Konfiguracja sprzętu i oprogramowania

Dom gabinet
gabinet

Zautomatyzowany system audytu (monitorowania) działań użytkowników. Rozwiązania programowe Infowatch i powiązane działania Integracja z systemami uwierzytelniania

Adnotacja: W ostatnim wykładzie najnowsze rekomendacje realizacja środki techniczne ochrony informacji poufnych, szczegółowo omawia charakterystykę i zasady działania rozwiązań InfoWatch

InfoWatch Software Solutions

cel ten kurs Nie jest to szczegółowe zapoznanie się ze szczegółami technicznymi działania produktów InfoWatch, dlatego rozważymy je od strony marketingu technicznego. Produkty InfoWatch oparte są na dwóch fundamentalnych technologiach - filtrowaniu treści oraz audytowaniu działań użytkownika lub administratora w miejscu pracy. Ponadto integralną częścią zintegrowanego rozwiązania InfoWatch jest repozytorium informacji, które opuściły system informatyczny oraz pojedyncza wewnętrzna konsola zarządzania bezpieczeństwem.

Filtrowanie treści kanałów ruchu informacyjnego

Główną cechą wyróżniającą filtrowanie treści InfoWatch jest zastosowanie rdzenia morfologicznego. W przeciwieństwie do tradycyjnego filtrowania podpisów, technologia filtrowania treści InfoWatch ma dwie zalety - niewrażliwość na kodowanie elementarne (zastępowanie jednego znaku innym) oraz wyższą wydajność. Ponieważ rdzeń nie działa ze słowami, ale z formami głównymi, automatycznie odcina korzenie zawierające mieszane kodowania. Również praca z rdzeniami, których w każdym języku jest mniej niż dziesięć tysięcy, a nie z formami słownymi, których w językach jest około miliona, pozwala pokazać znaczące wyniki na raczej nieproduktywnym sprzęcie.

Audyt aktywności użytkowników

Aby monitorować działania użytkownika z włączonymi dokumentami stanowisko pracy InfoWatch oferuje kilka interceptorów w jednym agencie na stacji roboczej - interceptory dla operacji na plikach, operacji drukowania, operacji wewnątrz aplikacji, operacji z dołączonymi urządzeniami.

Przechowywanie informacji, które opuściły system informacyjny wszystkimi kanałami.

InfoWatch oferuje repozytorium informacji, które opuściły system informacyjny. Dokumenty przechodzące wszystkimi kanałami wychodzącymi poza system - e-mail, Internet, druk i nośniki wymienne, są przechowywane w *aplikacji magazynowej (do 2007 r. - moduł Serwer pamięci masowej monitora ruchu) ze wskazaniem wszystkich atrybutów - imię i nazwisko oraz stanowisko użytkownika, jego projekcje elektroniczne (adres IP, konto lub adres pocztowy), datę i godzinę operacji, nazwę i atrybuty dokumentów. Wszystkie informacje są dostępne do analizy, w tym analizy treści.

Powiązane zajęcia

Wprowadzenie technicznych środków ochrony informacji poufnych wydaje się nieskuteczne bez zastosowania innych metod, przede wszystkim organizacyjnych. Niektóre z nich omówiliśmy już powyżej. Przyjrzyjmy się teraz bliżej innym niezbędnym działaniom.

Wzorce zachowań przestępców

Wdrażając system monitorowania działań z informacjami poufnymi, oprócz zwiększenia funkcjonalności i możliwości analitycznych, możesz rozwijać się w dwóch kolejnych kierunkach. Pierwsza to integracja systemów ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi. Incydenty z ostatnich lat pokazują, że istnieje podział ról między intruzami wewnętrznymi i zewnętrznymi, a połączenie informacji z systemów monitorowania zagrożeń zewnętrznych i wewnętrznych pozwoli na wykrycie faktów takich połączonych ataków. Jednym z punktów styku bezpieczeństwa zewnętrznego i wewnętrznego jest zarządzanie prawami dostępu, zwłaszcza w kontekście symulowania przemysłowej potrzeby zwiększenia praw nielojalnych pracowników i sabotażystów. Wszelkie prośby o dostęp do zasobów poza obowiązkami służbowymi muszą natychmiast zawierać mechanizm audytu działań z tymi informacjami. Jeszcze bezpieczniej jest rozwiązywać problemy, które nagle się pojawiły, bez otwierania dostępu do zasobów.

Weźmy przykład z życia. Administrator systemu otrzymał prośbę od szefa działu marketingu o otwarcie dostępu do systemu finansowego. Jako uzasadnienie wniosku dołączono zadanie dyrektora generalnego ds. badań marketingowych procesów zakupu towarów produkowanych przez firmę. O ile system finansowy- jeden z najbardziej chronionych zasobów i dostęp do niego daje dyrektor generalny, kierownik wydziału bezpieczeństwo informacji na aplikacji napisał alternatywne rozwiązanie - nie dawać dostępu, ale przesyłać zanonimizowane (bez określania klientów) dane do specjalnej bazy danych do analizy. W odpowiedzi na zarzuty głównego marketera, że ​​praca w ten sposób jest mu niewygodna, dyrektor zadał mu bezpośrednie pytanie: „Po co ci nazwiska klientów – czy chcesz scalić bazę?” Potem wszyscy poszli do pracy. Czy była to próba wycieku informacji, nigdy się nie dowiemy, ale cokolwiek to było, korporacyjny system finansowy był chroniony.

Zapobieganie wyciekom w fazie przygotowania

Kolejnym kierunkiem rozwoju systemu monitoringu incydentów wewnętrznych z informacjami poufnymi jest budowa systemu zapobiegania wyciekom. Algorytm działania takiego systemu jest taki sam jak w rozwiązaniach antywłamaniowych. Najpierw budowany jest model intruza, z którego tworzona jest „sygnatura naruszenia”, czyli sekwencja działań intruza. Jeśli kilka działań użytkownika pasuje do sygnatury naruszenia, przewidziany jest następny krok użytkownika, jeśli również zgadza się z sygnaturą, generowany jest alarm. Na przykład poufny dokument został otwarty, jego część została wybrana i skopiowana do schowka, a następnie nowy dokument i zawartość bufora została do niego skopiowana. System zakłada, że ​​dalsze zapisanie nowego dokumentu bez etykiety „poufne” oznacza usiłowanie uprowadzenia. Dysk USB nie został jeszcze włożony, pismo nie zostało wygenerowane, a system informuje oficera bezpieczeństwa informacji, który decyduje, czy zatrzymać pracownika, czy śledzić, dokąd trafia informacja. Nawiasem mówiąc, modele (w innych źródłach - „profile”) zachowań przestępców mogą być wykorzystywane nie tylko poprzez zbieranie informacji od agentów oprogramowania. Analizując charakter zapytań do bazy danych, zawsze można zidentyfikować pracownika, który w serii kolejnych zapytań do bazy danych próbuje uzyskać konkretną informację. Konieczne jest natychmiastowe prześledzenie, co robi z tymi żądaniami, czy je zapisuje, czy podłącza wymienne nośniki pamięci itp.

Organizacja przechowywania informacji

Zasady anonimizacji i szyfrowania danych - wymagany warunek organizacja przechowywania i przetwarzania oraz zdalny dostęp może być zorganizowane zgodnie z protokołem terminala, nie pozostawiając żadnych informacji na komputerze, z którego zorganizowane jest żądanie.

Integracja z systemami uwierzytelniania

Wcześniej czy później klient będzie musiał skorzystać z systemu monitorowania poufnych dokumentów w celu rozwiązania problemów kadrowych – na przykład zwolnienia pracowników na podstawie faktów udokumentowanych przez ten system, a nawet ścigania osób przeciekających. Jednak jedyne, co może dać system monitoringu, to elektroniczny identyfikator sprawcy – adres IP, rachunek, adres e-mail itp. Aby legalnie obciążyć pracownika, musisz powiązać ten identyfikator z osobą. Tutaj otwiera się przed integratorem nowy rynek - wprowadzenie systemów uwierzytelniania - od prostych tokenów po zaawansowaną biometrię i identyfikatory RFID.

Wiktor Czutow
Kierownik Projektu INFORMSVYAZ HOLDING

Warunki wstępne wdrożenia systemu

Przeprowadzone w 2007 roku pierwsze otwarte globalne badanie zagrożeń wewnętrznych dla bezpieczeństwa informacji firmy Infowatch (na podstawie wyników z 2006 roku) wykazało, że zagrożenia wewnętrzne są nie mniej powszechne (56,5%) niż zewnętrzne ( złośliwe oprogramowanie, spam, działania hakerów itp.). Jednocześnie w zdecydowanej większości (77%), powód wdrożenia zagrożenie wewnętrzne jest zaniedbanie samych użytkowników (niedo opisy stanowisk pracy lub zaniedbanie podstawowych środków ochrony informacji).

Dynamika zmian sytuacji w latach 2006-2008 odzwierciedlone na ryc. jeden.

Względny spadek udziału wycieków z powodu zaniedbań wynika z częściowego wdrożenia systemów zapobiegania wyciekom informacji (w tym systemu monitorowania działań użytkowników), które zapewniają dość wysoki stopień ochrony przed przypadkowymi wyciekami. Ponadto wynika to z bezwzględnego wzrostu liczby umyślnych kradzieży danych osobowych.

Mimo zmiany statystyk nadal można śmiało powiedzieć, że priorytetem jest walka z niezamierzonymi wyciekami informacji, ponieważ przeciwdziałanie takim wyciekom jest łatwiejsze, tańsze, a w efekcie większość incydentów jest chroniona.

Jednocześnie zaniedbania pracowników, według analizy wyników badań Infowatch i Perimetrix za lata 2004-2008, plasują się na drugim miejscu wśród najgroźniejszych zagrożeń (podsumowanie wyników badań przedstawiono na ryc. 2), a ich istotność stale rośnie wraz z ulepszaniem oprogramowania i sprzętu zautomatyzowanych systemów (AS) przedsiębiorstw.

Tym samym wprowadzenie systemów eliminujących możliwość negatywnego wpływu pracownika na SI w AS przedsiębiorstwa (w tym programów monitorujących), zapewnienie pracownikom SI bazy dowodowej i materiałów do zbadania incydentu, wyeliminuje zagrożenie wycieku z powodu zaniedbań, znacznie zmniejszyć przypadkowe wycieki, a także nieco zmniejszyć celowe. Docelowo środek ten powinien pozwolić na znaczne ograniczenie wdrażania zagrożeń ze strony insiderów.

Nowoczesny AS do audytu działań użytkowników. Zalety i wady

Zautomatyzowane systemy do audytu (monitorowania) działań użytkowników (ASADP) AS, często określane jako oprogramowanie monitorujące, są zaprojektowane do użytku przez administratorów bezpieczeństwa AS (usługa bezpieczeństwa informacji organizacji) w celu zapewnienia ich obserwowalności – „właściwości system komputerowy, który pozwala rejestrować działania użytkowników, a także jednoznacznie ustalać identyfikatory użytkowników biorących udział w określonych zdarzeniach w celu zapobiegania naruszeniom polityk bezpieczeństwa i/lub zapewnienia odpowiedzialności za określone działania.

Właściwość obserwowalności AS, w zależności od jakości jej wdrożenia, pozwala w pewnym stopniu kontrolować przestrzeganie przez pracowników organizacji jej polityki bezpieczeństwa i ustalonych zasad. bezpieczna praca na komputerach.

Zastosowanie monitoringu produkty oprogramowania, w tym w czasie rzeczywistym, ma na celu:

  • określić (zlokalizować) wszystkie przypadki prób nieuprawnionego dostępu do informacji poufnych z dokładnym wskazaniem czasu i sieciowego miejsca pracy, z którego taka próba została podjęta;
  • wykryć fakty nieautoryzowanej instalacji oprogramowania;
  • ustalić wszystkie przypadki nieuprawnionego użycia dodatkowego sprzętu (np. modemów, drukarek itp.) poprzez analizę faktów uruchamiania nieautoryzowanych specjalistycznych aplikacji;
  • ustalenia wszystkich przypadków wpisywania krytycznych słów i fraz na klawiaturze, przygotowania krytycznych dokumentów, których przekazanie osobom trzecim doprowadzi do szkód materialnych;
  • kontrolować dostęp do serwerów i komputerów osobistych;
  • kontroluj kontakty podczas surfowania w Sieci internetowe;
  • prowadzić badania związane z określeniem trafności, wydajności i adekwatności reakcji personelu na wpływy zewnętrzne;
  • określić obciążenie stanowisk komputerowych organizacji (według pory dnia, dnia tygodnia itp.) w celu naukowej organizacji pracy użytkowników;
  • kontroluj przypadki użycia komputery osobiste poza godzinami pracy i określić cel takiego wykorzystania;
  • otrzymywania niezbędnych wiarygodnych informacji, na podstawie których podejmowane są decyzje o dostosowaniu i doskonaleniu polityki bezpieczeństwa informacji organizacji itp.

Implementację tych funkcji uzyskuje się poprzez wprowadzenie modułów agentów (sensorów) na stacjach roboczych i serwerach AS z dalszym odpytywaniem statusu lub odbieraniem od nich raportów. Zgłoszenia są przetwarzane w Konsoli administratora zabezpieczeń. Niektóre systemy są wyposażone w serwery pośredniczące (punkty konsolidacyjne), które przetwarzają własne obszary i grupy bezpieczeństwa.

Analiza systemowa rozwiązań prezentowanych na rynku (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, „Uryadnik/Enterprise Guard”, Insider) pozwoliła zidentyfikować szereg specyficznych właściwości, które po dodaniu do obiecującego ASADP zwiększy swoje wskaźniki wydajności w porównaniu do badanych próbek.

W ogólnym przypadku, wraz z dość szeroką funkcjonalnością i dużym pakietem opcji, istniejące systemy mogą być wykorzystywane do śledzenia działań tylko pojedynczych użytkowników AS na podstawie obowiązkowego cyklicznego odpytywania (skanowania) wszystkich określonych elementów AS (i , przede wszystkim użytkownicy AWP).

Jednocześnie dystrybucja i skala nowoczesnego AS, w tym wystarczająca duża liczba Stacja robocza, technologia i oprogramowanie znacznie komplikują proces monitorowania pracy użytkowników, a każde z urządzeń sieciowych jest w stanie generować tysiące komunikatów audytowych, docierając do wystarczająco dużych wolumenów informacji, które wymagają utrzymywania ogromnych, często powielających się baz danych. Narzędzia te, między innymi, zużywają znaczne zasoby sieciowe i sprzętowe, ładują wspólny AS. Okazują się one nieelastyczne na rekonfigurację sprzętu i oprogramowania. sieć komputerowa niezdolny do przystosowania się do nieznane typy naruszenia i ataki sieciowe, a skuteczność ich wykrywania naruszeń zasad bezpieczeństwa będzie w dużej mierze zależeć od częstotliwości skanowania elementów AS przez administratora bezpieczeństwa.

Jeden sposób na poprawę efektywności pracy określone systemy to bezpośredni wzrost szybkości skanowania. Nieuchronnie doprowadzi to do spadku wydajności wykonywania tych głównych zadań, do których de facto ten AS jest przeznaczony, ze względu na znaczny wzrost obciążenia obliczeniowego zarówno na stacji roboczej administratora, jak i na komputerach stacji roboczych użytkowników. jak przy wzroście ruchu lokalna sieć JAK.

Oprócz problemów związanych z analizą dużej ilości danych, istniejące systemy monitoringu mają poważne ograniczenia w skuteczności i trafności podejmowanych decyzji, spowodowane czynnikiem ludzkim, który determinowany jest fizycznymi możliwościami administratora jako człowieka. operator.

Obecność w istniejących systemach monitorowania możliwości powiadamiania w czasie rzeczywistym o wyraźnych nieautoryzowanych działaniach użytkowników nie rozwiązuje zasadniczo problemu jako całości, ponieważ umożliwia śledzenie tylko wcześniej znanych rodzajów naruszeń (metoda podpisu) i nie jest w stanie zapewnić przeciwdziałanie nowym typom naruszeń.

Opracowanie i wykorzystanie rozbudowanych metod zabezpieczenia informacji w systemach bezpieczeństwa informacji, które zapewniają podwyższenie poziomu jej ochrony dzięki dodatkowemu „wyborowi” zasobu obliczeniowego z AS, zmniejsza możliwości AS do rozwiązywania problemów zadania, do których jest przeznaczony, i/lub zwiększa jego koszt. Porażka takiego podejścia na szybko rozwijającym się rynku technologii IT jest dość oczywista.

Zautomatyzowany system audytu (monitorowania) działań użytkowników. Obiecujące właściwości

Z przedstawionych wcześniej wyników analizy wynika oczywista potrzeba nadania obiecującym systemom monitorowania następujących właściwości:

  • automatyzacja, z wyłączeniem rutynowych operacji „ręcznych”;
  • kombinacje centralizacji (w oparciu o stanowisko administratora bezpieczeństwa) z zarządzaniem na poziomie poszczególne elementy(intelektualny programy komputerowe) systemy monitorowania pracy użytkowników UA;
  • skalowalność, która pozwala na zwiększenie wydajności systemów monitoringu i rozszerzenie ich możliwości bez znaczącego zwiększenia zasobów obliczeniowych niezbędnych do ich efektywnego funkcjonowania;
  • adaptacyjność do zmian w składzie i charakterystyce elektrowni jądrowych, a także do pojawiania się nowych rodzajów naruszeń polityki bezpieczeństwa.

Uogólniona struktura ASADP AS, która ma wyraźne cechy wyróżniające, które można wdrożyć w AS do różnych celów i akcesoria, pokazane na ryc. 3.

Powyższa struktura obejmuje następujące główne elementy:

  • komponenty oprogramowania – czujniki umieszczone na niektórych elementach AS (na stacjach roboczych użytkowników, serwerach, sprzęt sieciowy, środki bezpieczeństwa informacji), które służą do gromadzenia i przetwarzania danych audytowych w czasie rzeczywistym;
  • pliki dziennika zawierające pośrednie informacje o doświadczeniu użytkownika;
  • komponenty przetwarzania danych i podejmowania decyzji, które poprzez pliki rejestracyjne odbierają informacje z czujników, analizują je i podejmują decyzje o dalszych działaniach (np. o wprowadzaniu niektórych informacji do bazy, powiadamianiu urzędników, tworzeniu raportów itp.);
  • baza danych audytów (DB) zawierająca informacje o wszystkich zarejestrowanych zdarzeniach, na podstawie których tworzone są raporty oraz monitorowany jest stan AU przez dowolny okres czasu;
  • komponenty do generowania raportów i certyfikatów na podstawie informacji zapisanych w bazie danych audytów oraz filtrowania zapisów (według daty, identyfikatorów użytkowników, stacji roboczych, zdarzeń bezpieczeństwa itp.);
  • komponent interfejsu administratora bezpieczeństwa, który służy do zarządzania pracą ASADP AS z jego stacji roboczej, przeglądania i drukowania informacji, tworzenia różnego rodzaju zapytania do bazy danych i generowanie raportów, co pozwala na monitorowanie w czasie rzeczywistym bieżącej aktywności użytkowników AS oraz ocenę aktualnego poziomu bezpieczeństwa różnych zasobów;
  • dodatkowe komponenty, w szczególności komponenty oprogramowania do konfiguracji systemu, instalowania i umieszczania czujników, archiwizacji i szyfrowania informacji itp.

Przetwarzanie informacji w ASADP AS obejmuje następujące etapy:

  • utrwalanie przez czujniki informacji rejestracyjnych;
  • zbieranie informacji z poszczególnych czujników;
  • wymiana informacji między odpowiednimi agentami systemu;
  • przetwarzanie, analiza i korelacja zarejestrowanych zdarzeń;
  • prezentacja przetwarzanych informacji administratorowi bezpieczeństwa w znormalizowanej formie (w postaci raportów, diagramów itp.).

Aby zminimalizować wymagane zasoby obliczeniowe, zwiększyć tajność i niezawodność systemu, informacje mogą być przechowywane w różnych elementach AS.

W oparciu o zadanie polegające na nadaniu ASADP AS zasadniczo nowego (w porównaniu z istniejące systemy audyt pracy użytkowników AS) właściwości automatyzacji, połączenie centralizacji i decentralizacji, skalowalność i adaptacyjność, widać jedną z możliwych strategii jej budowy nowoczesna technologia inteligentne systemy wieloagentowe, realizowane poprzez rozwój zintegrowanej społeczności agentów, różne rodzaje(inteligentne programy autonomiczne realizujące określone funkcje wykrywania i przeciwdziałania działaniom użytkowników sprzecznych z polityką bezpieczeństwa) oraz organizowania ich interakcji.

Aby kontrolować dostęp do plików i folderów w Serwer Windows 2008 R2, musisz włączyć funkcję inspekcji i określić foldery i pliki, do których chcesz zablokować dostęp. Po skonfigurowaniu audytu w logu serwera będą znajdowały się informacje o dostępie i innych zdarzeniach dotyczących wybranych plików i folderów. Warto zauważyć, że dostęp do plików i folderów można kontrolować tylko na woluminach z systemem plików NTFS.

Włącz inspekcję obiektów systemu plików w systemie Windows Server 2008 R2

Kontrola dostępu do plików i folderów jest włączana i wyłączana za pomocą zasady grupy: Zasady domeny dla domeny Active Directory lub lokalne zasady zabezpieczeń dla serwerów autonomicznych. Aby włączyć audyt na pojedynczym serwerze, musisz otworzyć konsolę zarządzania lokalny polityk Start ->WszystkieProgramy ->AdministracyjnyNarzędzia ->LokalnybezpieczeństwoPolityka. W lokalnej konsoli zasad rozwiń lokalne drzewo zasad ( Lokalnyzasady) i wybierz element rewizjaPolityka.

Wybierz element w prawym okienku rewizjaObiektDostęp i w wyświetlonym oknie określ, jakie rodzaje zdarzeń dostępu do plików i folderów mają być rejestrowane (powodzenie / niepowodzenie):


Po wyborze niezbędne ustawienia trzeba nacisnąć OK.

Wybór plików i folderów, do których dostęp zostanie ustalony

Po aktywowaniu audytu dostępu do plików i folderów należy wybrać określone obiekty system plików, do którego dostęp zostanie poddany audytowi. Podobnie jak uprawnienia NTFS, domyślne ustawienia audytu są dziedziczone na wszystkich obiektach podrzędnych (chyba że skonfigurowano inaczej). W taki sam sposób, jak przy przypisywaniu praw dostępu do plików i folderów, dziedziczenie ustawień audytu można włączyć zarówno dla wszystkich, jak i tylko dla wybranych obiektów.

Aby skonfigurować audyt dla określonego folderu/pliku, musisz go kliknąć kliknij prawym przyciskiem myszy myszą i wybierz Właściwości ( Nieruchomości). W oknie właściwości przejdź do zakładki Bezpieczeństwo ( bezpieczeństwo) i naciśnij przycisk Zaawansowany. W oknie zaawansowanych ustawień zabezpieczeń ( ZaawansowanybezpieczeństwoUstawienia) przejdź do zakładki Audyt ( Audyt). Konfiguracja audytu wymaga oczywiście uprawnień administratora. Na tym etapie w oknie audytu zostanie wyświetlona lista użytkowników i grup, dla których włączony jest audyt dla tego zasobu:

Aby dodać użytkowników lub grupy, których dostęp do tego obiektu zostanie ustalony, kliknij przycisk Dodać... i podaj nazwy tych użytkowników/grup (lub podaj Wszyscy– do audytu dostępu wszystkich użytkowników):

Natychmiast po zastosowaniu tych ustawień w dzienniku systemu Security (znajdziesz go w komputerZarządzanie -> Podgląd zdarzeń), za każdym razem, gdy uzyskujesz dostęp do obiektów, dla których włączono audyt, pojawią się odpowiednie wpisy.

Alternatywnie zdarzenia można wyświetlać i filtrować za pomocą polecenia cmdlet PowerShell − Get-EventLog Na przykład, aby wyświetlić wszystkie zdarzenia o identyfikatorze zdarzenia 4660, uruchom polecenie:

Bezpieczeństwo Get-EventLog | ?($_.eventid -eq 4660)

Rada. Może być przypisany do dowolnego wydarzenia w Dziennik systemu Windows niektóre działania, takie jak wysyłanie e-mail lub wykonanie skryptu. Sposób konfiguracji opisano w artykule:

UPD od 06.08.2012 (Dzięki komentatorowi).

W Windows 2008/Windows 7 wprowadzono zarządzanie audytem specjalne narzędzie audytpol. Pełna lista typy obiektów, które można audytować, można zobaczyć za pomocą polecenia:

auditpol /list /podkategoria:*

Jak widać obiekty te są podzielone na 9 kategorii:

  • System
  • Logowanie/Wylogowanie
  • Dostęp do obiektów
  • Korzystanie z uprawnień
  • Szczegółowe śledzenie
  • zmiana polityki
  • Zarządzanie kontem
  • Dostęp D.S.
  • Logowanie do konta

I każdy z nich odpowiednio jest podzielony na podkategorie. Na przykład kategoria kontroli dostępu do obiektów obejmuje podkategorię System plików i aby włączyć kontrolę obiektów systemu plików na komputerze, uruchom polecenie:

Auditpol /set /subcategory:"System plików" /failure:enable /success:enable

Wyłącza się poleceniem:

Auditpol /set /subcategory:"System plików" /failure:disable /success:disable

Tych. Jeśli wyłączysz audyt niepotrzebnych podkategorii, możesz znacznie zmniejszyć objętość dziennika i liczbę niepotrzebnych zdarzeń.

Po aktywowaniu audytu dostępu do plików i folderów należy określić konkretne obiekty, które będziemy kontrolować (we właściwościach plików i folderów). Należy pamiętać, że domyślnie ustawienia inspekcji są dziedziczone na wszystkich obiektach podrzędnych (chyba że określono inaczej).

Czasami zdarzają się wydarzenia, które wymagają od nas odpowiedzi na pytanie. "kto to zrobił?" Może się to zdarzyć „rzadko, ale celnie”, dlatego warto zawczasu przygotować się do odpowiedzi na pytanie.

Niemal wszędzie są działy projektowe, działy księgowości, programiści i inne kategorie pracowników pracujące wspólnie nad grupami dokumentów przechowywanymi w publicznym (współdzielonym) folderze na serwerze plików lub na jednej ze stacji roboczych. Może się zdarzyć, że ktoś usunie ważny dokument lub katalog z tego folderu, w wyniku czego praca całego zespołu może zostać utracona. W takim razie wcześniej Administrator systemu pojawia się kilka pytań:

    Kiedy i o której godzinie wystąpił problem?

    Z tego, co jest najbliższe temu czasowi utworzyć kopię zapasową czy powinieneś odzyskać swoje dane?

    Może to miało miejsce awaria systemu, co można powtórzyć?

Windows ma system rewizja, który pozwala śledzić i rejestrować informacje o tym, kiedy, przez kogo iz jakim programem dokumenty zostały usunięte. Domyślnie audyt nie jest włączony – samo śledzenie wymaga określonego procentu pojemności systemu, a jeśli zapiszesz wszystko pod rząd, obciążenie stanie się zbyt duże. Co więcej, nie wszystkie działania użytkowników mogą nas interesować, dlatego zasady audytu pozwalają nam umożliwić śledzenie tylko tych zdarzeń, które są dla nas naprawdę ważne.

System audytu jest wbudowany we wszystkie OS MicrosoftOknaNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Niestety w systemach z serii Strona główna Windows inspekcja jest głęboko ukryta i jest zbyt trudna do skonfigurowania.

Co należy skonfigurować?

Aby włączyć audyt, zaloguj się z uprawnieniami administratora na komputerze, który zapewnia dostęp do wspólne dokumenty i uruchom polecenie początekUruchomićgpedit.msc. W sekcji Konfiguracja komputera rozwiń folder Ustawienia systemu WindowsUstawienia bezpieczeństwaZasady lokalneZasady audytu:

Kliknij dwukrotnie na polisę Kontroluj dostęp do obiektów (Audyt dostępu do obiektów) i zaznacz pole wyboru powodzenie. To ustawienie włącza mechanizm śledzenia udanego dostępu do plików i rejestru. Rzeczywiście, interesują nas tylko udane próby usunięcia plików lub folderów. Włącz inspekcję tylko na komputerach, które bezpośrednio przechowują monitorowane obiekty.

Samo włączenie polityki audytu nie wystarczy, musimy również określić, do których folderów chcemy uzyskać dostęp. Zwykle takimi obiektami są foldery wspólnych (współdzielonych) dokumentów oraz foldery z programami produkcyjnymi lub bazami danych (księgowymi, magazynowymi itp.) - czyli zasobami, z którymi pracuje kilka osób.

Nie można z góry odgadnąć, kto dokładnie usunie plik, dlatego śledzenie jest wskazane dla wszystkich (wszystkich). Pomyślne próby usunięcia monitorowanych obiektów przez dowolnego użytkownika będą rejestrowane. Wywołaj właściwości żądanego folderu (jeśli jest kilka takich folderów, to wszystkie po kolei) i na karcie Bezpieczeństwo → Zaawansowane → Audyt dodaj śledzenie tematu Wszyscy (wszyscy), jego udane próby dostępu Kasować oraz Usuń podfoldery i pliki:


Wiele zdarzeń może być rejestrowanych, dlatego należy również dostosować rozmiar dziennika bezpieczeństwo(Bezpieczeństwo) do którego zostaną napisane. Do
to uruchom polecenie początekUruchomićeventvwr. msc. W wyświetlonym oknie wywołaj właściwości dziennika zabezpieczeń i określ następujące parametry:

    Maksymalny rozmiar dziennika = 65536 KB(dla stacji roboczych) lub 262144 KB(dla serwerów)

    W razie potrzeby nadpisz zdarzenia.

W rzeczywistości liczby te nie gwarantują dokładności, ale są wybierane empirycznie dla każdego konkretnego przypadku.

Okna 2003/ PD)?

Kliknij początekUruchomićeventvwr.msc Bezpieczeństwo (bezpieczeństwo). poglądfiltr

  • Źródło zdarzenia:Bezpieczeństwo;
  • Kategoria: Dostęp do obiektów;
  • Rodzaje zdarzeń: Audyt sukcesu;
  • Identyfikator zdarzenia: 560;


Przejrzyj listę przefiltrowanych zdarzeń, zwracając uwagę na następujące pola w każdym wpisie:

  • ObiektNazwa. Nazwa przeszukiwanego folderu lub pliku;
  • ObrazplikNazwa. Nazwa programu, który usunął plik;
  • dostępy. Zestaw żądanych praw.

Program może jednocześnie żądać od systemu kilku rodzajów dostępu - na przykład Kasować+ Synchronizować lub Kasować+ czytać_ kontrola. Odpowiednie dla nas jest Kasować.


Więc kto usunął dokumenty (Okna 2008/ Widok)?

Kliknij początekUruchomićeventvwr.msc i otwórz dziennik Bezpieczeństwo (bezpieczeństwo). Dziennik może być wypełniony zdarzeniami, które nie są bezpośrednio związane z problemem. Klikając prawym przyciskiem myszy dziennik bezpieczeństwa, wybierz polecenie poglądfiltr i przefiltruj widok według następujących kryteriów:

  • Źródło zdarzenia: Bezpieczeństwo;
  • Kategoria: Dostęp do obiektów;
  • Rodzaje zdarzeń: Audyt sukcesu;
  • Identyfikator zdarzenia: 4663;

Nie spiesz się, aby zinterpretować wszystkie usunięcia jako złośliwe. Ta funkcja jest często używana podczas normalnej pracy programów - na przykład wykonywania polecenia Zapisać(Zapisać), programy pakietowe Microsoftgabinet najpierw utwórz nowy plik tymczasowy, zapisz w nim dokument, a następnie go usuń Poprzednia wersja plik. Podobnie wiele aplikacji bazodanowych najpierw tworzy tymczasowy plik blokady podczas uruchamiania. (. lck), następnie usuń go przy wychodzeniu z programu.

W praktyce miałem do czynienia ze złośliwymi działaniami użytkowników. Na przykład pracownik konfliktowy pewnej firmy, opuszczając miejsce pracy, postanowił zniszczyć wszystkie wyniki swojej pracy, usuwając pliki i foldery, z którymi był powiązany. Zdarzenia tego typu są wyraźnie widoczne – generują dziesiątki, setki wpisów na sekundę w dzienniku bezpieczeństwa. Oczywiście odzyskiwanie dokumentów z CieńKopie (Włócznie Cienia) lub automatycznie tworzone codzienne archiwum nie jest trudne, ale jednocześnie mógłbym odpowiedzieć na pytania „Kto to zrobił?” i „Kiedy to się stało?”.

Podobał Ci się artykuł? Podziel się z przyjaciółmi!
Świergot
wydrukować
Czy ten artykuł był pomocny?
tak
Nie
Dziekuję za odpowiedź!
Coś poszło nie tak i Twój głos nie został policzony.
Dziękuję Ci. Twoja wiadomość została wysłana
Znalazłeś błąd w tekście?
Wybierz, kliknij Ctrl+Enter a my to naprawimy!
Powiązane wskazówki
Czy możesz używać telefonu komórkowego w samolocie?
Czy możesz używać telefonu komórkowego w samolocie?
HTC Rhyme - Dane techniczne Smartfony posiadają jedną lub więcej kamer przednich o różnej konstrukcji - wysuwaną kamerę, kamerę PTZ, wycięcie lub otwór w wyświetlaczu, kamerę pod wyświetlaczem
HTC Rhyme - Dane techniczne Smartfony posiadają jedną lub więcej kamer przednich o różnej konstrukcji - wysuwaną kamerę, kamerę PTZ, wycięcie lub otwór w wyświetlaczu, kamerę pod wyświetlaczem
Smartfon Philips W8510 Xenium: recenzja, dane techniczne, recenzje Smartfony mają co najmniej jedną przednią kamerę o różnej konstrukcji - wyskakującą kamerę, kamerę PTZ, wycięcie lub otwór w wyświetlaczu
Smartfon Philips W8510 Xenium: recenzja, dane techniczne, recenzje Smartfony mają co najmniej jedną przednią kamerę o różnej konstrukcji - wyskakującą kamerę, kamerę PTZ, wycięcie lub otwór w wyświetlaczu
Przegląd smartfona Sony Xperia SP
Przegląd smartfona Sony Xperia SP
Smartfon MTS Smart Start: recenzje Smartfon mts smart 3 recenzje
Smartfon MTS Smart Start: recenzje Smartfon mts smart 3 recenzje
Przegląd smartfona Fly FS502 Cirrus: opis, dane techniczne i recenzje
Przegląd smartfona Fly FS502 Cirrus: opis, dane techniczne i recenzje