د کارونکي کار سټیشن د معلوماتو امنیت له پلوه د زیربنا ترټولو زیان منونکی ټکی دی. کاروونکي ممکن د دوی کاري بریښنالیک ته یو لیک ترلاسه کړي چې داسې ښکاري چې د خوندي سرچینې څخه وي، مګر د اخته شوي سایټ سره د لینک سره. شاید یو څوک به د نامعلوم ځای څخه د کار لپاره ګټور یوټیلټي ډاونلوډ کړي. هو، تاسو کولی شئ د لسګونو قضیو سره راشي چې څنګه مالویر کولی شي د کاروونکو له لارې داخلي کارپوریټ سرچینې نفوذ کړي. له همدې امله، کاري سټیشنونه زیاتې پاملرنې ته اړتیا لري، او پدې مقاله کې به موږ تاسو ته ووایو چې چیرته او کوم پیښې باید د بریدونو څارنه وکړي.
په لومړي ممکنه مرحله کې د برید کشف کولو لپاره، وینډوز د پیښې درې ګټورې سرچینې لري: د امنیت پیښې لاګ، د سیسټم څارنه لاګ، او د بریښنا شیل لاګ.
د امنیتي پیښو لاګ
دا د سیسټم امنیت لاګونو لپاره د ذخیره کولو اصلي ځای دی. پدې کې د کاروونکي د ننوتلو/لاګ آوټ پیښې، شیانو ته لاسرسی، د پالیسۍ بدلونونه، او نور امنیتي اړوند فعالیتونه شامل دي. البته، که مناسبه پالیسي ترتیب شوې وي.
د کاروونکو او ډلو شمیرل (پیښې 4798 او 4799). د برید په پیل کې، مالویر اکثرا د ځایی کارن حسابونو او محلي ډلو له لارې په یوه کاري سټیشن کې لټون کوي تر څو د دې د سیوري معاملو لپاره اعتبار ومومي. دا پیښې به د ناوړه کوډ په موندلو کې مرسته وکړي مخکې لدې چې حرکت وکړي او د راټول شوي معلوماتو په کارولو سره نورو سیسټمونو ته خپریږي.
د محلي حساب جوړول او په محلي ګروپونو کې بدلونونه (پیښې 4720، 4722–4726، 4738، 4740، 4767، 4780، 4781، 4794، 5376 او 5377). برید هم پیل کیدی شي ، د مثال په توګه ، د ځایی مدیرانو ډلې ته د نوي کارونکي اضافه کولو سره.
د محلي حساب سره د ننوتلو هڅې (واقع 4624). د درناوي وړ کاروونکي د ډومین حساب سره ننوتل، او د محلي حساب لاندې د ننوتلو پیژندل د برید پیل معنی لري. پیښه 4624 د ډومین حساب لاندې ننوتل هم شامل دي ، نو کله چې د پیښو پروسس کول ، تاسو اړتیا لرئ هغه پیښې فلټر کړئ چیرې چې ډومین د ورک سټیشن نوم څخه توپیر لري.
د ټاکل شوي حساب سره د ننوتلو هڅه (واقع 4648). دا پیښیږي کله چې پروسه د "په توګه چلول" حالت کې روانه وي. دا باید د سیسټمونو نورمال عملیاتو په جریان کې پیښ نشي ، نو دا ډول پیښې باید کنټرول شي.
د کار سټیشن تالا کول / خلاصول (پیښې 4800-4803). د شکمنو پیښو په کټګورۍ کې هغه عملونه شامل دي چې په تړل شوي کاري سټیشن کې پیښ شوي.
د فایروال ترتیب بدلونونه (پیښې 4944-4958). په ښکاره ډول، کله چې د نوي سافټویر نصب کول، د فایروال ترتیب ترتیبات ممکن بدل شي، کوم چې به د غلط مثبتو لامل شي. په ډیری قضیو کې، د داسې بدلونونو کنټرول ته اړتیا نشته، مګر دا به یقینا د دوی په اړه پوهیدل زیان ونه رسوي.
د پلګ ان پلی وسیلو سره نښلول (ایونټ 6416 او یوازې د وینډوز 10 لپاره). دا مهمه ده چې پدې باندې نظر وساتئ که چیرې کاروونکي معمولا نوي وسایل د کار سټیشن سره وصل نه کړي، مګر بیا ناڅاپه دوی کوي.
په وینډوز کې 9 د پلټنې کټګورۍ او 50 فرعي کټګورۍ د ښه ټیوننګ لپاره شامل دي. د فرعي کټګوریو لږترلږه سیټ چې باید په ترتیباتو کې فعال شي:
Logon / Logoff
- ننوتل
- وتون؛
- د حساب بندول؛
- نورې لوګن/لاګ آف پیښې.
Account Management
- د کارن حساب مدیریت؛
- د امنیت ګروپ مدیریت.
د پالیسۍ بدلون
- د پلټنې د پالیسۍ بدلون؛
- د تصدیق پالیسي بدلون؛
- د واک د پالیسۍ بدلون.
د سیسټم مانیټر (سیسمون)
سیسمون یو افادیت دی چې په وینډوز کې جوړ شوی چې کولی شي د سیسټم لاګ کې پیښې ثبت کړي. معمولا تاسو اړتیا لرئ دا په جلا توګه نصب کړئ.
دا ورته پیښې، په اصولو کې، په امنیت لاګ کې موندل کیدی شي (د مطلوب پلټنې پالیسي په فعالولو سره)، مګر سیممون نور توضیحات وړاندې کوي. کوم پیښې د سیسمون څخه اخیستل کیدی شي؟
د پروسې رامینځته کول (د پیښې ID 1). د سیسټم امنیت پیښې لاګ تاسو ته هم ویلای شي کله چې *.exe پیل شو او حتی د دې نوم او لانچ لاره وښیې. مګر د سیسمون برعکس، دا به د دې توان ونلري چې د غوښتنلیک هش وښيي. ناوړه سافټویر ممکن حتی بې ضرر Notepad.exe په نوم یاد شي ، مګر دا هغه هش دی چې دا به روښانه کړي.
د شبکې اړیکې (د پیښې ID 3). په ښکاره ډول، د شبکې ډیری اړیکې شتون لري، او د دوی ټولو تعقیب کول ناممکن دي. مګر دا مهمه ده چې په پام کې ونیول شي چې سیسمون، د امنیت لاګ برعکس، کولی شي د ProcessID او ProcessGUID ساحو سره د شبکې اړیکه وتړي، او د سرچینې او منزل بندر او IP پتې ښیي.
د سیسټم په راجستر کې بدلونونه (د پیښې ID 12-14). په اتوماتیک کې د ځان اضافه کولو ترټولو اسانه لار په راجستر کې راجستر کول دي. د امنیت لاګ دا کار کولی شي، مګر سیسمون ښیي چې بدلونونه چا، کله، له کوم ځای څخه، د ID پروسس او پخوانی کلیدي ارزښت.
د فایل جوړول (د پیښې ID 11). سیممون، د امنیت لاګ برعکس، به نه یوازې د فایل موقعیت، بلکې د هغې نوم هم وښيي. دا روښانه ده چې تاسو نشئ کولی هر څه تعقیب کړئ، مګر تاسو کولی شئ ځینې لارښوونې پلټنه وکړئ.
او اوس هغه څه چې د امنیت لاګ پالیسیو کې ندي ، مګر په سیسمون کې دي:
د فایل جوړولو وخت بدلول (د پیښې ID 2). ځینې مالویر کولی شي د فایل رامینځته کولو نیټه غلا کړي ترڅو دا د وروستي رامینځته شوي فایلونو راپورونو څخه پټ کړي.
د چلوونکو او متحرک کتابتونونو بارول (د پیښې IDs 6-7). په حافظه کې د DLLs او وسیلې ډرایورونو بارولو څارنه ، د ډیجیټل لاسلیک او د هغې اعتبار چیک کول.
په روانه پروسه کې یو تار جوړ کړئ (د پیښې ID 8). یو ډول برید چې څارنې ته هم اړتیا لري.
RawAccessRead پیښې (د پیښې ID 9). د ډیسک لوستلو عملیات د "." په کارولو سره. په ډیری قضیو کې، دا ډول فعالیت باید غیر معمولي وګڼل شي.
د نوم فایل جریان جوړ کړئ (د پیښې ID 15). یوه پیښه ثبت کیږي کله چې د نوم فایل جریان رامینځته شي چې پیښې د فایل مینځپانګې هش سره خپروي.
د نومول شوي پایپ او پیوستون رامینځته کول (د پیښې ID 17-18). د ناوړه کوډ تعقیب کول چې د نوم شوي پایپ له لارې د نورو برخو سره اړیکه نیسي.
د WMI فعالیت (د پیښې ID 19). د پیښو ثبت کول چې د WMI پروتوکول له لارې سیسټم ته د لاسرسي پرمهال رامینځته کیږي.
د سیسمون د ځان ساتلو لپاره، تاسو اړتیا لرئ د ID 4 (سیسمون ودرول او پیل کول) او ID 16 (سیسمون ترتیب بدلونونه) سره د پیښو څارنه وکړئ.
د بریښنا شیل لوګو
پاور شیل د وینډوز زیربنا اداره کولو لپاره یو پیاوړی وسیله ده، نو امکانات ډیر دي چې برید کونکی به یې غوره کړي. دلته دوه سرچینې شتون لري چې تاسو یې د پاور شیل پیښې ډیټا ترلاسه کولو لپاره کارولی شئ: د وینډوز پاور شیل لاګ او مایکروسافټ - وینډوز پاور شیل / عملیاتي لاګ.
د وینډوز پاور شیل لاګ
د معلوماتو چمتو کونکي بار شوي (د پیښې ID 600). د PowerShell چمتو کونکي هغه پروګرامونه دي چې د PowerShell لپاره د لیدلو او اداره کولو لپاره د معلوماتو سرچینه چمتو کوي. د مثال په توګه، جوړ شوي چمتو کونکي کیدای شي د وینډوز چاپیریال تغیرات یا د سیسټم راجستر وي. د نوي عرضه کونکو ظهور باید وڅارل شي ترڅو په وخت کې ناوړه فعالیت کشف کړي. د مثال په توګه، که تاسو وګورئ چې WSMan د وړاندیز کونکو په مینځ کې ښکاري، نو د لرې پرتو پاور شیل سیشن پیل شوی.
Microsoft-WindowsPowerShell / عملیاتي لاګ (یا MicrosoftWindows-PowerShellCore / په PowerShell 6 کې عملیاتي)
د ماډل ننوتل (د پیښې ID 4103). پیښې د هر اجرا شوي کمانډ او د پیرامیټونو په اړه معلومات ذخیره کوي چې ورته ویل شوي.
د سکریپټ بلاک کول ننوتل (د پیښې ID 4104). د سکریپټ بلاک کولو لاګنګ د پاور شیل کوډ اجرا شوي هر بلاک ښیې. حتی که یو برید کونکی د قوماندې پټولو هڅه وکړي، د دې پیښې ډول به د PowerShell کمانډ وښيي چې واقعیا اعدام شوی و. د دې پیښې ډول کولی شي ځینې ټیټې کچې API کالونه هم ثبت کړي ، دا پیښې معمولا د وربوز په توګه ثبت کیږي ، مګر که د کوډ په بلاک کې شکمن کمانډ یا سکریپټ کارول کیږي ، نو دا به د خبرتیا شدت په توګه ثبت شي.
مهرباني وکړئ په یاد ولرئ چې یوځل چې وسیله د دې پیښو راټولولو او تحلیل کولو لپاره تنظیم شي ، د غلط مثبتو شمیر کمولو لپاره به اضافي ډیبګ کولو وخت ته اړتیا وي.
موږ ته په نظرونو کې ووایاست چې تاسو د معلوماتو امنیت پلټنو لپاره کوم لاګونه راټولوئ او د دې لپاره کوم وسیلې کاروئ. زموږ د تمرکز یوه برخه د معلوماتو امنیت پیښو پلټنې لپاره حلونه دي. د لاګونو راټولولو او تحلیل کولو ستونزې حل کولو لپاره، موږ کولی شو د نږدې لید لید وړاندیز وکړو ، کوم چې کولی شي ذخیره شوي ډاټا د 20: 1 تناسب سره کمپریس کړي، او د هغې یو نصب شوی مثال د 60000 سرچینو څخه په هره ثانیه کې تر 10000 پیښو پورې پروسس کولو توان لري.
سرچینه: www.habr.com