Sizning oldingizda rejalashtirmoqchi bo'lgan odamni tutish
Umid qilamanki siz kompyuterlaringizni yamoqqa solib , yangilab turishingiz va tarmoqingiz xavfsizligini ta'minlaysiz. Biroq, siz bir nuqtada zararli faoliyat bilan shug'ullanishingiz mumkin - bu virus , qurt , troyan oti, hujumni buzish yoki boshqa yo'llar bilan amalga oshishi muqarrar. Bu sodir bo'lganda, agar siz hujumdan oldin to'g'ri ishlarni qilsangiz, hujumni qachon va qanday qilib osonroq amalga oshirishni belgilashingiz mumkin.
Agar siz televizion ko'rsatuvni CSI-ni tomosha qilgan bo'lsangiz, yoki boshqa biron bir militsioner yoki qonuniy teleko'rsatuv haqida bilsangiz, tergovchilar jinoyatni sodir etgan shaxsni aniqlashi, ta'qib qilishi va tutishi mumkin.
Ammo, aslida jinoyatchiga tegishli bitta sochni topish va uning egasini aniqlash uchun DNKni tekshirish uchun elyaflar orqali olish kerak bo'lmaganda yaxshi bo'lmasmidi? Xo'sh, har bir kishiga qachon va kim bilan muloqotga kirishgan? Xo'sh, o'sha odamga nima qilgani haqida biror ma'lumot yozilgan bo'lsa-chi?
Agar shunday bo'lsa, CSIda ishlaydigan tergovchilar ish tashqarisida bo'lishi mumkin. Politsiya jasadi topib, marhum bilan oxirgi marta kim bilan uchrashganini va qanday ishlarni amalga oshirganini bilish uchun rekordni tekshirib ko'radi va qazishni istamasdan allaqachon identifikatorga ega bo'ladi. Bu sizning kompyuteringizda yoki tarmoqingizda zararli faoliyat mavjud bo'lganda, jurnalni ko'rsatib berishni ta'minlaydi.
Tarmoq ma'muri jurnalga yozishni yoqmasa yoki to'g'ri hodisalarni qayd qilmasa, ruxsat etilmagan kirish yoki boshqa zararli faoliyatning vaqtini, sanasini yoki usulini aniqlash uchun sud-meditsina dalillarini qazish ishini bajarish, maqtovli ignani xashak. Ko'pincha hujumning asosiy sababi hech qachon aniqlanmaydi. Hacked yoki infected Machines tozalanadi va har bir kishi odatdagidek biznesga qaytib, tizimlar birinchi navbatda urishganidan ko'ra yaxshiroq himoya qilinadimi-yo'qligini bilmasdan.
Ba'zi ilovalar sukut bo'yicha narsalarni qayd qiladi. IIS va Apache kabi veb-serverlar, odatda, barcha kiruvchi trafikni qayd qiladi. Bu asosan veb-saytga qancha odam tashrif buyurganini, qaysi IP-manzil ishlatilganligini va veb-saytga tegishli boshqa metrikalar ma'lumotlarini ko'rish uchun ishlatiladi. Biroq, CodeRed yoki Nimda kabi qurtlar bo'lsa, veb-jurnallar ham virusli tizimlar sizning tizimingizga kirishga harakat qilayotganini ko'rsatishi mumkin, chunki ular ma'lum bir buyruqlar bor, ular muvaffaqiyatli bo'ladimi yoki yo'qmi, jurnallarda ko'rsatiladi.
Ba'zi tizimlarda turli xil audit va jurnalni saqlash funktsiyalari mavjud. Shuningdek, kompyuterda turli harakatlarni kuzatib borish va ro'yxatga olish uchun qo'shimcha dasturiy ta'minotni o'rnatishingiz mumkin (Bu maqolaning o'ng tomonidagi "Aloqalar qutisidagi asboblar" bo'limiga qarang). Windows XP Professional qurilmasida hisob qaydnomasi tizimiga kirishni boshqarish, hisobni boshqarish, katalog xizmatiga kirish, tizimga kirish, ob'ektga kirish, siyosat o'zgarishi, imtiyozlardan foydalanish, jarayonni kuzatish va tizim voqealarini tekshirish imkoniyatlari mavjud.
Ulardan har biri uchun muvaffaqiyat qozonish, muvaffaqiyatsizlikka olib kirish yoki hech narsa qilishni tanlashingiz mumkin. Ob'ektga kirish uchun hech qanday jurnalni yozishni faollashtirmagan bo'lsangiz, masalan, Windows XP Pro-dan foydalanib, biror fayl yoki jildga oxirgi marta kirganingizda hech qanday qayd yo'q. Agar faqat xato jurnalga yozilishni yoqsangiz, kimdir sizga fayl yoki papkaga kirishga urinib ko'rgan bo'lsa, lekin tegishli ruxsat yoki avtorizatsiyaga ega bo'lmasligi tufayli yozib qo'yilsa, lekin siz avtorizatsiya qilingan foydalanuvchi fayl yoki jildga kirganda .
Hacker juda yaxshi tarzda buzilgan foydalanuvchi nomi va parolni ishlatishi mumkin, chunki ular fayllarga muvaffaqiyatli kirishlari mumkin. Agar siz jurnallarni ko'rsangiz va yakshanba kuni soat 3 da Bob Smith kompaniyaning moliyaviy hisobotini o'chirib tashlaganini bilsangiz, Bob Smith uxlab yotganini va uning foydalanuvchi nomi va parolining buzilganligini tasavvur qilishingiz mumkin. Har qanday holatda, siz faylga nima bo'lganini bilasiz va qachon va qanday sodir bo'lganligini o'rganish uchun sizga boshlang'ich nuqtani beradi.
Ham muvaffaqiyatsizliklar va muvaffaqiyatli jurnallar foydali ma'lumot va maslahatlar beradi, biroq tizimni monitoring qilish va tizimga kirish jarayonini muvozanat bilan bajarish kerak. Inson kitoblarini yuqoridagi maqoladan foydalanib, bu odamlar tergovchilarga yordam berishlari mumkin edi, odamlar o'zlari bilan muloqotda bo'lgan har bir kishining jurnali va ular bilan bo'lgan munosabatlarda nima bo'lganini qayd etishgan, ammo bu, albatta, odamlarni sekinlashtirishi mumkin edi.
Agar siz to'xtab turishingiz kerak edi va agar siz kun bo'yi bo'lgan har qanday uchrashuvingiz uchun kim, nima va qachon u sizning mahsuldorligingizga jiddiy ta'sir ko'rsatishi mumkin. Xuddi shu narsa kompyuter faoliyatini monitoring qilish va ro'yxatga olish uchun ham tegishli. Har qanday xato va muvaffaqiyatli jurnalni yozish imkoniyatini yoqib qo'yishingiz mumkin va sizda kompyuteringizda mavjud bo'lgan barcha narsalar haqida batafsil ma'lumotga ega bo'lasiz. Ammo, siz ishlashga jiddiy ta'sir o'tkazasiz, chunki protsessor har bir kishi bir tugmani bosib yoki sichqonchani bosgan har bir jurnalga 100 ta yozuv yozishni band qiladi.
Tizimga kirishning qanday turlari foydali bo'lishi va tizimning ishlashiga ta'sir qilishini baholash va siz uchun eng yaxshi ishlaydigan muvozanatni o'rnatish kerak. Bundan tashqari, Sub7 kabi ko'plab hacker vositalari va troyan otlari dasturlar log fayllarini o'zlarining xatti-harakatlarini yashirish va kirishni yashirish uchun ularni o'zgartirishga imkon beradigan dasturlarni o'z ichiga olishi kerak, shuning uchun log fayllarida 100% tayanmasligingiz kerak.
Kundalikni o'rnatayotganda muayyan narsalarni e'tiborga olib, ba'zi ishlash muammolarini va ehtimol, hacker vositasini yashirish masalalarini oldini olishingiz mumkin. Kundalik fayllar qanchalik katta bo'lishini o'lchashni va birinchi navbatda etarli disk maydoniga ega ekanligingizni tekshirish kerak. Bundan tashqari, eski jurnallar qayta yozish yoki o'chirib tashlash yoki jurnalni kunlik, haftalik yoki boshqa davriy ravishda arxivlashni istasangiz, eski ma'lumotlarga qayta tiklanishi uchun siyosat o'rnatishingiz kerak.
Agar maxsus qattiq diskni va / yoki qattiq diskni boshqarish vositasini ishlatish mumkin bo'lsa, unda diskda ishlash uchun harakat qilmoqchi bo'lgan ilovalar bilan jang qilish kerak bo'lmasdan log fayllari diskka yozilishi mumkin. Kundalik fayllarni alohida kompyuterga yo'naltirishingiz mumkin - ehtimol kundalik fayllarni saqlashga va butunlay boshqa xavfsizlik sozlamalariga bag'ishlangan bo'lishi mumkin - siz o'zingizning log fayllarini o'zgartirishi yoki yo'q qilish qobiliyatini bloklay olasiz.
Oxirgi bir eslatma shundaki, u juda kech bo'lgunga qadar kutish kerak emas va sizning tizimingiz jurnallarni ko'rishdan oldin buzilgan yoki buzilgan. Muntazam ravishda jurnallarni ko'rib chiqsangiz yaxshi bo'ladi, shuning uchun siz normal holatni bilib olishingiz va bazani yaratishingiz mumkin. Shunday qilib, siz noto'g'ri yozuvlarga duch kelganda, siz ularni tanib olishingiz va juda kech bo'lganidan keyin sud tergovini o'tkazishdan ko'ra, tizimingizni mustahkamlash uchun proaktiv qadamlar qo'yishingiz mumkin.