Monitorowanie i logi
systemu Windows
Piotr Powroz
nik
Bartosz Piec
Agenda
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows
Monitoring i analiza liczników systemu
Windows
Agenda
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows
Monitoring i analiza liczników systemu
Windows
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Wprowadzenie do
Active Directory (1)
ZarzÄ…dzanie domenÄ… Windows
Wprowadzona w Windows 2000
Domena  grupa komputerów połączona w sieć,
składająca się z serwera pełniącego rolę kontrolera
domeny oraz stacji roboczych  klientów
Baza użytkowników przechowywana tylko na serwerze
Prostsze zarzÄ…dzanie sieciÄ…
Wprowadzenie do
Active Directory (2)
Drzewa i lasy (1)
Active Directory wykorzystuje drzewa i lasy
Zapewnienie logicznych powiązań i formacji,
które definiują sposób i rozmiar w jakim
domeny mają się komunikować
Drzewo
Hierarchiczna kolekcja domen ułożonych w ciągłej
przestrzeni nazw
Domeny w drzewie są połączone przez
roczyście przy
pomocy dwukierunkowych przechodnich relacji
zaufania Kerberos
Domeny w obrębie pojedynczego drzewa posiadają
wspólną przestrzeń nazw i hierarchiczną strukturę
nazw
Nazwa domeny-dziecka jest relatywnÄ… nazwÄ… tej
domeny-dziecka z dołączoną nazwą domeny-rodzica
Las
Zgrupowanie jednego lub większej ilości
drzew, które uczestniczą w wspólnym systemie
komunikacyjnym
W obrębie lasu istnieje pojedynczy schemat
replikacji, który jest kontrolowany poprzez
nadrzędny schemat serwera w domenie
korzenia
Zaufania Kerberos nigdy nie sÄ… przechodnie
między drzewami
Drzewa i lasy (2)
Zastosowanie lasu
Potrzeba utrzymania oddzielnych schematów
Odległe lasy, w celu zapewnienia separacji
pomiędzy wewnętrznymi i zewnętrznymi
zasobami DNS
Korzystanie z więcej niż jednego drzewa w
pojedynczym lesie powinno być
wykorzystywane tylko w razie takiej
konieczności
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Wybieranie zdarzeń do inspekcji (1)
Żadna strategia projektowania zabezpieczeń nie może
być pełna bez uwzględnienia szczegółowej strategii
inspekcji
Konieczne jest zaplanowanie całościowej strategii
inspekcji
Powody, dla których należy włączyć inspekcję i
monitorować dzienniki zdarzeń:
 Aby określić poziom odniesienia dla normalnego działania
sieci i komputerów
 Aby wykryć próby włamania do sieci lub konkretnej maszyny
 W celu określenia, które dane i systemy zostały zinfiltrowane w
trakcie incydentu lub po nim
Wybieranie zdarzeń do inspekcji (2)
Tworzenie planu inspekcji systemu
Określenie, jakie rodzaje działań lub operacji
mają być rejestrowane
Zdarzenia podlegajÄ…ce inspekcji w systemach
Windows opartych o jÄ…dro NT:
 zdarzenia sukcesu (podjęta akcja została pomyślnie
zakończona przez system)
 zdarzenia niepowodzenia (użyteczne przy śledzeniu
prób ataku na obserwowane środowisko sieciowe
lub komputer)
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Zarządzanie podglądem zdarzeń
Wszystkie zdarzenia
dotyczące zabezpieczeń w
systemach NT sÄ…
rejestrowane w dzienniku
zabezpieczeń dostępnym
poprzez narzędzie Event
Viewer
Dla każdego pliku dziennika
możliwe jest określenie:
 położenia
 maksymalnego rozmiaru
 sposobu postępowania w
przypadku przepełnienia
Określenie lokalizacji pliku
dziennika
Domyślnie - %systemroot%\system32\config w pliku
SecEvent.evt
W systemie Windows XP, lokalizację pliku można
zmienić poprzez okno dialogowe Podglądu zdarzeń
W systemie Windows NT oraz 2000 można to zmienić
poprzez edycjÄ™ rejestru:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security
Domyślnie dostęp do niego jest ograniczony dla konta
System oraz grupy Administratorów
Określenie maksymalnego
rozmiaru pliku dziennika
Standardowo 512 kB
Rozmiar nie powinien przekraczać 300 MB
Zmiany rozmiaru można dokonać w karcie Właściwości
lub poprzez Szablony zabezpieczeń i Zasady grupy
Maksymalna wielkość pliku dziennika zabezpieczeń
przechowywana jest w rejestrze w kluczu:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security\MaxSize
Konfigurowanie zastępowania
wpisów (1)
Określenie co ma się wydarzyć, gdy osiągnięty
zostanie ustawiony wcześniej maksymalny rozmiar
pliku dziennika (zachowania zastępowania)
 Overwrite Events As Needed (ZastÄ…p zdarzenia w razie
potrzeby)  usuwany jest najstarszy wpis
 Overwrite Events Older Than [x] Days (ZastÄ…p zdarzenia
starsze niż)  zdarzenia są przechowywane przez określony
czas, zanim zaczną być zastępowane przez nowe
 Do not Overwrite Events (Nie zastępuj zdarzeń)  zdarzenia
nie będą rejestrowane po zapełnieniu pliku dziennika
Konfigurowanie zastępowania
wpisów (2)
Możliwe jest skonfigurowanie systemu tak, aby po wykonał
automatyczne zamknięcie systemu, w przypadku gdy
rejestrowanie nowych zdarzeń nie jest możliwe
Spowoduje to pojawienie siÄ™ tzw. ekranu  Blue Screen of Death z
komunikatem: STOP C00000244 [Audit Failed]
Po wystąpieniu tego błędu tylko członkowie grupy Administrator
będą mogli się zalogować w celu ustalenia przyczyny zatrzymania
rejestrowania
W celu uaktywnienia tej funkcji należy klucz rejestru:
HKLM\SYSTEM\CurrectConsolSet\Control\Lsa\CrashOnAuditFail
ustawić na wartość 1
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Zdarzenia podlegajÄ…ce inspekcji
Zdarzenia podlegajÄ…ce inspekcji:
 Zdarzenia logowania na kontach
 ZarzÄ…dzanie kontami
 Dostęp do usługi katalogowej
 Zdarzenia logowania
 Dostęp do obiektów
 Zmiana zasad
 Wykorzystanie przywilejów
 Śledzenie procesów
 Zdarzenia systemowe
Aktualny stan inspekcji dla poszczególnych obszarów sprawdzić
można przy pomocy przystawki MMC Local Security Policy
Zdarzenia logowania na kontach (1)
Operacja logowania do domeny przetwarzana jest
przez jeden z kontrolerów domeny
Próby logowania rejestrowane są przez ten kontroler,
który dokonał uwierzytelnienia
Zdarzenia logowania na kontach tworzone sÄ… w
momencie, gdy pakiet uwierzytelniajÄ…cy potwierdzi (lub
nie) tożsamość użytkownika
Inspekcję tego typu zdarzeń należy prowadzić na
wszystkich kontrolerach, a przed analizą wykonać
konsolidację dzienników ze wszystkich z
ródeł
Zdarzenia logowania na kontach (2)
Logowanie tych zdarzeń zawiera informacje na temat:
 na jakie konto zachodzi próba logowania (jaki jest jego SID)
 z jakiego komputera oraz domeny
 jaki jest to typ logowania (interaktywne, sieciowe, wsadowe,
usługowe, itd.)
Typowe zdarzenia logowania na kontach zawierajÄ…
informacjÄ™ na temat:
 wydania, potwierdzenia biletu
 uwierzytelniania Kerberos
 przemapowania konta na konto domenowe
 problem z sesjÄ…
 ...
Zdarzenia zarzÄ…dzania kontami
Każdy administrator ma możliwość przyznawania
innym kontom rozszerzonych praw i uprawnień, a
także tworzenia dodatkowych kont
Możliwe jest rejestrowanie zdarzeń:
 utworzenie
 zmiana lub usunięcie konta lub grupy
 zmiana nazwy konta
 włączenie lub wyłączenie, ustawienie lub zmiana hasła
 zmiana zasad zabezpieczeń komputera
Inspekcja dostępu do usług
katalogowych
Umożliwia śledzenie zmian dokonywanych w usłudze Active
Directory
Przykład - obiekty Urzędu certyfikacji przedsiębiorstwa (CA)
 przechowywane w kontenerze konfiguracji po zainstalowaniu
infrastruktury kluczy publicznych przedsiębiorstwa (Public Key
Infrastructure - PKI)
Oprócz włączenie inspekcji usługi katalogowej, należy dodatkowo
dla każdego obiektu lub atrybutu zdefiniować systemową listę
kontroli dostępu (SACL)
Inspekcję należy włączyć na wszystkich kontrolerach, najlepiej
poprzez utworzenie zasady inspekcji w obiekcie Zasad grupy na
poziomie domeny
Inspekcja zdarzeń logowania
Umożliwia śledzenie każdorazowego logowania i
wylogowywania użytkowników lub komputerów z
komputera
Jest rejestrowane przez dziennik zabezpieczeń
komputera, na którym wystąpiła próba logowania
W przypadku Å‚Ä…czenia siÄ™ z innÄ… maszynÄ…, zostanie
wygenerowane na komputerze zdalnym
Zdarzenia logowania tworzone sÄ… w momencie
utworzenia lub zniszczenia sesji logowania i
związanego z niążetonu dostępu
Inspekcja zdarzeń logowania na
kontach a inspekcja zdarzeń logowania
Zdarzenia logowania na kontach sÄ… rejestrowane przez
ten komputer, który dokonuje uwierzytelnienia
Zdarzenia logowania sÄ… zapisywane w dzienniku
komputera, na którym konto zostało użyte
W przypadku inspekcji na kontrolerze domeny, wpisy
będą tworzone tylko dla logowania interaktywnego
oraz sieciowego
 logowanie komputerów nie generuje wpisów
Inspekcja dostępu do obiektów (1)
Umożliwia śledzenie udanych oraz nieudanych prób
dostępu do zasobów plikowych, drukowania oraz do
rejestru systemowego
Wymaga określenia SACL dla każdego zasobu
 SACL złożone są z wpisów kontroli dostępu (Access Control
Entry  ACE). Każdy z nich zawiera trzy fragmenty informacji:
Zwierzchnik zabezpieczeń (użytkownik, komputer), podlegający
inspekcji
Typ dostępu, który ma podlegać inspekcji  maska dostępu
Flaga informująca o typach rejestrowanych zdarzeń  sukcesu
lub niepowodzenia
Inspekcja dostępu do obiektów (2)
Inspekcja zmian zasad
Umożliwia śledzenie modyfikacji
dokonywanych w obszarach takich jak:
 przypisywanie praw użytkowników
 zasady inspekcji
 domenowe relacje zaufania
Przydatne przy wykrywaniu prób dodawania
przywilejów (jak np. przywilej Debug czy Back
Up Files And Folders)
Inspekcja użycia uprawnień
Umożliwia rejestrowanie faktu wykorzystania jednego z
praw zezwalajÄ…cych na wykonanie procedury
Przykładowe zdarzenia rejestrowane przez tę
inspekcjÄ™:
 zamykanie systemu lokalnego lub zdalnego
 ładownie lub usuwanie sterowników urządzeń
 przeglądanie dziennika zabezpieczeń
 przejmowanie obiektów na własność
 działanie jako element systemu operacyjnego
Inspekcja śledzenia procesów
Umożliwia stworzenie szczegółowego rejestru
wykonywanych procesów:
 aktywizacja programu
 zakończenie procesu
 duplikowanie dojść
 pośredni dostęp do obiektów
Jest idealnym narzędziem do krótkotrwałej
pracy, jak na przykład rozwiązywanie
problemów z działaniem aplikacji
Inspekcja zdarzeń systemowych
Umożliwia śledzenie zdarzeń polegających na
modyfikacji środowiska komputera
Typowe zdarzenia:
 czyszczenie dziennika zabezpieczeń
 zamykanie systemu na komputerze lokalnym
 dokonywanie zmian w pakietach
uwierzytelniających działających na tym komputerze
WÅ‚Ä…czanie zasad prowadzenia
inspekcji
Można to uczynić korzystając z przystawki MMC Local
Security Policy (Zasady zabezpieczeń lokalnych) lub
poprzez zastosowanie szablonów zabezpieczeń
W przypadku komputerów należących do domeny
możliwe jest również zdalne włączenie inspekcji przy
użyciu Zasad grupy
Aby włączyć zasady prowadzenia inspekcji, należy:
 otworzyć przystawkę
 kliknąć gałąz
Local Policies (Zasady lokalne) oraz Audit Policy
(Zasady prowadzenia inspekcji)
 wybrać zasadę i we właściwościach wybrać rodzaj inspekcji
(sukces i/lub niepowodzenie)
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
Wprowadzenie do Active Directory
Wybieranie zdarzeń do inspekcji
Zarządzanie podglądem zdarzeń
Konfigurowanie zasad inspekcji
Monitorowanie rejestrowanych zdarzeń
Podgląd zdarzeń
Prosty program służący do przeglądania i analizy
danych zgromadzonych w dziennikach zdarzeń
Umożliwia wyświetlanie szczegółów, sortowanie oraz
filtrowanie zdarzeń oraz podłączanie do zdalnych
komputerów w celu zarządzania dziennikami
Brak możliwości konsolidacji zdarzeń
Możliwość eksportu do pliku
Niestandardowe skrypty (1)
Dumpel.exe (Dump Event Log)
 Narzędzie wiersza polecenia kopiujące plik dziennika
komputera lokalnego lub zdalnego do pliku tekstowego
rozdzielanego tabulatorami
 Umożliwia filtrowanie kopiowanych danych
EventQuery.pl
 Skrypt Perlowy wyświetlający zdarzenia z dzienników w
formacie Event Viewer na komputerze lokalnym lub zdalnym
 posiada szeroki zakres filtrów
Niestandardowe skrypty (2)
Eventlog.pl
 Skrypt w języku Perl, umożliwiający skopiowanie i
wyczyszczenie plików dzienników oraz wyświetlenie
i zmianę właściwości dzienników na komputerze
lokalnym lub zdalnym
 Użyteczny przy:
zmianie właściwości dzienników zdarzeń
wykonywaniu kopii zapasowych dzienników
eksportowaniu dzienników do plików tekstowych
czyszczeniu dzienników
Niestandardowe skrypty (3)
Event Comb
 Umożliwia równoległe przeglądanie dzienników zdarzeń z wielu
komputerów
 Umożliwia wyszukiwanie zdarzeń na podstawie zawartości
dowolnego pola w rekordzie zdarzenia w połączonych plikach
dzienników
 Możliwości:
wyszukiwanie zdarzeń o konkretnym identyfikatorze lub należącym do
zdefiniowanej grupy
wyszukiwanie zdarzeń według zakresu
ograniczenie wyszukiwania do określonych dzienników
ograniczenie wyszukiwania do określonych typów informacji
ograniczenie wyszukiwania do konkretnych z
ródeł zdarzeń
wyszukiwanie tekstu w objaśnieniach zdarzeń
określenie przedziału czasowego, dla którego dzienniki mają być
skanowane
Agenda
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Monitoring i analiza liczników systemu
Windows
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
Inspekcja DHCP
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
Inspekcja DHCP
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Prowadzenie inspekcji
zabezpieczeń kontrolerów domeny
Włączenie inspekcji w domyślnych zasadach
dla kontrolerów domeny gwarantuje, że
ewentualne ataki na kontrolery domeny
zostanÄ… wykryte
Inspekcja umożliwia rejestrowanie zdarzeń w
dzienniku zabezpieczeń systemu
Rejestr ten może być pomocny przy
wykrywaniu prób włamania oraz ataków innego
typu (jak np. DoS  Denial of Service)
Prowadzenie inspekcji
zabezpieczeń kontrolerów domeny
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
Inspekcja DHCP
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Inspekcja DHCP
Włączenie inspekcji DHCP na serwerze pozwoli ustalić, którzy
klienci DHCP łączą się z serwerem DHCP oraz określenia
pochodzenia wpisów BAD_ADDRES,
W tym celu należy włączyć opcję Enable DHCP Auditing Logging
w konsoli konfiguracyjnej serwera DHCP
Codzienne pliki dzienników tworzone są w folderze
%windir%\system32\dhcp
Możliwe jest również dostosowanie inspekcji poprzez modyfikację
klucza w rejestrze:
HKLM\SYSTEM\CurrentControlSet\Services\DhcpServer\Paramet
ers\DhcplogFilesMaxSize
definiującego maksymalny rozmiar plików dzienników DHCP
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
Inspekcja DHCP
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (1)
Konfiguracja poprzez przystawkÄ™ IIS
Możliwość ustawienia parametrów dziennika:
 czas tworzenia kolejnego pliku dziennika
 katalog pliku wpisów
 obiekty, które będą rejestrowane
Dla każdego zasobu z puli można decydować
czy wpisy o jego  odwiedzeniu mają być
rejestrowane czy nie
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (2)
Możliwe jest zwiększenie domyślnych zabezpieczeń:
 zastosowanie certyfikatów
 zastosowanie kanałów SSL
 odmowa dostępu wybranych komputerom lub sieciom
Możliwa jest również konfiguracja metod
uwierzytelniania hasła:
 dostęp anonimowy
 uwierzytelnianie zintegrowane
 hasło szyfrowane
Można również limitować pasmo przeznaczone dla
poszczególnych daemonów pakietu IIS
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (3)
Dodatkowe narzędzia, umożliwiające zabezpieczenie
serwera IIS:
 IIS Lockdown
ustawienie szablonu serwera
limitowanie rodzaju skryptów  mapowanie skryptów
usunięcie zbędnych składników systemu
 filtr URLScan
porównywanie żądań z plikiem konfiguracyjnym pod względem
poprawności
Narzędzia te usuwają znane słabości konfiguracji IIS i
zapewniajÄ… filtry chroniÄ…ce przed typowymi atakami
kierowanymi przeciwko serwerowi IIS
Agenda
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
Monitoring i analiza liczników systemu
Windows
Monitoring i analiza liczników
systemu Windows
Monitorowanie IPSec
Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows
Monitoring i analiza liczników
systemu Windows
Monitorowanie IPSec
Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows
Monitorowanie IPSec (1)
IPSec szyfruje przesyłane treści po wysłaniu ich przez aplikację
po stronie klienta, po czym rozszyfrowuje je przed przekazaniem
ich do aplikacji na serwerze
Aplikacje nie muszą posiadać funkcji obsługi IPSec, gdyż dane
przekazywanie pomiędzy klientem i serwerem są przesyłane
zazwyczaj w postaci zwykłego tekstu
IPSec składa się z dwóch protokołów
 IPSec Authentication Header (AH)  zapewnienie integralności
pakietów
 IPSec Encapsulating Security Payload (ESP)  gwarantuje poufność
Protokoły działają w dwóch trybach (trybie transportowym oraz
tunelowania) przy użyciu trzech różnych metod uwierzytelniania:
 przy pomocy mechanizmu Kerberos
 Przy użyciu certyfikatów X.509
 Przy użyciu zdefiniowanego klucza
Monitorowanie IPSec (2)
Możliwe monitorowanie IPSec przy użyciu programu
Ipsecmon.exe lub przystawki IP Security Monitor
IPSec może rejestrować wymiany kluczy internetowych
w pliku dziennika na dysku twardym komputera
W celu włączenia rejestrowania wymian kluczy
internetowych, należy w kluczu rejestru
HKLM\System\CurrentControlSet\Services\PolicyAgent
\Oakley
utworzyć wpis o nazwie EnableLogging a następnie
przypisać mu wartość 1
Dane dziennika zapisywane sÄ… w pliku
%systemroot%\debug\oakley.log
Monitoring i analiza liczników
systemu Windows
Monitorowanie IPSec
Omówienie instalacji oraz możliwości
protokołu SNMP oraz narzędzia prezentacji
parametrów liczników wydajności MRTG na
platformach Windows
Protokół SNMP (1)
SNMP: Simple Network Management Protocol
Narzędzie służące do konfiguracji i nadzorowania
urządzeń sieciowych i hostów działających w sieciach
IP
Możliwość monitorowania poprzez sterowanie
poszczególnymi urządzeniami oraz zarządzania z
wykorzystaniem dedykowanych pakietów
oprogramowania całymi sieciami
Standaryzowany (przez IETF Network Management
Research Group Charter (NMRG))
Relatywna łatwość pisania agentów i narzędzi
zarzÄ…dzajÄ…cych
Protokół SNMP (2)
Na nadzorowanym systemie/węz
le instaluje siÄ™ tak zwanego
agenta, tj. program działający w trybie usługi/daemona
odpowiadający na żądania stacji zarządzających (tj. klientów),
wydajÄ…cych zlecenia agentowi
Zlecenia te mogą odnosić się do pobrania pewnej wartości (GET,
GET-NEXT, GET-BULK, GetNextRequest), ustawienia wartości
(SET)
W wypadku agentów SNMP w Windows NT i 2000
uwierzytelnianie odbywa siÄ™ za pomocÄ… tak zwanej community
(znaku współposiadania, wspólnoty), wywodzącej się z protokołu
SNMP v1 i SNMP v2c
W SNMP v3 domyślną metodą uwierzytelniania jest User Security
Model, zawierający oddzielne identyfikatory dla różnych
użytkowników oraz hasła szyfrowane w czasie transmisji
mRTG (1)
mRTG: Multi Router Traffic Grapher
Proste narzędzie administracyjne używane do
monitorowania ruchu w sieci
Z usługi SNMP pobiera informacje o stanie sieci czy
innych zasobów serwera i na ich podstawie tworzy
strony HTML z wykresami np. ilości danych
przesyłanych przez łącze
Generuje czytelne wykresy ruchu w sieci oraz
ogólnego wykorzystania komputera w ostatnim
tygodniu, miesiÄ…cu lub roku
mRTG (2)
Instalacja mRTG:
 Zainstalować SNMP:
w Panelu Sterowania należy wybrać Dodaj/Usuń programy
następnie Dodaj/Usuń składniki Windows
składnik Narzędzia zarządzania i monitorowania
Sczegóły -> Protokół Simple Network Management
Protocol
mRTG (3)
Instalacja mRTG (c.d.):
 Ustalić nazwę grupy:
Narzędzia Administracyjne -> Usługi -> SNMP Service
w zakładce Bezpieczeństwo, w polu Akceptowane nazwy
społeczności po kliknięciu przycisku Dodaj, w oknie, które
się pokaże, należy wybrać opcję TYLKO DO ODCZYTU i
wpisać nazwę community
 domyślna nazwa, to Public
Sprawdzić czy wybrana jest opcja Akceptuj pakiety SNMP
z tych hostów i czy na liście jest tylko jeden host, tzn.
localhost
mRTG (4)
Instalacja mRTG (c.d.):
 Pobrać i zainstalować ActivePerl
mRTG jest skompilowanym programem napisanym w
języku C i skryptem Perl
 Pobrać i rozpakować mRTG
Pomocna literatura
1. Ben Smith, Brian Komar i Microsoft Security Team,  Microsoft®
Windows® Security Resource Kit , Microsoft® Press
2. Mitch Tulloch,  Microsoft® Encyclopedia of Security , Microsoft®
Press
3. The Microsoft® IIS Team,  Internet Information Services (IIS) 6
Resource Kit , Microsoft® Press
4. William R. Stanek,  Vademecum Administratora Microsoft® IIS
6.0 , Microsoft® Press
5. David Iseminger,  UsÅ‚ugi Active Directory dla Microsoft®
Windows® 2000 Server Przewodnik Techniczny , Microsoft®
Press
6. Mike Mulcare, Stan Reimer,  Active Directory for Microsoft®
Windows® Server 2003 Technical Reference , Microsoft® Press
7. Ed Bott, Carl Siechert,  BezpieczeÅ„stwo Microsoft® Windows®
XP i Windows® 2000 dla ekspertów , Microsoft® Press
Dziękujemy
Piotr Powroz
nik
Bartosz Piec