Windows TIPS
[Security]
  Windows TIPS TOPへ
Windows TIPS全リストへ

不正アクセスを検知するパフォーマンス・モニタ・カウンタ

デジタルアドバンテージ
2004/06/26
 
対象OS
Windows 2000 Professional
Windows XP Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows Server 2003
遊び半分の愉快犯ではなく、甚大な経済被害をもたらす不正侵入や破壊活動、情報窃取などをもくろむ犯人は、最もリスクが小さく、大きな成果(破壊による被害の大きさや、窃取する情報の価値)が得られる侵入方法を事前に入念に調査する。
この際には、ログオン・エラーやアクセス違反など、通常ではそれほど発生しない不正アクセスが大量に発生する可能性が高い。
Windows標準ツールであるパフォーマンス・モニタを使って、コストゼロでこれらの不正アクセスを監視することができる。
 
解説

 ネットワークを悪用したコンピュータの不正アクセスは、管理者の大きな不安材料の1つである。愉快犯的なサービス拒否攻撃程度ならそれほど影響はないが、万一ネットワークへの不正侵入を許し、システム破壊や情報漏えいにつながったりすると、企業の信用は地に落ちかねない。

 実際の破壊行動や情報窃取に至るまでに、攻撃者は標的としたシステムを念入りに調べ、窃取するファイルの吟味や不正アクセスの証拠隠滅準備を着々と進めるものだ。ネットワーク管理者としては、こうした不正アクセスによる異常を早期に検知できれば、深刻な情報漏えいやシステム破壊などを未然に阻止できる可能性が高まる。

 こうした目的に使える不正アクセス検出ツールは、すでにさまざまな市販製品が販売されているが、Windowsに標準で添付されているパフォーマンス・モニタを利用すれば、制限的ながら一定レベルの不正アクセス検知をコスト・ゼロで実施することができる。ここでは、Windowsサーバ(ファイル・サーバやドメイン・コントローラ、リモート・アクセス・サーバなど)とWebサーバ(IIS)への不正アクセスを想定し、これらを検知するために注目すべきパフォーマンス・モニタのカウンタをまとめる。

カウンタ 意味と不正アクセスの検出
Serverオブジェクト
Errors Access Permissions アクセス権限のないファイルに対する不正なアクセスが試行された回数が記録されるカウンタ。不正侵入や情報漏えいの準備として実行された不正なファイル・アクセスの試行回数をチェックできる
Errors Granted Access 読み取りアクセスだけが許可されたファイルに対して、書き込みや削除の操作を行った回数が記録されるカウンタ。不正アクセスの証拠隠滅(ログの消去)準備などが行われたときに数値が上がる
Errors Logon ログオンに失敗した回数が記録されるカウンタ。攻撃者がパスワードを調べるためにブルートフォース攻撃などを実施すると、急激に数値が上がる
IPオブジェクト
Datagrams Received Header Errors 不正なIPヘッダ(チェックサム・エラー、フォーマット・エラー、バージョンの不一致、タイムアウト、期限切れTTL、不正なIPオプションなど)を含むパケットの処理が記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃(DoS攻撃)などを検知できる可能性がある
Datagrams Received Unknown Protocol 受信したIPパケットのプロトコルが不正だった場合に記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃などを検知できる可能性がある
Windowsサーバの不正アクセス検出用カウンタ
 
カウンタ 意味と不正アクセスの検出
Active Server Pagesオブジェクト
Request Failed Total サービス開始以後、Active Server Pageに対するリクエストで発生したエラーの数を記録するカウンタ。大量の不正なリクエストがWebサーバに対して送信されていることを検知可能
Request Queued サーバの処理件数を超えたリクエストがキューイングされた個数。サービス拒否攻撃(DoS攻撃)などを受けると、カウンタが上がる
Web Serviceオブジェクト
Total Copy Requests/Total Delete Requests サービス開始以後、HTTP 1.1拡張メソッド(COPY/DELETEメソッド)を使用するHTTPリクエストの数を記録するカウンタ。HTTP 1.1拡張メソッドを悪用した改ざんを検知できる可能性
Total Head Requests サービス開始以後、HEADメソッドを使用するHTTPリクエストの数を記録するカウンタ。攻撃者がターゲットWebサーバの種類などを調べるときに送信する可能性がある
Logon Attempts/sec WWWサービスへのログオン(ユーザー認証)が1秒間に何回試行されたかを記録するカウンタ。ブルートフォース攻撃などを検出できる可能性がある
Windowsサーバの不正アクセス検出用カウンタ

 次の画面は、実際にパフォーマンス・モニタを実行して、上記のカウンタを監視対象として設定してみたところだ。パフォーマンス・モニタはコントロール・パネルの[管理ツールフォルダ]−[パフォーマンス]アイテムから起動できる。

 画面から分かるとおり、パフォーマンス・モニタでは、ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタを監視できる(画面では、DAPC70というローカル・コンピュータと、Server01というリモート・サーバを監視している)。またパフォーマンス・モニタでは、カウンタ値が一定のしきい値を超えたときに外部コマンドを実行することも可能である。End of Article

パフォーマンス・モニタでパラメータの監視を実行しているところ
ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタ値を確認することもできる。また一定のしきい値を超えたときにコマンドを実行させることも可能だ。
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間