Dzwon.

Są ci, którzy przeczytali tę wiadomość przed tobą.
Subskrybuj odbieranie artykułów świeżych.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać dzwonek
Bez spamu

Audyt w systemie Windows 7. Audyt działań użytkownika. Rozwiązania oprogramowania Infoodpatch.

Dzielić.
Dzielić.
Ćwierkać.
Lubić.
Lubić.

Adnotacja: W końcowym wykładzie najnowsze zalecenia są podane wdrażanie. Środki techniczne ochrona poufna informacjaCharakterystyka i zasady działania rozwiązań Infokatch są rozważane szczegółowo.

Rozwiązania oprogramowania Infoodpatch.

Celem tego kursu nie jest szczegółowym znajomym szczegółami technicznymi pracami produktów Infokatch, więc rozważ je z marketingu technicznego. Produkty Infokatch oparte są na dwóch podstawowych technologiach - filtrowanie treści i audytu działań użytkownika lub administratora w miejscu pracy. Zintegrowaną częścią zintegrowanego rozwiązania Infokatch jest repozytorium informacyjne, które doprowadziły system informacyjny i pojedynczą konsolę zarządzania bezpieczeństwem wewnętrznego.

Filtrowanie treści kanałów drogowych

Główny charakterystyczna cecha Filtrowanie zawartości Infoodpatch jest stosowanie jądra morfologicznego. W przeciwieństwie do tradycyjnego filtrowania podpisów, technologia filtrowania treści Infoodpatch ma dwie zalety - niewrażliwość na kodowanie podstawowe (zastąp jedno znaki do innych) i więcej wysoka wydajność. Ponieważ jądro nie działa ze słowami, ale z formularzami korzeniowymi automatycznie odrzuca korzenie zawierające mieszane zakodowanie. Również pracować z korzeniami, które w każdym języku są mniej niż dziesięć tysięcy, a nie z formulacjami wizformowymi, które w językach około miliona pozwala na pokazanie znacznych wyników na dostatecznie nieproduktywnym sprzęcie.

Audyt działań użytkownika

Aby monitorować działania użytkowników z dokumentami stacja robocza Infokatch oferuje kilku interceptorów w jednym agencie na stacji roboczej - operacje plików, operacje drukowania, operacje wewnątrz aplikacji, operacji z podłączonymi urządzeniami.

Repozytorium informacji, które opuścili system informacyjny na wszystkich kanałach.

Infokatch oferuje repozytorium informacji, które prowadziło system informacyjny. Dokumenty przekazywane przez wszystkie kanały prowadzące zewnętrzną część - poczta e-mail, Internet, drukowanie i wymienne nośniki są przechowywane w aplikacji * Storage (do 2007 - moduł Serwer pamięci monitora) ze wszystkimi atrybutami - pełną nazwą i pozycją użytkownika, jego elektroniczne prognozy (adresy IP, konto lub adres pocztowy), Daty i czas działania, nazwa i atrybuty dokumentów. Wszystkie informacje są dostępne do analizy, w tym treści.

Pokrewne działania

Wprowadzenie środków technicznych o ochronie informacji poufnych jest nieskuteczny bez użycia innych metod, głównie organizacyjnych. Powyżej uznaliśmy już niektóre z nich. Teraz przestańmy się więcej na innych wymagane działania.

Modele zachowania narciwi

Rozszerzenie systemu monitorowania działań z poufnymi informacjami, oprócz zwiększenia funkcjonalności i możliwości analitycznych, możliwe jest rozwój w dwóch kierunkach. Pierwsza jest integracja systemów ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi. Incydenty ostatnie lata Pokazano, że istnieje dystrybucja ról między napastnikami wewnętrznymi i zewnętrznymi, a łączenie informacji z systemów monitorowania zagrożeń zewnętrznych i wewnętrznych pozwoli na wykrycie faktów takich łącznych ataków. Jednym z punktów kontaktu z zabezpieczeniami zewnętrznymi i wewnętrznymi jest zarządzanie prawami dostępu, zwłaszcza w kontekście symulacji produkcji trzeba zwiększyć ich prawa z nielojalnymi pracownikami i Sabota. Wszelkie wnioski o dostęp do zasobów nie przewidzianych urzędowych obowiązków powinny natychmiast obejmować mechanizm działań audytorskich z niniejszą informacją. Nadal jest bezpieczniejsze, aby rozwiązać nagle powstałe zadania bez otwarcia dostępu do zasobów.

Dajemy przykład od życia. Administrator systemu otrzymał ofertę od szefa działu marketingowego do otwarcia dostępu do systemu finansowego. Jako uzasadnienie wniosku zastosowano zadanie dyrektora generalnego badań marketingowych procesów zakupu towarów wytwarzanych przez Spółkę. Ponieważ system finansowy jest jednym z najbardziej chronionych zasobów i dostępu do niego daje dyrektor generalny, szef działu bezpieczeństwo informacji Na żądanie napisał alternatywne rozwiązanie - Nie dawać dostępu, ale rozładowany w specjalną bazę do analizy bezosobowej (bez określania klientów) danych. W odpowiedzi na zastrzeżenia głównego marketera, że \u200b\u200bbył niewygodny, aby pracować, został poproszony przez dyrektora "W czole": "Dlaczego potrzebujesz nazw klientów - Czy chcesz połączyć podstawę?" -Czy wszyscy poszli do pracy. Niezależnie od tego, czy próba zorganizowania wycieku informacji, nigdy się nie nauczysz, ale cokolwiek to jest, że system finansowy korporacyjny został chroniony.

Zapobiegaj wyciekowi na etapie przygotowania

Innym kierunkiem rozwoju systemu monitorowania incydentów wewnętrznych z poufnymi informacjami jest zbudowanie systemu zapobiegania szczelności. Algorytm pracy takiego systemu jest taki sam jak w rozwiązaniach zapobiegających wtargnięciu. Po pierwsze, zbudowany jest model intruza, powstaje "podpisanie naruszenia", to znaczy sekwencja działań intruza. Jeśli kilka działań użytkownika zbiegł się z podpisem naruszenia, przewiduje się następny krok użytkownika, jeśli pokrywa się z sygnaturą - alarm jest podawany. Na przykład otwarty został otwarty dokument poufny, część została przydzielona i skopiowana do bufora, została utworzona nowy dokument A zawartość bufora została skopiowana do niego. System sugeruje: Jeśli nowy dokument zostanie zapisany bez etykiety "Poufny" - jest to próba uprowadzenia. Napęd USB nie jest włożony, litera nie jest utworzona, a system informuje oficera bezpieczeństwa informacji, który podejmuje decyzję - zatrzymanie pracownika lub śledzenia, w którym informuje informacje. Nawiasem mówiąc, model (w innych źródłach - "Profile") można użyć zachowania przemocy, nie tylko zbieranie informacji z agentów oprogramowania. Jeśli możesz przeanalizować charakter zapytania bazy danych, zawsze możesz zidentyfikować pracownika, który szereg kolejnych zapytań do bazy próbuje uzyskać określoną liczbę informacji. Konieczne jest natychmiastowe śledzenie tego, co robi z tymi wnioskami, niezależnie od tego, czy je utrzymują, czy wymienne media łączy się i tak dalej.

Organizacja przechowywania informacji

Zasady anonimowania i szyfrowania danych są warunkiem wstępnym do organizacji przechowywania i przetwarzania oraz dostęp zdalny Możesz zorganizować protokół terminala, bez wyjeżdżania na komputerze, z którego zorganizowany jest żądanie, brak informacji.

Integracja z systemami uwierzytelniania

Prędzej czy później Klient będzie musiał użyć systemu monitorowania z poufnymi dokumentami do rozwiązywania problemów personalnych - na przykład zwolnienie pracowników opartych na faktach udokumentowanych przez ten system, a nawet ściganie osób, które pozwalały na wyciek. Jednak wszystko, co może dać system monitorowania, jest elektroniczny identyfikator intruza - adres IP, konto, adres e-mail itp. Aby legalnie oskarżyć pracownik, musisz wiązać ten identyfikator osoby. Tutaj integrator otwiera nowy rynek - wprowadzenie systemów uwierzytelniania pochodzi z prostych żetonów do zaawansowanych biometrycznych i identyfikatorów RFID.

Czasami wydarzenia, które wymagają od nas odpowiedzieć na pytanie "kto to zrobił?" Może się wydarzyć "rzadko, ale apt", więc odpowiedź na pytanie powinna być przygotowana z wyprzedzeniem.

Istnieją praktycznie wszędzie działy projektu, rachunkowości, deweloperzy i inne kategorie pracowników, którzy pracują nad grupami dokumentów przechowywanych w folderze publicznie dostępnym (udostępnionym) serwer plików Lub na jednej z stacji roboczych. Może się zdarzyć, że ktoś usunie ważny dokument lub katalog z tego folderu, w wyniku czego można utracić pracę całego zespołu. W takim przypadku pojawi się kilka pytań do administratora systemu:

    Kiedy i ile wystąpił problem?

    Co najbliżej tego czasu utworzyć kopię zapasową Czy musisz przywrócić dane?

    Może była awaria systemu, która mogła powtórzyć ponownie?

Windows ma system Rewizja Umożliwienie śledzenia i rejestrowania informacji o tym, kiedy, przez kogo dokumenty zostały usunięte. Domyślnie audyt nie jest zaangażowany - Sam śledzenie wymaga pewnego procentu mocy systemu, a jeśli piszesz wszystko z rzędu, ładunek stanie się zbyt duży. Co więcej, nie wszystkie działania użytkownika mogą nas zainteresować, więc zasady audytu umożliwiają włączenie śledzenia tylko tych zdarzeń, które są naprawdę ważne dla nas.

System audytu jest wbudowany w wszystkie systemy operacyjne Microsoft.Windows.Nt.: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Niestety w systemach systemu Windows Home Systems, audyt jest ukryty głęboko i jest zbyt trudny do jej skonfigurowania.

Co musisz skonfigurować?

Aby włączyć audyt, przejdź do praw administratora do komputera, który zapewnia dostęp do udostępnionych dokumentów i wykonania polecenia Początek. BIEGAĆ. GPEDIT.MSC.. W sekcji Konfiguracja komputera otwórz folder Ustawienia systemu Windows. Ustawienia bezpieczeństwa Lokalne zasady. Polityki audytu:

Kliknij dwukrotnie Politykę Dostęp obiektu audytu (Audyt dostęp do obiektów) I wybierz Tick. Sukces.. Ten parametr zawiera mechanizm śledzenia udanego dostępu do plików i rejestru. Rzeczywiście, ponieważ jesteśmy zainteresowani tylko usuniętymi próbami usuwania plików lub folderów. Włącz audyt tylko na komputerach bezpośrednio, na których przechowywane są monitorowane obiekty.

Nie wystarczy włączyć zasadę audytu, musimy również określić dostęp do tego, jakie foldery muszą śledzić. Zwykle takie obiekty to foldery Ogólne (udostępnione) dokumenty i foldery z programami produkcyjnymi lub bazami danych (rachunkowość, magazyn itp.) - To znaczy zasobów, z którymi działają kilka osób.

Zgadnięcie z góry, który dokładnie usuwa plik jest niemożliwy, więc śledzenie i jest wskazany dla wszystkich (wszystkich). Ci, którzy próbowali usunąć monitorowane obiekty za pomocą dowolnego użytkownika, będą rejestrowane log. Zadzwoń do właściwości żądanego folderu (jeśli istnieje kilka takich folderów, a następnie wszystkie z kolei) i na karcie Bezpieczeństwo (Bezpieczeństwo) → Zaawansowane (zaawansowane) → Audyt (Audyt) Dodaj problemy z tematem Wszyscy (wszystkie), jego udane próby dostępu Kasować i Usuń podfoldery i pliki:


Zdarzenia mogą być bardzo poprawione dość dużo, dlatego należy również dostosować rozmiar magazynu Bezpieczeństwo (Bezpieczeństwo)które zostaną nagrane. Dla
Weź to polecenie Początek.BIEGAĆ.eventvwr.. mgr. W wyświetlonym oknie wywołaj właściwości dziennika zabezpieczeń i określ następujące parametry:

    Maksymalny rozmiar dziennika \u003d 65536 KB. (dla stacji roboczych) lub 262144 KB. (dla serwerów)

    Nadpisanie zdarzeń w razie potrzeby.

W rzeczywistości określone liczby nie są zagwarantowane dokładne, ale są wybierane doświadczane dla każdego konkretnego przypadku.

Windows. 2003/ Xp.)?

Kliknij Początek. BIEGAĆ. eventvwr.msc. Bezpieczeństwo. WIDOK.Filtr.

  • Źródło zdarzenia: bezpieczeństwo;
  • Kategoria: Dostęp obiektu;
  • Typy zdarzeń: Audyt sukcesu;
  • ID zdarzenia: 560;


Przeglądaj listę filmów filtrowanych, zwracając uwagę na następujące pola w każdym rekordzie:

  • Obiekt.Nazwa.. Nazwa folderu wyszukiwania lub pliku;
  • Wizerunek.PlikNazwa.. Nazwa programu, za pomocą którego usunięto plik;
  • Dostęp.. Zestaw żądanych praw.

Program może żądać kilku rodzajów dostępu w systemie - na przykład Kasować.+ Synchronizować lub Kasować.+ Czytać._ Kontrola. Znaczący nam prawo Kasować..


Więc kto usunął dokumenty (Windows. 2008/ Widok.)?

Kliknij Początek. BIEGAĆ. eventvwr.msc. i otwarte do oglądania magazynu Bezpieczeństwo. Magazyn może być wypełniony wydarzeniami, bezpośrednią postawą do problemu braku. Klikając prawym przyciskiem myszy dziennik bezpieczeństwa, wybierz polecenie WIDOK.Filtr. I filtruj następujące kryteria:

  • Źródło zdarzenia: bezpieczeństwo;
  • Kategoria: Dostęp obiektu;
  • Typy zdarzeń: Audyt sukcesu;
  • ID zdarzenia: 4663;

Nie spiesz się, aby interpretować wszystkie usuwanie jako złośliwe. Ta funkcja jest często używana, gdy normalna praca Programy - na przykład wykonując polecenie Zapisać. (Zapisać), Programy pakietów. Microsoft.Gabinet. Najpierw utwórz nowy plik tymczasowy, zapisz dokument, a następnie usuń poprzednia wersja plik. Podobnie wiele aplikacji bazy danych na uruchomieniu najpierw utwórz tymczasowy plik blokujący (. lck.), Następnie usuń go podczas opuszczania programu.

Musiałem stawić czoła złośliwym działaniom użytkowników. Na przykład urzędnik konfliktu niektórych przedsiębiorstw, gdy odwołanie z miejsca pracy, postanowił zniszczyć wszystkie wyniki swojej pracy, usuwając pliki i foldery, do których miał związek. Wydarzenia tego rodzaju są dobrze zauważalne - generują dziesiątki, setki rekordów na sekundę w dzienniku bezpieczeństwa. Oczywiście przywracanie dokumentów Cień.Kopie. (Kopie cienia) Lub codziennie utworzone archiwum nie jest zbyt trudne, ale jednocześnie mogłem odpowiedzieć na pytania "Kto to zrobił?" I "Kiedy to się stało?".

Wiktor Lyudov.
Menedżer projektu informuje Holding

Wymagania wstępne do wdrożenia systemu

Pierwsze otwarte globalne badanie zagrożeń bezpieczeństwa informacji wewnętrznych Infokatch (zgodnie z wynikami z 2006 r.) Wykazały, że zagrożenia wewnętrzne nie są mniej wspólne (56,5%) niż zewnętrzne ( złośliwe programy, spam, akcje hakerskie itp.). Jednocześnie, w przytłaczającej większości (77%) powodem wdrożenia zagrożenia wewnętrznego jest zaniedbanie samych użytkowników (nie spełnienie opisów stanowisk lub zaniedbania podstawowe środki ochrony informacji).

Dynamika zmian w sytuacji w latach 2006-2008 Odzwierciedlenie na FIG. jeden.

Względny spadek udziału wycieku z powodu zaniedbania wynika z częściowej realizacji systemów do zapobiegania wyciekom informacji (w tym systemów monitorowania użytkowników), który zapewnia wystarczająco wysoki stopień ochrony przed przypadkowymi przeciekami. Ponadto wynika z absolutnego wzrostu liczby celowej kradzieży danych osobowych.

Pomimo zmiany statystyk, nadal możliwe jest pewnie stwierdzenie, że priorytetem jest zwalczanie niezamierzonymi wycieków informacji, ponieważ łatwiej jest przeciwdziałać takim wycieku, tańszym, a wynik jest objęty większością incydentów.

Jednocześnie oficerowie zaniedbań, zgodnie z analizą wyników badań Infoodpatch i Perimetrix na lata 2004-2008, szeregi drugie wśród najbardziej niebezpiecznych zagrożeń (skonsolidowane wyniki badań przedstawiono na FIG. 2), a jego znaczenie trwa Wraz z poprawą oprogramowania i sprzętowych systemów zautomatyzowanych systemów (AC).

Zatem wprowadzenie systemów, które wyeliminują możliwość negatywnego wpływu pracownika na IB do przedsiębiorstwa ACS (w tym programów monitorujących), aby zapewnić pracownikom usługi IB do bazy i materiałów do badania incydentu, wyeliminuje Groźba wycieku z powodu zaniedbania znacząco zmniejsza losowy wyciek, a także nieznacznie zmniejsza intencjonalny. Ostatecznie środek ten powinien umożliwić znaczne zmniejszenie realizacji zagrożeń od wewnętrznych naruszeń.

Nowoczesny aud audów działań użytkownika. Zalety i wady

Zautomatyzowane systemy audytu (monitorowanie) działań użytkownika (ASADP) AUS, często określane przez monitorowanie produktów oprogramowania, są przeznaczone do użytku przez administratorów bezpieczeństwa (IB Organizacja), aby zapewnić jego obserwowalność - "Właściwości system obliczeniowyUmożliwienie nagrywania aktywności użytkownika, a także jednoznacznie zainstalować identyfikatorów zaangażowanych w niektórych zdarzeń użytkowników, aby zapobiec naruszeniu polityki bezpieczeństwa i / lub zabezpieczenia odpowiedzialności za pewne działania ".

Właściwość obserwowalności AC, w zależności od jakości jego wdrożenia, pozwala w pewnym stopniu monitorować przestrzeganie pracowników organizacji swojej polityki bezpieczeństwa i ustalonych zasad dotyczących bezpiecznej pracy na komputerach.

Wykorzystanie monitorowania produktów oprogramowania, w tym w czasie rzeczywistym, został zaprojektowany:

  • określić (zlokalizować) wszystkie przypadki prób nieautoryzowanego dostępu do poufnych informacji o dokładnym wskazaniu czasu i pracy sieciowej, z której przeprowadzono taką próbę;
  • zidentyfikować fakty o nieautoryzowanej instalacji oprogramowania;
  • zidentyfikuj wszystkie przypadki nieautoryzowanego stosowania dodatkowego sprzętu (na przykład modemów, drukarek itp.), analizując fakty dotyczące wprowadzania nieuprawnieniowo zainstalowanych specjalistycznych zastosowań;
  • określ wszystkie przypadki ustawienia na klawiaturze krytycznych słów i wyrażeń, przygotowaniem krytycznych dokumentów, których przeniesienie stron trzecich doprowadzi do szkód materialnych;
  • kontrola dostępu do serwerów i komputerów osobistych;
  • kontakty kontrolne podczas surfowania w Internecie;
  • prowadzić badania związane z określeniem dokładności, wydajności i adekwatności odpowiedzi personalnej na wpływy zewnętrzne;
  • określ pobieranie zadań komputerowych dla organizacji (według pora dnia, przez dzień tygodnia itp.) W celu naukowej organizacji pracy pracy;
  • sterowanie przypadków użytkowania komputery osobiste czas nierakcyjny i zidentyfikować cel takiego użycia;
  • otrzymać niezbędne wiarygodne informacje, na podstawie których podejmowane są decyzje dotyczące dostosowania i poprawy polityki organizacji IB itp.

Wdrożenie tych funkcji jest osiągnięty przez wdrażanie modułów agentów (czujników) na stacjach roboczych i serwerach AC z dalszym badaniem państwa lub otrzymania raportów z nich. Raporty są przetwarzane na konsoli administratora zabezpieczeń. Niektóre systemy są wyposażone w serwery pośrednie (punkty konsolidacji) przetwarzania ich obszarów i grup bezpieczeństwa.

Analiza systemu rozwiązań prezentowanych na rynku (Statwin, Tivoli Configuration Manager, Tivoli Pilot zdalnego sterowania, Operacje OpenView, "District Guard", Insider) umożliwił rozróżnienie wielu konkretnych właściwości, dając obiecującą asadp w celu zwiększenia jego wskaźniki wydajności w porównaniu do badanych próbek.

Ogólnie rzecz biorąc, wraz z dość szerokim funkcjonalnym i dużym pakietem opcji, istniejące systemy mogą być wykorzystywane do śledzenia działań tylko poszczególnych użytkowników AC oparty na obowiązkowej ankiecie cyklicznej (skanowanie) wszystkich określonych elementów AC (i pierwszy ze wszystkich użytkowników armików).

Jednocześnie dystrybucja i skalę nowoczesnej Aus, w tym wystarczająco dużą liczbę ramienia, technologii i oprogramowania, znacząco komplikuje proces monitorowania pracy użytkowników, a każdy z urządzeń sieciowych może generować tysiące wiadomości audycyjnych, osiągając wystarczająco dużo Duże ilości informacji wymagających ogromnych, często duplikujących baz danych. Fundusze te, między innymi, spożywają znaczącą sieć i zasoby sprzętowe, obciążyć ogólny AC. Są elastyczne do rekonfiguracji sprzętowych i oprogramowania. sieć komputerowaNie są w stanie dostosować się do nieznanych rodzajów naruszeń i ataków sieci, a wydajność wykrywania naruszeń bezpieczeństwa będzie w dużej mierze zależy od częstotliwości skanowania przez elementy administratora zabezpieczeń AC.

Jednym ze sposobów na poprawę efektywności określonych systemów jest bezpośredni wzrost częstotliwości skanowania. Będzie to nieuchronnie doprowadzić do zmniejszenia skuteczności wdrażania głównych zadań, dla których w rzeczywistości jest przeznaczony, ze względu na znaczny wzrost obciążenia obliczeniowego zarówno na administratorom ADM, jak i na komputerach użytkowników Stacje robocze, a także wzrost ruchu sieciowego LAN.

Oprócz problemów związanych z analizą dużej ilości danych, w istniejących systemach monitorowania, istnieją poważne ograniczenia dotyczące efektywności i dokładności decyzji spowodowanych przez czynnik ludzki określony przez fizyczne możliwości administratora jako operatora jako operatora.

Obecność w istniejących systemach monitorowania Możliwość powiadomień o wyraźnych nieautoryzowanych działań użytkowników w czasie rzeczywistym nie jest zasadniczo rozwiązać problemu jako całości, ponieważ pozwala na śledzenie tylko z wyprzedzeniem znanych rodzajów naruszeń (metoda podpisu) i jest to nie jest w stanie przeciwdziałać nowych rodzajach naruszeń.

Rozwój i stosowanie obszernych metod w systemach ochrony rozległych metod jej przepisu zapewniającego wzrost poziomu jej ochrony kosztem dodatkowego "selekcji" zasobów obliczeniowych w AU, zmniejsza możliwości AU Aby rozwiązać zadania, dla których jest przeznaczone i / lub zwiększa jego wartość. Niepowodzenie podejścia do szybkiego rozwijania rynku technologii IT jest dość oczywisty.

Zautomatyzowany system audytu (monitorowanie) działań użytkownika. Właściwości perspektywiczne.

Z powyższych wyników analizy oczywista musi podać następujące właściwości do systemów monitorowania perspektywy:

  • automatyzacja z wyłączeniem rutynowych operacji "ręcznych";
  • kombinacje centralizacji (na podstawie automatycznego miejsca pracy administratora bezpieczeństwa) z kontrolą na poziomie poszczególnych elementów (inteligentny programy komputerowe) Systemy monitorowania systemu użytkowników AC;
  • skalowalność, która pozwala zwiększyć pojemność systemów monitorowania i rozszerzyć swoje możliwości bez znacznego wzrostu zasobów obliczeniowych niezbędnych do ich skutecznego funkcjonowania;
  • adaptacyjność do zmiany składu i charakterystyki AC, a także do pojawienia się nowych rodzajów naruszeń bezpieczeństwa.

Uogólniona struktura asadpa, która zaznaczyła cechy charakterystyczneKtóre mogą być realizowane w AC dla różnych celów i akcesoriów, przedstawionych na FIG. 3.

Powyższa struktura zawiera następujące główne składniki:

  • składniki Software-Sensor-Sensor umieszczone na niektórych elementach AU (na miejscu pracy użytkowników, serwerów, sprzętu sieciowego, narzędzi do ochrony informacji), które służą do naprawy i przetwarzania danych audytu w czasie rzeczywistym;
  • pliki rejestracyjne zawierające informacje pośrednie o operacji użytkownika;
  • komponenty przetwarzania danych i składniki decyzyjne otrzymujące informacje z czujników poprzez pliki rejestracyjne, które analizują jego analizę i decyzje w sprawie dalszych działań (na przykład, aby nagrać pewne informacje do bazy danych, powiadomić urzędników, tworzenie raportów itp.);
  • bazy danych audytu (baza danych), zawierający informacje o wszystkich zarejestrowanych wydarzeniach, na podstawie raportów i monitoruje stan AC dla każdego okresu;
  • składniki raportowania i certyfikatów opartych na informacjach nagranych w bazie danych audytu i filtrowania rekordów (według daty, według identyfikatorów użytkowników przez stację roboczą, według zdarzeń bezpieczeństwa itp.);
  • komponent interfejsu administratora bezpieczeństwa, który służy do zarządzania pracą asadp AC z jego ramienia, przeglądanie i drukowanie informacji, tworząc inny rodzaj żądań bazy danych i raportów raportowania, umożliwiając w czasie rzeczywistym, aby śledzić bieżące czynności użytkowników AC i ocenić prąd poziom bezpieczeństwa różnych zasobów;
  • dodatkowe składniki, w szczególności komponenty konfiguracji oprogramowania, instalacji i umieszczania czujników, archiwizacji i szyfrowania informacji itp.

Przetwarzanie informacji w ASADP AC zawiera następujące kroki:

  • fiksacja czujników informacji rejestracyjnych;
  • zbiór informacji z poszczególnych czujników;
  • wymiana informacji między odpowiednimi środkami systemowymi;
  • przetwarzanie, analiza i korelacja zdarzeń zarejestrowanych;
  • reprezentacja przetworzonych informacji do administratora bezpieczeństwa w formularzu znormalizowanej (w formie raportów, diagramów itp.).

W celu zminimalizowania wymaganych zasobów obliczeniowych, zwiększenie tajemnicy i niezawodności systemu, przechowywanie informacji można przeprowadzić na różnych elementach AC.

W oparciu o zadanie dawania AC AC AC Fundamentalnie nowego (w porównaniu do istniejące systemy. Audyt pracy użytkowników AC) Właściwości automatyzacji, kombinacji centralizacji i decentralizacji, skalowalności i adaptacji, jedna z możliwych strategii jego budowy jest widoczna nowoczesna technologia Inteligentne systemy wieloeterskie wdrożone przez opracowanie ze zintegrowanej społeczności agentów różne rodzaje (Inteligentne programy offline, które wdrażają pewne funkcje wykrywania i sprzeciwu w celu zaprzestania polityki bezpieczeństwa użytkowników) i organizowanie ich interakcji.

Aby przeprowadzić audyt dostępu do plików i folderów w systemie Windows Server 2008 R2, należy włączyć funkcję audytu, a także określić foldery i pliki, dostęp do którego chcesz naprawić. Po skonfigurowaniu audytu dziennik serwera będzie zawierał informacje o dostępu i innych zdarzeń do wybranych plików i folderów. Warto zauważyć, że audyt dostępu do plików i folderów można prowadzić wyłącznie na woluminach z systemem plików NTFS.

Włącz audyt do plików obiektów systemowych w systemie Windows Server 2008 R2

Audyt Dostęp do plików i folderów włącza się i odłącza się przez zasady grupy: Polityka domeny dla domeny Active Directory. lub lokalna polityka bezpieczeństwa dla osobnych serwerów. Aby włączyć audyt na osobnym serwerze, musisz otworzyć konsolę sterowania lokalny polityk Start - \u003e.Wszystko.Programy - \u003e.AdministracyjnyNarzędzia - \u003e.LokalnyBezpieczeństwoPolityka. W lokalnej konsoli polityki trzeba wdrażać lokalne drzewo polityki ( LokalnyPolityka) i wybierz przedmiot Rewizja. Polityka.

W prawym panelu musisz wybrać element Rewizja.Obiekt.Dostęp W wyświetlonym oknie określają, jakie rodzaje dostępu zdarzeń i folderów muszą być naprawione (udany / nieudany dostęp):


Po wyborze niezbędne ustawienia Trzeba nacisnąć DOBRZE.

Wybierz pliki i foldery, do którego zostanie naprawiony

Po aktywowanym audycie dostępu do plików i folderów należy wybrać konkretne obiekty system plików, Audyt dostęp do którego zostanie przeprowadzony. Oprócz uprawnień NTFS, domyślne ustawienia audytu są dziedziczone do wszystkich obiektów dziecka (jeśli nie są skonfigurowane w inny sposób). W ten sam sposób, ponieważ przydzielanie praw dostępu do plików i folderów, dziedziczenie ustawień audytu można włączyć zarówno dla wszystkich, jak i tylko dla wybranych obiektów.

Aby skonfigurować audyt dla określonego folderu / pliku, musisz kliknąć na nią prawym przyciskiem myszy i wybierz Właściwości ( Nieruchomości.). W oknie Właściwości musisz przejść do karty Security ( Bezpieczeństwo) i kliknij przycisk zaawansowane. W oknie Ustawienia zaawansowanych zabezpieczeń ( zaawansowaneBezpieczeństwoUstawienia) Przejdźmy do karty Audytu ( Audyt.). Konfiguracja audytu, naturalnie wymaga praw administratora. Na tym etapie znajduje się lista użytkowników i grup zostanie wyświetlona w oknie audytu, dla którego włączony jest audyt dla tego zasobu:

Aby dodać użytkowników lub grupy, których dostęp do tego obiektu zostanie naprawiony, należy kliknąć przycisk Dodaj ... i określ nazwy tych użytkowników / grup (lub określ Wszyscy - Aby przeprowadzić dostęp wszystkich użytkowników):

Natychmiast po zastosowaniu tych ustawień w dzienniku systemu zabezpieczeń (możesz go znaleźć w przyciąganiu KomputerZarządzanie - \u003e.Przeglądarka zdarzeń), za każdym razem dostęp do obiektów, dla których włączony jest audyt, pojawią się odpowiednie wpisy.

Alternatywnie, zdarzenia można oglądać i filtrować za pomocą Cmdlet PowerShell - Get-eventlog. Na przykład, aby przynieść wszystkie zdarzenia z Eventid 4660, wykonam polecenie:

Bezpieczeństwo Get-EventLog | ? ($ _. Eventid -eq 4660)

Rada. Możliwe jest przypisanie pewnych działań na temat jakichkolwiek zdarzeń w systemie Windows, takich jak wysyłanie e-maila lub wykonanie skryptu. Jak skonfigurowany jest opisany w artykule:

Ustdlenia od 06.08.2012. (Dziękuję Ci).

W systemie Windows 2008 / Windows 7 pojawił się specjalne narzędzie do sterowania audytem auditpol.. Pełna lista Rodzaje obiektów, do których można włączyć audyt, można zobaczyć za pomocą polecenia:

AuditPol / Lista / Podkategoria: *

Jak widać te obiekty są podzielone na 9 kategorii:

  • System.
  • Logon / Logoff.
  • Dostęp obiektu.
  • Użycie przywileju.
  • Szczegółowe śledzenie
  • Zmiana polityki.
  • Zarządzanie kontem.
  • DS Access.
  • Logowanie konta.

I każdy z nich odpowiednio, aby dzielić się podkategorii. Na przykład kategoria Access Access Obiekt zawiera podkategorię systemu plików i włączenie audytu dla obiektów systemu plików na komputerze wykonuje polecenie:

Auditpol / Set / Podkategoria: "System plików" / awaria: Włącz / SUKCES: Włącz

Wyłącza zgodnie z poleceniem:

Auditpol / Set / Podkategoria: "System plików" / awaria: Wyłącz / Sukces: Wyłącz

Te. Jeśli wyłączysz audyt niepotrzebnych podkategorii, możesz znacznie zmniejszyć głośność dziennika i liczby niepotrzebnych zdarzeń.

Po aktywacji audytu dostępu do plików i folderów należy określić określone obiekty, które będą monitorowane (w właściwościach plików i folderów). Pamiętaj, że domyślnie ustawienia audytu są dziedziczone do wszystkich obiektów dziecka (o ile nie wskazano inaczej).

W potrzebie wdrażania systemów badań systemowych w organizacjach każdego poziomu są przekonane o badaniach firm analizy bezpieczeństwa informacji.

Na przykład badanie Kaspersky Lab, pokazało: dwie trzecie incydentów IB (67%) są spowodowane włączeniem działań słabo świadomych lub nieuważnych pracowników. Jednocześnie, zgodnie z ESET Research, 84% firm zachowuje ryzyko spowodowane przez ludzki czynnik.

Ochrona przed zagrożeniami związanymi z użytkownikiem "od środka" wymaga dużego wysiłku niż ochrona przed zagrożeniami zewnętrznymi. Aby przeciwdziałać "szkodnikom" z zewnątrz, w tym wirusów i ataków docelowych w sieci organizacji, wystarczy wdrożyć odpowiednie oprogramowanie lub kompleks oprogramowania i sprzętowy. Aby zabezpieczyć organizację z wewnętrznego atakującego, będzie wymagana będzie poważniejsze inwestycje w infrastrukturę bezpieczeństwa i głęboką analizę. Prace analityczne obejmuje alokacji typów zagrożeń, najbardziej krytycznych dla biznesu, a także kompilację "portretów naruszeń", to znaczy definicje, których definicje można stosować szkody, w oparciu o jej kompetencje i uprawnienia.

Wraz z audytem działań użytkowników jest nierozerwalnie związany nie tylko zrozumieniem, którego "Bresci" w systemie bezpieczeństwa informacji musi zostać szybko zamknięty, ale także kwestia trwałości firmy jako całości. Firmy skonfigurowane do działań ustawicznych powinny uwzględniać, że przy komplikowaniu i rosnącym procesie informatyzacji i automatyzacji biznesowej, liczba zagrożeń wewnętrznych jest tylko rośnie.

Oprócz śledzenia działań zwykłego pracownika, konieczne jest przeprowadzenie działalności "Superausers" - pracowników z uprzywilejowanymi prawami, a odpowiednio, bardziej powszechnie lub celowo wdrażać zagrożenie wycieku informacji. Taki użytkownicy obejmują administratorów systemu, administratorów bazy danych, programistów wewnętrznych oprogramowania. Możesz także dodać i przyciągnąć specjalistów IT, a pracownicy odpowiedzialni za IB.

Wdrożenie systemu monitorowania działań użytkowników w firmie pozwala naprawić i odpowiedzieć na działalność pracowników. Ważne: System audytu musi mieć własność integracji. Oznacza to, że informacje o działaniach zwykłego pracownika, administrator systemu lub najwyższy menedżer musi być analizowany na poziomie system operacyjny, Korzystanie z aplikacji biznesowych, na poziomie urządzeń sieciowych, apeluje do baz danych, podłączenie mediów zewnętrznych i tak dalej.

Nowoczesne systemy. Kompleksowy audyt umożliwia kontrolowanie wszystkich etapów działań użytkownika od rozpoczęcia wyłączenia komputera (terminalowa stacji roboczej). Prawda w praktyce całkowita kontrola próbuje uniknąć. Jeśli w dziennikach audytu, aby nagrać wszystkie operacje, ładunek infrastruktury systemu informacyjnego organizacji jest wielokrotnie zwiększając: "Zawieś" stacje robocze, serwery i kanały pracują pod pełnym obciążeniem. Paranoja w kwestii bezpieczeństwa informacji może zaszkodzić działalności, znacznie spowalniając przepływy pracy.

Właściwy specjalista ds. Bezpieczeństwa Informacyjnego określa przede wszystkim:

  • jakie dane w firmie są najcenniejsze, ponieważ większość wewnętrznych zagrożeń zostanie z nimi związana;
  • kto i na tym, jaki poziom może mieć dostęp do cennych danych, czyli, przedstawia okrąg potencjalnych intruzów;
  • ile obecnych środków ochrony jest w stanie wytrzymać celowe i / lub przypadkowe działania użytkowników.

Na przykład specjaliści IB z sektora finansowego rozważają najbardziej niebezpieczne zagrożenia dla wycieku danych płatności i nadużywania dostępu. W sektorze przemysłowym i transportowym przecieki know-how i najbardziej przestraszone są nielojalne zachowanie pracowników. Podobne obawy w działalności IT-Sfery i telekomunikacyjną, gdzie najbardziej krytyczne zagrożenia wycieku własnych zmian, tajemnice handlowe i informacje o płatnościach.

Jako najbardziej prawdopodobne "typowe" intruzów analityków przeznaczonych:

  • TOP Management.: Wybór jest oczywisty - najszersze możliwe uprawnienia, dostęp do najcenniejszych informacji. Jednocześnie odpowiedzialna za bezpieczeństwo często zamyka ich oczy na naruszenia zasad IB z takimi figurami.
  • Pracownicy Baby. : Określenie stopnia lojalności, specjaliści IB Spółki powinny być przeprowadzane przez działania analityczne odrębnego pracownika.
  • Administratorzy: Specjaliści z korzystnym dostępem i rozszerzonym organem z głęboką wiedzą w sferze IT są podatne na uwiedzione nieautoryzowany dostęp do ważna informacja;
  • Pracownicy organizacji zamawiających / outsourcingu : Jak administratorowie, eksperci "z zewnątrz", posiadających szeroką wiedzę, mogą wdrożyć różne zagrożenia Będąc "wewnątrz" systemu informacyjnego klienta.

Definicja najważniejszych informacji i najbardziej prawdopodobnych atakujących pomaga zbudować system nie całkowitej, ale selektywnej kontroli użytkownika. To "rozładowuje" system informacyjny I eliminuje specjalistów IB z nadmiarowej pracy.

Oprócz selektywnego monitorowania, znacząca rola w przyspieszeniu działania systemu, poprawa jakości analizy i zmniejszenie obciążenia infrastruktury odgrywa architekturę systemów audytu. Nowoczesne systemy kontroli systemów działań użytkownika mają strukturę rozproszoną. Na końcowych stacjach roboczych i serwerach, instalowane są czujniki, które analizują zdarzenia określonego typu i transmisji do centrów konsolidacji i przechowywania. Analiza stałych informacji na temat układu układanego w systemie znajduje się w magazynach audytorskich Fakty o podejrzanej lub nienormalnej aktywności, której nie można natychmiast przypisać próbę realizacji zagrożenia. Fakty te są przekazywane do systemu odpowiedzi, który zauważa administratora bezpieczeństwa na naruszenie.

Jeśli system audytu jest w stanie niezależnie radzić sobie z naruszeniem (zwykle takie kompleksy IB zapewniają metodę reakcji przeciwgłaniowej), a następnie naruszenie jest dostarczane automatycznie, a wszystkie niezbędne informacje o luźnikom, jego działaniach i przedmiotowi zagrożeń wpaść w specjalną bazę danych. Konsola administratora bezpieczeństwa w tym przypadku powiadamia zagrożenie neutralizacją.

Jeśli system nie obejmuje automatycznych metod odpowiedzi dla podejrzanej aktywności, a następnie wszystkie informacje dotyczące neutralizacji zagrożenia lub analizowania jego konsekwencji są przesyłane do konsoli administratora IB do wykonania operacji w trybie ręcznym.

W systemie monitorowania dowolnej organizacji należy skonfigurować operacje:

Kontrola stosowania stacji roboczych, serwerów, a także czas (o godzinę i dni tygodnia) działalność na nich użytkownika. W ten sposób ustanawia się wykonalność korzystania z zasobów informacyjnych.

Dzielić.
Dzielić.
Ćwierkać.
Lubić.
Lubić.

Przeczytaj także.

Dzwon.

Są ci, którzy przeczytali tę wiadomość przed tobą.
Subskrybuj odbieranie artykułów świeżych.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać dzwonek
Bez spamu