IIS - Обнаружение несанкционированного доступа

Имеется возможность просмотра журналов IIS и журналов безопасности Windows для контроля за событиями безопасности в течение длительных промежутков времени. Для просмотра журналов безопасности Windows можно использовать Microsoft Management Console. Журналы IIS могут быть просмотрены с помощью любого текстового редактора или текстового процессора. Для получения дополнительных сведений о просмотре журналов IIS см. раздел Ведение журналов узлов.

В журнале безопасности Windows попытки несанкционированного доступа фиксируются как записи о предупреждениях или ошибках. Эти журналы могут быть заархивированы для дальнейшего использования. Дополнительные сведения об аудите см. в документации Windows.

1. Нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните компонент Администрирование, а затем дважды щелкните значок Управление компьютером.
2. Раскройте узел Служебные программы.
3. Раскройте узел Просмотр событий.
4. Выберите Безопасность.

Примечание.   Невозможность просмотреть журнал безопасности свидетельствует о том, что используемая учетная запись пользователя не имеет привилегий для выполнения этой операции. Это может происходить из-за того, что политика безопасности уровня домена перекрывает политику безопасности уровня компьютера. Это означает, что можно войти в систему как администратор локального компьютера, но не иметь доступа к журналу безопасности. Чтобы получить эти разрешения, обратитесь к администратору сети. Для получения информации о политике безопасности см. документацию Windows.

5. Проверьте журналы на наличие подозрительных событий безопасности, в том числе следующих:

• Недопустимые попытки входа в систему.
• Неудачное использование привилегий.
• Неудачные попытки доступа к файлам .bat или .cmd и их изменения.
• Попытки изменения привилегий безопасности или журнала аудита.
• Попытки завершения работы сервера.

1. Нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните компонент Администрирование, а затем дважды щелкните значок Управление компьютером.
2. Раскройте узел Служебные программы.
3. Раскройте узел Просмотр событий.
4. Выберите Безопасность.
5. В меню Действие выберите команду Сохранить файл журнала как.
6. В диалоговом окне Сохранить как выберите каталог, в котором будет сохраняться файл, и введите имя файла.

Примечание.   Журнал безопасности может быть сохранен как файл событий (.evt), текстовый файл (.txt), или файл с разделителями-запятыми (.csv).

1. Нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните компонент Администрирование, а затем дважды щелкните значок Управление компьютером.
2. Раскройте узел Служебные программы.
3. Раскройте узел Просмотр событий.
4. Выберите Безопасность.
5. В меню Действие выберите команду Создать вид журнала.
6. В диалоговом окне Добавление нового представления журнала выберите переключатель Сохраненный (представление ранее созданного журнала) и выберите файл.
7. В раскрывающемся списке Тип журнала выберите Безопасность.
8. Чтобы открыть файл в обозревателе, нажмите кнопку OK.

1. В текстовом редакторе, например в «Блокноте», откройте файл журнала. Для получения дополнительных сведений о файлах журналов см. раздел Ведение журналов узлов.
2. Проверьте журналы на наличие подозрительных событий безопасности, в том числе следующих:

• Многочисленные невыполненные команды с попытками запуска исполняемых файлов или сценариев. (Следует более тщательно проследить за каталогом со сценариями.)
• Многочисленные неудачные попытки входа с одного IP-адреса, возможной целью которых является увеличение интенсивности сетевой передачи данных или помехи для доступа других пользователей.
• Неудачные попытки доступа к файлам .bat или .cmd и их изменения.
• Несанкционированные попытки передачи файлов в каталог, содержащий исполняемые файлы.