Be kell terveznie, hogy elkapjon egy betolakodót
Remélhetőleg megőrzi és frissíti a számítógépeket, és biztonságban van a hálózata. Azonban meglehetősen elkerülhetetlen, hogy valahányszor rosszindulatú tevékenységet kapsz - vírus , féreg , trójai , támadás vagy egyéb módon. Ha ez megtörténik, ha a támadást megelőzően megtette a helyes dolgokat, akkor meghatározza, hogy mikor és hogyan sikerült a támadást enyhén megkönnyíteni.
Ha valaha is nézte a CSI televíziós műsorát, vagy csak egy rendőri vagy jogi televíziós műsort, tudja, hogy a nyomozók a leggyengébb igazságszolgáltatási bizonyítékokkal is képesek azonosítani, nyomon követni és elkapni egy bűncselekmény elkövetőjét.
De nem lenne-e kedves, ha nem kellett átszitálni a szálakat, hogy megtalálják az egyik hajat, amely valójában az elkövetőhöz tartozik, és a DNS-tesztet azonosítja a tulajdonosának? Mi lenne, ha minden egyes személynél nyilvántartást vezetnénk arról, hogy kihez lépett kapcsolatba és mikor? Mi van akkor, ha van nyilvántartás arról, hogy mi történt az illetővel?
Ha ez lenne a helyzet, az olyan kutatók, mint a CSI-k, esetleg elmaradnak . A rendőrség megtalálja a testet, ellenőrizze a rekordot, hogy lássa, ki volt az utolsó kapcsolatba lépett az elhunyttal, és mi történt, és máris megvan az identitás anélkül, hogy ásniuk kellene. Ez a naplózás abban áll, hogy kriminalisztikai bizonyítékot nyújt, ha rosszindulatú tevékenység van a számítógépen vagy a hálózaton.
Ha a hálózati rendszergazda nem kapcsolja be a naplózást, vagy nem jelentkezik be a helyes események, akkor az illetéktelen hozzáférés vagy más rosszindulatú tevékenység idejének és dátumának vagy módjának azonosítása érdekében felderítheti a törvényszéki bizonyítékokat, ugyanolyan nehéz lehet, mint a közmondásos tű keresése szénaboglya. Gyakran a támadás legfőbb okát soha nem fedezték fel. A megtámadott vagy fertőzött gépek megtisztulnak, és mindenki a szokásos módon tér vissza a vállalkozásba, anélkül, hogy valóban tudná, hogy a rendszereket jobban védik-e, mint azok, amikor először találtak.
Egyes alkalmazások alapértelmezés szerint naplózza a dolgokat. A webszerverek, mint például az IIS és az Apache, rendszerint naplóznak az összes bejövő forgalmat. Ez főként arra szolgál, hogy megtekinthesse, hány ember látogatta meg a weboldalt, milyen IP címet használtak és a webhelyre vonatkozó egyéb mérőszám-információkat. De a CodeRed vagy a Nimda nevű férgek esetében a web naplók azt is megmutathatják, hogy a fertőzött rendszerek megpróbálják-e elérni a rendszert, mert bizonyos parancsokkal rendelkeznek, amelyek megpróbálják megjelenni a naplókban, függetlenül attól, hogy sikeresek vagy sem.
Néhány rendszerben különböző auditálási és naplózó funkciók vannak beépítve. További szoftvereket is telepíthet a számítógép különböző műveleteinek megfigyelésére és naplózására (lásd a cikk jobb oldalán található Linkek eszköztárat). A Windows XP Professional gépen lehetőség van a fiókbejelentkezési események, a fiókkezelés, a címtárszolgáltatási hozzáférés, a bejelentkezési események, az objektumhozzáférés, az irányelvek módosítása, a jogosultságok használatának, a folyamatkövetés és a rendszeresemények ellenőrzésére.
Mindegyikhez választhatja a sikert, a hibát vagy semmit. Például a Windows XP Pro használatával, ha nem engedélyezte az objektumhoz való hozzáférés naplózását, akkor nem lenne nyilvántartás arról, hogy mikor volt a legutóbbi fájl vagy mappa. Ha csak a hiba naplózását engedélyezte, nyilvántartást kérne arról, hogy valaki megpróbálta elérni a fájlt vagy mappát, de sikertelen volt, mert nem rendelkezik megfelelő engedélyekkel vagy engedélyekkel, de nem lett volna nyilvántartás arról, hogy egy jogosult felhasználó hozzáfér-e a fájlhoz vagy mappához .
Mivel a hacker nagyon jól használhatja a megrepedt felhasználónevet és jelszót, sikeresen hozzáférhetnek a fájlokhoz. Ha megtekinti a naplókat, és látja, hogy Bob Smith a vállalati pénzügyi kimutatást vasárnap 3 órakor törölte, biztos lehet abban, hogy Bob Smith alszik, és talán a felhasználóneve és a jelszava veszélybe került. Mindenesetre most már tudjátok, mi történt a fájllal, és mikor, és ez kiindulási pontot ad arra, hogy megvizsgálja, hogyan történt.
Mind a hiba, mind a sikeres naplózás hasznos információkat és nyomokat szolgáltat, de a rendszer teljesítményével egyensúlyt kell fektetnie az ellenőrzési és naplózási tevékenységeivel. Az emberi rekord példájától függően - segítené a nyomozókat, ha az emberek naplót vezetnek mindazokról, akikkel kapcsolatba kerültek, és mi történt az interakció során, de minden bizonnyal lelassítaná az embereket.
Ha meg kellett állnod és fel kellene írnod, hogy ki, mi és mikor minden egyes találkozásod egész nap volt, ez súlyosan befolyásolhatja a termelékenységedet. Ugyanez igaz a számítógépes tevékenység figyelemmel kísérésére és naplózására. Lehetősége van minden lehetséges hiba és sikeres naplózás lehetőségére, és nagyon részletes nyilvántartást fogsz kapni arról, ami a számítógépeden megtörténik. Azonban nagy hatást gyakorol a teljesítményre, mert a processzor elfoglalja a naplókban 100 különböző bejegyzés rögzítését minden egyes alkalommal, amikor valaki megnyom egy gombot, vagy rákattint az egérre.
Mérlegelnie kell, hogy a naplózás milyen hatással lehet a rendszer teljesítményére gyakorolt hatással, és olyan egyensúlyt alakíthat ki, amely a legjobban működik az Ön számára. Figyelembe kell venned azt is, hogy sok hacker eszköz és trójai program, például az Sub7 tartalmaz olyan segédprogramokat, amelyek lehetővé teszik számukra, hogy megváltoztassák a naplófájlokat, hogy elrejtsék akcióikat és elrejtsék a behatolást, így 100% -ot nem támaszthat a naplófájlokra.
Bizonyos dolgokat figyelembe vehet a naplózás beállítása során, ha elkerülhető néhány teljesítményhiba és esetleg a hacker-eszköz eltitkolási problémája. Fel kell mérnie, hogy a naplófájlok milyen nagyok lesznek, és győződjön meg róla, hogy elég lemezterület van az első helyen. Szabályt kell létrehoznia arra is, hogy a régi naplók felül lesznek-e írva vagy törölve, vagy ha a naplókat naponta, hetente vagy más időközönként archiválják, hogy régebbi adatok is visszanézzenek.
Ha egy dedikált merevlemez és / vagy merevlemez-vezérlő használata lehetséges, kevesebb teljesítményre van hatása, mivel a naplófájlok írhatók a lemezre, anélkül, hogy harcolnának azokkal az alkalmazásokkal, amelyeket megpróbálnak futtatni a meghajtóhoz való hozzáférés érdekében. Ha a naplófájlokat külön számítógépre irányíthatja - esetleg naplófájlok tárolására és teljesen más biztonsági beállításokkal -, akkor lehet, hogy blokkolhatja a betolakodó azon képességét, hogy módosítsa vagy törölje a naplófájlokat is.
A végső megjegyzés az, hogy nem szabad várni, amíg túl késő, és a rendszer már összeomlik vagy megrongálódott, mielőtt megtekintené a naplókat. A naplófájlokat rendszeresen felül kell vizsgálni, hogy tudd, mi a normális és alapul szolgál. Így, amikor téves bejegyzéseket találsz, felismerheted őket, és proaktív lépéseket tehetsz a rendszer megkeményedése helyett, ahelyett, hogy túl késő lenne az igazságügyi nyomozás.