Quanto è sicuro il registro degli eventi di Windows e in che modo è protetto?

Sebbene gli ACL siano effettivamente il modo principale in cui è protetto il registro eventi, implementano alcuni altre funzionalità di sicurezza.

Quando il registro eventi viene cancellato dal visualizzatore eventi, viene aggiunto un nuovo evento che contiene il nome utente dell'utente che lo ha cancellato.

Windowsmantieneapertiifilediregistrodeglieventimentreilsistemaoperativoèinesecuzione,bloccandoifileinmodochepossanoesserescrittisolodalprocessodelregistroeventi [1] . È tuttavia possibile che gli strumenti iniettino codice dannoso nel processo del registro eventi per aggirare questo problema. Uno di questi strumenti è WinZapper , sebbene sia necessario l'accesso come amministratore e non ho giocato con questo dal Windows XP - quindi non importa se funziona ancora su Windows 7.

È opportuno spedire i log su un server remoto e resistente. Un certo numero di strumenti gratuiti, come Snare , supportano l'inoltro dei registri di Windows a un server syslog. La maggior parte degli strumenti SIM / SIEM supporta anche questo utilizzando agenti installati localmente per inviare i registri al server remoto o tramite il server remoto estraendo i registri dai sistemi di origine su WMI (in modo meno scalabile). Puoi anche utilizzare il Programma di raccolta eventi di Windows .

Il registro eventi di Windows è sicuro solo come il sistema su cui è in esecuzione. Poiché gli account nel sistema leggono, scrivono e modificano gli eventi , chiunque possa compromettere la macchina o chiunque abbia i privilegi di amministratore, può modificare gli eventi. Tecnicamente, solo LSASS dovrebbe essere in grado di scrivere, ma la storia può dirti quanto Sasser e altri worm rendessero questo inutile.

Personalmente, l'unica difesa possibile a cui posso pensare contro la manomissione sarebbe quella di utilizzare la registrazione remota, ad es. eventlog-to-syslog . Ciò consente a QUALSIASI e TUTTE le voci di essere archiviate in remoto. L'unico metodo che qualcuno può utilizzare per bypassare qualsiasi cosa sarebbe DOPO il fatto. Significato, ci sarebbe SEMPRE l'istanza iniziale di un registro che non può mai essere modificato. Se un responsabile DID di un attaccante inizia a manomettere i registri, dovrebbero eseguire una programmazione intensiva per intercettare le chiamate di sistema prima che venga scritto (tramite LSASS) per nascondere le loro tracce.

Anche così (riuscendo a manomettere i registri), l'unico meccanismo che avrebbero (l'attaccante (s)) sarebbe stato in grado di fare, di tornare indietro e nascondere / modificare le loro voci, sarebbe quello di compromettere anche il server syslog

MODIFICATO alle 3:42 PM EST per chiarezza sulla mia risposta iniziale ...

Dall'inizio, devi vedere come Windows sta memorizzando qualcosa riguardo a EventLog. È fatto a livello di applicazione, sessione, presentazione, trasporto. Questo è tutto fatto sulla macchina stessa. Ogni singola istanza è scritta localmente. QUESTO è il periodo del problema. Per CHIUNQUE avrebbe accesso a lettura, scrittura, apertura, avrebbe la capacità (non capacità a meno che non sia un amministratore) di leggere e scrivere file.

Pensaci per un momento. Se sono su una macchina con questi privilegi, c'è ben poco da impedirmi di modificare. Anche se hai provato a registrare ciò che sto facendo, posso modificare questi log. In effetti, il timestomp (programma contro-forense) fa proprio quel tempo di MACE. L'unico meccanismo per proibire questo, sarebbe quello di inviare i registri sulla macchina. Non esiste alcun meccanismo che conosca che impedirà a qualcuno locale sulla macchina di ottenere il ABILITY per modificare i dati del registro eventi. Questo perché legge e le scritture vengono eseguite sulla macchina stessa. C'è la possibilità che a) un aggiornamento può rompere le cose b) un utente con privilegi escalation può eliminare e modificare i dati.

La registrazione remota ha più senso perché i registri (eventi) non sono memorizzati, scritti, modificati localmente. Qualcuno dovrebbe entrare nella macchina per la registrazione per manipolare (modificare, cancellare) le voci. L'unico altro meccanismo (checksum locale, ecc.) SEMPRE viene troncato perché deve sempre essere un superutente (admin, root, ecc.). Autori di malware, autori di virus, aggressori malintenzionati tendono a modificare le voci degli eventi il più delle volte. Questo dovrebbe essere evidente che non si può fare molto a livello locale.

Per quanto riguarda "prova di manomissione", richieste di gestione dei motori può farlo Tuttavia, lo fanno da remoto.