قائمة الطعام
مجانا
التسجيل
الصفحة الرئيسية  /  الملاحون/ حلول برمجية Infowatch والأنشطة ذات الصلة. نظام آلي لمراجعة (مراقبة) إجراءات المستخدم. تدقيق إجراءات مستخدمي Windows

حلول برمجية Infowatch والأنشطة ذات الصلة. نظام آلي لمراجعة (مراقبة) إجراءات المستخدم. تدقيق إجراءات مستخدمي Windows

في بعض الأحيان تحدث أحداث تتطلب منا الإجابة على سؤال "من فعل هذا؟"يمكن أن يحدث هذا "نادرًا ، ولكن على نحو ملائم" ، لذا يجب الاستعداد للإجابة على السؤال مسبقًا.

في كل مكان تقريبًا توجد أقسام التصميم وأقسام المحاسبة والمطورون وفئات أخرى من الموظفين يعملون معًا في مجموعات من المستندات المخزنة في مجلد عام (مشترك) على خادم ملفات أو على إحدى محطات العمل. قد يحدث أن يقوم شخص ما بحذف مستند أو دليل مهم من هذا المجلد ، مما قد يؤدي إلى فقد عمل الفريق بأكمله. في هذه الحالة ، تظهر عدة أسئلة أمام مسؤول النظام:

    متى ومتى حدثت المشكلة؟

    وهو الأقرب إلى هذا الوقت دعمهل يجب علي استعادة البيانات الخاصة بي؟

    ربما كان هناك فشل النظاميمكن أن يحدث مرة أخرى؟

ويندوز لديه نظام مراجعة،مما يسمح لك بتتبع وتسجيل المعلومات حول متى وبواسطة من وبمساعدة أي برنامج تم حذف المستندات. بشكل افتراضي ، لا يتم تمكين التدقيق - يتطلب التتبع نفسه نسبة معينة من طاقة النظام ، وإذا قمت بتسجيل كل شيء في صف واحد ، فسيصبح الحمل كبيرًا جدًا. علاوة على ذلك ، قد لا تهمنا جميع إجراءات المستخدم ، لذلك تسمح لنا سياسات التدقيق بتمكين تتبع الأحداث المهمة حقًا بالنسبة لنا فقط.

نظام التدقيق مدمج في جميع أنظمة التشغيل مايكروسوفتشبابيكNT: نظام التشغيل Windows XP / Vista / 7 ، مشغل برامج وندوز 2000/2003/2008. لسوء الحظ ، في أنظمة السلسلة ويندوز هومالتدقيق مدفون بعمق ويصعب تخصيصه.

ماذا تحتاج لتخصيص؟

لتمكين التدقيق ، قم بتسجيل الدخول باستخدام حقوق المسؤول للكمبيوتر الذي يوفر الوصول إلى المستندات المشتركة وتشغيل الأمر يبدأيركضgpedit.msc. في قسم تكوين الكمبيوتر ، قم بتوسيع المجلد إعدادات Windowsاعدادات الامانالسياسات المحليةسياسات التدقيق:

انقر نقرًا مزدوجًا على السياسة تدوين الوصول إلى الكائن (تدوين الوصول إلى الكائنات)وحدد خانة الاختيار نجاح. تتيح هذه المعلمة آلية لتعقب الوصول الناجح إلى الملفات والتسجيل. في الواقع ، نحن مهتمون فقط بالمحاولات الناجحة لحذف الملفات أو المجلدات. قم بتمكين التدقيق فقط على أجهزة الكمبيوتر مباشرةً حيث يتم تخزين الكائنات المتعقبة.

إن تمكين سياسة التدقيق ببساطة ليس كافيًا ، فنحن بحاجة أيضًا إلى تحديد المجلدات لتتبع الوصول. عادةً ما تكون هذه الكائنات عبارة عن مجلدات من المستندات والمجلدات المشتركة (المشتركة) مع برامج الإنتاج أو قواعد البيانات (المحاسبة ، المستودعات ، إلخ) - أي الموارد التي يعمل بها العديد من الأشخاص.

من المستحيل التخمين مسبقًا من الذي سيحذف الملف ، لذلك ، يشار إلى التتبع للجميع. سيتم تسجيل المحاولات الناجحة لحذف الكائنات المتعقبة من قبل أي مستخدم. اتصل بخصائص المجلد المطلوب (إذا كان هناك العديد من هذه المجلدات ، فكلها بدورها) وعلى علامة التبويب الأمان ← متقدم ← تدقيقإضافة تتبع الموضوع الجميعمحاولات الوصول الناجحة حذفو حذف المجلدات الفرعية والملفات:


يمكن تسجيل الكثير من الأحداث ، لذا يجب عليك أيضًا ضبط حجم السجل حماية(أمان)حيث سيتم تسجيلهم. ل
قم بتشغيل هذا الأمر يبدأيركضايفينفور. ماجستير. في النافذة التي تظهر ، اتصل بخصائص سجل الأمان وحدد المعلمات التالية:

    الحد الأقصى لحجم السجل = 65536 كيلو بايت(لمحطات العمل) أو 262144 كيلو بايت(للخوادم)

    الكتابة فوق الأحداث حسب الحاجة.

في الواقع ، هذه الأرقام ليست مضمونة لتكون دقيقة ، ولكن يتم اختيارها تجريبياً لكل حالة محددة.

شبابيك 2003/ XP)?

انقر فوق يبدأيركضeventvwr.msc حماية. رأيمنقي

  • مصدر الحدث: الأمن ؛
  • الفئة: الوصول إلى الكائن؛
  • أنواع الحدث: تدقيق النجاح ؛
  • معرف الحدث: 560 ؛


راجع قائمة الأحداث التي تمت تصفيتها ، مع ملاحظة الحقول التالية في كل سجل:

  • هدفاسم. اسم المجلد أو الملف الذي تبحث عنه ؛
  • صورةملفاسم. اسم البرنامج الذي تم حذف الملف به ؛
  • الوصول. مجموعة الحقوق المطلوبة.

يمكن للبرنامج طلب عدة أنواع من الوصول من النظام مرة واحدة - على سبيل المثال ، حذف+ تزامنأو حذف+ اقرأ_ مراقبة. حق كبير بالنسبة لنا هو حذف.


إذن ، من حذف المستندات (شبابيك 2008/ مشهد من خلال)?

انقر فوق يبدأيركضeventvwr.mscوافتح السجل للعرض حماية.يمكن ملء السجل بأحداث لا تتعلق مباشرة بالمشكلة. انقر بزر الماوس الأيمن فوق سجل الأمان وحدد رأيمنقيوتصفية العرض حسب المعايير التالية:

  • مصدر الحدث: الأمن ؛
  • الفئة: الوصول إلى الكائن؛
  • أنواع الحدث: تدقيق النجاح ؛
  • معرف الحدث: 4663 ؛

خذ وقتك في تفسير جميع عمليات الحذف على أنها ضارة. غالبًا ما تستخدم هذه الوظيفة عندما عمل روتينيالبرامج - على سبيل المثال ، عن طريق تنفيذ الأمر يحفظ(يحفظ)،برامج الحزمة مايكروسوفتمكتب. مقر. مركزقم أولاً بإنشاء ملف مؤقت جديد ، واحفظ المستند فيه ، ثم احذفه إصدار سابقملف. وبالمثل ، تقوم العديد من تطبيقات قواعد البيانات أولاً بإنشاء ملف قفل مؤقت عند بدء التشغيل. (. lck), ثم قم بإزالته عند الخروج من البرنامج.

من الناحية العملية ، واجهت أيضًا سلوكًا ضارًا للمستخدم. على سبيل المثال ، قرر موظف متضارب في شركة معينة ، عند فصله من وظيفته ، إتلاف جميع نتائج عمله عن طريق حذف الملفات والمجلدات التي يرتبط بها. الأحداث من هذا النوع مرئية بوضوح - فهي تولد عشرات ومئات من الإدخالات في الثانية في سجل الأمان. بالطبع ، استعادة المستندات من ظلنسخ (نسخ الظل) أو الأرشيف اليومي الذي يتم إنشاؤه تلقائيًا ليس بالأمر الصعب ، ولكن في نفس الوقت يمكنني الإجابة على الأسئلة "من فعل هذا؟" و "متى حدث هذا؟"

فيكتور شوتوف
مدير المشروع INFORMSVYAZ HOLDING

المتطلبات الأساسية لتنفيذ النظام

2007 أول دراسة عالمية مفتوحة عن التهديدات الداخلية أمن المعلوماتبواسطة Infowatch (في عام 2006) أظهر أن التهديدات الداخلية ليست أقل انتشارًا (56.5٪) من التهديدات الخارجية (البرامج الضارة ، والبريد العشوائي ، وأعمال القراصنة ، وما إلى ذلك). في الوقت نفسه ، في الغالبية العظمى (77٪) ، يكون سبب تنفيذ تهديد داخلي هو إهمال المستخدمين أنفسهم (عدم الامتثال للتوصيف الوظيفي أو إهمال وسائل حماية المعلومات الأساسية).

ديناميات التغيرات في الوضع في الفترة 2006-2008 ينعكس في الشكل. واحد.

يرجع الانخفاض النسبي في حصة التسريبات بسبب الإهمال إلى التنفيذ الجزئي لأنظمة منع تسرب المعلومات (بما في ذلك نظام مراقبة إجراءات المستخدم) ، والتي توفر درجة عالية بما فيه الكفاية من الحماية ضد التسريبات العرضية. بالإضافة إلى ذلك ، يرجع ذلك إلى الزيادة المطلقة في عدد السرقات المتعمدة للبيانات الشخصية.

على الرغم من التغيير في الإحصائيات ، لا يزال من الممكن التأكيد بثقة على أن المهمة ذات الأولوية هي مكافحة تسرب المعلومات غير المقصود ، حيث أن مواجهة مثل هذه التسريبات أسهل وأرخص ، ونتيجة لذلك ، تتم تغطية معظم الحوادث.

في الوقت نفسه ، فإن إهمال الموظف ، وفقًا لتحليل نتائج أبحاث Infowatch و Perimetrix للفترة 2004-2008 ، يحتل المرتبة الثانية بين أخطر التهديدات (تظهر نتائج البحث الموجزة في الشكل 2) ، ولا تزال أهميتها مستمرة. للنمو جنبًا إلى جنب مع تحسين الأنظمة الآلية للبرامج والأجهزة (AS) للمؤسسات.

وبالتالي ، فإن إدخال الأنظمة التي تقضي على إمكانية التأثير السلبي للموظف على نظم المعلومات في AS (بما في ذلك برامج المراقبة) ، وتزويد موظفي IS بقاعدة أدلة ومواد للتحقيق في الحوادث ، سيقضي على خطر التسرب بسبب الإهمال ، وتقليل التسريبات العرضية بشكل كبير ، وكذلك تقليل التسرب المتعمد إلى حد ما. في النهاية ، يجب أن يجعل هذا الإجراء من الممكن الحد بشكل كبير من تنفيذ التهديدات من المطلعين.

AS الحديث لتدقيق أعمال المستخدم. المميزات والعيوب

تم تصميم الأنظمة الآلية للتدقيق (المراقبة) لإجراءات المستخدم (ASADP) AS ، والتي غالبًا ما تسمى منتجات برمجيات المراقبة ، للاستخدام من قبل مسؤولي أمان AS (خدمة تابعة لمؤسسة ما) لضمان قابليتها للملاحظة - "خصائص نظام الحوسبة الذي يسمح لك بـ تسجيل أنشطة المستخدم ، بالإضافة إلى تحديد المعرفات بشكل لا لبس فيه ضمن أحداث معينة للمستخدم من أجل منع انتهاكات سياسة الأمان و / أو ضمان المسؤولية عن إجراءات معينة ".

تتيح خاصية ملاحظة الاتحاد الأفريقي ، اعتمادًا على جودة تنفيذها ، إمكانية التحكم بدرجة أو بأخرى في تقيد موظفي المنظمة بسياستها الأمنية والقواعد المعمول بها للعمل الآمن على أجهزة الكمبيوتر.

تطبيق المراقبة منتجات البرمجيات، بما في ذلك الوقت الفعلي ، مصمم من أجل:

  • تحديد (توطين) جميع حالات محاولات الوصول غير المصرح بها إلى المعلومات السرية مع الإشارة الدقيقة إلى الوقت ومكان عمل الشبكة الذي تمت منه هذه المحاولة ؛
  • التعرف على حقائق التثبيت غير المصرح به للبرنامج ؛
  • تحديد جميع حالات الاستخدام غير المصرح به للأجهزة الإضافية (على سبيل المثال ، أجهزة المودم والطابعات وما إلى ذلك) من خلال تحليل حقائق إطلاق تطبيقات متخصصة غير مصرح بها ؛
  • تحديد جميع حالات كتابة الكلمات والعبارات الهامة على لوحة المفاتيح ، وإعداد المستندات الهامة ، والتي سيؤدي نقلها إلى أطراف ثالثة إلى تلف مادي ؛
  • التحكم في الوصول إلى الخوادم وأجهزة الكمبيوتر الشخصية ؛
  • مراقبة جهات الاتصال عند تصفح الإنترنت شبكات الإنترنت;
  • إجراء البحوث المتعلقة بتحديد دقة وكفاءة وكفاية استجابة الأفراد للتأثيرات الخارجية ؛
  • تحديد عبء العمل على محطات عمل الكمبيوتر الخاصة بالمنظمة (حسب الوقت من اليوم ، حسب أيام الأسبوع ، وما إلى ذلك) لغرض التنظيم العلمي لعمل المستخدمين ؛
  • مراقبة حالات الاستخدام حواسيب شخصيةخارج ساعات العمل وتحديد الغرض من هذا الاستخدام ؛
  • تلقي المعلومات الموثوقة اللازمة ، والتي يتم على أساسها اتخاذ القرارات بشأن تعديل وتحسين سياسة نظم المعلومات الخاصة بالمنظمة ، إلخ.

يتم تنفيذ هذه الوظائف من خلال تنفيذ وحدات الوكيل (أجهزة الاستشعار) على محطات العمل وخوادم AS مع مزيد من الاقتراع للحالة أو تلقي التقارير منها. تتم معالجة التقارير في وحدة تحكم مسؤول الأمان. تم تجهيز بعض الأنظمة بخوادم وسيطة (نقاط توحيد) تتعامل مع مناطقها ومجموعات الأمان الخاصة بها.

تم تنفيذها تحليل النظاممن الحلول المقدمة في السوق (StatWin ، مدير تكوين Tivoli ، Tivoli Remote Control ، عمليات OpenView ، "Performer / Enterprise Guard" ، Insider) جعلت من الممكن تحديد عدد من الخصائص المحددة ، مما يؤدي إلى زيادة كفاءة ASADP الواعدة مؤشرات مقارنة بالعينات المدروسة.

في الحالة العامة ، جنبًا إلى جنب مع وظائف واسعة إلى حد ما ومجموعة كبيرة من الخيارات ، يمكن استخدام الأنظمة الحالية لتتبع أنشطة المستخدمين الفرديين فقط على أساس الاقتراع الدوري الإلزامي (المسح) لجميع عناصر الاتحاد الأفريقي المحددة (وبشكل أساسي مستخدمو AWP).

في الوقت نفسه ، يؤدي توزيع ونطاق AS الحديث ، بما في ذلك عدد كبير إلى حد ما من AWPs والتقنيات والبرامج ، إلى تعقيد عملية مراقبة عمل المستخدم نفسه بشكل كبير ، وكل من أجهزة الشبكةقادر على توليد الآلاف من رسائل التدقيق للوصول إلى كميات كبيرة بما يكفي من المعلومات التي تتطلب صيانة قواعد بيانات ضخمة ومكررة في كثير من الأحيان. هذه الوسائل ، من بين أمور أخرى ، تستهلك موارد كبيرة للشبكة والأجهزة ، وتحميل AS المشترك. لقد ثبت أنهم غير مرنين في إعادة تكوين الأجهزة والبرامج. شبكات الحاسب، غير قادرين على التكيف مع أنواع غير معروفة من الانتهاكات وهجمات الشبكة ، وستعتمد فعالية اكتشافهم لانتهاكات السياسة الأمنية إلى حد كبير على تكرار الفحص من قبل مسؤول الأمن لعناصر AC.

تتمثل إحدى طرق تحسين كفاءة هذه الأنظمة في زيادة تردد المسح بشكل مباشر. سيؤدي هذا حتما إلى انخفاض في كفاءة أداء المهام الأساسية التي ، في الواقع ، هذا AS مخصص لها ، بسبب زيادة كبيرة في الحمل الحسابي على كل من محطة عمل المسؤول وعلى أجهزة الكمبيوتر الخاصة بمحطات عمل المستخدم ، كذلك كما هو الحال مع زيادة حركة المرور شبكه محليهتيار متردد.

بالإضافة إلى المشاكل المرتبطة بتحليل كمية كبيرة من البيانات ، فإن أنظمة المراقبة الحالية لها قيود خطيرة على كفاءة ودقة القرارات المتخذة ، بسبب العامل البشري الذي يحدده القدرات الجسديةالمسؤول كعامل بشري.

إن التواجد في أنظمة المراقبة الحالية لإمكانية الإخطار بإجراءات صريحة غير مصرح بها للمستخدمين في الوقت الفعلي لا يحل المشكلة بشكل أساسي ، لأنه يسمح بتتبع أنواع الانتهاكات المعروفة سابقًا فقط (طريقة التوقيع) ، ولا يمكنه توفيرها التصدي للأنواع الجديدة من الانتهاكات.

إن تطوير واستخدام أساليب مكثفة لأمن المعلومات في أنظمة أمن المعلومات ، مما يوفر زيادة في مستوى الحماية بسبب "الاختيار" الإضافي لموارد الحوسبة من الاتحاد الأفريقي ، يقلل من قدرات الاتحاد الأفريقي في حل المشكلات التي من أجلها المقصود بها و / أو تزيد تكلفتها. إن فشل هذا النهج في سوق تكنولوجيا المعلومات سريع التطور واضح تمامًا.

نظام آلي لتدقيق (مراقبة) إجراءات المستخدم. خصائص واعدة

من نتائج التحليل أعلاه ، فإنه يتبع الحاجة الواضحة لنقل الخصائص التالية إلى أنظمة المراقبة الواعدة:

  • الأتمتة ، باستثناء العمليات "اليدوية" الروتينية ؛
  • مزيج من المركزية (على أساس محطة العمل المؤتمتة لمسؤول الأمن) مع الإدارة في العناصر الفردية(ذهني برامج الحاسوب) أنظمة مراقبة عمل مستخدمي NPP ؛
  • قابلية التوسع ، مما يجعل من الممكن زيادة قدرة أنظمة المراقبة وتوسيع قدراتها دون زيادة كبيرة في موارد الحوسبة المطلوبة لأدائها الفعال ؛
  • القدرة على التكيف مع التغيرات في تكوين وخصائص محطات الطاقة النووية ، فضلاً عن ظهور أنواع جديدة من انتهاكات السياسة الأمنية.

الهيكل المعمم لـ ASADP AS ، والذي يتميز بعلامة السمات المميزة، والذي يمكن تنفيذه في مكبرات الصوت لأغراض وملحقات مختلفة ، موضح في الشكل. 3.

يتضمن الهيكل أعلاه المكونات الرئيسية التالية:

  • مكونات البرامج- أجهزة الاستشعار الموجودة في بعض عناصر الاتحاد الأفريقي (في محطات عمل المستخدم ، والخوادم ، ومعدات الشبكة ، وأدوات أمن المعلومات) ، والتي تُستخدم لتسجيل ومعالجة بيانات التدقيق في الوقت الفعلي ؛
  • ملفات التسجيل التي تحتوي على معلومات وسيطة حول عمل المستخدمين ؛
  • مكونات معالجة البيانات واتخاذ القرار التي تتلقى المعلومات من أجهزة الاستشعار من خلال ملفات التسجيل وتحليلها واتخاذ القرارات بشأنها مزيد من العمل(على سبيل المثال ، حول إدخال بعض المعلومات في قاعدة البيانات ، وإخطار المسؤولين ، وإنشاء التقارير ، وما إلى ذلك) ؛
  • قاعدة بيانات تدقيق (DB) تحتوي على معلومات حول جميع الأحداث المسجلة ، والتي يتم على أساسها إنشاء التقارير ومراقبة حالة NPP لأي فترة زمنية معينة ؛
  • مكونات لإنشاء التقارير والمراجع بناءً على المعلومات المسجلة في قاعدة بيانات المراجعة وتصفية السجلات (حسب التاريخ ، حسب هوية المستخدم ، حسب محطة العمل ، حسب الأحداث الأمنية ، وما إلى ذلك) ؛
  • مكون من واجهة مسؤول الأمان ، والذي يعمل على التحكم في تشغيل ASADP AS من AWS الخاص به ، وعرض المعلومات وطباعتها ، وإنشاء أنواع مختلفة من الاستعلامات إلى قاعدة البيانات وإنشاء التقارير ، مما يسمح بالمراقبة في الوقت الفعلي للأنشطة الحالية لـ مستخدمي NPP وتقييم المستوى الحالي لأمن الموارد المختلفة ؛
  • مكونات إضافية ، على وجه الخصوص ، مكونات البرامج لتكوين النظام ، وتركيب أجهزة الاستشعار ووضعها ، وأرشفة المعلومات وتشفيرها ، إلخ.

تشمل معالجة المعلومات في ASADP AS المراحل التالية:

  • تثبيت معلومات التسجيل بواسطة أجهزة الاستشعار ؛
  • جمع المعلومات من أجهزة الاستشعار الفردية ؛
  • تبادل المعلومات بين وكلاء النظام المعنيين ؛
  • معالجة وتحليل وربط الأحداث المسجلة ؛
  • تقديم المعلومات التي تمت معالجتها إلى مسؤول الأمن في شكل موحد (في شكل تقارير ، رسوم بيانية ، إلخ).

من أجل تقليل موارد الحوسبة المطلوبة ، وزيادة سرية وموثوقية النظام ، يمكن تخزين المعلومات على عناصر مختلفة من الاتحاد الأفريقي.

بناءً على المهمة المحددة لإعطاء ASADP AS جديدًا بشكل أساسي (بالمقارنة مع الأنظمة الموجودةتدقيق عمل مستخدمي AS) خصائص الأتمتة ، وهي مزيج من المركزية واللامركزية وقابلية التوسع والقدرة على التكيف ، ويمكن رؤية إحدى الاستراتيجيات الممكنة لبناءها التقنية الحديثةأنظمة ذكية متعددة الوكلاء ، يتم تنفيذها من خلال تطوير مجتمع متكامل من الوكلاء أنواع مختلفة(البرامج الذكية المستقلة التي تنفذ وظائف معينة لاكتشاف إجراءات المستخدم التي تتعارض مع السياسة الأمنية ومواجهتها) وتنظيم تفاعلهم.

لتدقيق الوصول إلى الملفات والمجلدات في Windows Server 2008 R2 ، يجب تمكين وظيفة التدقيق ، وكذلك تحديد المجلدات والملفات التي تريد تسجيل الوصول إليها. بعد تكوين التدقيق ، سيحتوي سجل الخادم على معلومات حول الوصول والأحداث الأخرى للملفات والمجلدات المحددة. وتجدر الإشارة إلى أنه لا يمكن إجراء تدقيق الوصول إلى الملفات والمجلدات إلا على وحدات التخزين باستخدام نظام الملفات NTFS.

كيفية تمكين التدوين لكائنات نظام الملفات في Windows Server 2008 R2

تم تمكين تدقيق الوصول إلى الملفات والمجلدات وتعطيله باستخدام سياسات المجموعة: نهج المجال للمجال الدليل النشطأو سياسات الأمان المحلية للخوادم المستقلة. لتمكين التدوين على خادم منفصل ، تحتاج إلى فتح وحدة تحكم الإدارة سياسي محلي ابدأ ->الجميعالبرامج ->إداريأدوات ->محليحمايةسياسة... في وحدة تحكم السياسة المحلية ، قم بتوسيع شجرة السياسة المحلية ( محليسياسات)وحدد البند مراجعةسياسة.

في الجزء الأيسر ، حدد العنصر مراجعةهدفوصولوفي النافذة التي تظهر ، حدد أنواع أحداث الوصول إلى الملفات والمجلدات التي يجب تسجيلها (وصول ناجح / غير ناجح):


بعد الاختيار الإعداد المطلوببحاجة للضغط موافق.

اختيار الملفات والمجلدات التي سيتم تسجيل الوصول إليها

بعد تنشيط تدقيق الوصول إلى الملفات والمجلدات ، من الضروري تحديد كائنات معينة نظام الملفات، الوصول إلى التي سيتم تدقيقها. تمامًا مثل أذونات NTFS ، يتم توريث إعدادات التدقيق افتراضيًا للجميع كائنات تابعة(ما لم يتم تكوينه بطريقة أخرى). كما هو الحال عند تعيين أذونات للملفات والمجلدات ، يمكن تمكين وراثة إعدادات التدقيق لجميع الكائنات المحددة أو فقط.

لتكوين التدقيق لمجلد / ملف معين ، تحتاج إلى النقر بزر الماوس الأيمن فوقه وتحديد خصائص ( الخصائص). في نافذة الخصائص ، انتقل إلى علامة التبويب الأمان ( حماية) واضغط على الزر متقدم... في نافذة إعدادات الأمان المتقدمة ( متقدمحمايةإعدادات) انتقل إلى علامة التبويب "التدقيق" ( تدقيق). يتطلب إعداد التدقيق بشكل طبيعي حقوق المسؤول. على ال هذه المرحلةستعرض نافذة التدقيق قائمة بالمستخدمين والمجموعات التي تم تمكين التدقيق لها لهذا المورد:

لإضافة مستخدمين أو مجموعات يمكن الوصول إليها هذا الكائنسيتم إصلاحه ، يجب عليك الضغط على الزر يضيف ...وحدد أسماء هؤلاء المستخدمين / المجموعات (أو حدد الجميع- لتدقيق وصول جميع المستخدمين):

مباشرة بعد تطبيق هذه الإعدادات في سجل نظام الأمان (يمكنك العثور عليها في الأداة الإضافية الحاسوبالإدارة ->عارض الأحداث) ، في كل مرة تقوم فيها بالوصول إلى الكائنات التي يتم تمكين التدقيق لها ، ستظهر الإدخالات المقابلة.

بدلاً من ذلك ، يمكن عرض الأحداث وتصفيتها باستخدام الأمر PowerShell cmdlet - الحصول على سجل الأحداثعلى سبيل المثال ، لعرض جميع الأحداث من eventid 4660 ، نفّذ الأمر:

الحصول على أمان سجل الأحداث | ؟ ($ _. eventid -eq 4660)

نصيحة... من الممكن التعيين لأي أحداث في مجلة ويندوزإجراءات معينة ، مثل الإرسال البريد الإلكترونيأو تنفيذ البرنامج النصي. كيفية تكوينه موصوفة في المقالة:

UPD من 2012/08/06 (بفضل المعلق).

في نظام التشغيل Windows 2008 / Windows 7 ، ظهرت إدارة التدقيق فائدة خاصة مراجعة الحسابات. القائمة الكاملةيمكن رؤية أنواع الكائنات التي يمكنك تمكين التدقيق عليها باستخدام الأمر:

Auditpol / قائمة / فئة فرعية: *

كما ترى ، هذه الكائنات مقسمة إلى 9 فئات:

  • نظام
  • تسجيل الدخول / تسجيل الخروج
  • الوصول إلى الكائن
  • استخدام الامتياز
  • تتبع مفصل
  • تغيير السياسة
  • ادارة الحساب
  • الوصول إلى DS
  • تسجيل الدخول إلى الحساب

وكل منها ، على التوالي ، مقسمة إلى فئات فرعية. على سبيل المثال ، تشتمل فئة تدقيق الوصول إلى الكائنات على الفئة الفرعية لنظام الملفات ، ولتمكين تدقيق كائنات نظام الملفات على الكمبيوتر ، قم بتشغيل الأمر:

Auditpol / مجموعة / فئة فرعية: "نظام الملفات" / فشل: تمكين / نجاح: تمكين

يتم إيقاف تشغيله ، على التوالي ، بالأمر:

Auditpol / مجموعة / فئة فرعية: "نظام الملفات" / فشل: تعطيل / نجاح: تعطيل

أولئك. إذا قمت بإيقاف تشغيل تدقيق الفئات الفرعية غير الضرورية ، فيمكنك تقليل حجم السجل وعدد الأحداث غير الضرورية بشكل كبير.

بعد تنشيط تدقيق الوصول إلى الملفات والمجلدات ، تحتاج إلى تحديد الكائنات المحددة التي سنتحكم فيها (في خصائص الملفات والمجلدات). ضع في اعتبارك أنه افتراضيًا ، يتم توريث إعدادات التدوين عبر جميع الكائنات الفرعية (ما لم يُذكر خلاف ذلك).

إن الحاجة إلى تنفيذ أنظمة التدقيق لإجراءات المستخدم في المؤسسات على أي مستوى يقتنعها بحث الشركات المشاركة في تحليل أمن المعلومات.

أظهرت دراسة أجرتها شركة Kaspersky Lab ، على سبيل المثال ، أن ثلثي حوادث أمن المعلومات (67٪) ناتجة ، من بين أمور أخرى ، عن تصرفات الموظفين السيئين أو غير المنتبهين. في الوقت نفسه ، وفقًا لأبحاث ESET ، تستخف 84٪ من الشركات بالمخاطر المرتبطة بالعوامل البشرية.

يعتبر الدفاع ضد التهديدات المرتبطة بالمستخدم "من الداخل" أكثر صعوبة من الدفاع ضد التهديدات الخارجية. لمواجهة "الآفات" من الخارج ، بما في ذلك الفيروسات والهجمات المستهدفة على شبكة المنظمة ، يكفي تنفيذ البرنامج المناسب أو مجمع برامج الأجهزة. سيتطلب الحفاظ على مؤسسة ما في مأمن من مهاجم داخلي مزيدًا من الاستثمار في البنية التحتية للأمان والتحليل المتعمق. يتضمن العمل التحليلي تحديد أنواع التهديدات الأكثر أهمية بالنسبة للأعمال ، بالإضافة إلى رسم "صور المخالفين" ، أي تحديد الضرر الذي يمكن أن يسببه المستخدم بناءً على كفاءاته وصلاحياته.

ترتبط مراجعة إجراءات المستخدم ارتباطًا وثيقًا ليس فقط بفهم "الثغرات" في نظام أمن المعلومات التي يجب سدها بسرعة ، ولكن أيضًا بمسألة استدامة الأعمال ككل. يجب أن تأخذ الشركات الملتزمة باستمرارية الأعمال في الحسبان أنه مع التعقيد المتزايد والزيادة في عمليات المعلوماتية وأتمتة الأعمال ، فإن عدد التهديدات الداخلية يتزايد فقط.

بالإضافة إلى تتبع تصرفات الموظف العادي ، من الضروري تدقيق عمليات "المستخدمين المتميزين" - الموظفين ذوي الحقوق المميزة ، وبالتالي ، المزيد من الفرص لتنفيذ تهديد تسرب المعلومات عن طريق الخطأ أو بشكل متعمد. يشمل هؤلاء المستخدمون مسؤولي النظام ومسؤولي قواعد البيانات ومطوري البرامج الثابتة. يمكنك أيضًا إضافة متخصصي تكنولوجيا المعلومات المعنيين والموظفين المسؤولين عن أمن المعلومات هنا.

يتيح لك إدخال نظام لمراقبة إجراءات المستخدم في الشركة تسجيل نشاط الموظفين والاستجابة له بسرعة. هام: يجب أن يكون نظام التدقيق شاملاً. هذا يعني أن المعلومات المتعلقة بأنشطة الموظف العادي أو مسؤول النظام أو المدير الأعلى تحتاج إلى تحليل على المستوى نظام التشغيل، باستخدام تطبيقات الأعمال ، على مستوى أجهزة الشبكة ، والوصول إلى قواعد البيانات ، وربط الوسائط الخارجية ، وما إلى ذلك.

الأنظمة الحديثةيسمح لك التدقيق الشامل بالتحكم في جميع مراحل إجراءات المستخدم من بدء التشغيل إلى إيقاف تشغيل الكمبيوتر (محطة العمل الطرفية). صحيح ، من الناحية العملية ، يحاولون تجنب السيطرة الكاملة. إذا تم تسجيل جميع العمليات في سجلات التدقيق ، فإن الحمل على البنية التحتية لنظام معلومات المؤسسة يزيد عدة مرات: محطات العمل "معلقة" ، والخوادم والقنوات تعمل تحت حمولة كاملة. يمكن أن يضر البارانويا بشأن أمن المعلومات الشركة من خلال إبطاء عمليات العمل بشكل كبير.

يحدد أخصائي أمن المعلومات المختص بشكل أساسي ما يلي:

  • ما هي البيانات الأكثر قيمة في الشركة ، حيث سترتبط بها معظم التهديدات الداخلية ؛
  • من وعلى أي مستوى يمكنه الوصول إلى البيانات القيمة ، أي أنه يحدد دائرة المنتهكين المحتملين ؛
  • إلى أي مدى تكون تدابير الحماية الحالية قادرة على تحمل الإجراءات المتعمدة و / أو العرضية للمستخدمين.

على سبيل المثال ، يعتبر المتخصصون في الأمن السيبراني في القطاع المالي أن تهديدات تسرب بيانات الدفع وإساءة استخدام الوصول هي الأكثر خطورة. في قطاعي الصناعة والنقل اكبر مخاوف الكيفية المعروفة بالتسريبات وخيانة العمال. هناك مخاوف مماثلة في مجال تكنولوجيا المعلومات والاتصالات السلكية واللاسلكية ، حيث تتمثل التهديدات الأكثر خطورة في تسرب تطورات الملكية والأسرار التجارية ومعلومات الدفع.

باعتبارها القواطع "النموذجية" الأكثر احتمالاً ، تحدد هوية المحللين:

  • الإدارة العليا: الخيار واضح - أوسع الصلاحيات الممكنة ، الوصول إلى أكثرها معلومات قيمة... في الوقت نفسه ، غالبًا ما يغض المسؤولون عن الأمن الطرف عن انتهاكات قواعد أمن المعلومات من قبل مثل هؤلاء الأشخاص.
  • الموظفين غير المخلصين : لتحديد درجة الولاء ، يجب على متخصصي أمن المعلومات في الشركة إجراء تحليل لتصرفات الموظف الفردي.
  • المسؤولين: يتم إغراء المحترفين الذين يتمتعون بامتيازات الوصول والامتيازات المتقدمة مع معرفة عميقة بتكنولوجيا المعلومات للحصول عليها دخول غير مرخصل معلومات مهمة;
  • موظفو المقاول / الاستعانة بمصادر خارجية : مثل المسؤولين ، الخبراء "من الخارج" ، الذين يمتلكون معرفة واسعة ، يمكنهم تنفيذ التهديدات المختلفة أثناء "داخل" نظام معلومات العميل.

يساعد تحديد أهم المعلومات والمتطفلين الأكثر احتمالية في بناء نظام ليس كليًا ، بل تحكمًا انتقائيًا للمستخدمين. هذا "التفريغ" نظام معلوماتويخلي اختصاصي أمن المعلومات من الأعمال الزائدة عن الحاجة.

بالإضافة إلى المراقبة الانتقائية ، تلعب بنية أنظمة التدقيق دورًا مهمًا في تسريع أداء النظام وتحسين جودة التحليل وتقليل العبء على البنية التحتية. الأنظمة الحديثة لتدقيق إجراءات المستخدم لها هيكل موزع. في محطات العمل والخوادم النهائية ، يتم تثبيت عوامل الاستشعار التي تحلل الأحداث من نوع معين وتنقل البيانات إلى مراكز الدمج والتخزين. تعثر أنظمة تحليل المعلومات المسجلة بناءً على المعايير الموضوعة في النظام على حقائق النشاط المشبوه أو الشاذ في سجلات التدقيق ، والتي لا يمكن عزوها على الفور إلى محاولة تنفيذ تهديد. يتم إرسال هذه الحقائق إلى نظام الاستجابة ، الذي يخطر مسؤول الأمن بالانتهاك.

إذا كان نظام التدقيق قادرًا على التعامل بشكل مستقل مع الانتهاك (عادةً في مثل هذه المجمعات IS ، يتم توفير طريقة توقيع للرد على التهديد) ، ثم يتم قمع الانتهاك في الوضع التلقائي، وجميع المعلومات اللازمة عن الدخيل وأفعاله والهدف من التهديد يقع في قاعدة بيانات خاصة. في هذه الحالة ، تُعلمك وحدة تحكم مسؤول الأمان بأنه تم تحييد التهديد.

إذا لم يكن لدى النظام طرق للرد تلقائيًا على النشاط المشبوه ، فسيتم إرسال جميع المعلومات لتحييد التهديد أو لتحليل عواقبه إلى وحدة تحكم مسؤول IS لإجراء العمليات في الوضع اليدوي.

في نظام المراقبة في أي منظمة ، يجب إعداد العمليات:

تدقيق استخدام محطات العمل والخوادم وكذلك الوقت (حسب الساعات وأيام الأسبوع) لنشاط المستخدم عليها. بهذه الطريقة ، يتم تحديد مدى ملاءمة استخدام موارد المعلومات.

حاشية. ملاحظة: المحاضرة النهائية تقدم التوصيات النهائية للتنفيذ. الوسائل التقنيةحماية المعلومات السرية وخصائص ومبادئ تشغيل حلول InfoWatch تمت مناقشتها بالتفصيل

حلول برمجية InfoWatch

الغرض من هذه الدورة التدريبية ليس التعارف التفصيلي مع التفاصيل الفنية لعمل منتجات InfoWatch ، لذلك سننظر فيها من الجانب الفني للتسويق. تعتمد منتجات InfoWatch على تقنيتين أساسيتين - تصفية المحتوى وتدقيق إجراءات المستخدم أو المسؤول في مكان العمل. يعد أيضًا جزء لا يتجزأ من حل InfoWatch المعقد مستودعًا للمعلومات التي تركت نظام المعلومات ووحدة تحكم إدارة أمان داخلية موحدة.

تصفية محتوى قنوات حركة المعلومات

السمة المميزة الرئيسية لتصفية محتوى InfoWatch هي استخدام النواة الصرفية. على عكس تصفية التوقيع التقليدية ، تتمتع تقنية تصفية محتوى InfoWatch بميزتين - عدم الحساسية للتشفير الأولي (استبدال حرف بآخر) وأداء أعلى. نظرًا لأن النواة لا تعمل مع الكلمات ، ولكن مع أشكال الجذر ، فإنها تقطع تلقائيًا الجذور التي تحتوي على ترميزات مختلطة. كذلك ، فإن العمل مع الجذور ، التي يوجد منها أقل من عشرة آلاف في كل لغة ، وليس باستخدام أشكال الكلمات ، والتي يوجد منها حوالي مليون لغة ، يسمح لك بإظهار نتائج مهمة على معدات غير منتجة إلى حد ما.

تدقيق إجراءات المستخدم

لمراقبة إجراءات المستخدم مع المستندات الموجودة على محطة العمل ، تقدم InfoWatch عدة أدوات اعتراض في وكيل واحد على محطة عمل - اعتراضات لعمليات الملفات وعمليات الطباعة والعمليات داخل التطبيقات والعمليات باستخدام الأجهزة المرفقة.

مستودع المعلومات الذي غادر نظام المعلومات عبر جميع القنوات.

يوفر InfoWatch مستودعًا للمعلومات التي غادرت نظام المعلومات. يتم حفظ المستندات التي تم تمريرها عبر جميع القنوات المؤدية إلى خارج النظام - البريد الإلكتروني والإنترنت والوسائط المطبوعة والقابلة للإزالة في * تطبيق التخزين (حتى عام 2007 - خادم تخزين مراقبة حركة المرور) تشير إلى جميع السمات - اسم المستخدم ومكانته ، وإسقاطاته الإلكترونية (عنوان IP أو الحساب أو العنوان البريدي) ، وتاريخ ووقت العملية ، واسم المستندات وصفاتها. جميع المعلومات متاحة للتحليل ، بما في ذلك تحليل المحتوى.

الإجراءات المرتبطة

يبدو أن إدخال الوسائل التقنية لحماية المعلومات السرية غير فعال دون استخدام طرق أخرى ، تنظيمية في المقام الأول. لقد ناقشنا بالفعل بعض منهم أعلاه. الآن دعنا نتحدث بمزيد من التفاصيل حول الإجراءات الضرورية الأخرى.

أنماط سلوك المخالفين

بعد نشر نظام لمراقبة الإجراءات بمعلومات سرية ، بالإضافة إلى زيادة الوظائف والقدرات التحليلية ، من الممكن تطويره في اتجاهين آخرين. الأول هو تكامل أنظمة الحماية ضد التهديدات الداخلية والخارجية. تظهر أحداث السنوات الأخيرة أن هناك توزيعًا للأدوار بين المهاجمين الداخليين والخارجيين ، كما أن الجمع بين المعلومات من أنظمة مراقبة التهديدات الخارجية والداخلية سيجعل من الممكن اكتشاف حقائق مثل هذه الهجمات المشتركة. تتمثل إحدى نقاط الاتصال بين الأمن الخارجي والداخلي في إدارة حقوق الوصول ، لا سيما في سياق محاكاة الضرورة الصناعية لزيادة حقوق الموظفين غير الموالين والمخربين. أي طلبات للوصول إلى الموارد غير المنصوص عليها في المهام الرسمية يجب أن تتضمن على الفور آلية لتدقيق الإجراءات مع هذه المعلومات. بل إن حل المشكلات التي تظهر فجأة دون فتح الوصول إلى الموارد أكثر أمانًا.

لنأخذ مثالاً من واقع الحياة. مدير النظامتم استلام طلب من رئيس قسم التسويق لفتح الوصول إلى النظام المالي. تم إرفاق التنازل كمبرر للتطبيق المدير العامللبحث التسويقي لعمليات شراء البضائع التي تنتجها الشركة. نظرًا لأن النظام المالي هو أحد أكثر الموارد حماية وأن المدير التنفيذي يمنح الإذن بالوصول إليه ، كتب رئيس قسم أمن المعلومات على التطبيق حل بديل- لا تمنح حق الوصول ، بل قم بتحميل بيانات مجهولة المصدر (دون تحديد العملاء) إلى قاعدة بيانات خاصة لتحليلها. ردًا على اعتراضات كبير المسوقين على أنه من غير الملائم له العمل بهذه الطريقة ، سأله المدير سؤالًا مباشرًا: "لماذا تحتاج إلى أسماء العملاء - هل تريد دمج قاعدة البيانات؟" - بعد ذلك ذهب الجميع للعمل. ما إذا كانت هذه محاولة لتنظيم تسريب معلومات ، فلن نعرف أبدًا ، ولكن مهما كانت ، فإن النظام المالي للشركة كان محميًا.

منع التسربات خلال مرحلة التحضير

هناك اتجاه آخر في تطوير نظام مراقبة للحوادث الداخلية بمعلومات سرية وهو بناء نظام منع التسرب. إن خوارزمية تشغيل مثل هذا النظام هي نفسها المستخدمة في حلول منع التطفل. أولاً ، يتم بناء نموذج للمتطفل ، والذي بموجبه يتم تكوين "توقيع الانتهاك" ، أي سلسلة من أفعال المتسلل. في حالة تزامن العديد من إجراءات المستخدم مع توقيع الانتهاك ، يتم توقع الخطوة التالية للمستخدم ، وإذا تطابق أيضًا مع التوقيع ، فسيتم إنشاء إنذار. على سبيل المثال ، تم فتح مستند سري ، وتم تحديد جزء منه ونسخه إلى الحافظة ، ثم ملف مستند جديدوتم نسخ محتويات المخزن المؤقت فيه. يفترض النظام أنه إذا تم حفظ مستند جديد لاحقًا بدون تسمية "سري" ، فهذه محاولة للسرقة. لم يتم إدخال محرك أقراص USB بعد ، ولم يتم تكوين خطاب ، ويقوم النظام بإبلاغ مسؤول أمن المعلومات الذي يقرر ما إذا كان يجب إيقاف الموظف أو تتبع المكان الذي تذهب إليه المعلومات. بالمناسبة ، يمكن استخدام النماذج (في مصادر أخرى - "الملفات الشخصية") لسلوك المنتهك ليس فقط من خلال جمع المعلومات من وكلاء البرامج. إذا قمت بتحليل طبيعة الاستعلامات في قاعدة البيانات ، فيمكنك دائمًا تحديد الموظف الذي يحاول ، من خلال سلسلة من الاستعلامات المتتالية لقاعدة البيانات ، الحصول على شريحة معينة من المعلومات. من الضروري تتبع ما يفعله بهذه الطلبات على الفور ، سواء كان يحفظها ، أو ما إذا كان يربط وسائط قابلة للإزالة ، وما إلى ذلك.

تنظيم تخزين المعلومات

مبادئ إخفاء الهوية وتشفير البيانات - الشرط المطلوبتنظيم التخزين والمعالجة ، و الوصول عن بعديمكن تنظيمها وفقًا لبروتوكول المحطة ، دون ترك أي معلومات على الكمبيوتر الذي يتم تنظيم الطلب منه.

التكامل مع أنظمة المصادقة

عاجلاً أم آجلاً ، سيتعين على العميل استخدام نظام لمراقبة الإجراءات بوثائق سرية لحل مشكلات الموظفين - على سبيل المثال ، فصل الموظفين بناءً على الحقائق الموثقة بواسطة هذا النظام أو حتى مقاضاة أولئك الذين قاموا بالتسريب. ومع ذلك ، كل ما يمكن أن يقدمه نظام المراقبة هو المعرف الإلكتروني للدخيل - عنوان IP ، الحسابوعنوان البريد الإلكتروني وما إلى ذلك. من أجل اتهام موظف قانونيًا ، عليك ربط هذا المعرف بالشخص. هنا يفتح سوق جديد للمتكامل - إدخال أنظمة المصادقة - من الرموز البسيطة إلى القياسات الحيوية المتقدمة ومعرفات RFID.