Аппараттық және бағдарламалық қамтамасыз етуді орнату

үй кеңсе
кеңсе

Пайдаланушылардың әрекеттерін тексерудің (мониторингінің) автоматтандырылған жүйесі. Infowatch бағдарламалық шешімдері және қатысты әрекеттер Аутентификация жүйелерімен интеграция

Аннотация: Қорытынды лекцияда, соңғы ұсыныстаржүзеге асыру техникалық құралдарқұпия ақпаратты қорғау, InfoWatch шешімдерінің сипаттамалары мен жұмыс істеу принциптерін егжей-тегжейлі талқылайды

InfoWatch бағдарламалық құралының шешімдері

мақсат бұл курсБұл InfoWatch өнімдерінің жұмысының техникалық мәліметтерімен егжей-тегжейлі танысу емес, сондықтан біз оларды техникалық маркетинг жағынан қарастырамыз. InfoWatch өнімдері екі іргелі технологияға негізделген - мазмұнды сүзу және жұмыс орнындағы пайдаланушы немесе әкімші әрекеттерін тексеру. Сондай-ақ, InfoWatch біріктірілген шешімінің ажырамас бөлігі ақпараттық жүйеден шыққан ақпараттың репозиторийі және қауіпсіздікті басқарудың бір ішкі консолі болып табылады.

Ақпараттық трафик арналарының мазмұнын сүзгілеу

InfoWatch мазмұнын сүзгілеудің басты ерекшелігі морфологиялық ядроны пайдалану болып табылады. Дәстүрлі қолтаңбаны сүзуден айырмашылығы, InfoWatch мазмұнды сүзу технологиясының екі артықшылығы бар - қарапайым кодтауға сезімталдық (бір таңбаны екіншісімен ауыстыру) және жоғары өнімділік. Өзек сөздермен емес, түбір пішіндерімен жұмыс істемейтіндіктен, аралас кодтаулар бар түбірлерді автоматты түрде кесіп тастайды. Сондай-ақ, тілде миллионға жуық болатын сөз формаларымен емес, әр тілде он мыңнан аз болатын түбірлермен жұмыс істеу айтарлықтай өнімсіз жабдықта айтарлықтай нәтиже көрсетуге мүмкіндік береді.

Пайдаланушы әрекетінің аудиті

Құжаттар қосулы кезде пайдаланушы әрекеттерін бақылау үшін жұмыс станциясы InfoWatch жұмыс станциясында бір агентте бірнеше ұстағыштарды ұсынады - файл операцияларына, басып шығару операцияларына, қолданбалар ішіндегі операцияларға, бекітілген құрылғылармен операцияларға арналған интерцепторлар.

Ақпараттық жүйеден шыққан ақпаратты барлық арналар арқылы сақтау.

InfoWatch ақпараттық жүйеден кеткен ақпараттың репозиторийін ұсынады. Жүйеден тыс барлық арналар арқылы өткен құжаттар - электрондық пошта, Интернет, баспа және алынбалы тасымалдағыштар *storage қосымшасында (2007 жылға дейін - модульде) сақталады. Traffic Monitor сақтау сервері) барлық атрибуттарды көрсете отырып - пайдаланушының толық аты-жөні мен лауазымы, оның электрондық болжамдары (IP мекенжайы, тіркелгі немесе пошталық мекенжайы), операцияның күні мен уақыты, құжаттардың атауы және атрибуттары. Барлық ақпарат талдау үшін қол жетімді, соның ішінде мазмұнды талдау.

Қатысты әрекеттер

Құпия ақпаратты қорғаудың техникалық құралдарын енгізу басқа әдістерді, ең алдымен ұйымдастырушылық әдістерді қолданбай, тиімсіз болып көрінеді. Біз олардың кейбірін жоғарыда талқыладық. Енді басқа да қажетті әрекеттерді толығырақ қарастырайық.

Құқық бұзушылардың мінез-құлық үлгілері

Құпия ақпараты бар әрекеттерді бақылау жүйесін қолдану арқылы функционалдылық пен аналитикалық мүмкіндіктерді арттырудан басқа, сіз тағы екі бағытта дами аласыз. Біріншісі – ішкі және сыртқы қауіптерден қорғау жүйелерін біріктіру. Соңғы жылдардағы оқиғалар ішкі және сыртқы зиянкестер арасында рөлдердің бөлінуінің бар екенін көрсетеді және сыртқы және ішкі қауіп-қатерлерді бақылау жүйелеріндегі ақпараттың үйлесуі осындай аралас шабуылдардың фактілерін анықтауға мүмкіндік береді. Сыртқы және ішкі қауіпсіздік арасындағы байланыс нүктелерінің бірі қол жеткізу құқықтарын басқару болып табылады, әсіресе адал емес қызметкерлер мен диверсанттардың құқықтарын арттырудың өндірістік қажеттілігін имитациялау контекстінде. Жұмыс міндеттерінен тыс ресурстарға қол жеткізу туралы кез келген сұраулар дереу осы ақпаратпен әрекеттерді тексеру механизмін қамтуы керек. Ресурстарға қолжетімділікті ашпай, кенеттен туындаған мәселелерді шешу одан да қауіпсіз.

Өмірден мысал алайық. Жүйе әкімшісіне маркетинг бөлімінің басшысынан қаржы жүйесіне қолжетімділікті ашу туралы өтініш түсті. Өтінімге негіздеме ретінде кәсіпорында өндірілген тауарларды сатып алу процестеріне маркетингтік зерттеулер жүргізу жөніндегі бас директордың тапсырмасы қоса берілді. Қаншалықты қаржы жүйесі- ең қорғалатын ресурстардың бірі және оған қол жеткізуге рұқсатты бас директор, бөлім басшысы береді ақпараттық қауіпсіздікөтінімде ол балама шешім жазды - рұқсат беру емес, анонимді (клиенттерді көрсетпей) деректерді талдау үшін арнайы дерекқорға жүктеу. Бас маркетологтың оған бұлай жұмыс істеу ыңғайсыз деген қарсылығына жауап ретінде директор оған: «Клиенттердің аты-жөні не үшін керек – деректер базасын біріктіргіңіз келе ме?» деген тіке сұрақ қойды. Осыдан кейін барлығы жұмысқа кетті. Бұл ақпаратты тарату әрекеті болды ма, біз ешқашан білмейміз, бірақ ол қандай болса да, корпоративтік қаржы жүйесі қорғалған.

Дайындық кезеңінде ағып кетудің алдын алу

Құпия ақпаратпен ішкі оқиғаларды бақылау жүйесін дамытудың тағы бір бағыты ағып кетудің алдын алу жүйесін құру болып табылады. Мұндай жүйенің жұмыс істеу алгоритмі интрузияның алдын алу шешімдеріндегідей. Біріншіден, бұзушының моделі құрастырылып, одан «бұзушылық қолтаңбасы», яғни бұзушының әрекеттерінің реттілігі қалыптасады. Егер бірнеше пайдаланушы әрекеттері бұзушылық қолтаңбасына сәйкес келсе, пайдаланушының келесі қадамы болжанады, егер ол да қолтаңбаға сәйкес келсе, дабыл жасалады. Мысалы, құпия құжат ашылды, оның бір бөлігі таңдалды және алмасу буферіне көшірілді, содан кейін жаңа құжатжәне буфердің мазмұны оған көшірілді. Жүйе жаңа құжат «құпия» белгісінсіз сақталса, бұл ұрлау әрекеті деп есептейді. USB дискісі әлі салынбаған, хат жасалмаған және жүйе қызметкерді тоқтату немесе ақпараттың қайда кеткенін қадағалау туралы шешім қабылдайтын ақпараттық қауіпсіздік қызметкеріне хабарлайды. Айтпақшы, құқық бұзушының мінез-құлқының үлгілерін (басқа дереккөздерде – «профильдер») бағдарламалық қамтамасыз ету агенттерінен ақпарат жинау арқылы ғана қолдануға болмайды. Дерекқорға сұраулардың сипатын талдасаңыз, дерекқорға дәйекті сұраулар қатарында белгілі бір ақпарат бөлігін алуға тырысатын қызметкерді әрқашан анықтауға болады. Ол осы сұраулармен не істейтінін, оларды сақтайды ма, алынбалы сақтау құралдарын қосады ма және т.б.

Ақпаратты сақтауды ұйымдастыру

Мәліметтерді анонимдеу және шифрлау принциптері - міндетті шартсақтау мен өңдеуді ұйымдастыру, және қашықтан қол жеткізусұрау ұйымдастырылған компьютерде ақпарат қалдырмай, терминал хаттамасына сәйкес ұйымдастырылуы мүмкін.

Аутентификация жүйелерімен интеграция

Ерте ме, кеш пе, тапсырыс беруші кадрлық мәселелерді шешу үшін құпия құжаттарды бақылау жүйесін қолдануға мәжбүр болады - мысалы, осы жүйемен құжатталған фактілер негізінде қызметкерлерді жұмыстан шығару немесе тіпті ақпаратты жария еткендерді заңды жауапкершілікке тарту. Дегенмен, мониторинг жүйесі бере алатын барлық нәрсе - бұзушының электрондық идентификаторы - IP мекенжайы, тіркелгі, электрондық пошта мекенжайы және т.б. Қызметкерден заңды түрде ақы алу үшін сіз бұл идентификаторды адамға байланыстыруыңыз керек. Мұнда интегратор үшін жаңа нарық ашылады - аутентификация жүйелерін енгізу - қарапайым белгілерден жетілдірілген биометрияға және RFID - идентификаторларға дейін.

Виктор Чутов
Жоба менеджері INFORMSVYAZ HOLDING

Жүйені енгізудің алғышарттары

2007 жылы Infowatch ақпараттық қауіпсіздікке төнетін ішкі қатерлердің бірінші ашық жаһандық зерттеуі (2006 жылдың нәтижелері бойынша) ішкі қауіптер сыртқы қауіптерден (56,5%) кем емес екенін көрсетті. зиянды бағдарлама, спам, хакерлік әрекеттер және т.б.). Сонымен қатар, басым көпшілігінде (77%) іске асыру себебі ішкі қауіппайдаланушылардың өздерінің немқұрайлылығы болып табылады ( лауазымдық нұсқаулықтарнемесе ақпаратты қорғаудың қарапайым құралдарын елемеу).

2006-2008 жылдардағы жағдайдың өзгеру динамикасы күріште көрсетілген. бір.

Салақтық салдарынан ағып кету үлесінің салыстырмалы төмендеуі кездейсоқ ағып кетуден жеткілікті жоғары қорғау дәрежесін қамтамасыз ететін ақпараттың ағып кетуіне жол бермеу жүйелерін (пайдаланушылардың әрекеттерін бақылау жүйесін қоса) ішінара енгізуге байланысты. Бұған қоса, бұл жеке деректерді қасақана ұрлау санының абсолютті өсуіне байланысты.

Статистикалық мәліметтердің өзгеруіне қарамастан, ақпараттың абайсызда ағып кетуіне қарсы күрес басымдылық деп айтуға болады, өйткені мұндай ағып кетуге қарсы тұру оңайырақ, арзанырақ және нәтижесінде оқиғалардың көпшілігі қамтылады.

Сонымен қатар, қызметкерлердің немқұрайлылығы, Infowatch және Perimetrix 2004-2008 жылдардағы зерттеулерінің нәтижелерін талдауға сәйкес қауіпті қауіптер арасында екінші орында (зерттеулердің жиынтық нәтижелері 2-суретте келтірілген) және оның өзектілігі кәсіпорындардың бағдарламалық-аппараттық автоматтандырылған жүйелерін (АЖ) жетілдірумен қатар өсуін жалғастыруда.

Осылайша, кәсіпорынның АЖ-да қызметкердің АЖ-ға теріс әсер ету мүмкіндігін жою жүйелерін енгізу (мониторинг бағдарламаларын қоса), АЖ қызметкерлерін оқиғаны тергеу үшін дәлелдемелік базамен және материалдармен қамтамасыз ету, абайсыздықтан ағып кету қаупін жояды, кездейсоқ ағып кетуді айтарлықтай азайтады, сондай-ақ әдейі аздап азайтады. Сайып келгенде, бұл шара инсайдерлерден келетін қауіптерді жүзеге асыруды айтарлықтай азайтуға мүмкіндік беруі керек.

Қолданушы әрекеттерін тексеруге арналған заманауи AS. Артылықшылықтар мен кемшіліктер

Пайдаланушы әрекеттерін тексеруге (бақылауға) арналған автоматтандырылған жүйелер (ASADP) AS, көбінесе бағдарламалық өнімдерді бақылау деп аталады, оның бақылануын қамтамасыз ету үшін AS қауіпсіздік әкімшілерімен (ұйымның ақпараттық қауіпсіздік қызметі) пайдалану үшін әзірленген - «қасиеттері есептеу жүйесі, бұл пайдаланушылардың әрекеттерін жазуға, сондай-ақ қауіпсіздік саясатының бұзылуын болдырмау және/немесе белгілі бір әрекеттер үшін жауапкершілікті қамтамасыз ету мақсатында белгілі бір оқиғаларға қатысқан пайдаланушылардың идентификаторларын бір мәнді түрде орнатуға мүмкіндік береді.

АС бақыланатын қасиеті оны жүзеге асыру сапасына байланысты ұйым қызметкерлерінің өзінің қауіпсіздік саясаты мен белгіленген ережелерін сақтауын бақылауға белгілі бір дәрежеде мүмкіндік береді. қауіпсіз жұмыскомпьютерлерде.

Мониторинг қолдану бағдарламалық өнімдер, соның ішінде нақты уақыт режимінде мыналарға арналған:

  • мұндай әрекет жасалған уақытты және желілік жұмыс орнын нақты көрсете отырып, құпия ақпаратқа рұқсатсыз қол жеткізу әрекеттерінің барлық жағдайларын анықтау (локализациялау);
  • бағдарламалық қамтамасыз етуді рұқсатсыз орнату фактілерін анықтау;
  • рұқсат етілмеген мамандандырылған қосымшаларды іске қосу фактілерін талдау арқылы қосымша техникалық құралдарды (мысалы, модемдерді, принтерлерді және т.б.) рұқсатсыз пайдаланудың барлық жағдайларын анықтау;
  • сыни сөздер мен сөз тіркестерін пернетақтада терудің, үшінші тұлғаларға беруі материалдық шығынға әкелетін сыни құжаттарды дайындаудың барлық жағдайларын анықтау;
  • серверлер мен дербес компьютерлерге қол жеткізуді бақылау;
  • серфинг кезінде контактілерді басқарыңыз Интернет желілері;
  • сыртқы әсерлерге персонал әрекетінің дәлдігін, тиімділігін және барабарлығын анықтауға байланысты зерттеулер жүргізу;
  • пайдаланушылардың жұмысын ғылыми ұйымдастыру мақсатында ұйымның компьютерлік жұмыс орындарының жұмыс көлемін (тәулік уақыты бойынша, апта күндері бойынша және т.б.) анықтау;
  • пайдалану жағдайларын бақылау дербес компьютерлержұмыстан тыс уақытта және мұндай пайдалану мақсатын анықтау;
  • қажетті сенімді ақпаратты алу, оның негізінде ұйымның ақпараттық қауіпсіздік саясатын түзету және жетілдіру бойынша шешімдер қабылданады және т.б.

Бұл функцияларды іске асыруға агент модульдерін (датчиктерді) жұмыс станциялары мен AS серверлеріне одан әрі күйді сұрау немесе олардан есептерді алу арқылы енгізу арқылы қол жеткізіледі. Есептер Қауіпсіздік әкімшісі консолінде өңделеді. Кейбір жүйелер өздерінің аумақтары мен қауіпсіздік топтарын өңдейтін аралық серверлермен (консолидация нүктелері) жабдықталған.

Нарықта ұсынылған шешімдердің жүйелік талдауы (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) перспективті жүйеге қосылса, бірқатар нақты қасиеттерді анықтауға мүмкіндік берді. ASADP, зерттелген үлгілермен салыстырғанда оның өнімділік көрсеткіштерін арттырады. .

Жалпы жағдайда, жеткілікті кең функционалдылықпен және опциялардың үлкен пакетімен қатар, қолданыстағы жүйелерді барлық көрсетілген AS элементтерін (және , ең алдымен, AWP пайдаланушылары).

Сонымен қатар, қазіргі заманғы АС таралуы мен ауқымы, соның ішінде жеткілікті көп саныЖұмыс станциясы, технология және бағдарламалық қамтамасыз ету пайдаланушылардың жұмысын бақылау процесін айтарлықтай қиындатады және желілік құрылғылардың әрқайсысы үлкен, жиі қайталанатын деректер қорын жүргізуді қажет ететін ақпараттың жеткілікті үлкен көлеміне қол жеткізе отырып, мыңдаған аудиторлық хабарламаларды жасауға қабілетті. Бұл құралдар, басқалармен қатар, маңызды желілік және аппараттық ресурстарды тұтынады, жалпы AS жүктейді. Олар аппараттық және бағдарламалық құралдарды қайта конфигурациялауға икемсіз болып шығады. компьютерлік желілербейімделе алмайды белгісіз түрлерібұзушылықтар және желілік шабуылдар, және олардың қауіпсіздік саясатының бұзылуын анықтау тиімділігі көбінесе қауіпсіздік әкімшісінің AS элементтерін сканерлеу жиілігіне байланысты болады.

Жұмыс тиімділігін арттырудың бір жолы анықталған жүйелерсканерлеу жылдамдығының тікелей өсуі болып табылады. Бұл сөзсіз әкімшінің жұмыс станциясында да, пайдаланушы жұмыс станцияларының компьютерлерінде де есептеу жүктемесінің айтарлықтай артуына байланысты, шын мәнінде, осы АС арналған негізгі тапсырмаларды орындау тиімділігінің төмендеуіне әкеледі. трафиктің артуы сияқты жергілікті желі AS.

Мәліметтердің үлкен көлемін талдаумен байланысты проблемалардан басқа, қолданыстағы мониторинг жүйелерінде әкімшінің адам ретіндегі физикалық мүмкіндіктерімен анықталатын адам факторынан туындайтын қабылданған шешімдердің тиімділігі мен дәлдігіне елеулі шектеулер бар. оператор.

Қолданыстағы мониторинг жүйелерінде пайдаланушылардың анық рұқсат етілмеген әрекеттері туралы нақты уақыт режимінде хабарлау мүмкіндігінің болуы мәселені тұтастай түбегейлі шешпейді, өйткені ол тек бұрын белгілі бұзушылық түрлерін (қол қою әдісі) қадағалауға мүмкіндік береді және мүмкін емес. бұзушылықтардың жаңа түрлеріне қарсы іс-қимылды қамтамасыз ету.

Есептеу ресурсын АС-тан қосымша «таңдау» есебінен оны қорғау деңгейін арттыруды қамтамасыз ететін ақпараттық қауіпсіздік жүйелерінде ақпаратты қорғаудың кең ауқымды әдістерін әзірлеу және пайдалану АС-тың мәселелерді шешудегі мүмкіндіктерін төмендетеді. ол арналған тапсырмалар және/немесе оның құнын арттырады. Қарқынды дамып келе жатқан IT-технологиялар нарығында мұндай тәсілдің сәтсіздігі анық.

Пайдаланушылардың әрекеттерін тексерудің (мониторингінің) автоматтандырылған жүйесі. Перспективалық қасиеттер

Бұрын берілген талдау нәтижелерінен келешегі бар мониторинг жүйелеріне келесі қасиеттерді беру қажеттілігі айқын:

  • кәдімгі «қолмен» операцияларды қоспағанда, автоматтандыру;
  • деңгейде басқарумен орталықтандырудың (қауіпсіздік әкімшісінің жұмыс станциясы негізінде) комбинациялары жеке элементтер(интеллектуалдық компьютерлік бағдарламалар) АУ пайдаланушыларының жұмысын бақылау жүйелері;
  • мониторинг жүйелерінің мүмкіндіктерін арттыруға және олардың тиімді жұмыс істеуі үшін қажетті есептеу ресурстарын айтарлықтай ұлғайтпай олардың мүмкіндіктерін кеңейтуге мүмкіндік беретін ауқымдылық;
  • атом электр станцияларының құрамы мен сипаттамаларының өзгеруіне, сондай-ақ қауіпсіздік саясатын бұзудың жаңа түрлерінің пайда болуына бейімделу.

ASADP AS жалпыланған құрылымы, ол АС-та жүзеге асырылуы мүмкін ерекше белгілері бар. әртүрлі мақсаттарға арналғанжәне керек-жарақтар, суретте көрсетілген. 3.

Жоғарыда аталған құрылым келесі негізгі компоненттерді қамтиды:

  • бағдарламалық қамтамасыз ету құрамдастары – кейбір AS элементтеріне орналастырылған сенсорлар (пайдаланушы жұмыс станцияларында, серверлерде, желілік жабдық, ақпараттық қауіпсіздік құралдары) нақты уақыт режимінде аудиторлық мәліметтерді жинауға және өңдеуге қызмет етеді;
  • пайдаланушы тәжірибесі туралы аралық ақпаратты қамтитын журнал файлдары;
  • журнал файлдары арқылы сенсорлардан ақпаратты қабылдайтын, оны талдайтын және одан арғы іс-әрекеттер туралы шешім қабылдайтын (мысалы, кейбір ақпаратты мәліметтер базасына енгізу, лауазымды тұлғаларды хабардар ету, есептерді құру және т.б.) деректерді өңдеу және шешім қабылдау компоненттері;
  • барлық тіркелген оқиғалар туралы ақпаратты қамтитын аудиторлық деректер базасы (ДҚ), оның негізінде есептер құрастырылады және кез келген берілген уақыт кезеңінде AU күйі бақыланады;
  • аудит деректер базасында және сүзу жазбаларында жазылған ақпарат негізінде есептер мен сертификаттарды құруға арналған құрамдас бөліктер (күні бойынша, пайдаланушы идентификаторлары бойынша, жұмыс станциясы бойынша, қауіпсіздік оқиғалары бойынша және т.б. бойынша);
  • оның жұмыс станциясынан ASADP AS жұмысын басқару, ақпаратты қарау және басып шығару, құру үшін пайдаланылатын қауіпсіздік әкімшісі интерфейсінің құрамдас бөлігі әртүрлі түріАС пайдаланушыларының ағымдағы қызметін нақты уақыт режимінде бақылауға және әртүрлі ресурстардың ағымдағы қауіпсіздік деңгейін бағалауға мүмкіндік беретін мәліметтер базасына сұраныстар және есептерді құру;
  • қосымша компоненттер, атап айтқанда, жүйені конфигурациялауға, сенсорларды орнатуға және орналастыруға, ақпаратты мұрағаттауға және шифрлауға арналған бағдарламалық қамтамасыз ету компоненттері және т.б.

ASADP AS-те ақпаратты өңдеу келесі кезеңдерді қамтиды:

  • тіркеу ақпаратының сенсорларымен бекіту;
  • жеке сенсорлардан ақпаратты жинау;
  • жүйенің сәйкес агенттері арасында ақпарат алмасу;
  • тіркелген оқиғаларды өңдеу, талдау және корреляциялау;
  • өңделген ақпаратты қауіпсіздік әкімшісіне нормаланған нысанда (есептер, диаграммалар және т.б. түрінде) ұсыну.

Қажетті есептеу ресурстарын барынша азайту, жүйенің құпиялылығын және сенімділігін арттыру үшін ақпаратты АС әртүрлі элементтерінде сақтауға болады.

ASADP AS түбегейлі жаңа (салыстырмалы) беру міндетіне негізделген қолданыстағы жүйелерАС пайдаланушылардың жұмысының аудиті) автоматтандырудың қасиеттері, орталықтандыру мен орталықсыздандырудың үйлесімі, масштабтау және бейімделу, оны құрудың ықтимал стратегияларының бірі көрінеді заманауи технологияагенттердің біріктірілген қауымдастығын дамыту арқылы жүзеге асырылатын интеллектуалды мульти-агенттік жүйелер әртүрлі түрлері(қауіпсіздік саясатына қайшы келетін пайдаланушы әрекеттерін анықтау және оларға қарсы әрекет етудің белгілі бір функцияларын жүзеге асыратын интеллектуалды автономды бағдарламалар) және олардың өзара әрекетін ұйымдастыру.

Файлдар мен қалталарға кіруді тексеру үшін Windows сервері 2008 R2, сіз тексеру мүмкіндігін қосып, кіруді құлыптағыңыз келетін қалталар мен файлдарды көрсетуіңіз керек. Аудитті орнатқаннан кейін сервер журналы таңдалған файлдар мен қалталардағы қатынас және басқа оқиғалар туралы ақпаратты қамтиды. Айта кету керек, файлдар мен қалталарға қол жеткізу тек NTFS файлдық жүйесі бар томдарда тексерілуі мүмкін.

Windows Server 2008 R2 жүйесінде файлдық жүйе нысандарын тексеруді қосыңыз

Файлдар мен қалталарға рұқсатты тексеру мүмкіндігін пайдалану арқылы қосылады және өшіріледі топтық саясат: Active Directory доменіне арналған домен саясаты немесе оқшау серверлер үшін жергілікті қауіпсіздік саясаттары. Бір серверде тексеруді қосу үшін басқару консолін ашу керек жергілікті саясаткер Бастау ->БарлықБағдарламалар ->әкімшілікҚұралдар ->ЖергіліктіқауіпсіздікСаясат. Жергілікті саясат консолінде жергілікті саясат тармағын кеңейтіңіз ( Жергіліктісаясаты)және элементті таңдаңыз аудитСаясат.

Оң жақ аумақта элементті таңдаңыз аудитНысанҚол жеткізужәне пайда болған терезеде файлдар мен қалталарға қол жеткізу оқиғаларының қандай түрлерін жазу керек екенін көрсетіңіз (сәтті/сәтсіз қатынас):


Таңдаудан кейін қажетті параметрлербасу керек ЖАРАЙДЫ МА.

Қол жетімділік түзетілетін файлдар мен қалталарды таңдау

Файлдар мен қалталарға қол жеткізуді тексеру белсендірілгеннен кейін арнайы нысандарды таңдау керек файлдық жүйе, қол жеткізу тексерілетін болады. NTFS рұқсаттары сияқты, әдепкі аудит параметрлері барлық еншілес нысандарда мұраланады (егер басқаша конфигурацияланбаса). Файлдар мен қалталарға кіру құқықтарын тағайындау кезіндегі сияқты, аудит параметрлерін мұраға алуды барлығына да, тек таңдалған нысандар үшін де қосуға болады.

Белгілі бір қалта/файл үшін аудитті орнату үшін оны басу керек оң жақ түймешікті басыңызтінтуірді басып, «Сипаттар» ( Қасиеттер). Сипаттар терезесінде Қауіпсіздік қойындысына өтіңіз ( қауіпсіздік) және түймесін басыңыз Озат. Кеңейтілген қауіпсіздік параметрлері терезесінде ( ОзатқауіпсіздікПараметрлер) Аудит қойындысына өтіңіз ( Аудит). Аудитті орнату, әрине, әкімші құқықтарын талап етеді. Бұл кезеңде аудит терезесі осы ресурс үшін аудит қосылған пайдаланушылар мен топтардың тізімін көрсетеді:

Осы нысанға кіру рұқсаты түзетілетін пайдаланушыларды немесе топтарды қосу үшін түймені басыңыз Қосу...және осы пайдаланушылардың/топтардың аттарын көрсетіңіз (немесе көрсетіңіз Барлығы– барлық пайдаланушылардың қолжетімділігін тексеру үшін):

Осы параметрлерді Қауіпсіздік жүйесі журналында қолданғаннан кейін бірден (оны мына жерден таба аласыз компьютерБасқару ->Оқиғаларды қарау құралы), тексеру қосылған нысандарға кірген сайын сәйкес жазбалар пайда болады.

Сонымен қатар, оқиғаларды PowerShell командлетін пайдаланып көруге және сүзуге болады - Get-EventLogМысалы, 4660 оқиғасы бар барлық оқиғаларды көрсету үшін пәрменді орындаңыз:

Get-EventLog қауіпсіздігі | ?($_.eventid -eq 4660)

Кеңес. Кез келген оқиғаға тағайындалуы мүмкін Windows журналыжіберу сияқты белгілі бір әрекеттер электрондық поштанемесе сценарийді орындау. Оның конфигурациялануы мақалада сипатталған:

UPD 06.08.2012 ж (Комментаторға рахмет).

Windows 2008/Windows 7 жүйесінде аудитті басқару енгізілді арнайы утилита аудитпол. Толық тізімтексеруге болатын нысандардың түрлерін пәрмен арқылы көруге болады:

аудитпол /тізім /қосалқы санат:*

Көріп отырғаныңыздай, бұл нысандар 9 санатқа бөлінеді:

  • Жүйе
  • Жүйеге кіру/шығу
  • Объектіге қол жеткізу
  • Артықшылықты пайдалану
  • Егжей-тегжейлі бақылау
  • саясатты өзгерту
  • Есептік жазбаны басқару
  • D.S. Access
  • Есептік жазбаға кіру

Және олардың әрқайсысы, тиісінше, ішкі санаттарға бөлінеді. Мысалы, «Нысанға қол жеткізу аудиті» санаты «Файлдық жүйе» ішкі санатын қамтиды және компьютердегі файлдық жүйе нысандарын тексеруді қосу үшін пәрменді орындаңыз:

Auditpol /set /subcategory:"Файлдық жүйе" /сәтсіздік:қосу /сәтті:қосу

Ол пәрмен арқылы өшіріледі:

Auditpol /set /қосалқы категория:«Файлдық жүйе» /сәтсіздік:өшіру /сәттілік:өшіру

Анау. Қажетсіз ішкі санаттарды тексеруді өшірсеңіз, журналдың көлемін және қажетсіз оқиғалардың санын айтарлықтай азайтуға болады.

Файлдар мен қалталарға қол жеткізуді тексеру белсендірілгеннен кейін біз басқаратын нақты нысандарды (файлдар мен қалталардың қасиеттерінде) көрсету керек. Әдепкі бойынша аудит параметрлері барлық еншілес нысандарда мұраланғанын есте сақтаңыз (егер басқаша көрсетілмесе).

Кейде сұраққа жауап беруді талап ететін оқиғалар болады. «Мұны кім істеді?»Бұл «сирек, бірақ орынды» болуы мүмкін, сондықтан сұраққа жауап беру үшін алдын ала дайындалу керек.

Барлық жерде дерлік файлдық серверде немесе жұмыс станцияларының бірінде жалпыға ортақ (Ортақ) қалтада сақталатын құжаттар топтарында бірге жұмыс істейтін конструкторлық бөлімдер, бухгалтерлік бөлімдер, әзірлеушілер және қызметкерлердің басқа санаттары бар. Бұл қалтадан біреу маңызды құжатты немесе каталогты жоюы мүмкін, нәтижесінде бүкіл команданың жұмысы жоғалуы мүмкін. Бұл жағдайда, бұрын жүйелік әкімшібірнеше сұрақ туындайды:

    Мәселе қашан және қай уақытта пайда болды?

    Осы уақытқа ең жақын қайдан сақтық көшірмедеректеріңізді қалпына келтіру керек пе?

    Мүмкін орын алған шығар жүйе ақаулығы, қайсысын қайталауға болады?

Windows жүйесінде жүйе бар аудит,бұл құжаттардың қашан, кім және қандай бағдарламамен жойылғаны туралы ақпаратты бақылауға және тіркеуге мүмкіндік береді. Әдепкі бойынша, Аудит қосылмаған - бақылаудың өзі жүйе сыйымдылығының белгілі бір пайызын қажет етеді және бәрін қатарға жазсаңыз, жүктеме тым үлкен болады. Сонымен қатар, пайдаланушының барлық әрекеттері бізді қызықтырмауы мүмкін, сондықтан Аудит саясаты бізге шын мәнінде маңызды оқиғаларды ғана қадағалауға мүмкіндік береді.

Аудит жүйесі барлығына енгізілген ОЖ MicrosoftWindowsН.Т: Windows XP/Vista/7, Windows Server 2000/2003/2008. Өкінішке орай, сериялық жүйелерде Windows Homeаудит тереңде жасырылған және оны конфигурациялау тым қиын.

Нені конфигурациялау керек?

Тексеруді қосу үшін кіру мүмкіндігін беретін компьютерге әкімші құқықтарымен кіріңіз ортақ құжаттар, және пәрменді іске қосыңыз бастауЖүгіруgpedit.msc. «Компьютер конфигурациясы» бөлімінде қалтаны кеңейтіңіз Windows параметрлеріҚауіпсіздік параметрлеріЖергілікті саясатАудит саясаты:

Саясатқа екі рет басыңыз Аудит нысанына кіру (Объектілерге қол жеткізу аудиті)және құсбелгіні таңдаңыз жетістік. Бұл параметр сәтті файлға және тізілімге кіруді қадағалау механизмін қосады. Шынында да, бізді файлдарды немесе қалталарды жоюдың сәтті әрекеттері ғана қызықтырады. Тек бақыланатын нысандарды тікелей сақтайтын компьютерлерде Тексеруді қосыңыз.

Тек Тексеру саясатын қосу жеткіліксіз, сонымен қатар біз қай қалталарға кіргіміз келетінін көрсетуіміз керек. Әдетте мұндай объектілер жалпы (ортақ) құжаттардың қалталары және өндірістік бағдарламалары немесе мәліметтер базасы (бухгалтерлік есеп, қойма және т.б.) бар папкалар – яғни бірнеше адам жұмыс істейтін ресурстар.

Файлды нақты кім жоятынын алдын ала болжау мүмкін емес, сондықтан бақылау Барлығы (Барлығы) үшін көрсетілген. Кез келген пайдаланушының бақыланатын нысандарды жою әрекеттері журналға тіркеледі. Қажетті қалтаның сипаттарын шақырыңыз (егер мұндай бірнеше қалта болса, олардың барлығы кезекпен) және қойындыда Қауіпсіздік → Қосымша → Аудиттақырыпты бақылауды қосыңыз Барлығы (барлығы),оның сәтті қол жеткізу әрекеттері Жоюжәне Ішкі қалталар мен файлдарды жою:


Көптеген оқиғаларды тіркеуге болады, сондықтан журнал өлшемін де реттеу керек қауіпсіздік(Қауіпсіздік)олар жазылатын болады. Үшін
бұл пәрменді іске қосыңыз бастауЖүгіруeventvwr. msc. Пайда болған терезеде Қауіпсіздік журналының сипаттарын шақырып, келесі параметрлерді көрсетіңіз:

    Ең үлкен журнал өлшемі = 65536 КБ(жұмыс станциялары үшін) немесе 262144 КБ(серверлер үшін)

    Қажет болған жағдайда оқиғаларды қайта жазыңыз.

Шындығында, бұл сандар дәлдікке кепілдік бермейді, бірақ әрбір нақты жағдай үшін эмпирикалық түрде таңдалады.

Windows 2003/ XP)?

басыңыз бастауЖүгіруeventvwr.msc Қауіпсіздік (Қауіпсіздік). көрініссүзгі

  • Оқиға көзі: Қауіпсіздік;
  • Санат: Объектіге қол жеткізу;
  • Оқиға түрлері: Табыс аудиті;
  • Оқиға идентификаторы: 560;


Әрбір жазбадағы келесі өрістерге назар аудара отырып, сүзгіден өткен оқиғалар тізімін қарап шығыңыз:

  • НысанАты. Ізделетін қалтаның немесе файлдың атауы;
  • КескінфайлАты. Файлды жойған бағдарламаның аты;
  • рұқсаттар. Сұралған құқықтар жиынтығы.

Бағдарлама жүйеден бірден бірнеше рұқсат түрін сұрай алады - мысалы, Жою+ Синхрондаунемесе Жою+ оқыңыз_ бақылау. Біз үшін дұрыс Жою.


Сонымен, құжаттарды кім жойды (Windows 2008/ Vista)?

басыңыз бастауЖүгіруeventvwr.mscжәне журналды ашыңыз Қауіпсіздік (Қауіпсіздік).Журнал мәселеге тікелей қатысы жоқ оқиғалармен толтырылуы мүмкін. Қауіпсіздік журналын тінтуірдің оң жақ түймешігімен басу арқылы пәрменді таңдаңыз көрініссүзгіжәне келесі критерийлер бойынша көріністі сүзіңіз:

  • Оқиға көзі: Қауіпсіздік;
  • Санат: Объектіге қол жеткізу;
  • Оқиға түрлері: Табыс аудиті;
  • Оқиға идентификаторы: 4663;

Барлық жоюларды зиянды деп түсіндіруге асықпаңыз. Бұл функция көбінесе бағдарламалардың қалыпты жұмысы кезінде қолданылады - мысалы, команданы орындау Сақтау(Сақтау),пакеттік бағдарламалар Microsoftкеңсеалдымен жаңа уақытша файл жасаңыз, құжатты оған сақтаңыз, содан кейін оны жойыңыз алдыңғы нұсқасыфайл. Сол сияқты, көптеген дерекқор қолданбалары іске қосу кезінде алдымен уақытша құлыптау файлын жасайды. (. лк), содан кейін бағдарламадан шыққан кезде оны жойыңыз.

Іс жүзінде пайдаланушының зиянды әрекеттерімен күресуге тура келді. Мысалы, белгілі бір компанияның жанжал қызметкері жұмыс орнынан кетіп бара жатып, өзі қатысты файлдар мен қалталарды жою арқылы жұмысының барлық нәтижелерін жоюға шешім қабылдады. Мұндай оқиғалар анық көрінеді - олар қауіпсіздік журналында секундына ондаған, жүздеген жазбаларды жасайды. Әрине, құжаттарды қалпына келтіру КөлеңкеКөшірмелер (Shadow Spears) немесе автоматты түрде жасалған күнделікті мұрағат қиын емес, бірақ мен «Мұны кім жасады?» деген сұрақтарға жауап бере аламын. және «Бұл қашан болды?».

Мақала ұнады ма? Достарыңызбен бөлісіңіз!
Twitter
басып шығару
Бұл мақала пайдалы болды ма?
Иә
Жоқ
Пікіріңізге рахмет!
Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.
Рақмет сізге. Сіздің хабарламаңыз жіберілді
Мәтіннен қате таптыңыз ба?
Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!
Қатысты кеңестер
Түрлендіру опцияларын орнату
Түрлендіру опцияларын орнату
FLAC файлдарын MP3, AAC, WMA, WAV және т.б. түрлендіру жолы.
FLAC файлдарын MP3, AAC, WMA, WAV және т.б. түрлендіру жолы.
wps кеңейтімі. .WPS файлын қалай ашуға болады? WPS файлдарын ашудағы ақаулардың басқа себептері
wps кеңейтімі. .WPS файлын қалай ашуға болады? WPS файлдарын ашудағы ақаулардың басқа себептері
VOB файлын AVI файлына қалай түрлендіруге болады
VOB файлын AVI файлына қалай түрлендіруге болады
Кескін пішімін қалай өзгертуге болады Утилита түрлендіргішін png-дан bmp-ге
Кескін пішімін қалай өзгертуге болады Утилита түрлендіргішін png-дан bmp-ге
DOC файлын EPUB түріне түрлендіру
DOC файлын EPUB түріне түрлендіру