سجل أمان ويندوز
سجل الأمان في مايكروسوفت ويندوز، هو سجل يحتوي على أنشطة المُستخدمين (مِن تسجيل الدخول وتسجيل الخروج أو أحداث أخرى متعلقة بالأمان) تحددها سياسة تدقيق النظام. يتيح التدقيق الإمكانية للإداريين تهيئة ويندوز لتسجيل أنشطة تشغيل النظام في السجل الامني. يظهر السجل الامني مع سجلين آخرين في عارض الأحداث [الإنجليزية]. يعد هذا السجل أحد الأدوات الأساسية التي يستخدمها المسؤولون لاكتشاف الأنشطة غير المصرح بها واستكشاف المشكلات وإصلاحها؛ تصفه مايكروسوفت بأنه «أفضل وسيلة دفاع لك» (أي للمُستخدم).[1] يعد السجل وسياسات التدقيق هدف واضح لكشف المُتسللين ومديري الأنظمة المحتالين الذين يسعون إلى تغطية مساراتهم قبل وبعد ارتكاب نشاط غير مصرح به.[2]
أنواع البيانات المسجلة
إذا عُيّن نهج التدقيق لتسجيل عمليات تسجيل الدخول، فسيؤدي تسجيل الدخول الناجح باسم المستخدم المحدد إلى تسجيل اسم المستخدم واسم الحاسب الخاص بالمستخدم بالإضافة إلى اسم المستخدم الذي قاموا بتسجيل الدخول إليه.[3] اعتمادًا على إصدار ويندوز وطريقة تسجيل الدخول، قد يُسجل او قد لا يُسَّجل عنوان بروتوكول الإنترنت. على سبيل المثال سيرفر الانترنت لويندوز 2000 لا يقوم بتسجيل عناوين بروتوكول الإنترنت لعمليات تسجيل الدخول الناجحة، ولكن ويندوز سيرفر 2003 يتضمن هذه الإمكانية.[4] فئات الأحداث التي يمكن تسجيلها هي:
- أحداث تسجيل الدخول إلى الحساب
- إدارة الحساب
- الوصول إلى خدمة الدليل
- أحداث تسجيل الدخول
- الوصول إلى الكائنات
- تغيير السياسة
- استخدام الامتياز
- تتبع العملية
- أحداث النظام
يعني العدد الهائل من الأحداث القابلة للتسجيل أن تحليل سجل الأمان يمكن أن يكون مهمة تستغرق وقتًا طويلاً.[5] تم تطوير مرافق الطرف الثالث للمساعدة في تحديد الاتجاهات المشبوهة. من الممكن أيضًا تصفية السجل باستخدام معايير مخصصة.[3]
الهجمات والتدابير المضادة
يُسمح للمسؤولين بمشاهدة ومسح السجل (لا توجد طريقة لفصل حقوق عرض السجل ومحوه). بالإضافة إلى ذلك، يمكن للمسؤول استخدام Winzapper [الإنجليزية] لحذف أحداث معينة من السجل. لهذا السبب، بمجرد اختراق حساب المسؤول، لا يمكن الاعتماد على سجل الأحداث كما هو مضمن في سجل الأمان.[6] الدفاع ضد هذا هو إعداد خادم سجل عن بعد مع إيقاف تشغيل جميع الخدمات، مما يسمح فقط بالوصول إلى وحدة التحكم.[7]
عندما يقترب السجل من الحد الأقصى لحجمه، يمكنه إما الكتابة فوق الأحداث القديمة أو إيقاف تسجيل الأحداث الجديدة. هذا يجعله عرضة للهجمات التي يمكن للمتطفل فيها إغراق السجل عن طريق توليد عدد كبير من الأحداث الجديدة. يتمثل الدفاع الجزئي ضد هذا في زيادة الحد الأقصى لحجم السجل بحيث يتطلب الأمر عددًا أكبر من الأحداث لإغراق السجل. من الممكن ضبط السجل بحيث لا يقوم بالكتابة فوق الأحداث القديمة، ولكن كما يلاحظ كريس بينتون، «المشكلة الوحيدة هي أن سجل الأمان لديها عادة سيئة في الانهيار عندما تمتلئ سجلاتها».[8]
يشير أمان ويندوز المطلق إلى أنه نظرًا لقدرة المسؤولين على التلاعب بسجل الأمان لتغطية النشاط غير المصرح به، وفصل المهام بين العمليات وموظفي تكنولوجيا المعلومات لمراقبة الأمن، جنبًا إلى جنب مع النسخ الاحتياطية المتكررة للسجل إلى خادم يمكن الوصول إليه فقط الأخير، يمكن أن يحسن الأمن.[9]
هناك طريقة أخرى للتغلب على سجل الأمان وهي أن يقوم المستخدم بتسجيل الدخول كمسؤول وتغيير سياسات التدقيق لإيقاف تسجيل النشاط غير المصرح به الذي ينوي القيام به. يمكن تسجيل تغيير السياسة نفسه، اعتمادًا على إعداد «تغيير سياسة التدقيق»، ولكن يمكن حذف هذا الحدث من السجل باستخدام Winzapper [الإنجليزية]؛ ومن تلك النقطة فصاعدًا، لن يولد النشاط أثرًا في سجل الأمان.[10]
تلاحظ مايكروسوفت أنه «من الممكن اكتشاف محاولات التملص من حل مراقبة الأمان بهذه التقنيات، ولكن من الصعب القيام بذلك لأن العديد من الأحداث نفسها التي يمكن أن تحدث أثناء محاولة تغطية مسارات نشاط تدخلي هي أحداث تحدث بانتظام على أي شبكة أعمال نموذجية».[11]
كما يشير بنتون، فإن إحدى طرق منع الهجمات الناجحة هي الأمن من خلال الغموض. يساعد الحفاظ على سرية الممارسات والأنظمة الأمنية لقسم تكنولوجيا المعلومات في منع المستخدمين من صياغة طرق لتغطية مساراتهم. إذا كان المستخدمون على علم بأن السجل يتم نسخه إلى خادم السجل البعيد عند الساعة 00 من كل ساعة، على سبيل المثال، فقد يتخذون إجراءات لهزيمة هذا النظام من خلال الهجوم على: 10 ثم حذف أحداث السجل ذات الصلة قبل الجزء العلوي من الساعة القادمة.[8]
ليس هناك حاجة للتلاعب في السجل لجميع الهجمات. مجرد إدراك كيفية عمل سجل الأمان يمكن أن يكون كافيًا لاتخاذ الاحتياطات اللازمة ضد الاكتشاف. على سبيل المثال، قد ينتظر المستخدم الذي يرغب في تسجيل الدخول إلى حساب زميل موظف على شبكة شركة حتى بعد ساعات للحصول على وصول مادي غير مراقب إلى جهاز الكمبيوتر في مقصورته؛ استخدام جهاز كيلوجر خلسة للحصول على كلمة المرور الخاصة بهم؛ وبعد ذلك قم بتسجيل الدخول إلى حساب هذا المستخدم من خلال سطح المكتب البعيد من نقطة اتصال واي فاي لا يمكن تتبع عنوان بروتوكول الإنترنت الخاص بها إلى المتسلل.
بعد مسح السجل من خلال عارض الأحداث [الإنجليزية]، يتم إنشاء إدخال سجل واحد على الفور في السجل الذي تم مسحه حديثًا للإشارة إلى الوقت الذي تم مسحه فيه والمسؤول الذي قام بمحوه. يمكن أن تكون هذه المعلومات نقطة انطلاق في التحقيق في النشاط المشبوه.
بالإضافة إلى سجل أمان ويندوز، يمكن للمسؤولين التحقق من سجل أمان جدار حماية الاتصال بالإنترنت بحثًا عن أدلة.
كتابة أحداث كاذبة في السجل
من الممكن نظريًا كتابة أحداث خاطئة في السجل. تلاحظ مايكروسوفت ، «لتتمكن من الكتابة إلى سجل الأمان، يلزم SeAuditPrivilege. بشكل افتراضي، فقط حسابات النظام المحلي والخدمة لها مثل هذا الامتياز».[12] تنص مايكروسوفت ويندوز على أن «العمليات التي تستدعي خدمات نظام التدقيق... يجب أن تتمتع بامتياز SeAuditPrivilege لإنشاء سجل تدقيق بنجاح».[13] تشير الأسئلة الشائعة لـ Winzapper [الإنجليزية] إلى أنه «من الممكن إضافة سجلات أحداث» مكونة «خاصة بك إلى السجل» ولكن لم تتم إضافة هذه الميزة لأنها كانت تعتبر «سيئة للغاية»، في إشارة إلى حقيقة أن شخصًا ما لديه مسؤول الوصول يمكن أن يستخدم هذه الوظيفة لنقل اللوم عن نشاط غير مصرح به إلى طرف بريء.أضاف سيرفر 2003 بعض استدعاءات API بحيث يمكن للتطبيقات التسجيل في سجلات أحداث الأمان وكتابة إدخالات تدقيق الأمان. على وجه التحديد، تقوم الدالة (AuthzInstallSecurityEventSource) بتثبيت المصدر المحدد كمصدر حدث أمان.[14]
المقبولية في المحكمة
تنص النشرة الإخبارية لـEventTracker على أن «إمكانية التلاعب ليست كافية لعدم قبول السجلات، يجب أن يكون هناك دليل محدد على التلاعب حتى يتم اعتبار السجلات غير مقبولة».[15]
المراجع
- "سجل أمان NT - أفضل وسيلة دفاع لك". مؤرشف من الأصل في 2021-11-08.
- Archiveddocs. "Tracking Logon and Logoff Activity in Windows 2000". docs.microsoft.com (بالإنجليزية الأمريكية). Archived from the original on 2021-04-18. Retrieved 2022-05-13.
- "ITPro Today: IT News, How-Tos, Trends, Case Studies, Career Tips, More". www.itprotoday.com. مؤرشف من الأصل في 2022-05-12. اطلع عليه بتاريخ 2022-05-13.
- "Chapter 2 Audit Policies and Event Viewer". www.ultimatewindowssecurity.com. مؤرشف من الأصل في 2022-03-14. اطلع عليه بتاريخ 2022-05-13.
- تشوفاكين، أنطون. ""خمسة أخطاء في تحليل سجل الأمان" ، دكتوراه ، GCIA ، GCIH" (PDF). مؤرشف من الأصل (PDF) في 2022-01-21.
- "Free tools". vidstromlabs.com. مؤرشف من الأصل في 2022-04-10. اطلع عليه بتاريخ 2022-05-13.
- "Centralizing Windows Logs - The Ultimate Guide To Logging". Log Analysis | Log Monitoring by Loggly (بالإنجليزية الأمريكية). Archived from the original on 2021-09-28. Retrieved 2022-05-13.
- "تدقيق Windows NT" (PDF). مؤرشف من الأصل (PDF) في 2012-02-08.
- "امان ويندوز المطلق". مؤرشف من الأصل في 2022-03-14.
- "سياسة التدقيق ، Microsoft". مؤرشف من الأصل في 2007-12-27.
- "المراقبة الأمنية الهجمات". مؤرشف من الأصل في 2015-03-26.
- "تدقيق أحداث الأمان ". مؤرشف من الأصل في 2008-04-17.
{{استشهاد ويب}}
: الوسيط|الأول=
يفتقد|الأخير=
(مساعدة) - "book.itzero.com". book.itzero.com. مؤرشف من الأصل في 2012-03-10. اطلع عليه بتاريخ 2022-05-13.
- wibjorn. "الوثائق الفنية". docs.microsoft.com (بar-sa). Archived from the original on 2021-12-03. Retrieved 2022-05-13.
{{استشهاد ويب}}
: صيانة الاستشهاد: لغة غير مدعومة (link) - "الرسالة الإخبارية EventTracker ، أبريل 2006 ، هل ستقف ملفات السجل الخاصة بك في المحكمة؟ المصادقة مقابل أحداث تسجيل الدخول؟". مؤرشف من الأصل في 2007-06-21.
- بوابة مايكروسوفت