КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Очистка журналов безопасности
|
|
|
|
Отключение аудита
Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».
Для отключения аудита хакеры могут отключить политику аудита штатными средствами настройки системы защиты Windows NT/2000/XP, однако лучше прибегнуть к более мощному средству, предоставляемому утилитой auditpol.exe из комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду:
C:\Auditpol>auditpol \\ComputerName /disable
Running...
Audit information changed successfully on \\ComputerName...
New audit policy on \\ComputerName...
(0) Audit Disabled
System = No
,1 Logon = No
Object Access = No
Privilege Use = No
Process Tracking = Success and Failure
Policy Change = No
Account Management = No
Directory Service Access = No
Account Logon = No
Здесь //ComputerName - имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга (ввод команды auditpol /? отображает справочную информацию о применении утилиты).
Для очистки журнала безопасности с помощью специального аплета на панели управления Windows 2000/XP следует выполнить следующие действия:
>• Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка.» Панель управления (Settings * Control Panel).
>• В отобразившейся Панели управления (Control Panel) откройте папку Администрирование (Administrative Tools).
у Дважды щелкните на аплете Просмотр событий (Event Viewer). На экране появится окно Event Viewer (Просмотр событий) (Рис. 4).
Рис. 4. Очистка журнала событий безопасности средствами Windows
>• Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.
> Выберите команду Clear all Events (Стереть все события). Отобразится диалог, представленный на Рис. 5, с предложением сохранить журнальные события в файле.
Рис. 5. Запрос о необходимости сохранения журнала безопасности
> Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.
При выполнении очистки журнала безопасности обратите внимание на тот факт, что после выполнения этой операции в журнал сразу же записывается новое событие аудита - только что выполненная операция очистки! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Этот недостаток можно исправить, применив для очистки журнала ха-керскую утилиту elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Эта утилита предназначена, в первую очередь, для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.
C:\els004>elsave -s \\CotnputerName -С
Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей.
Элементарная проверка показывает, что отмеченный выше недостаток остался -применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала. Однако теперь мы можем сделать следующий трюк -поместить задание на очистку журнала утилитой elsave.exe в планировщик заданий Windows (запустив его или из меню Пуск (Start), либо командой AT из командной строки MS-DOS). Планировщик выполнит операцию очистки под учетной записью System, что сильно затруднит поиски хакера.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 3128; Нарушение авторских прав?; Мы поможем в написании вашей работы!