Konfigurowanie dzienników systemowych w Windows NT

W Windows NT za rejestrowanie zdarzeń odpowiedzialny jest program Event Logger, a do odczytywania dzienników służy program Event Viewer. Powoduje to pewne problemy: Event Logger przechowuje tylko informacje lokalne i nie obsługuje zdalnego rejestrowania.

Nie ma żadnego sposobu, aby automatycznie ograniczyć ilość danych w aktywnym dzienniku, nie niszcząc przy tym informacji. Event Viewer nie umożliwia szczególnie elastycznej ani zaawansowanej analizy zdarzeń.

Domyślnie Windows NT przechowuje dziennik o stałej wielkości, a kiedy dziennik się zapełni, stare zdarzenia są usuwane, aby zrobić miejsce na nowe. Nie jest to bezpieczna konfiguracja napastnik może wygenerować wiele nieważnych zdarzeń, aby wymusić usunięcie z dzienników zdarzeń istotnych. Zauważysz, że stało się coś złego, ale nie będziesz wiedział co.

Możesz skonfigurować Windows NT tak, aby stare wpisy nie były usuwane, kiedy dziennik się zapełni. Jeśli jednak tak zrobisz, zdarzenia po prostu przestaną być rejestrowane po zapełnieniu dziennika, co będzie miało jeszcze gorsze skutki dla bezpieczeństwa. Jeśli wierzysz w swoje zdolności do ręcznego ograniczania rozmiarów dziennika, możesz skonfigurować komputer tak, że po zapełnieniu dziennika nie tylko zaprzestanie rejestrowania zdarzeń, ale w dodatku się wyłączy. Jest to bardzo radykalne rozwiązanie system nie jest łagodnie zamykany, ale po prostu załamuje się, co może doprowadzić do utraty danych w otwartych plikach. Z drugiej strony, jeśli komputer nie startuje automatycznie, z pewnością nie stracisz żadnego zapisu w dzienniku.

Jeśli będziesz bardzo uważny, możesz skonfigurować program Event Logger tak, aby byl względnie bezpieczny, ale będzie to wymagało od ciebie stałej obsługi dzienników. W tym celu powinieneś założyć duży dziennik, w którym zdarzenia nie będą nadpisywane, nakazać wyłączanie komputera po zapełnieniu dziennika, wyłączyć automatyczne uruchamianie komputera, a potem regularnie zapisywać dzienniki na wymiennym nośniku i opróżniać je. Komputer pozostanie jednak podatny na ataki blokady usług oraz na modyfikowanie dzienników, zanim jeszcze zdążysz je skopiować. Możesz zwiększyć bezpieczeństwo, zmieniając miejsce, w którym Event Logger zapisuje dane i umieszczając dziennik na nośniku jednokrotnego zapisu. Aby zapobiec nadpisywaniu zdarzeń, otwórz Event Viewer, przejdź do menu Log, wybierz polecenie Log Settings i zaznacz opcję Do Not Overwrite Events (Clear Log Manually). Aby wyłączyć komputer po zapełnieniu dzienników, ustaw na 1 następujący klucz rejestru:

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>