[Security] | ||||||||||||||
不正アクセスを検知するパフォーマンス・モニタ・カウンタ
|
||||||||||||||
|
解説 |
ネットワークを悪用したコンピュータの不正アクセスは、管理者の大きな不安材料の1つである。愉快犯的なサービス拒否攻撃程度ならそれほど影響はないが、万一ネットワークへの不正侵入を許し、システム破壊や情報漏えいにつながったりすると、企業の信用は地に落ちかねない。
実際の破壊行動や情報窃取に至るまでに、攻撃者は標的としたシステムを念入りに調べ、窃取するファイルの吟味や不正アクセスの証拠隠滅準備を着々と進めるものだ。ネットワーク管理者としては、こうした不正アクセスによる異常を早期に検知できれば、深刻な情報漏えいやシステム破壊などを未然に阻止できる可能性が高まる。
こうした目的に使える不正アクセス検出ツールは、すでにさまざまな市販製品が販売されているが、Windowsに標準で添付されているパフォーマンス・モニタを利用すれば、制限的ながら一定レベルの不正アクセス検知をコスト・ゼロで実施することができる。ここでは、Windowsサーバ(ファイル・サーバやドメイン・コントローラ、リモート・アクセス・サーバなど)とWebサーバ(IIS)への不正アクセスを想定し、これらを検知するために注目すべきパフォーマンス・モニタのカウンタをまとめる。
カウンタ | 意味と不正アクセスの検出 |
Serverオブジェクト | |
Errors Access Permissions | アクセス権限のないファイルに対する不正なアクセスが試行された回数が記録されるカウンタ。不正侵入や情報漏えいの準備として実行された不正なファイル・アクセスの試行回数をチェックできる |
Errors Granted Access | 読み取りアクセスだけが許可されたファイルに対して、書き込みや削除の操作を行った回数が記録されるカウンタ。不正アクセスの証拠隠滅(ログの消去)準備などが行われたときに数値が上がる |
Errors Logon | ログオンに失敗した回数が記録されるカウンタ。攻撃者がパスワードを調べるためにブルートフォース攻撃などを実施すると、急激に数値が上がる |
IPオブジェクト | |
Datagrams Received Header Errors | 不正なIPヘッダ(チェックサム・エラー、フォーマット・エラー、バージョンの不一致、タイムアウト、期限切れTTL、不正なIPオプションなど)を含むパケットの処理が記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃(DoS攻撃)などを検知できる可能性がある |
Datagrams Received Unknown Protocol | 受信したIPパケットのプロトコルが不正だった場合に記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃などを検知できる可能性がある |
Windowsサーバの不正アクセス検出用カウンタ |
カウンタ | 意味と不正アクセスの検出 |
Active Server Pagesオブジェクト | |
Request Failed Total | サービス開始以後、Active Server Pageに対するリクエストで発生したエラーの数を記録するカウンタ。大量の不正なリクエストがWebサーバに対して送信されていることを検知可能 |
Request Queued | サーバの処理件数を超えたリクエストがキューイングされた個数。サービス拒否攻撃(DoS攻撃)などを受けると、カウンタが上がる |
Web Serviceオブジェクト | |
Total Copy Requests/Total Delete Requests | サービス開始以後、HTTP 1.1拡張メソッド(COPY/DELETEメソッド)を使用するHTTPリクエストの数を記録するカウンタ。HTTP 1.1拡張メソッドを悪用した改ざんを検知できる可能性 |
Total Head Requests | サービス開始以後、HEADメソッドを使用するHTTPリクエストの数を記録するカウンタ。攻撃者がターゲットWebサーバの種類などを調べるときに送信する可能性がある |
Logon Attempts/sec | WWWサービスへのログオン(ユーザー認証)が1秒間に何回試行されたかを記録するカウンタ。ブルートフォース攻撃などを検出できる可能性がある |
Windowsサーバの不正アクセス検出用カウンタ |
次の画面は、実際にパフォーマンス・モニタを実行して、上記のカウンタを監視対象として設定してみたところだ。パフォーマンス・モニタはコントロール・パネルの[管理ツールフォルダ]−[パフォーマンス]アイテムから起動できる。
画面から分かるとおり、パフォーマンス・モニタでは、ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタを監視できる(画面では、DAPC70というローカル・コンピュータと、Server01というリモート・サーバを監視している)。またパフォーマンス・モニタでは、カウンタ値が一定のしきい値を超えたときに外部コマンドを実行することも可能である。
パフォーマンス・モニタでパラメータの監視を実行しているところ |
ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタ値を確認することもできる。また一定のしきい値を超えたときにコマンドを実行させることも可能だ。 |
この記事と関連性の高い別の記事
- Windowsサーバへの不正アクセスを検知するためのパフォーマンス・モニタ・オブジェクト(TIPS)
- Windowsのパフォーマンスモニターの使い方(基本編)(TIPS)
- Windowsのtypeperfコマンドでシステムのパフォーマンスカウンタのデータを収集する(TIPS)
- VistaのReadyBoostの動作状態をモニタする(TIPS)
- 収集したカウンタ・データをパフォーマンス・モニタで表示させる(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|