[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:01782] Re: WinNT のログファイル名

Port139 伊原です。

私信でもいただいてますが、 ML に返答させていただきます ;)>sugim さん

On Tue, 27 Feb 2001 00:09:11 +0900
Isao Sugimoto <sugim@xxxxxxxxxxx> wrote:

>1.標準のWindowsNT/2Kでは、イベントログにIPなどの情報は一切
> 残らないので、ログを残すためには「必ず」サードパーティ製の
> ソフトをインストールする必要がある。
>
>もし、インストールしなくてもログが取れるという情報がありましたら
>どこのファイル(イベントビューアではなく)を見ればいいのかを
>教えてください。
>#できない。という結論があるようですが・・・(^^;

ポートスキャンなどについての情報を Windows NT/2000 で確保する
ことは標準機能だけではできないと理解しています。
すでに多くの方がフォローされていますが、Snort なりをどこかで
稼動させておく必要があります。

ただし、Windows NT/2000 側でもユーザーのログオン/ログオフや
認証失敗といったイベントはセキュリティログに残すことが可能で
すので、監査の設定を利用してこれらのログを残すことで何からの
アタックがあった場合トレースがしやすくなるかと思います。

Windows NT/2000 のイベントログも技術的には該当部分のレコード
のみを削除するということは、www.ntsecurity.nu で実証されてい
ます。
大抵、管理者権限 or LocalSystem の権限が奪われてしまった場合
には各ログそのものが削除されてしまうとは思いますが...

通常の運用時には Windows NT/2000 においてもログホストを構築し
ておくことは大切だと私は思います。

>侵入された際に、どこを見ればわかるか?という情報を集めています。
>#できるかぎり、syslogやsnortなどのインストールされていない環境で

すでに何度も出てきていますが、ログファイルなどに頼らずに客観
的にシステムに改竄(トロイの木馬やバックドア)があったかどう
かをチェックするには、システムに Tripwire などのツールがイン
ストールされている必要があると個人的には考えています。

監査ログの設定を行っている場合には、以下の事柄をチェックして
みるといいと思います。

・管理者の認証失敗が大量にセキュリティログに記録されている
・記憶にない時間に管理者・ユーザがログオンしている
・勝手に再起動されている
・知らないユーザーが増えている

問題なのは、侵入されたかどうかさえわからない状態だと思います
が、心配な場合にはやはりシステムの再インストールが確実です。
(その際、安全性の確認が確実にできないデータは戻してはいけま
せん、あとインストール中は無防備なのでネットワークから切り離
してインストールしましょう)

他の方がフォローされていたかもしれませんが、Internet との接続
ポイントに Snort を配置して、外向きのパケットについても監視さ
せることで、内部に足場にされているホストがあれば検知すること
ができると思われます。

足場が 1箇所だけであれば該当マシンをネットワークから切り離せば
よいと思いますが、その場合には他のシステムにもバックドア等が仕
掛けられていないか綿密な調査が必要だと思います。
大抵の環境では、管理者のパスワードは共通したものを利用している
でしょうから、管理者権限が奪われている場合には、ネットワーク上
で繋がっているホストは全て疑ってかかった方がよいと思います。

あ、なんか質問された内容と離れちゃった・・・

---
WinSyslog,EventReporter 販売中: http://adiscon.port139.co.jp/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/