Monitorowanie i logi

systemu Windows

Piotr Powroźnik
Bartosz Piec

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows

z

Monitoring i analiza liczników systemu
Windows

Agenda

z

Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows

z

Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows

z

Monitoring i analiza liczników systemu
Windows

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Wprowadzenie do

Active Directory (1)

z

Zarządzanie domeną Windows

z

Wprowadzona w Windows 2000

z

Domena – grupa komputerów połączona w sieć,

składająca się z serwera pełniącego rolę kontrolera

domeny oraz stacji roboczych – klientów

z

Baza użytkowników przechowywana tylko na serwerze

z

Prostsze zarządzanie siecią

Wprowadzenie do

Active Directory (2)

Drzewa i lasy (1)

z

Active Directory wykorzystuje drzewa i lasy

z

Zapewnienie logicznych powiązań i formacji,
które definiują sposób i rozmiar w jakim
domeny mają się komunikować

Drzewo

z

Hierarchiczna kolekcja domen ułożonych w ciągłej

przestrzeni nazw

z

Domeny w drzewie są połączone przeźroczyście przy

pomocy dwukierunkowych przechodnich relacji

zaufania Kerberos

z

Domeny w obrębie pojedynczego drzewa posiadają

wspólną przestrzeń nazw i hierarchiczną strukturę

nazw

z

Nazwa domeny-dziecka jest relatywną nazwą tej

domeny-dziecka z dołączoną nazwą domeny-rodzica

Las

z

Zgrupowanie jednego lub większej ilości

drzew, które uczestniczą w wspólnym systemie

komunikacyjnym

z

W obrębie lasu istnieje pojedynczy schemat

replikacji, który jest kontrolowany poprzez

nadrzędny schemat serwera w domenie

korzenia

z

Zaufania Kerberos nigdy nie są przechodnie

między drzewami

Drzewa i lasy (2)

Zastosowanie lasu

z

Potrzeba utrzymania oddzielnych schematów

z

Odległe lasy, w celu zapewnienia separacji
pomiędzy wewnętrznymi i zewnętrznymi
zasobami DNS

z

Korzystanie z więcej niż jednego drzewa w
pojedynczym lesie powinno być
wykorzystywane tylko w razie takiej
konieczności

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Wybieranie zdarzeń do inspekcji (1)

z

Żadna strategia projektowania zabezpieczeń nie może

być pełna bez uwzględnienia szczegółowej strategii

inspekcji

z

Konieczne jest zaplanowanie całościowej strategii

inspekcji

z

Powody, dla których należy włączyć inspekcję i

monitorować dzienniki zdarzeń:

–

Aby określić poziom odniesienia dla normalnego działania

sieci i komputerów

–

Aby wykryć próby włamania do sieci lub konkretnej maszyny

–

W celu określenia, które dane i systemy zostały zinfiltrowane w

trakcie incydentu lub po nim

Wybieranie zdarzeń do inspekcji (2)

Tworzenie planu inspekcji systemu

z

Określenie, jakie rodzaje działań lub operacji

mają być rejestrowane

z

Zdarzenia podlegające inspekcji w systemach

Windows opartych o jądro NT:

–

zdarzenia sukcesu (podjęta akcja została pomyślnie

zakończona przez system)

–

zdarzenia niepowodzenia (użyteczne przy śledzeniu

prób ataku na obserwowane środowisko sieciowe

lub komputer)

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Zarządzanie podglądem zdarzeń

z

Wszystkie zdarzenia

dotyczące zabezpieczeń w

systemach NT są

rejestrowane w dzienniku

zabezpieczeń dostępnym

poprzez narzędzie Event

Viewer

z

Dla każdego pliku dziennika

możliwe jest określenie:

–

położenia

–

maksymalnego rozmiaru

–

sposobu postępowania w

przypadku przepełnienia

Określenie lokalizacji pliku

dziennika

z

Domyślnie - %systemroot%\system32\config w pliku

SecEvent.evt

z

W systemie Windows XP, lokalizację pliku można

zmienić poprzez okno dialogowe Podglądu zdarzeń

z

W systemie Windows NT oraz 2000 można to zmienić

poprzez edycję rejestru:

HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\

Security

z

Domyślnie dostęp do niego jest ograniczony dla konta

System oraz grupy Administratorów

Określenie maksymalnego

rozmiaru pliku dziennika

z

Standardowo 512 kB

z

Rozmiar nie powinien przekraczać 300 MB

z

Zmiany rozmiaru można dokonać w karcie Właściwości
lub poprzez Szablony zabezpieczeń i Zasady grupy

z

Maksymalna wielkość pliku dziennika zabezpieczeń
przechowywana jest w rejestrze w kluczu:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security\MaxSize

Konfigurowanie zastępowania

wpisów (1)

z

Określenie co ma się wydarzyć, gdy osiągnięty
zostanie ustawiony wcześniej maksymalny rozmiar
pliku dziennika (zachowania zastępowania)

–

Overwrite Events As Needed (Zastąp zdarzenia w razie
potrzeby) – usuwany jest najstarszy wpis

–

Overwrite Events Older Than [x] Days (Zastąp zdarzenia
starsze niż) – zdarzenia są przechowywane przez określony
czas, zanim zaczną być zastępowane przez nowe

–

Do not Overwrite Events (Nie zastępuj zdarzeń) – zdarzenia
nie będą rejestrowane po zapełnieniu pliku dziennika

Konfigurowanie zastępowania

wpisów (2)

z

Możliwe jest skonfigurowanie systemu tak, aby po wykonał
automatyczne zamknięcie systemu, w przypadku gdy
rejestrowanie nowych zdarzeń nie jest możliwe

z

Spowoduje to pojawienie się tzw. ekranu „Blue Screen of Death” z
komunikatem: STOP C00000244 [Audit Failed]

z

Po wystąpieniu tego błędu tylko członkowie grupy Administrator
będą mogli się zalogować w celu ustalenia przyczyny zatrzymania
rejestrowania

z

W celu uaktywnienia tej funkcji należy klucz rejestru:
HKLM\SYSTEM\CurrectConsolSet\Control\Lsa\CrashOnAuditFail
ustawić na wartość 1

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Zdarzenia podlegające inspekcji

z

Zdarzenia podlegające inspekcji:

–

Zdarzenia logowania na kontach

–

Zarządzanie kontami

–

Dostęp do usługi katalogowej

–

Zdarzenia logowania

–

Dostęp do obiektów

–

Zmiana zasad

–

Wykorzystanie przywilejów

–

Śledzenie procesów

–

Zdarzenia systemowe

z

Aktualny stan inspekcji dla poszczególnych obszarów sprawdzić

można przy pomocy przystawki MMC Local Security Policy

Zdarzenia logowania na kontach (1)

z

Operacja logowania do domeny przetwarzana jest

przez jeden z kontrolerów domeny

z

Próby logowania rejestrowane są przez ten kontroler,

który dokonał uwierzytelnienia

z

Zdarzenia logowania na kontach tworzone są w

momencie, gdy pakiet uwierzytelniający potwierdzi (lub

nie) tożsamość użytkownika

z

Inspekcję tego typu zdarzeń należy prowadzić na

wszystkich kontrolerach, a przed analizą wykonać

konsolidację dzienników ze wszystkich źródeł

Zdarzenia logowania na kontach (2)

z

Logowanie tych zdarzeń zawiera informacje na temat:

–

na jakie konto zachodzi próba logowania (jaki jest jego SID)

–

z jakiego komputera oraz domeny

–

jaki jest to typ logowania (interaktywne, sieciowe, wsadowe,

usługowe, itd.)

z

Typowe zdarzenia logowania na kontach zawierają

informację na temat:

–

wydania, potwierdzenia biletu

–

uwierzytelniania Kerberos

–

przemapowania konta na konto domenowe

–

problem z sesją

–

...

Zdarzenia zarządzania kontami

z

Każdy administrator ma możliwość przyznawania
innym kontom rozszerzonych praw i uprawnień, a
także tworzenia dodatkowych kont

z

Możliwe jest rejestrowanie zdarzeń:

–

utworzenie

–

zmiana lub usunięcie konta lub grupy

–

zmiana nazwy konta

–

włączenie lub wyłączenie, ustawienie lub zmiana hasła

–

zmiana zasad zabezpieczeń komputera

Inspekcja dostępu do usług

katalogowych

z

Umożliwia śledzenie zmian dokonywanych w usłudze Active

Directory

z

Przykład - obiekty Urzędu certyfikacji przedsiębiorstwa (CA)

–

przechowywane w kontenerze konfiguracji po zainstalowaniu

infrastruktury kluczy publicznych przedsiębiorstwa (Public Key

Infrastructure - PKI)

z

Oprócz włączenie inspekcji usługi katalogowej, należy dodatkowo

dla każdego obiektu lub atrybutu zdefiniować systemową listę

kontroli dostępu (SACL)

z

Inspekcję należy włączyć na wszystkich kontrolerach, najlepiej

poprzez utworzenie zasady inspekcji w obiekcie Zasad grupy na

poziomie domeny

Inspekcja zdarzeń logowania

z

Umożliwia śledzenie każdorazowego logowania i

wylogowywania użytkowników lub komputerów z

komputera

z

Jest rejestrowane przez dziennik zabezpieczeń

komputera, na którym wystąpiła próba logowania

z

W przypadku łączenia się z inną maszyną, zostanie

wygenerowane na komputerze zdalnym

z

Zdarzenia logowania tworzone są w momencie

utworzenia lub zniszczenia sesji logowania i

związanego z nią żetonu dostępu

Inspekcja zdarzeń logowania na

kontach a inspekcja zdarzeń logowania

z

Zdarzenia logowania na kontach są rejestrowane przez
ten komputer, który dokonuje uwierzytelnienia

z

Zdarzenia logowania są zapisywane w dzienniku
komputera, na którym konto zostało użyte

z

W przypadku inspekcji na kontrolerze domeny, wpisy
będą tworzone tylko dla logowania interaktywnego
oraz sieciowego

–

logowanie komputerów nie generuje wpisów

Inspekcja dostępu do obiektów (1)

z

Umożliwia śledzenie udanych oraz nieudanych prób

dostępu do zasobów plikowych, drukowania oraz do

rejestru systemowego

z

Wymaga określenia SACL dla każdego zasobu

–

SACL złożone są z wpisów kontroli dostępu (Access Control

Entry – ACE). Każdy z nich zawiera trzy fragmenty informacji:

z

Zwierzchnik zabezpieczeń (użytkownik, komputer), podlegający

inspekcji

z

Typ dostępu, który ma podlegać inspekcji – maska dostępu

z

Flaga informująca o typach rejestrowanych zdarzeń – sukcesu

lub niepowodzenia

Inspekcja dostępu do obiektów (2)

Inspekcja zmian zasad

z

Umożliwia śledzenie modyfikacji
dokonywanych w obszarach takich jak:

–

przypisywanie praw użytkowników

–

zasady inspekcji

–

domenowe relacje zaufania

z

Przydatne przy wykrywaniu prób dodawania
przywilejów (jak np. przywilej Debug czy Back
Up Files And Folders)

Inspekcja użycia uprawnień

z

Umożliwia rejestrowanie faktu wykorzystania jednego z
praw zezwalających na wykonanie procedury

z

Przykładowe zdarzenia rejestrowane przez tę
inspekcję:

–

zamykanie systemu lokalnego lub zdalnego

–

ładownie lub usuwanie sterowników urządzeń

–

przeglądanie dziennika zabezpieczeń

–

przejmowanie obiektów na własność

–

działanie jako element systemu operacyjnego

Inspekcja śledzenia procesów

z

Umożliwia stworzenie szczegółowego rejestru

wykonywanych procesów:

–

aktywizacja programu

–

zakończenie procesu

–

duplikowanie dojść

–

pośredni dostęp do obiektów

z

Jest idealnym narzędziem do krótkotrwałej

pracy, jak na przykład rozwiązywanie

problemów z działaniem aplikacji

Inspekcja zdarzeń systemowych

z

Umożliwia śledzenie zdarzeń polegających na
modyfikacji środowiska komputera

z

Typowe zdarzenia:

–

czyszczenie dziennika zabezpieczeń

–

zamykanie systemu na komputerze lokalnym

–

dokonywanie zmian w pakietach
uwierzytelniających działających na tym komputerze

Włączanie zasad prowadzenia

inspekcji

z

Można to uczynić korzystając z przystawki MMC Local

Security Policy (Zasady zabezpieczeń lokalnych) lub

poprzez zastosowanie szablonów zabezpieczeń

z

W przypadku komputerów należących do domeny

możliwe jest również zdalne włączenie inspekcji przy

użyciu Zasad grupy

z

Aby włączyć zasady prowadzenia inspekcji, należy:

–

otworzyć przystawkę

–

kliknąć gałąź Local Policies (Zasady lokalne) oraz Audit Policy

(Zasady prowadzenia inspekcji)

–

wybrać zasadę i we właściwościach wybrać rodzaj inspekcji

(sukces i/lub niepowodzenie)

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

Podgląd zdarzeń

z

Prosty program służący do przeglądania i analizy
danych zgromadzonych w dziennikach zdarzeń

z

Umożliwia wyświetlanie szczegółów, sortowanie oraz
filtrowanie zdarzeń oraz podłączanie do zdalnych
komputerów w celu zarządzania dziennikami

z

Brak możliwości konsolidacji zdarzeń

z

Możliwość eksportu do pliku

Niestandardowe skrypty (1)

z

Dumpel.exe (Dump Event Log)

–

Narzędzie wiersza polecenia kopiujące plik dziennika
komputera lokalnego lub zdalnego do pliku tekstowego
rozdzielanego tabulatorami

–

Umożliwia filtrowanie kopiowanych danych

z

EventQuery.pl

–

Skrypt Perlowy wyświetlający zdarzenia z dzienników w
formacie Event Viewer na komputerze lokalnym lub zdalnym

–

posiada szeroki zakres filtrów

Niestandardowe skrypty (2)

z

Eventlog.pl

–

Skrypt w języku Perl, umożliwiający skopiowanie i

wyczyszczenie plików dzienników oraz wyświetlenie

i zmianę właściwości dzienników na komputerze

lokalnym lub zdalnym

–

Użyteczny przy:

z

zmianie właściwości dzienników zdarzeń

z

wykonywaniu kopii zapasowych dzienników

z

eksportowaniu dzienników do plików tekstowych

z

czyszczeniu dzienników

Niestandardowe skrypty (3)

z

Event Comb

–

Umożliwia równoległe przeglądanie dzienników zdarzeń z wielu

komputerów

–

Umożliwia wyszukiwanie zdarzeń na podstawie zawartości

dowolnego pola w rekordzie zdarzenia w połączonych plikach

dzienników

–

Możliwości:

z

wyszukiwanie zdarzeń o konkretnym identyfikatorze lub należącym do

zdefiniowanej grupy

z

wyszukiwanie zdarzeń według zakresu

z

ograniczenie wyszukiwania do określonych dzienników

z

ograniczenie wyszukiwania do określonych typów informacji

z

ograniczenie wyszukiwania do konkretnych źródeł zdarzeń

z

wyszukiwanie tekstu w objaśnieniach zdarzeń

z

określenie przedziału czasowego, dla którego dzienniki mają być

skanowane

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows

z

Monitoring i analiza liczników systemu
Windows

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

Prowadzenie inspekcji

zabezpieczeń kontrolerów domeny

z

Włączenie inspekcji w domyślnych zasadach

dla kontrolerów domeny gwarantuje, że

ewentualne ataki na kontrolery domeny

zostaną wykryte

z

Inspekcja umożliwia rejestrowanie zdarzeń w

dzienniku zabezpieczeń systemu

z

Rejestr ten może być pomocny przy

wykrywaniu prób włamania oraz ataków innego

typu (jak np. DoS – Denial of Service)

Prowadzenie inspekcji

zabezpieczeń kontrolerów domeny

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

Inspekcja DHCP

z

Włączenie inspekcji DHCP na serwerze pozwoli ustalić, którzy

klienci DHCP łączą się z serwerem DHCP oraz określenia

pochodzenia wpisów BAD_ADDRES,

z

W tym celu należy włączyć opcję Enable DHCP Auditing Logging

w konsoli konfiguracyjnej serwera DHCP

z

Codzienne pliki dzienników tworzone są w folderze

%windir%\system32\dhcp

z

Możliwe jest również dostosowanie inspekcji poprzez modyfikację

klucza w rejestrze:

HKLM\SYSTEM\CurrentControlSet\Services\DhcpServer\Paramet

ers\DhcplogFilesMaxSize

definiującego maksymalny rozmiar plików dzienników DHCP

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (1)

z

Konfiguracja poprzez przystawkę IIS

z

Możliwość ustawienia parametrów dziennika:

–

czas tworzenia kolejnego pliku dziennika

–

katalog pliku wpisów

–

obiekty, które będą rejestrowane

z

Dla każdego zasobu z puli można decydować
czy wpisy o jego „odwiedzeniu” mają być
rejestrowane czy nie

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (2)

z

Możliwe jest zwiększenie domyślnych zabezpieczeń:

–

zastosowanie certyfikatów

–

zastosowanie kanałów SSL

–

odmowa dostępu wybranych komputerom lub sieciom

z

Możliwa jest również konfiguracja metod

uwierzytelniania hasła:

–

dostęp anonimowy

–

uwierzytelnianie zintegrowane

–

hasło szyfrowane

z

Można również limitować pasmo przeznaczone dla

poszczególnych daemonów pakietu IIS

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (3)

z

Dodatkowe narzędzia, umożliwiające zabezpieczenie

serwera IIS:

–

IIS Lockdown

z

ustawienie szablonu serwera

z

limitowanie rodzaju skryptów – mapowanie skryptów

z

usunięcie zbędnych składników systemu

–

filtr URLScan

z

porównywanie żądań z plikiem konfiguracyjnym pod względem

poprawności

z

Narzędzia te usuwają znane słabości konfiguracji IIS i

zapewniają filtry chroniące przed typowymi atakami

kierowanymi przeciwko serwerowi IIS

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows

z

Monitoring i analiza liczników systemu
Windows

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows

Monitorowanie IPSec (1)

z

IPSec szyfruje przesyłane treści po wysłaniu ich przez aplikację

po stronie klienta, po czym rozszyfrowuje je przed przekazaniem

ich do aplikacji na serwerze

z

Aplikacje nie muszą posiadać funkcji obsługi IPSec, gdyż dane

przekazywanie pomiędzy klientem i serwerem są przesyłane

zazwyczaj w postaci zwykłego tekstu

z

IPSec składa się z dwóch protokołów

–

IPSec Authentication Header (AH) – zapewnienie integralności

pakietów

–

IPSec Encapsulating Security Payload (ESP) – gwarantuje poufność

z

Protokoły działają w dwóch trybach (trybie transportowym oraz

tunelowania) przy użyciu trzech różnych metod uwierzytelniania:

–

przy pomocy mechanizmu Kerberos

–

Przy użyciu certyfikatów X.509

–

Przy użyciu zdefiniowanego klucza

Monitorowanie IPSec (2)

z

Możliwe monitorowanie IPSec przy użyciu programu

Ipsecmon.exe lub przystawki IP Security Monitor

z

IPSec może rejestrować wymiany kluczy internetowych

w pliku dziennika na dysku twardym komputera

z

W celu włączenia rejestrowania wymian kluczy

internetowych, należy w kluczu rejestru

HKLM\System\CurrentControlSet\Services\PolicyAgent

\Oakley

utworzyć wpis o nazwie EnableLogging a następnie

przypisać mu wartość 1

z

Dane dziennika zapisywane są w pliku

%systemroot%\debug\oakley.log

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości
protokołu SNMP oraz narzędzia prezentacji
parametrów liczników wydajności MRTG na
platformach Windows

Protokół SNMP (1)

z

SNMP: Simple Network Management Protocol

z

Narzędzie służące do konfiguracji i nadzorowania

urządzeń sieciowych i hostów działających w sieciach

IP

z

Możliwość monitorowania poprzez sterowanie

poszczególnymi urządzeniami oraz zarządzania z

wykorzystaniem dedykowanych pakietów

oprogramowania całymi sieciami

z

Standaryzowany (przez IETF Network Management

Research Group Charter (NMRG))

z

Relatywna łatwość pisania agentów i narzędzi

zarządzających

Protokół SNMP (2)

z

Na nadzorowanym systemie/węźle instaluje się tak zwanego

agenta, tj. program działający w trybie usługi/daemona

odpowiadający na żądania stacji zarządzających (tj. klientów),

wydających zlecenia agentowi

z

Zlecenia te mogą odnosić się do pobrania pewnej wartości (GET,

GET-NEXT, GET-BULK, GetNextRequest), ustawienia wartości

(SET)

z

W wypadku agentów SNMP w Windows NT i 2000

uwierzytelnianie odbywa się za pomocą tak zwanej community

(znaku współposiadania, wspólnoty), wywodzącej się z protokołu

SNMP v1 i SNMP v2c

z

W SNMP v3 domyślną metodą uwierzytelniania jest User Security

Model, zawierający oddzielne identyfikatory dla różnych

użytkowników oraz hasła szyfrowane w czasie transmisji

mRTG (1)

z

mRTG: Multi Router Traffic Grapher

z

Proste narzędzie administracyjne używane do

monitorowania ruchu w sieci

z

Z usługi SNMP pobiera informacje o stanie sieci czy

innych zasobów serwera i na ich podstawie tworzy

strony HTML z wykresami np. ilości danych

przesyłanych przez łącze

z

Generuje czytelne wykresy ruchu w sieci oraz

ogólnego wykorzystania komputera w ostatnim

tygodniu, miesiącu lub roku

mRTG (2)

z

Instalacja mRTG:

–

Zainstalować SNMP:

z

w Panelu Sterowania należy wybrać Dodaj/Usuń programy

z

następnie Dodaj/Usuń składniki Windows

z

składnik Narzędzia zarządzania i monitorowania

z

Sczegóły -> Protokół Simple Network Management
Protocol

mRTG (3)

z

Instalacja mRTG (c.d.):

–

Ustalić nazwę grupy:

z

Narzędzia Administracyjne -> Usługi -> SNMP Service

z

w zakładce Bezpieczeństwo, w polu Akceptowane nazwy

społeczności po kliknięciu przycisku Dodaj, w oknie, które

się pokaże, należy wybrać opcję TYLKO DO ODCZYTU i

wpisać nazwę community

–

domyślna nazwa, to Public

z

Sprawdzić czy wybrana jest opcja Akceptuj pakiety SNMP

z tych hostów i czy na liście jest tylko jeden host, tzn.

localhost

mRTG (4)

z

Instalacja mRTG (c.d.):

–

Pobrać i zainstalować ActivePerl

z

mRTG jest skompilowanym programem napisanym w
języku C i skryptem Perl

–

Pobrać i rozpakować mRTG

Pomocna literatura

1.

Ben Smith, Brian Komar i Microsoft Security Team, „Microsoft

®

Windows

®

Security Resource Kit”, Microsoft

®

Press

2.

Mitch Tulloch, „Microsoft

®

Encyclopedia of Security”, Microsoft

®

Press

3.

The Microsoft

®

IIS Team, „Internet Information Services (IIS) 6

Resource Kit”, Microsoft

®

Press

4.

William R. Stanek, „Vademecum Administratora Microsoft

®

IIS

6.0”, Microsoft

®

Press

5.

David Iseminger, „Usługi Active Directory dla Microsoft

®

Windows

®

2000 Server Przewodnik Techniczny”, Microsoft

®

Press

6.

Mike Mulcare, Stan Reimer, „Active Directory for Microsoft

®

Windows

®

Server 2003 Technical Reference”, Microsoft

®

Press

7.

Ed Bott, Carl Siechert, „Bezpieczeństwo Microsoft

®

Windows

®

XP i Windows

®

2000 dla ekspertów”, Microsoft

®

Press

Dziękujemy

Piotr Powroźnik
Bartosz Piec