Қаскөйлерді ұстау үшін алдын ала жоспарлау керек
Сіз компьютерлеріңізді жауып , жаңартып отырасыз және сіздің желіңіз қауіпсіз болады деп үміттенеміз. Дегенмен, сіз бір кездері зиянды әрекеттерге ұшырайтын боласыз - вирус , құрт , троялық ат, шабуыл шабуылы немесе басқаша. Мұндай жағдайда шабуылдан бұрын дұрыс нәрселер жасаған болсаңыз, шабуылдың қашан және қалайша оңай болатындығын анықтауға болады.
Егер Сіз теледидар шоу CSI , немесе кез келген басқа полиция немесе заңды телекөрсетілім туралы көрген болсаңыз, соттық дәлелдемелердің ең керемет бөліктерімен қатар, тергеушілер қылмысты жасаған адамды анықтауға, қадағалауға және ұстауға қабілетті екенін білесіз.
Дегенмен, шын мәнінде қылмыскерге тиесілі шашты табу үшін және оның иесін анықтау үшін ДНҚ тестілеу үшін талшықтар арқылы сіңірілудің қажеті болмаса жақсы болар ма еді? Егер олар әр адаммен байланысқа шығып, қашан және кіммен кездескен болса, солай ма? Егер сол адамға жасалатын әрекеттер туралы жазба болса, не істеу керек?
Осындай жағдай болса, CSI- дегі тергеушілер, мысалы, бизнестен тыс болуы мүмкін. Полиция органды тауып, қайтыс болған адаммен соңғы рет кіммен байланысып кеткенін және не істелгенін көру үшін жазбаны тексеріп, қазба болған жоқ. Бұл сіздің компьютеріңізде немесе желіңізде зиянды әрекеттер орын алған жағдайда соттық дәлелдемелерді ұсыну тұрғысынан қамтамасыз етеді.
Егер желі әкімшісі тіркеуді қоспаған немесе дұрыс оқиғаларды тіркемеген болса, рұқсат етілмеген қол жеткізудің немесе басқа зиянды әрекеттің уақыты мен күнін немесе әдісін анықтау үшін соттық куәліктерді жинау, дәлірек айтқанда, шөптен. Көбінесе шабуылдың түпкі себебі ешқашан табылмайды. Хакерлік немесе вирус жұқтырған машиналар тазаланып, әдеттегідей, олар әдеттегідей бизнеске қайтып келеді, олар жүйені бірінші кезекте соққы алғаннан гөрі жақсы қорғалған ба деп біледі.
Кейбір қолданбалар әдепкі бойынша тіркеледі. IIS және Apache сияқты веб-серверлер әдетте кіріс трафигін тіркейді. Бұл негізінен веб-сайтқа қанша адам кіргенін, олардың қандай IP-мекен-жайы қолданылғанын және веб-сайтқа қатысты басқа метрикалық ақпараттың түрлерін көру үшін қолданылады. Бірақ, CodeRed немесе Nimda сияқты құрттарда веб журналдары жұқтырған жүйе сіздің жүйеңізге кіруге тырысып жатқанын көрсетуі мүмкін, себебі олар белгілі бір пәрмендері бар, олар табысты немесе сәтсіз журналда көрсетілетін әрекет.
Кейбір жүйелерде әртүрлі аудит және тіркеу функциялары бар. Сондай-ақ компьютерде әр түрлі әрекеттерді бақылау және тіркеу үшін қосымша бағдарламалық қамтамасыз етуді орнатуға болады (осы мақаланың оң жағындағы сілтемелердегі Құралдар бөлімін қараңыз). Windows XP Professional құрылғысында тіркелгіге кіру оқиғаларын, тіркелгіні басқаруды, каталог қызметтеріне кіруді, кіру оқиғаларын, нысанға қатынасуды, саясатты өзгертуді, артықшылықты пайдалануды, үрдісті қадағалауды және жүйелік оқиғаларды тексеру опциялары бар.
Олардың әрқайсысы үшін табысқа, сәтсіздікке немесе ештеңеге кірмеуді таңдауға болады. Windows XP Pro бағдарламасын мысал ретінде пайдалану, егер сіз объектіге кіруге қандай да бір журнал жүргізуді қоспасаңыз, файл немесе қалта соңғы қол жетімді болғанда ешқандай жазба болмас еді. Егер сіз сәтсіздікке тіркелуді қоссаңыз, біреу файлға немесе қалтаға кіруге тырысқан кезде, бірақ тиісті рұқсаттар немесе авторизация рұқсаты болмағандықтан, бірақ авторизацияланған пайдаланушы файлға немесе қалтаға қатынасқан кезде сізде жазбаңыз жоқ .
Себебі, хакердің файлдарға сәтті кіре алатын болуы мүмкін. Егер журналды көріп, Боб Смит компаниясының жексенбі күні сағат 3-те қаржы есептемесін жойғанын көріп отырсаңыз, Боб Смит ұйықтап, оның аты мен паролі бұзылған деп болжауға болады. Қалай болған күнде, сіз файлға не болғанын білесіз және ол қалай болғанын тергеу үшін бастапқы нүктені қашан және қалай береді.
Екі сәтсіздікке де, табысты журналға да пайдалы ақпараттар мен кеңестер берілуі мүмкін, бірақ сіз мониторинг пен журнал жүргізу әрекеттеріңізді жүйе өнімділігімен теңестіруіңіз керек. Жоғарыда келтірілген адам кітапшасының мысалын қолдану - егер адамдар адамдармен қарым-қатынаста болған және олардың өзара әрекеттесуі кезінде болған оқиғалардың бәрін тіркейтін болса, бұл тергеушілерге көмектеседі, бірақ бұл адамдарға баяулатады.
Егер сіз тоқтап, жазған болсаңыз, кімнің, кез-келген кездесулердің барлығын неге және қашан өткізгеніңіз ол сіздің өнімділігіңізге қатты әсер етуі мүмкін. Сондай-ақ компьютерлік қызметті бақылау мен тіркеуге қатысты. Әрбір сәтсіздікке және табысты тіркеуге мүмкіндік беруіңізге болады және сізде компьютеріңізде болатын барлық нәрселер туралы өте егжей-тегжейлі жазба болады. Дегенмен, сіз өнімділікке қатты әсер етесіз, себебі процессор әр басқан кезде бір батырманы басқанда немесе тінтуірді басқан сайын журналдардағы 100 түрлі жазбаны жазумен айналыспайды.
Сіз жүйеге қандай әсер ететінін жүйелі орындаудың тиімділігімен пайдалы болатыныңызды және сіз үшін ең жақсы жұмыс істейтін теңгерімді табу керек. Сондай-ақ, көптеген хакерлік құралдар мен Sub7 сияқты трояндық аттар бағдарламалары журнал файлдарына өз әрекеттерін жасыру және кіруді жасыру үшін журнал файлдарын өзгертуге мүмкіндік беретін утилиталарды қамтиды, сондықтан сіз журнал файлдарына 100% сене алмайсыз.
Сіз журнал жүргізуді орнату кезінде белгілі бір нәрселерді ескере отырып, кейбір өнімділік мәселелерінен және хакерлік құралдың жасыруы мүмкін мәселелерден аулақ бола аласыз. Журнал файлдарының қаншалықты үлкен көлемді екенін білуіңіз керек және бірінші кезекте жеткілікті дискілік кеңістік бар екеніне көз жеткізіңіз. Сондай-ақ, ескі журналдардың қайта жазылып немесе жойылатынына немесе журналдың күнделікті, апта сайын немесе басқа мерзімді негізде мұрағатын алу үшін саясатты орнатуыңыз қажет, осылайша бұрынғы ескі деректеріңіз де бар.
Егер арнайы қатты дискіні және / немесе қатты диск контроллерін қолдануға болатын болса, диск жетегі үшін іске қосқыңыз келген қолданбалармен күресудің қажеті жоқ, журнал файлдары дискіге жазылуы мүмкін. Журнал файлдарын бөлек компьютерге жіберуге болады, мүмкін, журнал файлдарын сақтауға және мүлде басқа қауіпсіздік параметрлері бар - сіз тіркеу файлының журнал файлдарын өзгертуге немесе жоюға мүмкіндік бермеуіңіз мүмкін.
Соңғы ескерту - бұл кешікпей күте тұрмайсыз және жүйеңіз журналдарды қарап шықпас бұрын жүйе бұзылған немесе бұзылған. Журналды мезгіл-мезгіл қарау керек, сондықтан қалыпты жағдайды біліп, базалық сызықты белгілей аласыз. Осылайша, сіз қате жазбаларға тап болған кезде, оларды тым кеш деп тапқаннан кейін, соттық тергеуді жүргізбестен, жүйеңізді қатайту үшін белсенді қадамдар жасай аласыз.