LA CLOCHE

Il y a ceux qui ont lu cette nouvelle avant vous.
Abonnez-vous pour recevoir les derniers articles.
Email
Nom
Nom de famille
Comment voulez-vous lire The Bell
Pas de spam

Audit sous Windows 7. Audit des actions des utilisateurs. Solutions logicielles InfoWatch

Partager
Partager
Tweet
Comme
Comme

Annotation: La conférence finale fournit les dernières recommandations pour la mise en œuvre des moyens techniques de protection des informations confidentielles, examine en détail les caractéristiques et les principes de fonctionnement des solutions InfoWatch.

Solutions logicielles InfoWatch

Le but de ce cours n'est pas une connaissance détaillée des détails techniques du travail des produits InfoWatch, nous les examinerons donc du côté du marketing technique. Les produits InfoWatch reposent sur deux technologies fondamentales: le filtrage du contenu et l'audit des actions des utilisateurs ou des administrateurs sur le lieu de travail. Une partie intégrante de la solution InfoWatch complexe est également un référentiel d'informations qui ont quitté le système d'information et une console de gestion de la sécurité interne unifiée.

Filtrage de contenu des canaux de mouvement d'informations

La principale caractéristique distinctive du filtrage de contenu InfoWatch est l'utilisation d'un noyau morphologique. Contrairement au filtrage de signature traditionnel, la technologie de filtrage de contenu InfoWatch présente deux avantages: une insensibilité au codage élémentaire (remplacement d'un caractère par un autre) et des performances supérieures. Puisque le noyau ne fonctionne pas avec des mots, mais avec des formes racines, il coupe automatiquement les racines contenant des encodages mixtes. Aussi, travailler avec des racines, dont il y en a moins de dix mille dans chaque langue, et non avec des formes de mots, dont il y en a environ un million dans les langues, permet de montrer des résultats significatifs sur du matériel plutôt improductif.

Audit de l'activité des utilisateurs

Pour surveiller les actions des utilisateurs avec des documents sur un poste de travail, InfoWatch propose plusieurs intercepteurs dans un agent sur un poste de travail - des intercepteurs pour les opérations de fichiers, les opérations d'impression, les opérations dans les applications, les opérations avec les périphériques connectés.

Référentiel des informations qui ont quitté le système d'information par tous les canaux.

InfoWatch propose un référentiel d'informations qui ont quitté le système d'information. Les documents transmis par tous les canaux menant à l'extérieur du système - courrier électronique, Internet, papier et supports amovibles, sont enregistrés dans l'application de stockage * (jusqu'en 2007 - le Serveur de stockage Traffic Monitor) indiquant tous les attributs - nom et position de l'utilisateur, ses projections électroniques (adresse IP, compte ou adresse postale), date et heure de l'opération, nom et attributs des documents. Toutes les informations sont disponibles pour l'analyse, y compris l'analyse du contenu.

Actions liées

L'introduction de moyens techniques de protection des informations confidentielles semble inefficace sans l'utilisation d'autres méthodes, principalement organisationnelles. Nous en avons déjà discuté certains ci-dessus. Maintenant, revenons plus en détail sur d'autres actions nécessaires.

Modèles de comportement des contrevenants

Après avoir déployé un système de suivi des actions avec des informations confidentielles, en plus d'augmenter les fonctionnalités et les capacités d'analyse, il est possible de se développer dans deux autres directions. Le premier est l'intégration des systèmes de protection contre les menaces internes et externes. Les incidents des dernières années montrent qu'il existe une répartition des rôles entre les attaquants internes et externes, et la combinaison des informations des systèmes de surveillance des menaces externes et internes permettra de détecter les faits de telles attaques combinées. L'un des points de contact entre la sécurité externe et la sécurité interne est la gestion des droits d'accès, notamment dans le cadre de la simulation de nécessité de production pour augmenter les droits des employés déloyaux et des saboteurs. Toute demande d'accès à des ressources qui ne sont pas prévues par des fonctions officielles devrait immédiatement inclure un mécanisme d'audit des actions avec ces informations. Il est encore plus sûr de résoudre des problèmes soudainement apparus sans ouvrir l'accès aux ressources.

Prenons un exemple concret. L'administrateur système a reçu une demande du chef du service marketing pour ouvrir l'accès au système financier. En guise de justification de la demande, la mission du directeur général pour la recherche marketing des processus d'achat des biens produits par l'entreprise était jointe. Étant donné que le système financier est l'une des ressources les plus protégées et que le PDG donne la permission d'y accéder, le chef du service de sécurité de l'information a écrit une solution alternative sur l'application - non pas pour donner accès, mais pour télécharger des données anonymes (sans spécifier les clients) dans une base de données spéciale pour analyse. En réponse aux objections du responsable marketing selon lesquelles il n'était pas pratique pour lui de travailler de cette manière, le directeur lui a posé une question simple: "Pourquoi avez-vous besoin des noms de clients - voulez-vous fusionner la base de données?" -Après ça, tout le monde est allé travailler. S'il s'agissait d'une tentative d'organiser une fuite d'informations, nous ne le saurons jamais, mais quoi qu'il en soit, le système financier des entreprises était protégé.

Prévention des fuites lors de la préparation

Une autre direction dans le développement du système de surveillance des incidents internes avec des informations confidentielles est la construction d'un système de prévention des fuites. Le flux de travail d'un tel système est le même que celui des solutions de prévention des intrusions. Tout d'abord, un modèle de l'intrus est construit, selon lequel une «signature de violation» est formée, c'est-à-dire une séquence d'actions de l'intrus. Si plusieurs actions utilisateur ont coïncidé avec la signature de violation, l'étape suivante de l'utilisateur est prédite, si elle correspond également à la signature, une alarme est générée. Par exemple, un document confidentiel a été ouvert, une partie de celui-ci a été sélectionnée et copiée dans le presse-papiers, puis un nouveau document a été créé et le contenu du presse-papiers y a été copié. Le système suppose: si un nouveau document est enregistré plus loin sans l'étiquette «confidentiel», c'est une tentative de vol. La clé USB n'a pas encore été insérée, aucune lettre n'a été générée et le système informe le responsable de la sécurité de l'information qui décide d'arrêter l'employé ou de suivre où vont les informations. En passant, des modèles (dans d'autres sources - «profils») du comportement du contrevenant peuvent être utilisés non seulement en collectant des informations auprès d'agents logiciels. Si vous analysez la nature des requêtes adressées à la base de données, vous pouvez toujours identifier un employé qui, avec une série de requêtes successives vers la base de données, essaie d'obtenir une tranche d'informations spécifique. Il est nécessaire de retracer immédiatement ce qu'il fait de ces requêtes, s'il les sauvegarde, connecte des supports amovibles, etc.

Organisation du stockage des informations

Les principes d'anonymisation et de cryptage des données sont une condition préalable à l'organisation du stockage et du traitement, et l'accès à distance peut être organisé à l'aide du protocole du terminal, sans laisser aucune information sur l'ordinateur à partir duquel la demande est organisée.

Intégration avec les systèmes d'authentification

Tôt ou tard, le client devra utiliser un système de surveillance des actions avec des documents confidentiels pour résoudre des problèmes de personnel - par exemple, le licenciement d'employés sur la base des faits documentés par ce système ou même la poursuite de ceux qui ont fui. Cependant, tout ce que le système de surveillance peut donner est l'identifiant électronique de l'intrus - adresse IP, compte, adresse e-mail, etc. Afin d'accuser légalement un employé, vous devez lier cet identifiant à la personne. Ici, un nouveau marché s'ouvre pour l'intégrateur - l'introduction de systèmes d'authentification - des simples jetons aux identifiants biométriques et RFID avancés.

Parfois, des événements se produisent et nous obligent à répondre à une question "Qui a fait cela?" Cela peut arriver "rarement, mais correctement", vous devez donc vous préparer à la réponse à la question à l'avance.

Presque partout, des services de conception, des services comptables, des développeurs et d'autres catégories d'employés travaillent ensemble sur des groupes de documents stockés dans un dossier public (partagé) sur un serveur de fichiers ou sur l'un des postes de travail. Il peut arriver que quelqu'un supprime un document ou un répertoire important de ce dossier, ce qui risque de perdre le travail de toute l'équipe. Dans ce cas, plusieurs questions se posent à l'administrateur système:

    Quand et à quelle heure le problème est-il survenu?

    À partir de quelle copie de sauvegarde la plus proche de cette heure les données doivent-elles être restaurées?

    Peut-être y a-t-il eu une défaillance du système qui pourrait se reproduire?

Windows a un système Audit, vous permettant de suivre et d'enregistrer des informations sur le moment, par qui et avec quel programme les documents ont été supprimés. Par défaut, l'audit n'est pas activé - le suivi lui-même nécessite un certain pourcentage de la puissance du système, et si vous enregistrez tout dans une ligne, la charge deviendra trop importante. De plus, toutes les actions des utilisateurs peuvent ne pas nous intéresser, c'est pourquoi les politiques d'audit nous permettent de ne permettre le suivi que des événements qui sont vraiment importants pour nous.

Le système d'audit est intégré à tous les systèmes d'exploitation Microsoftles fenêtresNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Malheureusement, sur les systèmes Windows Home, l'audit est profondément caché et trop difficile à configurer.

Que devez-vous configurer?

Pour activer l'audit, connectez-vous avec les droits d'administrateur à l'ordinateur qui fournit l'accès aux documents partagés et exécutez la commande Début Courir gpedit.msc. Dans la section Configuration ordinateur, développez le dossier Paramètres Windows Les paramètres de sécurité Politiques locales Politiques d'audit:

Double-cliquez sur la politique Auditer l'accès aux objets (Audit d'accès aux objets) et cochez la case Succès. Ce paramètre active un mécanisme de suivi de l'accès réussi aux fichiers et au registre. En effet, nous ne sommes intéressés que par les tentatives réussies de suppression de fichiers ou de dossiers. Activez l'audit uniquement sur les ordinateurs directement sur lesquels les objets suivis sont stockés.

Il ne suffit pas d’activer la stratégie d’audit; nous devons également spécifier les dossiers pour suivre l’accès. Habituellement, ces objets sont des dossiers de documents partagés (partagés) et des dossiers avec des programmes de production ou des bases de données (comptabilité, entrepôt, etc.) - c'est-à-dire des ressources avec lesquelles plusieurs personnes travaillent.

Il est impossible de deviner à l'avance qui supprimera le fichier, par conséquent, le suivi est indiqué pour Tout le monde. Les tentatives réussies de suppression des objets suivis par n'importe quel utilisateur seront enregistrées. Appelez les propriétés du dossier requis (s'il existe plusieurs de ces dossiers, tous à tour de rôle) et sur l'onglet Sécurité → Avancé → Audit ajouter un suivi du sujet Toutes les personnes ses tentatives d'accès réussies Supprimer et Supprimer les sous-dossiers et les fichiers:


De nombreux événements peuvent être enregistrés, vous devez donc également ajuster la taille du journal Sécurité (Sécurité)auquel ils seront enregistrés. Pour
exécuter cette commande DébutCourireventvwr. msc. Dans la fenêtre qui apparaît, appelez les propriétés du journal de sécurité et spécifiez les paramètres suivants:

    Taille maximale du journal \u003d 65536 Ko (pour les postes de travail) ou 262144 Ko (pour les serveurs)

    Remplacez les événements si nécessaire.

En fait, ces chiffres ne sont pas garantis pour être exacts, mais sont sélectionnés empiriquement pour chaque cas spécifique.

les fenêtres 2003/ XP)?

Cliquer sur Début Courir eventvwr.msc Sécurité. VueFiltre

  • Source de l'événement: sécurité;
  • Catégorie: Accès aux objets;
  • Types d'événements: Audit de réussite;
  • ID d'événement: 560;


Consultez la liste des événements filtrés, en faisant attention aux champs suivants dans chaque enregistrement:

  • ObjetNom. Le nom du dossier ou du fichier que vous recherchez;
  • ImageFichierNom. Le nom du programme avec lequel le fichier a été supprimé;
  • Accès. L'ensemble des droits demandés.

Le programme peut demander plusieurs types d'accès au système à la fois - par exemple, Supprimer+ Synchroniser ou Supprimer+ Lis_ Contrôle. Un droit important pour nous est Supprimer.


Alors, qui a supprimé les documents (les fenêtres 2008/ Vue)?

Cliquer sur Début Courir eventvwr.msc et ouvrez le journal pour le visualiser Sécurité. Le journal peut être rempli d'événements qui ne sont pas directement liés au problème. Cliquez avec le bouton droit sur le journal de sécurité et sélectionnez VueFiltre et filtrez la vue selon les critères suivants:

  • Source de l'événement: sécurité;
  • Catégorie: Accès aux objets;
  • Types d'événements: Audit de réussite;
  • ID d'événement: 4663;

Prenez votre temps pour interpréter toutes les suppressions comme malveillantes. Cette fonction est souvent utilisée pendant le fonctionnement normal du programme - par exemple, lors de l'exécution de la commande sauver (Sauver), programmes de package MicrosoftBureau créez d'abord un nouveau fichier temporaire, enregistrez-y le document, puis supprimez la version précédente du fichier. De même, de nombreuses applications de base de données créent d'abord un fichier de verrouillage temporaire au démarrage. (. lck), puis supprimez-le en quittant le programme.

En pratique, j'ai également rencontré des comportements d'utilisateurs malveillants. Par exemple, un employé en conflit d'une certaine entreprise, après son licenciement, a décidé de détruire tous les résultats de son travail en supprimant les fichiers et dossiers auxquels il était lié. Les événements de ce type sont bien visibles - ils génèrent des dizaines, des centaines d'entrées par seconde dans le journal de sécurité. Bien sûr, récupérer des documents depuis OmbreCopies (Clichés instantanés) ou une archive créée automatiquement quotidiennement n'est pas difficile, mais en même temps, je pourrais répondre aux questions "Qui a fait cela?" et "Quand est-ce arrivé?"

Victor Chutov
Chef de projet INFORMSVYAZ HOLDING

Conditions préalables à la mise en œuvre du système

La première enquête mondiale ouverte sur les menaces internes à la sécurité de l'information menée par Infowatch en 2007 (sur la base des résultats de 2006) a montré que les menaces internes ne sont pas moins courantes (56,5%) que les menaces externes (malware, spam, actions de hackers, etc.) etc.). Dans le même temps, dans une écrasante majorité (77%), la raison de la mise en œuvre d'une menace interne est la négligence des utilisateurs eux-mêmes (non-respect des descriptions de poste ou négligence des moyens élémentaires de protection de l'information).

Dynamique de l'évolution de la situation au cours de la période 2006-2008 illustré à la Fig. 1.

La diminution relative de la part des fuites dues à la négligence est due à la mise en place partielle de systèmes de prévention des fuites d'informations (y compris un système de suivi des actions des utilisateurs), qui assurent un degré de protection suffisamment élevé contre les fuites accidentelles. De plus, cela est dû à l'augmentation absolue du nombre de vols intentionnels de données personnelles.

Malgré le changement des statistiques, on peut encore affirmer avec certitude que la lutte contre les fuites d'informations non intentionnelles est une priorité, car lutter contre ces fuites est plus facile, moins coûteux et, par conséquent, la majorité des incidents sont couverts.

Dans le même temps, la négligence des employés, selon l'analyse des résultats des recherches d'Infowatch et de Perimetrix pour 2004-2008, se classe au deuxième rang des menaces les plus dangereuses (les résultats sommaires de la recherche sont présentés dans la figure 2), et sa pertinence continue de croître avec l'amélioration des logiciels et du matériel. systèmes automatisés (AS) des entreprises.

Ainsi, l'introduction de systèmes qui éliminent la possibilité d'un impact négatif d'un employé sur le SI dans le SA de l'entreprise (y compris les programmes de surveillance), fournissent aux employés du SI une base de preuves et du matériel pour enquêter sur l'incident, éliminera la menace de fuite due à la négligence et réduira considérablement les fuites accidentelles, et aussi quelque peu réduire intentionnel. A terme, cette mesure doit permettre de réduire significativement la mise en œuvre des menaces d'initiés.

AS moderne pour l'audit des actions des utilisateurs. Avantages et inconvénients

Les systèmes automatisés d'audit (surveillance) des actions des utilisateurs (ASADP) AS, souvent appelés produits logiciels de surveillance, sont destinés à être utilisés par les administrateurs de sécurité AS (service SI d'une organisation) pour assurer son observabilité - «propriétés d'un système informatique qui vous permet d'enregistrer les activités des utilisateurs, ainsi que d'établir sans ambiguïté des identifiants impliqué dans certains événements utilisateur afin de prévenir les violations de la politique de sécurité et / ou assurer la responsabilité de certaines actions. "

La propriété de l'observabilité de l'UA, en fonction de la qualité de sa mise en œuvre, permet à un degré ou à un autre de contrôler le respect par les employés de l'organisation de sa politique de sécurité et des règles établies pour un travail sûr sur les ordinateurs.

L'utilisation de produits logiciels de surveillance, y compris en temps réel, est conçue pour:

  • identifier (localiser) tous les cas de tentatives d'accès non autorisées à des informations confidentielles avec une indication exacte de l'heure et du lieu de travail du réseau à partir desquels une telle tentative a été faite;
  • identifier les faits d'installation de logiciels non autorisés;
  • déterminer tous les cas d'utilisation non autorisée de matériel supplémentaire (par exemple, modems, imprimantes, etc.) en analysant les faits de lancement d'applications spécialisées installées de manière non autorisée;
  • identifier tous les cas de saisie de mots et de phrases critiques sur le clavier, de préparation de documents critiques dont le transfert à des tiers entraînera des dommages matériels;
  • contrôler l'accès aux serveurs et aux ordinateurs personnels;
  • contrôler les contacts lors de la navigation sur Internet;
  • mener des recherches liées à la détermination de l'exactitude, de l'efficacité et de l'adéquation de la réponse du personnel aux influences externes;
  • déterminer la charge de travail des postes informatiques de l'organisation (par heure, par jours de la semaine, etc.) aux fins de l'organisation scientifique du travail des utilisateurs;
  • contrôler l'utilisation des ordinateurs personnels en dehors des heures de travail et identifier le but de cette utilisation;
  • recevoir les informations fiables nécessaires, sur la base desquelles sont prises les décisions d'ajustement et d'amélioration de la politique SI de l'organisation, etc.

La mise en œuvre de ces fonctions est réalisée en implémentant des modules d'agent (capteurs) sur les postes de travail et les serveurs AS avec une interrogation supplémentaire de l'état ou en recevant des rapports de leur part. Les rapports sont traités dans la console d'administration de sécurité. Certains systèmes sont équipés de serveurs intermédiaires (points de consolidation) qui gèrent leurs zones et groupes de sécurité.

Une analyse systématique des solutions présentées sur le marché (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, «Police Officer / Enterprise Guard», Insider) a permis d'identifier un certain nombre de propriétés spécifiques, donnant à un ASADP prometteur augmenter ses indicateurs d'efficacité par rapport aux échantillons étudiés ...

Dans le cas général, avec une fonctionnalité assez large et un vaste ensemble d'options, les systèmes existants peuvent être utilisés pour suivre les activités de seuls utilisateurs individuels de l'UA sur la base d'une interrogation cyclique obligatoire (analyse) de tous les éléments de l'UA spécifiés (et principalement des utilisateurs AWS).

Dans le même temps, la distribution et l'échelle des AS modernes, y compris un assez grand nombre d'AWP, de technologies et de logiciels, compliquent considérablement le processus même de surveillance du travail des utilisateurs, et chacun des périphériques du réseau est capable de générer des milliers de messages d'audit qui atteignent des quantités d'informations suffisamment importantes qui nécessitent la maintenance d'énormes, souvent dupliquées. bases de données. Ces moyens, entre autres, consomment d'importantes ressources réseau et matérielles, chargent un AS commun. Ils se révèlent inflexibles à la reconfiguration du matériel et des logiciels des réseaux informatiques, ils ne sont pas capables de s'adapter à des types inconnus de violations et d'attaques réseau, et l'efficacité de leur détection des violations des politiques de sécurité dépendra en grande partie de la fréquence d'analyse des éléments du système par l'administrateur de sécurité.

L'un des moyens d'améliorer l'efficacité de ces systèmes consiste à augmenter directement la fréquence de balayage. Cela conduira inévitablement à une diminution de l'efficacité de l'exécution des tâches principales pour lesquelles, en fait, cet AS est destiné, en raison d'une augmentation significative de la charge de calcul à la fois sur le poste de travail de l'administrateur et sur les ordinateurs des postes de travail des utilisateurs, ainsi qu'à une augmentation du trafic du réseau local de l'AS.

En plus des problèmes liés à l'analyse d'une grande quantité de données, les systèmes de surveillance existants ont de sérieuses limitations sur l'efficacité et l'exactitude des décisions prises, causées par le facteur humain, déterminé par les capacités physiques de l'administrateur en tant qu'opérateur humain.

La présence dans les systèmes de surveillance existants de la possibilité de notifier en temps réel les actions non autorisées explicites des utilisateurs ne résout pas fondamentalement le problème dans son ensemble, car elle permet de suivre uniquement les types de violations précédemment connus (méthode de signature), et n'est pas en mesure de fournir des mesures de lutte contre de nouveaux types de violations.

Le développement et l'utilisation de méthodes extensives de sécurité de l'information dans les systèmes de sécurité de l'information, qui prévoient une augmentation du niveau de sa protection en raison d'une «sélection» supplémentaire de ressources informatiques à partir de l'AS, réduisent les capacités de l'AS à résoudre les tâches auxquelles il est destiné et / ou augmentent son coût. L'échec de cette approche sur le marché des technologies informatiques en développement rapide est tout à fait évident.

Un système automatisé pour auditer (surveiller) les actions des utilisateurs. Propriétés prometteuses

D'après les résultats d'analyse ci-dessus, il s'ensuit qu'il existe un besoin évident de conférer les propriétés suivantes aux systèmes de surveillance prometteurs:

  • automatisation, à l'exclusion des opérations "manuelles" de routine;
  • une combinaison de centralisation (basée sur un poste de travail automatisé pour un administrateur de sécurité) avec un contrôle au niveau des éléments individuels (programmes informatiques intelligents) du système de surveillance des utilisateurs de la centrale nucléaire;
  • l'évolutivité, qui permet d'augmenter la capacité des systèmes de surveillance et d'étendre leurs capacités sans augmentation significative des ressources informatiques nécessaires à leur bon fonctionnement;
  • l'adaptabilité à l'évolution de la composition et des caractéristiques des centrales nucléaires, ainsi qu'à l'émergence de nouveaux types de violations de la politique de sécurité.

La structure généralisée de ASADP AS, qui a les caractéristiques distinctives notées, qui peuvent être implémentées dans AS à diverses fins et accessoires, est illustrée à la Fig. 3.

La structure ci-dessus comprend les principaux composants suivants:

  • des composants logiciels-capteurs situés sur certains éléments de l'UA (au niveau des postes de travail des utilisateurs, des serveurs, des équipements réseau, des outils de sécurité de l'information), qui sont utilisés pour enregistrer et traiter les données d'audit en temps réel;
  • fichiers d'enregistrement contenant des informations intermédiaires sur le travail des utilisateurs;
  • les composants de traitement des données et de prise de décision qui reçoivent des informations des capteurs via des fichiers d'enregistrement, les analysent et prennent des décisions sur d'autres actions (par exemple, en entrant certaines informations dans la base de données, en notifiant les fonctionnaires, en créant des rapports, etc.);
  • une base de données d'audit (DB) contenant des informations sur tous les événements enregistrés, sur la base desquelles des rapports sont créés et l'état de la centrale nucléaire est surveillé pendant une période donnée;
  • des composants de génération de rapports et de références basés sur les informations enregistrées dans la base de données d'audit et de filtrage des enregistrements (par date, par ID utilisateur, par poste de travail, par événements de sécurité, etc.);
  • un composant de l'interface de l'administrateur de sécurité, qui sert à contrôler le fonctionnement de l'ASADP AS à partir de son AWS, afficher et imprimer des informations, créer divers types de requêtes vers la base de données et générer des rapports, ce qui permet une surveillance en temps réel des activités actuelles des utilisateurs de l'AS et d'évaluer le niveau actuel de sécurité de diverses ressources
  • des composants supplémentaires, en particulier des composants logiciels pour la configuration du système, l'installation et le placement de capteurs, l'archivage et le cryptage des informations, etc.

Le traitement de l'information dans ASADP AS comprend les étapes suivantes:

  • fixation d'informations d'enregistrement par capteurs;
  • collecte d'informations à partir de capteurs individuels;
  • échange d'informations entre les agents concernés du système;
  • traitement, analyse et corrélation d'événements enregistrés;
  • présentation des informations traitées à l'administrateur de sécurité sous une forme normalisée (sous forme de rapports, de schémas, etc.).

Afin de minimiser les ressources informatiques requises, d'augmenter le secret et la fiabilité du système, le stockage d'informations peut être effectué sur divers éléments de l'UA.

Basée sur la tâche de conférer à ASADP AS des propriétés d'automatisation fondamentalement nouvelles (par rapport aux systèmes existants d'audit du travail des utilisateurs AS), une combinaison de centralisation et de décentralisation, d'évolutivité et d'adaptabilité, l'une des stratégies possibles pour sa construction est la technologie moderne des systèmes multi-agents intelligents, mise en œuvre en développant une communauté intégrée agents de différents types (programmes autonomes intelligents qui mettent en œuvre certaines fonctions de détection et de lutte contre les actions des utilisateurs contraires à la politique de sécurité) et organisent leur interaction.

Pour auditer l'accès aux fichiers et aux dossiers dans Windows Server 2008 R2, vous devez activer la fonction d'audit, ainsi que spécifier les dossiers et fichiers auxquels vous souhaitez enregistrer l'accès. Après avoir configuré l'audit, le journal du serveur contiendra des informations sur l'accès et d'autres événements pour les fichiers et dossiers sélectionnés. Il convient de noter que l'audit de l'accès aux fichiers et aux dossiers ne peut être effectué que sur des volumes avec le système de fichiers NTFS.

Comment activer l'audit pour les objets du système de fichiers dans Windows Server 2008 R2

L'audit de l'accès aux fichiers et dossiers est activé et désactivé à l'aide de stratégies de groupe: stratégies de domaine pour le domaine Active Directory ou stratégies de sécurité locales pour les serveurs autonomes. Pour activer l'audit sur un serveur distinct, vous devez ouvrir la console de gestion des stratégies locales Démarrer -\u003eToutProgrammes -\u003eAdministratifOutils -\u003eLocalSécuritéPolitique... Dans la console de stratégie locale, développez l'arborescence de stratégie locale ( LocalStratégies) et sélectionnez l'élément Audit Politique.

Dans le volet de droite, sélectionnez l'élément AuditObjetAccès et dans la fenêtre qui apparaît, spécifiez quels types d'événements d'accès aux fichiers et dossiers doivent être enregistrés (accès réussi / échoué):


Après avoir sélectionné le paramètre souhaité, vous devez cliquer sur D'ACCORD.

Sélection de fichiers et de dossiers dont l'accès sera enregistré

Une fois l'audit d'accès aux fichiers et aux dossiers activé, il est nécessaire de sélectionner des objets spécifiques du système de fichiers, dont l'accès sera audité. Tout comme les autorisations NTFS, les paramètres d'audit sont hérités par défaut sur tous les objets enfants (sauf configuration contraire). De la même manière que lors de l'attribution de droits d'accès aux fichiers et aux dossiers, l'héritage des paramètres d'audit peut être activé pour tous ou uniquement pour les objets sélectionnés.

Pour configurer l'audit pour un dossier / fichier spécifique, vous devez faire un clic droit dessus et sélectionner Propriétés ( Propriétés). Dans la fenêtre des propriétés, allez dans l'onglet Sécurité ( Sécurité) et appuyez sur le bouton Avancée... Dans la fenêtre des paramètres de sécurité avancés ( AvancéeSécuritéParamètres) allez dans l'onglet Audit ( Audit). La configuration de l'audit nécessite naturellement des droits d'administrateur. À ce stade, la fenêtre d'audit affichera une liste d'utilisateurs et de groupes pour lesquels l'audit est activé sur cette ressource:

Pour ajouter des utilisateurs ou des groupes dont l'accès à cet objet sera enregistré, cliquez sur le bouton Ajouter ... et spécifiez les noms de ces utilisateurs / groupes (ou spécifiez Toutes les personnes - pour auditer l'accès de tous les utilisateurs):

Immédiatement après l'application de ces paramètres dans le journal du système de sécurité (vous pouvez le trouver dans le composant logiciel enfichable OrdinateurGestion -\u003eVisualiseur d'événements), chaque fois que vous accédez à des objets pour lesquels l'audit est activé, les entrées correspondantes s'affichent.

Alternativement, les événements peuvent être affichés et filtrés à l'aide de l'applet de commande PowerShell - Get-EventLog Par exemple, pour afficher tous les événements de eventid 4660, exécutez la commande:

Sécurité Get-EventLog | ? ($ _. eventid -eq 4660)

Conseil... Il est possible d'attribuer des actions spécifiques à tous les événements du journal Windows, tels que l'envoi d'un e-mail ou l'exécution d'un script. La façon dont cela est configuré est décrite dans l'article:

UPD du 06.08.2012 (Merci au commentateur).

Dans Windows 2008 / Windows 7, un utilitaire spécial est apparu pour gérer l'audit auditpol... La liste complète des types d'objets pour lesquels l'audit peut être activé peut être vue à l'aide de la commande:

Auditpol / liste / sous-catégorie: *

Comme vous pouvez le voir, ces objets sont divisés en 9 catégories:

  • Système
  • Connexion / Déconnexion
  • Accès aux objets
  • Utilisation des privilèges
  • Suivi détaillé
  • Changement de politique
  • Gestion de compte
  • Accès DS
  • Connexion au compte

Et chacun d'eux, respectivement, est divisé en sous-catégories. Par exemple, la catégorie d'audit de l'accès aux objets inclut la sous-catégorie système de fichiers et pour activer l'audit des objets du système de fichiers sur l'ordinateur, exécutez la commande:

Auditpol / set / sous-catégorie: "Système de fichiers" / échec: activer / succès: activer

Il s'éteint, respectivement, avec la commande:

Auditpol / set / sous-catégorie: "Système de fichiers" / échec: désactiver / succès: désactiver

Ceux. Si vous désactivez l'audit des sous-catégories inutiles, vous pouvez réduire considérablement la taille du journal et le nombre d'événements inutiles.

Une fois l'audit d'accès aux fichiers et aux dossiers activé, vous devez spécifier les objets spécifiques que nous contrôlerons (dans les propriétés des fichiers et des dossiers). Gardez à l'esprit que par défaut, les paramètres d'audit sont hérités de tous les objets enfants (sauf indication contraire).

La nécessité de mettre en œuvre des systèmes d'audit pour les actions des utilisateurs dans les organisations de tout niveau est convaincue par la recherche des entreprises impliquées dans l'analyse de la sécurité de l'information.

Une étude de Kaspersky Lab, par exemple, a montré que les deux tiers des incidents de sécurité de l'information (67%) étaient causés, entre autres, par les actions d'employés mal informés ou inattentifs. Dans le même temps, selon les recherches d'ESET, 84% des entreprises sous-estiment les risques liés aux facteurs humains.

Se défendre contre les menaces associées à l'utilisateur «de l'intérieur» est plus difficile que se protéger contre les menaces externes. Pour contrer les «nuisibles» de l'extérieur, y compris les virus et les attaques ciblées sur le réseau de l'organisation, il suffit de mettre en œuvre le complexe logiciel ou matériel-logiciel approprié. Protéger une organisation d'un attaquant interne nécessitera plus d'investissements dans l'infrastructure de sécurité et une analyse approfondie. Le travail analytique comprend l'identification des types de menaces les plus critiques pour l'entreprise, ainsi que l'élaboration de «portraits des contrevenants», c'est-à-dire la détermination des dommages qu'un utilisateur peut infliger en fonction de ses compétences et de ses pouvoirs.

L'audit des actions des utilisateurs est inextricablement lié non seulement à la compréhension des «lacunes» du système de sécurité de l'information qui doivent être rapidement comblées, mais aussi à la question de la durabilité de l'entreprise dans son ensemble. Les entreprises qui s'engagent à assurer la continuité des activités doivent tenir compte du fait que, à mesure que la complexité et l'augmentation des processus d'informatisation et d'automatisation commerciale, le nombre de menaces internes ne fait qu'augmenter.

En plus de suivre les actions d'un employé ordinaire, il est nécessaire de vérifier les opérations des «super-utilisateurs» - les employés avec des droits privilégiés et, par conséquent, plus de possibilités de mettre en œuvre accidentellement ou délibérément la menace de fuite d'informations. Ces utilisateurs comprennent les administrateurs système, les administrateurs de base de données et les développeurs de micrologiciels. Vous pouvez également ajouter ici des informaticiens impliqués et des employés en charge de la sécurité de l'information.

La mise en place d'un système de suivi des actions des utilisateurs dans l'entreprise permet d'enregistrer et de répondre rapidement à l'activité des salariés. Important: le système d'audit doit être inclusif. Cela signifie que les informations sur les activités d'un employé ordinaire, d'un administrateur système ou d'un cadre supérieur doivent être analysées au niveau du système d'exploitation, de l'utilisation des applications d'entreprise, au niveau des périphériques réseau, des appels de base de données, des connexions multimédias externes, etc.

Les systèmes modernes d'audit complet vous permettent de contrôler toutes les étapes des actions de l'utilisateur, du démarrage à l'arrêt du PC (poste de travail terminal). Certes, dans la pratique, ils essaient d'éviter un contrôle total. Si toutes les opérations sont enregistrées dans les journaux d'audit, la charge sur l'infrastructure du système d'information de l'organisation augmente plusieurs fois: les postes de travail sont «suspendus», les serveurs et les canaux fonctionnent à pleine charge. La paranoïa concernant la sécurité de l'information peut nuire à une entreprise en ralentissant considérablement les processus de travail.

Un spécialiste de la sécurité de l'information compétent détermine tout d'abord:

  • quelles données dans l'entreprise sont les plus précieuses, car la plupart des menaces internes y seront associées;
  • qui et à quel niveau peut avoir accès à des données précieuses, c'est-à-dire délimite le cercle des contrevenants potentiels;
  • dans quelle mesure les mesures de protection actuelles sont capables de résister aux actions intentionnelles et / ou accidentelles des utilisateurs.

Par exemple, les spécialistes de la cybersécurité du secteur financier considèrent les menaces de fuite de données de paiement et d'abus d'accès comme les plus dangereuses. La plus grande crainte dans les secteurs de l’industrie et des transports concerne les fuites de savoir-faire et les travailleurs déloyaux. Il existe des préoccupations similaires dans le secteur des technologies de l'information et des télécommunications, où les menaces les plus critiques sont la fuite de développements propriétaires, de secrets commerciaux et d'informations de paiement.

COMME LES DISJONCTEURS "TYPIQUES" LES PLUS PROBABLES, L'ANALYSTE IDENTIFIE:

  • Top management: le choix est évident - l'autorité la plus large possible, l'accès aux informations les plus précieuses. Dans le même temps, les responsables de la sécurité ferment souvent les yeux sur les violations des règles de sécurité de l'information par ces personnalités.
  • Employés déloyaux : pour déterminer le degré de fidélité, les spécialistes de la sécurité de l'information de l'entreprise doivent analyser les actions d'un employé individuel.
  • Administrateurs: Les professionnels disposant d'un accès privilégié et de privilèges avancés dotés de connaissances informatiques approfondies sont tentés d'accéder sans autorisation à des informations sensibles.
  • Employés de l'entrepreneur / sous-traitance : à l'instar des administrateurs, des experts «de l'extérieur», dotés de vastes connaissances, peuvent mettre en œuvre diverses menaces tout «à l'intérieur» du système d'information du client.

Déterminer les informations les plus significatives et les intrus les plus probables permet de construire un système de contrôle non total, mais sélectif des utilisateurs. Cela «décharge» le système d'information et sauve les spécialistes de la sécurité de l'information d'un travail redondant.

Outre la surveillance sélective, l'architecture des systèmes d'audit joue un rôle important dans l'accélération des performances du système, l'amélioration de la qualité des analyses et la réduction de la charge sur l'infrastructure. Les systèmes modernes d'audit des actions des utilisateurs ont une structure distribuée. Sur les postes de travail et les serveurs terminaux, des agents capteurs sont installés pour analyser les événements d'un certain type et transmettre les données aux centres de consolidation et de stockage. Les systèmes d'analyse des informations enregistrées sur la base des paramètres embarqués dans le système trouvent dans les journaux d'audit des faits d'activité suspecte ou anormale qui ne peuvent être immédiatement attribués à une tentative de mise en œuvre d'une menace. Ces faits sont transmis au système de réponse, qui informe l'administrateur de sécurité de la violation.

Si le système d'audit est capable de faire face indépendamment à la violation (généralement dans de tels complexes SI, une méthode basée sur la signature pour répondre à une menace est fournie), alors la violation est supprimée automatiquement et toutes les informations nécessaires sur l'intrus, ses actions et l'objet de la menace entrent dans une base de données spéciale. Dans ce cas, la console d'administration de sécurité notifie la neutralisation des menaces.

Si le système ne dispose pas de moyens de répondre automatiquement à une activité suspecte, alors toutes les informations permettant de neutraliser la menace ou d'analyser ses conséquences sont transmises à la console de l'administrateur du SI pour effectuer des opérations en mode manuel.

DANS LE SYSTÈME DE SUIVI DE TOUTE ORGANISATION, LES OPÉRATIONS DOIVENT ÊTRE MISES EN PLACE:

Audit de l'utilisation des postes de travail, des serveurs, ainsi que du temps (par heures et jours de la semaine) d'activité des utilisateurs sur ceux-ci. De cette manière, l'opportunité d'utiliser les ressources d'information est établie.

Partager
Partager
Tweet
Comme
Comme

Lire aussi

LA CLOCHE

Il y a ceux qui ont lu cette nouvelle avant vous.
Abonnez-vous pour recevoir les derniers articles.
Email
Nom
Nom de famille
Comment voulez-vous lire The Bell
Pas de spam