Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windowsサーバへの不正アクセスを検知するためのパフォーマンス・モニタ・オブジェクト

解説をスキップして設定方法を読む

デジタルアドバンテージ
2003/04/12
 
対象OS
Windows NT
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows XP Professional
サーバの管理者は、サーバに対して不正なアクセスが行われていないかを注意しなければならない。
本格的なIDS製品などもあるが、Windowsの標準ツールであるパフォーマンス・モニタを使って、最低限の対策を行うことができる。
 
解説

 コンピュータをひとたびネットワークに接続すれば、そのコンピュータは遠隔地から攻撃可能な状態になる。特に、社外のインターネットと接続するサーバでは、いつなんどき、クラッカーの攻撃を受けるかも分からない。こうしたクラッカーは、ターゲットとなるコンピュータを日々捜し歩いている。

 自分が管理するサーバがクラッカーの攻撃を受けたとき、その事実をタイムリーに知ることができれば、さまざまな対策が可能になる。多くの場合、重大な被害を及ぼす侵入や破壊は、システムへの侵入を許した瞬間に起こるのではない。重大な機密漏えいやシステムに対する致命的な破壊に至るまでに、クラッカーはターゲットとなるシステムを入念に調べ上げ、事後も完全な証拠隠滅を図ろうとするものだ。この過程では、不正なファイル・アクセスなどが大量に行なわれる可能性が高い。従って、こうした不正アクセスを正しく管理者が認知できるようにしておけば、被害を未然に防止できる可能が高まる。

 現在では、本格的な侵入検知システム(IDS:Intrusion Detection System)を導入することができるが、Windowsに標準で用意されている機能を使って、最低限の準備を行うこともできる。

 これには、Windowsのパフォーマンス・モニタを利用する。パフォーマンス・モニタは、コントロール・パネルの[管理ツール]フォルダにある[パフォーマンス]アイテムから起動できる。

Windowsのパフォーマンス・モニタ
パフォーマンス・モニタを利用することで、システムの各種リソース(メモリやディスク領域など)の使用状況をリアルタイムでモニタしてグラフ表示したり、ログに記録したり、値が一定の閾値を超えたときにプログラムを実行したりすることができる。

 パフォーマンス・モニタを利用すれば、システムの状態をさまざまな角度からモニタし、グラフ表示したり、ログに記録したりできる。モニタできる項目は実に多彩で強力なのだが、逆に項目が多すぎて、自分の目的に合致するモニタ項目が簡単に分からず、あまり活用されていないケースも多いようだ。

 今回は、ネットワークに接続されたWindowsサーバに対し、不正侵入のための攻撃が加えられたことを検出するパフォーマンス・モニタの項目を紹介しよう。


設定方法

Serverオブジェクトの3つのカウンタをモニタする

 不正侵入などを目的とした攻撃を検出するには、パフォーマンス・モニタのServerオブジェクトにある以下の3つのカウンタを監視するとよい。

1.Errors Logonカウンタ
 ログオンの失敗回数を記録する。パスワードを類推するブルートフォース攻撃などが行なわれると、これが異常に大きな数値になる。ドメイン・コントローラ、ドメイン・メンバーのRAS/VPNサーバ、Webサーバに対して設定する。

2.Errors Access Permissionsカウンタ
 正しいアクセス権限を持たないユーザーが、ファイルにアクセスした試行回数を記録する。システムに侵入したクラッカーが、システム内に重要なファイル(機密ファイルや重要なシステム・ファイルなど)を次々と調べたときなどにこのカウンタの値が異常に大きくなる可能性がある。ファイル・サーバ/プリント・サーバ、データベース・サーバとして利用しているWindowsサーバで設定する。

3.Error Granted Accessカウンタ
 アクセス権限はあるが、そのユーザーには許されない操作がファイルに対して行なわれたときに、その試行回数を記録する。例えば、読み取り権限しかないユーザーが、ファイルへの書き込み操作や、削除操作などを行った場合がこれに相当する。不正なアクセスの足跡を消すために、クラッカーは設定ファイルやログ・ファイルを変更したり、削除したりしようとする。こうした不正操作を検出できる。ファイル・サーバ/プリント・サーバ、データベース・サーバとして利用しているWindowsサーバで設定する。

 前述したとおり、1のカウンタは、ドメイン・コントローラやドメイン・メンバーのRAS/VPNサーバ、Webサーバに対して設定する。通常のユーザー認証はドメイン・コントローラで集中的に実行されるが、RAS/VPNユーザーの認証やWebユーザーの認証は、RAS/VPNサーバやWebサーバのコンピュータで実行される場合がある。システムに侵入するとき、クラッカーはブルートフォース攻撃などを使って、パスワードを類推する。この際には、異常な数のログオン失敗が発生する。Errors Logonカウンタをモニタすることで、こうした攻撃を検出することが可能である。

 2と3のカウンタは、ファイルに対する不正アクセス回数を記録するものだ。クラッカーは、重要な情報を盗み出したり、システムに致命的な打撃を与えたり、不正アクセスの証拠を隠滅したりするために、システム内のファイルに次々とアクセスする。管理者権限を持つユーザーとして侵入されていないこと、ファイルに正しくアクセス制限が加えられていることが前提となるが、これらのカウンタをモニタすることにより、ファイルに対する不正アクセスを検出できる可能性がある。これらのカウンタは、ファイル・サーバ/プリント・サーバとして使用しているWindowsサーバでモニタする。ドメイン・コントローラが別なら、ファイル・サーバ/プリント・サーバについてはErrors Logonカウンタはモニタしなくてもよい(認証はドメイン・コントローラ側で行われるため)。ただしRASサーバやVPNサーバ、Webサーバでは、3つのカウンタをすべてモニタする。

ログを安全な場所に記録する

 パフォーマンス・モニタでは、設定した閾値を超えた場合に通知を行う機能などがあるが、基本はログを確実に記録することだ。ログがあれば、後で不正アクセスの過程を分析することが可能になる。デフォルトでは、15秒ごとにデータがログに記録される(設定は変更可能)。インターバルをあまり長くすると、不正アクセスの瞬間を逃すかもしれないので注意が必要だ。いずれにしても膨大な量のログが記録されることになるだろう。

 ログ・ファイルは、できるだけ安全性の高いところに保存し、定期的にバックアップする。クラッカーは、不正アクセスの証拠を記録したログを改ざんしたり、消したりしたいと考えるからだ。

 そしてさらに大事なことは、記録したログを定期的にチェックすることである。せっかく記録しても、これをチェックしなければ意味がない。特に、外部からLANへのアクセスを可能にするRAS/VPNサーバがあるときには、サーバのError Logonカウンタの値を毎日チェックして、不正侵入のターゲットになっていないかどうかを検査した方がよいだろう。End of Article

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間