Biztonsági események naplózása
A Windows Communication Foundationrel (WCF) létrehozott alkalmazások a naplózási funkcióval naplózhatják a biztonsági eseményeket (sikeres, sikertelen vagy mindkettő). Az események a Windows rendszer eseménynaplójába vannak írva, és a Eseménynapló segítségével vizsgálhatók meg.
A naplózással a rendszergazda észlelheti a már bekövetkezett vagy folyamatban lévő támadásokat. Emellett a naplózás segíthet a fejlesztőknek a biztonsággal kapcsolatos problémák hibakeresésében. Ha például az engedélyezési vagy ellenőrzési szabályzat konfigurációs hibája véletlenül tagadja meg a hozzáférést egy jogosult felhasználóhoz, a fejlesztő az eseménynapló vizsgálatával gyorsan felderítheti és elkülönítheti a hiba okát.
További információ a WCF biztonságáról: Biztonsági áttekintés. A WCF programozásával kapcsolatos további információkért lásd az alapszintű WCF-programozást.
Naplózási szint és viselkedés
A biztonsági auditok két szintje létezik:
Szolgáltatás-engedélyezési szint, amelyben a hívó jogosult.
Üzenetszint, amelyben a WCF ellenőrzi az üzenetek érvényességét, és hitelesíti a hívót.
Mindkét naplózási szintet ellenőrizheti a sikeresség vagy a sikertelenség szempontjából, amelyet a naplózási viselkedésnek nevezünk.
Naplózási napló helye
Miután meghatározta a naplózási szintet és a viselkedést, Ön (vagy egy rendszergazda) megadhatja a napló helyét. A három lehetőség a következő: Alapértelmezett, Alkalmazás és Biztonság. Az Alapértelmezett beállítás megadásakor a tényleges napló attól függ, hogy melyik rendszert használja, és hogy a rendszer támogatja-e a biztonsági naplóba való írást. További információkért lásd a jelen témakör "Operációs rendszer" szakaszát.
A biztonsági naplóba való íráshoz a SeAuditPrivilege
. Alapértelmezés szerint csak a helyi rendszer- és hálózatiszolgáltatás-fiókok rendelkeznek ezzel a jogosultsággal. A biztonsági napló funkcióinak read
kezeléséhez és delete
a SeSecurityPrivilege
. Alapértelmezés szerint csak a rendszergazdák rendelkeznek ezzel a jogosultsággal.
Ezzel szemben a hitelesített felhasználók olvashatnak és írhatnak az alkalmazásnaplóba. A Windows XP alapértelmezés szerint naplóeseményeket ír az alkalmazásnaplóba. A napló az összes hitelesített felhasználó számára látható személyes adatokat is tartalmazhat.
Naplózási hibák letiltása
A naplózás során egy másik lehetőség az, hogy letiltja-e a naplózási hibákat. Alapértelmezés szerint a naplózási hiba nem befolyásolja az alkalmazásokat. Szükség esetén azonban beállíthatja a beállítást false
, ami kivételt okoz.
Programozási naplózás
A naplózási viselkedést programozott módon vagy konfigurációval is megadhatja.
Naplózási osztályok
Az alábbi táblázat a naplózási viselkedés programozásához használt osztályokat és tulajdonságokat ismerteti.
Osztály | Leírás |
---|---|
ServiceSecurityAuditBehavior | Lehetővé teszi a naplózás szolgáltatásként való viselkedésének beállítását. |
AuditLogLocation | Enumerálás annak megadásához, hogy melyik naplóba kell írni. A lehetséges értékek az Alapértelmezett, az Alkalmazás és a Biztonság. Az Alapértelmezett beállítás kiválasztásakor az operációs rendszer határozza meg a napló tényleges helyét. A témakör későbbi részében tekintse meg az "Alkalmazás vagy biztonsági eseménynapló kiválasztása" című szakaszt. |
MessageAuthenticationAuditLevel | Meghatározza, hogy a rendszer milyen típusú üzenethitelesítési eseményeket naplóz az üzenet szintjén. A lehetőségek a következők: None , Failure Success és SuccessOrFailure . |
ServiceAuthorizationAuditLevel | Meghatározza, hogy a szolgáltatásszinten mely típusú szolgáltatás-engedélyezési események naplózása van naplózva. A lehetőségek a következők: None , Failure Success és SuccessOrFailure . |
SuppressAuditFailure | Meghatározza, hogy mi történik az ügyfélkéréssel, ha a naplózás sikertelen. Ha például a szolgáltatás megpróbál írni a biztonsági naplóba, de nem rendelkezik SeAuditPrivilege . Az alapértelmezett érték true azt jelzi, hogy a rendszer figyelmen kívül hagyja a hibákat, és az ügyfélkérelmet a rendszer normál módon dolgozza fel. |
Egy alkalmazás naplózási események naplózására való beállítására példa: Útmutató: Biztonsági események naplózása.
Konfiguráció
A konfigurációval is megadhatja a naplózási viselkedést, ha hozzáad egy <serviceSecurityAuditot> a< viselkedések> alá. Az elemet a következő kódban látható módon kell hozzáadnia egy viselkedéshez>.<
<configuration>
<system.serviceModel>
<behaviors>
<behavior>
<!-- auditLogLocation="Application" or "Security" -->
<serviceSecurityAudit
auditLogLocation="Application"
suppressAuditFailure="true"
serviceAuthorizationAuditLevel="Failure"
messageAuthenticationAuditLevel="SuccessOrFailure" />
</behavior>
</behaviors>
</system.serviceModel>
</configuration>
Ha a naplózás engedélyezve van, és nincs megadva, auditLogLocation
az alapértelmezett naplónév a biztonsági naplóba való írást támogató platform "Biztonsági" naplója, ellenkező esetben az "Alkalmazás" napló. Csak a Windows Server 2003 és a Windows Vista operációs rendszerek támogatják a biztonsági naplóba való írást. További információkért lásd a jelen témakör "Operációs rendszer" szakaszát.
Biztonsági szempontok
Ha egy rosszindulatú felhasználó tudja, hogy a naplózás engedélyezve van, a támadó érvénytelen üzeneteket küldhet, amelyek naplóbejegyzések írását okozzák. Ha a napló így van kitöltve, a naplózási rendszer meghibásodik. Ennek mérsékléséhez állítsa be a SuppressAuditFailure tulajdonságot true
a Eseménynapló tulajdonságaira, és használja a naplózási viselkedés szabályozásához.
A Windows XP-en az alkalmazásnaplóba írt naplózási események minden hitelesített felhasználó számára láthatók.
Választás az alkalmazás- és biztonsági eseménynaplók között
Az alábbi táblázatok információkat tartalmaznak, amelyekkel eldöntheti, hogy az alkalmazásba vagy a biztonsági eseménynaplóba szeretne-e bejelentkezni.
Operációs rendszer
Rendszer | Alkalmazásnapló | Biztonsági napló |
---|---|---|
Windows XP SP2 vagy újabb verzió | Támogatott | Nem támogatott |
Windows Server 2003 SP1 és Windows Vista | Támogatott | A szálkörnyezetnek rendelkeznie kell SeAuditPrivilege |
Egyéb tényezők
Az operációs rendszer mellett az alábbi táblázat a naplózás engedélyezését szabályozó egyéb beállításokat is ismerteti.
Szorzó | Alkalmazásnapló | Biztonsági napló |
---|---|---|
Szabályzatkezelés naplózása | Nem alkalmazható. | A konfiguráció mellett a biztonsági naplót a helyi biztonsági hatóság (LSA) szabályzata is szabályozza. Az "Objektumhozzáférés naplózása" kategóriát is engedélyezni kell. |
Alapértelmezett felhasználói felület | Minden hitelesített felhasználó írhat az alkalmazásnaplóba, így nincs szükség további engedélylépésre az alkalmazásfolyamatokhoz. | Az alkalmazásfolyamatnak (környezetnek) rendelkeznie kell .SeAuditPrivilege |