Windows TIPS
| [Security] |
不正アクセスを検知するパフォーマンス・モニタ・カウンタ
デジタルアドバンテージ
2004/06/26 |
|
| 対象OS |
| Windows 2000 Professional |
| Windows XP Professional |
| Windows 2000 Server |
| Windows 2000 Advanced Server |
| Windows Server 2003 |
|
|
 |
| ■ |
遊び半分の愉快犯ではなく、甚大な経済被害をもたらす不正侵入や破壊活動、情報窃取などをもくろむ犯人は、最もリスクが小さく、大きな成果(破壊による被害の大きさや、窃取する情報の価値)が得られる侵入方法を事前に入念に調査する。 |
| ■ |
この際には、ログオン・エラーやアクセス違反など、通常ではそれほど発生しない不正アクセスが大量に発生する可能性が高い。 |
| ■ |
Windows標準ツールであるパフォーマンス・モニタを使って、コストゼロでこれらの不正アクセスを監視することができる。 |
|
|
ネットワークを悪用したコンピュータの不正アクセスは、管理者の大きな不安材料の1つである。愉快犯的なサービス拒否攻撃程度ならそれほど影響はないが、万一ネットワークへの不正侵入を許し、システム破壊や情報漏えいにつながったりすると、企業の信用は地に落ちかねない。
実際の破壊行動や情報窃取に至るまでに、攻撃者は標的としたシステムを念入りに調べ、窃取するファイルの吟味や不正アクセスの証拠隠滅準備を着々と進めるものだ。ネットワーク管理者としては、こうした不正アクセスによる異常を早期に検知できれば、深刻な情報漏えいやシステム破壊などを未然に阻止できる可能性が高まる。
こうした目的に使える不正アクセス検出ツールは、すでにさまざまな市販製品が販売されているが、Windowsに標準で添付されているパフォーマンス・モニタを利用すれば、制限的ながら一定レベルの不正アクセス検知をコスト・ゼロで実施することができる。ここでは、Windowsサーバ(ファイル・サーバやドメイン・コントローラ、リモート・アクセス・サーバなど)とWebサーバ(IIS)への不正アクセスを想定し、これらを検知するために注目すべきパフォーマンス・モニタのカウンタをまとめる。
| カウンタ |
意味と不正アクセスの検出 |
| Serverオブジェクト |
| Errors Access Permissions |
アクセス権限のないファイルに対する不正なアクセスが試行された回数が記録されるカウンタ。不正侵入や情報漏えいの準備として実行された不正なファイル・アクセスの試行回数をチェックできる |
| Errors Granted Access |
読み取りアクセスだけが許可されたファイルに対して、書き込みや削除の操作を行った回数が記録されるカウンタ。不正アクセスの証拠隠滅(ログの消去)準備などが行われたときに数値が上がる |
| Errors Logon |
ログオンに失敗した回数が記録されるカウンタ。攻撃者がパスワードを調べるためにブルートフォース攻撃などを実施すると、急激に数値が上がる |
| IPオブジェクト |
| Datagrams Received Header Errors |
不正なIPヘッダ(チェックサム・エラー、フォーマット・エラー、バージョンの不一致、タイムアウト、期限切れTTL、不正なIPオプションなど)を含むパケットの処理が記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃(DoS攻撃)などを検知できる可能性がある |
| Datagrams Received Unknown Protocol |
受信したIPパケットのプロトコルが不正だった場合に記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃などを検知できる可能性がある |
 |
| Windowsサーバの不正アクセス検出用カウンタ |
| カウンタ |
意味と不正アクセスの検出 |
| Active Server Pagesオブジェクト |
| Request Failed Total |
サービス開始以後、Active Server Pageに対するリクエストで発生したエラーの数を記録するカウンタ。大量の不正なリクエストがWebサーバに対して送信されていることを検知可能 |
| Request Queued |
サーバの処理件数を超えたリクエストがキューイングされた個数。サービス拒否攻撃(DoS攻撃)などを受けると、カウンタが上がる |
| Web Serviceオブジェクト |
| Total Copy Requests/Total Delete Requests |
サービス開始以後、HTTP 1.1拡張メソッド(COPY/DELETEメソッド)を使用するHTTPリクエストの数を記録するカウンタ。HTTP 1.1拡張メソッドを悪用した改ざんを検知できる可能性 |
| Total Head Requests |
サービス開始以後、HEADメソッドを使用するHTTPリクエストの数を記録するカウンタ。攻撃者がターゲットWebサーバの種類などを調べるときに送信する可能性がある |
| Logon Attempts/sec |
WWWサービスへのログオン(ユーザー認証)が1秒間に何回試行されたかを記録するカウンタ。ブルートフォース攻撃などを検出できる可能性がある |
|
| Windowsサーバの不正アクセス検出用カウンタ |
次の画面は、実際にパフォーマンス・モニタを実行して、上記のカウンタを監視対象として設定してみたところだ。パフォーマンス・モニタはコントロール・パネルの[管理ツールフォルダ]−[パフォーマンス]アイテムから起動できる。
画面から分かるとおり、パフォーマンス・モニタでは、ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタを監視できる(画面では、DAPC70というローカル・コンピュータと、Server01というリモート・サーバを監視している)。またパフォーマンス・モニタでは、カウンタ値が一定のしきい値を超えたときに外部コマンドを実行することも可能である。
 |
| パフォーマンス・モニタでパラメータの監視を実行しているところ |
| ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタ値を確認することもできる。また一定のしきい値を超えたときにコマンドを実行させることも可能だ。 |
|
この記事と関連性の高い別のWindows TIPS |
|
|
generated by
|
|
TechTargetジャパン
Windows Server Insider フォーラム 新着記事
キャリアアップ
**先週の人気講座ランキング**
〜 Android編 〜
