Очистка журналов безопасности

Для очистки журнала безопасности с помощью специального аплета на панел; управления Windows 2000/XP следует выполнить следующие действия:

• Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

• В отобразившейся Панели управления (Control Panel) откройте папку Администрирование (Administrative Tools).

• Дважды щелкните на аплете Просмотр событий (Event Viewer). На экране появится окно Event Viewer (Просмотр событий) (Рис. 6).

Рис. 6. Окно Просмотр событий

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню (Рис. 7).

Рис. 7. Контекстное меню пункта Безопастность

Выберите команду Clear all Events (Стереть все события). Отобразится диалог, представленный на Рис. 8, с предложением сохранить журнальные события в файле.

Рис. 8. Запрос о необходимости сохранения журнала безопасности

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении очистки журнала безопасности обратите внимание на тот факт, что после выполнения этой операции в журнал сразу же записывается новое собы-тие аудита - только что выполненная операция очистки! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Этот недостаток можно исправить, применив для очистки журнала ха-керскую утилиту elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Эта утилита предназначена, в первую очередь, для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\ComputerName -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей.

Элементарная проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала. Однако теперь мы можем сделать следующий трюк -поместить задание на очистку журнала утилитой elsave.exe в планировщик заданий Windows (запустив его или из меню Пуск (Start), либо командой AT из командной строки MS-DOS). Планировщик выполнит операцию очистки под учетной записью System, что сильно затруднит поиски хакера.