user was active for: 240 minutes 24 seconds. 1024624 5 bytes were sent and 903471 bytes were received. The reason for disconnecting was: user request.
Программой Handle фирмы Microsoft (https://technet.microsoft.com/ru-ru/sysinternals/bb896655.aspx) можно узнать, какие службы защищают журнал от изменений. В командной строке пишем handle + путь к журналу безопасности, получаем идентификатор процесса, который отвечает за этот файл. Диспетчером задач находим процесс с полученным идентификатором и находим список служб, которые удерживают данный процесс.
Остановить службы можно утилитой PsExec фирмы Microsoft (https://tech-net.microsoft.com/ru-ru/sysinternals/bb897553.aspx). И когда никакие службы не держат журнал безопасности можно скопировать журнал обратно в журнал событий.
Чтобы защитить журнал от действий злоумышленника по данному алгоритму, необходимо регулярно копировать записи журнала и отслеживать изменения в них. Это можно сделать при помощи программ типа WinLog-Check (рис. 5), позволяющей ежедневно формировать отчет в HTML форме (рис. 6).
Автор данной статьи разрабатывает обучающую интерактивную программу по безопасности журнала событий [3] и так же по ряду других вузовских дисциплин [4, 5].
Список литературы:
1. Лунгу К.Н., Макаров, Е.В. Нефедова И.В. Основы проектирования учебно-методического комплекса по математике для студентов технических специальностей // Наука и современность. - 2014. - № 27. -С. 70-74.
2. Грушицын А.С., Сендеров В.Л. О подходе к продвижению бренда университета и выпускника на рынке труда [Электронный ресурс] // Международный научно-исследовательский журнал. - 2014. - № 1 (20), Часть 3. -С. 62-63. - Режим доступа: www.research-journal.org.
3. Грушицын А.С. Использование интерактивных программ при изучении динамических аспектов образовательных предметов в высшем учебном заведении // Перспективы развития информационных технологий. - 2015. -№ 24. - С. 138-142.
4. Балдина А.Д., Нефедова И.В. Применение сетей Петри в моделировании динамических систем // Сборник научных статей 2-й Международной молодежной научной конференции «Будущее Науки-2014». - Курск: ЗАО «Университетская книга», 2014. - С. 79-81.
5. Макаров Е.В., Монахов И.А., Нефедова И.В. Двуосное растяжение пластины с круговым отверстием // Вестник российского университета дружбы народов. Серия: Инженерные исследования. - М.: Издательство: Российский университет дружбы народов, 2015. - № 1. - С. 100-105. - ISSN: 23128143.