Menü
Ingyenes
becsekkolás
a fő  /  Navigátorok / Infowatch szoftver megoldások és kapcsolódó műveletek. Automatizált ellenőrzési rendszer (monitoring) a felhasználói műveletek ellenőrzése Windows felhasználói műveletek

Infowatch szoftver megoldások és kapcsolódó műveletek. Automatizált ellenőrzési rendszer (monitoring) a felhasználói műveletek ellenőrzése Windows felhasználói műveletek

Néha olyan események, amelyek megkövetelik, hogy válaszoljunk a kérdésre - Ki tette ezt? Ez történhet "ritkán, de apt", így a kérdésre adott válasz előzetesen el kell készülni.

Szinte mindenhol vannak tervezési osztályok, számviteli, a fejlesztők és egyéb kategóriák mellett dolgozók csoportjait tárolt dokumentumok megosztott (shared) mappát egy fájlszerver vagy az egyik munkaállomáson. Előfordulhat, hogy valaki töröl egy fontos dokumentumot vagy könyvtárat a mappából, amelynek eredményeképpen az egész csapat munkája elveszhet. Ebben az esetben több kérdés merül fel a rendszergazda számára:

    Mikor és mennyit történt a probléma?

    Mi a legközelebb ebben az időben biztonsági mentés Meg kell állítania az adatokat?

    Talán van egy hely rendszerhibaKi ismételhet újra?

A Windows rendszerrel rendelkezik Könyvvizsgálat Lehetővé téve, hogy nyomon kövesse és naplózza az információkat arról, hogy mikor törölték a dokumentumokat. Alapértelmezésben az ellenőrzés nem vesz részt - követés önmagában megköveteli egy bizonyos százalékát a villamosenergia-rendszer, és ha írsz mindent egy sorban, a terhelés lesz túl nagy. Ráadásul nem minden felhasználói tevékenység érdekelhet minket, így az ellenőrzési irányelvek lehetővé teszik, hogy csak azokat az eseményeket nyomon követhesse, amelyek nagyon fontosak számunkra.

Az ellenőrzési rendszer minden operációs rendszerbe épül Microsoft.ablakokNT.: Windows XP / Vista / 7, Windows szerver 2000/2003/2008. Sajnos a rendszerek sorozatában Windows otthon. Az ellenőrzés rejtett mély, és túl nehéz konfigurálni.

Mit kell konfigurálnia?

Az ellenőrzés engedélyezéséhez menjen az adminisztrátor jogaihoz egy olyan számítógéphez, amely hozzáférést biztosít a megosztott dokumentumokhoz és végrehajtja a parancsot Rajt. FUSS. gpedit.msc.. A Számítógép konfigurációs szakaszában nyissa meg a mappát Windows beállítások Biztonsági beállítások Helyi politikák. Ellenőrzési politikák:

Kattintson duplán a politikára Ellenőrzési objektum hozzáférés (Ellenőrzési hozzáférés tárgyakhoz) És válassza a Tick Siker.. Ez a paraméter tartalmaz egy mechanizmust a fájlok és a rendszerleíró adatbázis sikeres hozzáférésének nyomon követésére. Valójában, mert csak a törölt kísérletek törlésére törekszünk a fájlok vagy mappák törlésére. Kapcsolja be az ellenőrzést csak olyan számítógépeken, amelyek közvetlenül a megfigyelt objektumok tárolására kerülnek.

Nem elegendő az ellenőrzési politika lehetővé tétele érdekében, meg kell adnunk a hozzáférést is, hogy milyen mappáknak kell nyomon követniük. Általában az ilyen tárgyak mappák általános (közös) dokumentumok és mappák gyártási programok vagy adatbázisok (számviteli, raktár, stb) - vagyis a források, amelyek több ember munkáját.

Előre kitalálva, ki pontosan törli a fájlt, lehetetlen, így nyomon követés és mindenki számára feltüntetve (mindenki). Azok, akik megpróbálják törölni a megfigyelt objektumokat bármely felhasználó által bejelentkezve naplóban. Hívja a kívánt mappa tulajdonságait (ha több ilyen mappa van, akkor mindegyikük viszont) és a lapon Biztonság (biztonság) → fejlett (speciális) → Auditálás (Audit) Adjon hozzá problémát a témához Mindenki (minden), sikeres hozzáférési kísérletei Töröl és Az almappák és fájlok törlése:


Az események eléggé javulhatnak, ezért be kell állítania a magazin méretét is Biztonság (Biztonság)amelyeket rögzítenek. -Ért
Vegye ezt a parancsot Rajt.FUSS.eventvwr.. mSc.. A megjelenő ablakban hívja fel a biztonsági napló tulajdonságait, és adja meg a következő paramétereket:

    Maximális naplóméret \u003d 65536 Kb. (munkaállomások esetén) vagy 262144 Kb. (a szerverekhez)

    Szükség szerint felülírja az eseményeket.

Valójában a megadott számok nem garantáltak pontosak, de minden egyes konkrét esetben tapasztaltak.

ablakok 2003/ XP.)?

Kattintás Rajt. FUSS. Eventvwr.msc. Biztonság. KILÁTÁS.Szűrő.

  • Eseményforrás: biztonság;
  • Kategória: objektum hozzáférés;
  • Eseménytípusok: Success Audit;
  • Eseményazonosító: 560;


Keresse meg a szűrt események listáját, és figyeljen az alábbi mezőkre az egyes rekordokon belül:

  • Tárgy.Név.. A keresési mappa vagy fájl neve;
  • Kép.FájlNév.. A program neve, amellyel a fájl törölve;
  • Hozzáférések.. A kért jogok sorozata.

A program többféle hozzáférést kérhet a rendszerben - például, Töröl.+ Szinkronizál vagy Töröl.+ Olvas._ Ellenőrzés. Értelmes számunkra Töröl..


Tehát ki törölte a dokumentumokat (ablakok 2008/ Távlat.)?

Kattintás Rajt. FUSS. Eventvwr.msc. és nyitott a magazin megtekintéséhez Biztonság. A magazin tele lehet eseményekkel, közvetlen hozzáállás a probléma, hogy nincs. A biztonsági napló jobb gombbal válassza a Parancsot KILÁTÁS.Szűrő. És szűrje le az alábbi kritériumokat:

  • Eseményforrás: biztonság;
  • Kategória: objektum hozzáférés;
  • Eseménytípusok: Success Audit;
  • Eseményazonosító: 4663;

Ne rohanjon, hogy az összes eltávolítást rosszindulatúnak megfelelően értelmezze. Ezt a funkciót gyakran használják a programok normál működésében - például a parancs végrehajtásával. Mentés. (Mentés), Csomagprogramok Microsoft.Hivatal. Először hozzon létre egy új ideiglenes fájlt, mentse el a dokumentumot, majd távolítsa el előző verzió fájl. Hasonlóképpen, sok adatbázis-alkalmazás az indításkor először ideiglenes blokkoló fájlt hoz létre (. lck.), Ezután távolítsa el a program elhagyásakor.

Mindkét rosszindulatú akcióval kellett szembenéznem. Például egyes vállalatok konfliktusvédelmi tisztviselője, a munkahely elbocsátásakor úgy döntött, hogy elpusztítja munkájának összes eredményét, törölve azokat a fájlokat és mappákat, amelyekhez kapcsolódott. Az ilyen jellegű események jól észrevehetőek - tucatnyi, több száz rekordot generálnak a biztonsági folyóiratban. Természetesen a dokumentumok visszaállítása Árnyék.Másolatok. (Árnyékmásolatok) Vagy naponta automatikusan létrehozott archívum nem sok nehéz, de ugyanakkor válaszolhatok a kérdésekre "Ki csinálta?" És "Mikor történt ez?".

Viktor Lyudov
Project Manager Informsvyaz Holding

Előfeltételek a rendszer végrehajtásának

A 2007-ben végzett belső fenyegetések első nyitott globális tanulmánya információ biztonság A fufatch (a 2006-os eredmények szerint) azt mutatta, hogy a belső fenyegetések nem kevésbé gyakoriak (56,5%), mint a külső (rosszindulatú programok, spam, hackerek akciói stb.). Ugyanakkor, a túlnyomó többségben (77%), a belső fenyegetés végrehajtásának oka a felhasználók gondatlansága (a munkaköri leírások nem teljesítése vagy az információs védelem elemi eszközeinek elhanyagolása).

A helyzet változásainak dinamikája a 2006-2008 közötti időszakban Az 1. ábrán látható. egy.

A szivárgás arányának relatív csökkenése a hanyagság miatt a rendszerek szivárgásának megelőzésére szolgáló rendszerek részleges végrehajtása (beleértve a felhasználói felügyeleti rendszereket), amelyek elegendően nagyfokú védelmet biztosítanak a véletlen szivárgás ellen. Ezenkívül a személyes adatok szándékos lopásának abszolút növekedésének köszönhető.

A statisztikák változása ellenére még mindig biztos lehet abban, hogy a véletlen szivárgás elleni küzdelem elsőbbsége, mivel könnyebb ellensúlyozni az ilyen szivárgást, olcsóbb, és az eredményt az események nagy része fedezi.

Ugyanakkor a hanyagság tisztviselői a 2004-2008-as infowatch és a perimetrix vizsgálatok eredményeinek elemzése szerint a legveszélyesebb fenyegetések közé sorolják (a konszolidált kutatási eredményeket a 2. ábrán mutatjuk be), és relevanciája továbbra is fennáll Növekszik a szoftverek és a hardver automatizált rendszerek (AC) vállalkozások javítása mellett.

Így a rendszerek bevezetése, amelyek kiküszöbölik a munkavállaló IB-re való negatív hatását a vállalati ACS-hez (beleértve a monitoring programokat is), hogy az IB-szolgáltatás alkalmazottait az incidensvizsgálat bizonyítékainak és anyagai számára az A szivárgás veszélye a gondatlanság miatt jelentősen csökkenti a véletlenszerű szivárgást, és enyhén csökkenti a szándékos. Végső soron ez az intézkedésnek jelentősen csökkentenie kell a belső jogsértők fenyegetéseinek megvalósítását.

A felhasználói műveletek modern AU ellenőrzése. Előnyök és hátrányok

Automatizált ellenőrzési rendszerek (monitoring) felhasználói műveletek (ASADP) AU, gyakran nevezik monitoring szoftver termékek használatra szánt biztonsági adminisztrátorok (IB szervezet), hogy biztosítsa annak megfigyelhetőségi - „tulajdonságait számítástechnikai rendszer, amely lehetővé teszi, hogy rekord felhasználó tevékenység, valamint az egyes felhasználói eseményekben érintett azonosítók, amelyek megakadályozzák a biztonsági politikák megsértését és / vagy bizonyos intézkedésekért való felelősséget. "

Az AC megfigyelhetőségének tulajdonsága a végrehajtás minőségétől függően bizonyos mértékig figyelemmel kíséri a biztonsági politikájának megszervezésével foglalkoztatott munkavállalók tiszteletben tartását, valamint a számítógépes biztonságos munkákra vonatkozó szabályokat.

A megfigyelés alkalmazása szoftvertermékek, Beleértve a valós idejét is:

  • meghatározza (lokalizálja) minden olyan esetet, hogy a bizalmas információkhoz való jogosultság nem engedélyezett hozzáférést biztosítson az idő és a hálózat munkahelyének pontos jelzésével, amelyből ilyen kísérletet hajtottak végre;
  • azonosítsa a szoftver jogosulatlan telepítésének tényeit;
  • határozza meg a további hardverek (például modemek, nyomtatók stb.) A jogosulatlan telepítésű speciális alkalmazások elindításának tényeit azonosítja a jogosulatlan használatát;
  • határozza meg a kritikus szavak és kifejezések billentyűzetének, a kritikus dokumentumok előkészítését, amelynek harmadik felek átruházását anyagi károkhoz vezetnek;
  • a szerverekhez és a személyi számítógépekhez való hozzáférés;
  • vezérlő kapcsolatok szörfözés közben internet;
  • a külső hatásokra adott személyi válaszok pontosságának, hatékonyságának és megfelelőségének meghatározásával kapcsolatos kutatás;
  • határozza meg a számítógépes munkahelyek letöltését a szervezet számára (a napi nap, a hét napján stb.) A munkásság tudományos szervezésének céljával;
  • ellenőrző esetek használata személyi számítógépek az ilyen használat céljának meghatározása és azonosítása;
  • megkapja a szükséges megbízható információkat, amelyek alapján döntéseket hoznak az IB szervezet politikájának kiigazítására és javítására stb.

A végrehajtás ilyen funkció végrehajtásával elért szer modulok (érzékelők) munkaállomások és hálózati szerverek további felmérést az állam vagy a fogadó jelentések tőlük. A jelentések feldolgozása a biztonsági rendszergazdai konzolon történik. Bizonyos rendszerek köztes szerverekkel (konszolidációs pontokkal) vannak felszerelve területeik és biztonsági csoportok feldolgozása.

Elvégzett rendszer elemzése A piacon bemutatott megoldások (Statwin, Tivoli Configuration Manager, Tivoli Távirányító, OpenView műveletek, a "Kerületi / Enterprise Guard", a bennfentes) lehetővé tették számunkra, hogy kiemeljük számos specifikus tulajdonságot, így az ígéretes ASADP-t, hogy növelje hatékonyságmutatóit a vizsgált mintákhoz.

Általában együtt egy meglehetősen széles funkcionális és egy nagy csomag lehetőségek, a meglévő rendszereket lehet használni követni a tevékenységét csak az egyes felhasználók a hálózati alapuló kötelező ciklikus felmérés (scan) az összes meghatározott eleme az AC (és első minden kar-felhasználó).

Ugyanakkor a modern aus eloszlása \u200b\u200bés skálája, beleértve a kellően nagy számú kar, technológia és szoftver, jelentősen bonyolítja a felhasználók munkájának ellenőrzésének folyamatát, és mindegyikét hálózati eszközök Képes több ezer ellenőrzési üzenetet generálni, amelyek elég nagy mennyiségű információt érnek el, amelyek óriási, gyakran másolatosak adatbázisokat igényelnek. Ezek az alapok többek között jelentős hálózati és hardverforrásokat fogyasztanak, terhelés általános AC. A hardverek és a szoftverek újrakonfigurálásaira rugalmatlanok. számítógépes hálózatoknem tudnak alkalmazkodni az ismeretlen típusaihoz és a hálózati támadásokhoz, és a biztonsági jogsértések felderítésének hatékonysága nagymértékben függ a beolvasási frekvenciától az AC biztonsági rendszergazdai elemei által.

A meghatározott rendszerek hatékonyságának javítása a beolvasási frekvencia közvetlen növekedése. Ez elkerülhetetlenül vezet, hogy csökken a hatékonysága a legfontosabb feladatokat, amelyekre valójában ez AU célja miatt jelentősen megnőtt a számítási terhelés mind a ADM rendszergazda, valamint a számítógépek felhasználói munkaállomások, valamint A forgalom növekedése helyi hálózat Au.

A nagy mennyiségű adatelemzéshez kapcsolódó problémák mellett a meglévő ellenőrzési rendszerekben komoly korlátozások vannak a határozatok által meghatározott humán tényező által okozott határozatok hatékonyságáról és pontosságáról fizikai lehetőségek Rendszergazda, mint operátor ember.

A meglévő monitoring rendszerek jelenléte A valós idejű felhasználók kifejezett jogosulatlan intézkedésekre vonatkozó riasztások lehetősége nem alapvetően megoldja a problémát egésze, mivel lehetővé teszi, hogy csak előre nyomon követhesse az ismert típusú jogsértések (aláírási módszer), és ez nem képes új típusú jogsértések ellensúlyozni.

A kiterjedt módszerek kidolgozása és felhasználása az AU-ban a számítástechnikai erőforrás további "kiválasztásának" rovására történő védelmének növelésére irányuló széles körű módszerek széles körű módszereinek védelme érdekében, csökkenti az AU lehetőségeit A feladatok megoldása, amelyek célja, és / vagy növeli annak értékét. A gyorsan fejlődő informatikai technológiai piac megközelítésének elmulasztása nyilvánvaló.

Automatizált ellenőrzési rendszer (monitoring) felhasználói műveletek. Perspektív tulajdonságok

A fenti elemzési eredményekből nyilvánvaló, hogy a következő tulajdonságokat kell megadni a perspektivikus megfigyelési rendszerekhez:

  • automatizálás A rutin "kézi" műveletek kivételével;
  • kombinált centralizáció (automatizált biztonsági rendszergazda munkahelyen alapul) szintkezeléssel egyéni elemek (Szellemi számítógépes programok) AC-felhasználók rendszerellenőrzési rendszerei;
  • méretezhetőség, amely lehetővé teszi a felügyeleti rendszerek kapacitásának növelését és képességeik bővítését anélkül, hogy jelentősen növekedne a hatékony működésükhöz szükséges számítási erőforrások jelentős növekedése nélkül;
  • az AC összetételének és jellemzőinek változásának alkalmazkodóképessége, valamint az új típusú biztonsági jogsértések kialakulása.

Az ASADP általános szerkezete, amint azt jelölték megkülönböztető tulajdonságokamely az AC-ben különböző célokra és kiegészítőkre valósítható meg, amelyeket az 1. ábrán bemutatunk. 3.

A fenti szerkezet a következő fő összetevőket tartalmazza:

  • szoftverösszetevők-Sensorok az AC egyes elemeire (a felhasználók, szerverek, hálózati berendezések, információs biztonsági eszközök), amelyek valós időben javítják és feldolgozzák az ellenőrzési adatokat;
  • regisztrációs fájlok, amelyek közbenső információt tartalmaznak a felhasználói működésről;
  • adatfeldolgozó alkatrészek és döntéshozatali alkatrészek, amelyek információt kapnak az érzékelőktől a regisztrációs fájlokon keresztül, amelyek elemzik és döntéseket hoznak további intézkedések (például bizonyos információk nyilvántartása az adatbázisba, a tisztviselőkről, jelentések létrehozásáról stb.);
  • audit adatbázis (adatbázis), amely tartalmazza az összes regisztrált eseményre vonatkozó információkat, a jelentéseken alapuló és figyelemmel kíséri az AC állapotát az adott időtartamra;
  • az ellenőrzési adatbázisban rögzített információk és bizonyítványok összetevői, valamint a rekordok szűrése (dátum szerint a felhasználói azonosítók, a munkaállomáson, biztonsági események stb.);
  • a biztonsági adminisztrátor felület komponens, amely arra szolgál, hogy munkájának irányítására ASADP AC annak karját, megtekintésére és nyomtatására információt, ami egy más típusú adatbázis-kérelmek és jelentési jelentések lehetővé teszi a valós idejű nyomon követni a jelenlegi tevékenységét AC felhasználó és értékeli a jelenlegi különböző források biztonságának szintje;
  • további összetevők, különösen, szoftverkonfigurációs alkatrészek, érzékelők telepítése és elhelyezése, információ archiválása és titkosítása stb.

Az ASADP AC információfeldolgozása a következő lépéseket tartalmazza:

  • a regisztrációs információk érzékelőinek rögzítése;
  • az egyes érzékelőkről származó információk gyűjteménye;
  • információcsere az adott rendszerügynökök között;
  • a regisztrált események feldolgozása, elemzése és korrelációja;
  • a feldolgozott információk ábrázolása a biztonsági rendszergazdához normalizált formában (jelentések, diagramok stb.).

A szükséges számítástechnikai erőforrások minimalizálása érdekében a rendszer titkosságának és megbízhatóságának növelése érdekében az információ tárolása az AC különböző elemein végezhető el.

Az Asadp AC alapvetően új (összehasonlítva) feladata meglévő rendszerek Az AC felhasználói munkájának ellenőrzése az Automatizálás tulajdonságai, a központosítás és a decentralizáció, a skálázhatóság és az alkalmazkodóképesség, az egyik lehetséges stratégiája az építkezéshez modern technológia Intelligens többügynöki rendszerek megvalósítása az integrált ügynök közösség kialakításával különböző típusok (Intelligens offline programok, amelyek bizonyos funkciókat hajtanak végre a felismerés és az ellenzék ellentmondása a felhasználók biztonsági politikáinak ellentmondása és a kölcsönhatás megszervezése.

A Windows Server 2008 R2 fájljaihoz és mappáihoz való hozzáférés ellenőrzésének ellenőrzése érdekében engedélyeznie kell az ellenőrzési funkciót, valamint adja meg a mappákat és fájlokat, amelyhez hozzáférést szeretne javítani. Az ellenőrzés beállítása után a kiszolgáló naplója tartalmaz információt a hozzáférésről és más eseményekről a kiválasztott fájlok és mappák számára. Érdemes megjegyezni, hogy a fájlokhoz és mappákhoz való hozzáférés ellenőrzése csak az NTFS fájlrendszerhez tartozó köteteken végezhető.

Kapcsolja be az ellenőrzést a Windows Server 2008 R2 rendszeren lévő fájlobjektumokba

A fájlokhoz és mappákhoz való hozzáférés bekapcsol és lekapcsolva csoportházirend: Domain-házirend az Active Directory tartományhoz vagy a helyi biztonsági házirendhez külön szerverekhez. Az ellenőrzés engedélyezése egy külön szerveren, meg kell nyitnia a helyi házirend-kezelő konzolt Start -\u003eMinden.Programok -\u003eKözigazgatásiEszközök -\u003eHelyiBiztonságIrányelv. A helyi politikai konzolban helyi politikai fát kell telepítenie ( HelyiPolitikák) és válasszon egy elemet Könyvvizsgálat. Irányelv.

A jobb oldali ablaktáblában ki kell választania egy elemet Könyvvizsgálat.Tárgy.Hozzáférés. És a megjelenő ablakban adja meg, hogy mely típusú események hozzáférése és mappák kell rögzíteni (sikeres / sikertelen hozzáférés):


A kiválasztás után szükséges beállítások Nyomja meg RENDBEN.

Válassza ki a fájlokat és mappákat, amelyhez hozzáférés lesz rögzítve

A fájlok és mappákhoz való hozzáférés aktiválása után kiválasztott objektumokat kell kiválasztania fájlrendszer, Audit-hozzáférés, amelyhez elvégezhető. Valamint az NTFS-jogosultságok, az alapértelmezett ellenőrzési beállítások öröklődnek mindenkinek leányvállalatok (ha nincs konfigurálva). Ugyanígy, mint a fájlokhoz és mappákhoz való hozzáférési jogok hozzárendelése során az ellenőrzési beállítások öröklése mind a kiválasztott objektumok esetében is engedélyezhető.

Egy adott mappa / fájl ellenőrzése beállításához kattintson rá a jobb egérgombbal, és válassza a Tulajdonságok ( Tulajdonságok.). A Tulajdonságok ablakban a Biztonsági fülre kell mennie ( Biztonság) és kattintson a gombra Fejlett. A Speciális biztonsági beállítások ablakban ( FejlettBiztonságBeállítások) Menjünk tovább az audit fülre ( Könyvvizsgálat.). Az ellenőrzési konfiguráció természetesen adminisztrátori jogokat igényel. A ez a szakasz Az Audit ablak megjeleníti a felhasználók és csoportok listáját, amelyekre az erőforrás ellenőrzése be van kapcsolva:

Ahhoz, hogy olyan felhasználókat vagy csoportokat adjunk hozzá, amelyek hozzáférése erre az objektumra lesz rögzítve, kattintson a gombra Add ... és adja meg a felhasználók / csoportok nevét (vagy adja meg) Mindenki - Az összes felhasználó hozzáférésének ellenőrzése):

Közvetlenül a beállítások alkalmazása után a biztonsági rendszer naplójában (megtalálhatja a pillanatban SzámítógépMenedzsment -\u003eEsemények néző), minden alkalommal, amikor az audit be van kapcsolva, megfelelő bejegyzések jelennek meg.

Alternatív megoldásként az események megtekinthetők és szűrhetők a PowerShell cmdlet használatával - Get-eventlog. Például, hogy minden eseményt az EventiD 4660-on végezzük, elvégezem egy parancsot:

Get-Eventlog Biztonság | ? ($ _. EventiD -Eq 4660)

Tanács. Lehetőség van minden rendezvényre windows magazin Bizonyos intézkedések, mint például a küldés email vagy a forgatókönyv végrehajtása. Hogyan konfigurálva van a cikkben:

Upd frissítés 06.08.2012 (Köszönöm).

A Windows 2008 / Windows 7 rendszerben megjelent az ellenőrzés ellenőrzése speciális segédprogram auditpol.. Teljes lista Olyan objektumok típusai, amelyek lehetővé teszik az ellenőrzés engedélyezését a parancs segítségével:

AUDITPOL / LIST / ALKategória: *

Hogyan látja ezeket az objektumokat 9 kategóriába sorolva:

  • Rendszer.
  • Logon / Logoff.
  • Objektum-hozzáférés.
  • Privilege használat.
  • Részletes követés
  • Politikai változás
  • Számlavezetés.
  • Ds hozzáférés
  • Fiók bejelentkezése.

És mindegyikük, illetve, hogy megosszák az alkategóriát. Például az Object Access audit kategóriába tartozik a File System alkategória, és lehetővé tegye audit fájlrendszer-objektumok a számítógép végrehajtja a parancsot:

AUDITPOL / SET / ALKategória: "Fájlrendszer" / hiba: Engedélyezés / siker: Engedélyezés

A parancs szerint kikapcsol:

AUDITPOL / SET / ALKategória: "File System" / hiba: Letiltás / siker: tiltsa le

Azok. Ha kikapcsolja a felesleges alkategóriák ellenőrzését, akkor jelentősen csökkentheti a napló mennyiségét és a felesleges események számát.

A fájlok és a mappákhoz való hozzáférés ellenőrzése után meg kell adnia a megfigyelt konkrét objektumokat (a fájlok és mappák tulajdonságaiban). Ne feledje, hogy az alapértelmezett ellenőrzési beállítások öröklődnek az összes gyermekobjektumhoz (hacsak másként nem jelezzük).

A végre kell hajtani a rendszer ellenőrzési rendszerek szervezetei minden szinten, meg vannak győződve a kutatás az informatikai biztonság elemzés cégek.

A Kaspersky Lab tanulmányozása például azt mutatta: az IB-incidensek kétharmada (67%) okozza, beleértve a rosszul tájékozott vagy figyelmetlen munkavállalók tevékenységét is. Ugyanakkor az ESET-kutatás szerint a vállalatok 84% -a alábecsüli az emberi tényező által okozott kockázatokat.

A felhasználóhoz kapcsolódó fenyegetések elleni védelem "A belső" nagy erőfeszítést igényel, mint a külső fenyegetések elleni védelem. Ahhoz, hogy ellensúlyozzák a "kártevőket" kívül, beleértve a vírusokat és a cél támadást a szervezet hálózatán, elegendő a megfelelő szoftver vagy szoftver és hardver komplexum megvalósítása. A szervezet belsõ támadójának biztosítása érdekében komolyabb befektetésekre van szükség a biztonsági infrastruktúra és a mélyelemzésbe. Az analitikai munkák magukban foglalják a fenyegető típusok elosztását, a legkritikusabb üzleti szempontból, valamint a "jogsértők portrék" összeállítását, vagyis azokat a definíciókat alkalmazhatjuk, amelyeknek a kompetenciái és hatáskörei alapján károsíthatók.

A felhasználók fellépéseinek ellenőrzésével elválaszthatatlanul kapcsolódik, nemcsak az információbiztonsági rendszerben a "BRESI" -ot gyorsan le kell zárni, hanem az üzleti élet fenntarthatóságának kérdését is. A folyamatos tevékenységekre beállított vállalatoknak figyelembe kell venniük, hogy az informatikai és üzleti automatizálás komplikációjával és növelésével a belső fenyegetések száma csak nő.

A rendes munkavállaló nyomon követése mellett a "SuperAusers" munkavállalók működését a kiváltságos jogokkal rendelkező munkavállalók, és ennek megfelelően szélesebb körben vagy szándékosan hajtják végre az információs szivárgás veszélyét. Az ilyen felhasználók közé tartoznak a rendszergazdák, az adatbázis-adminisztrátorok, a belső szoftverfejlesztők. Hozzáadhatja és vonzhatja az IBért felelős szakembereket is.

A vállalat felhasználói tevékenységének ellenőrzésére szolgáló rendszer végrehajtása lehetővé teszi a munkavállalók tevékenységének javítását és reagálását. FONTOS: Az ellenőrzési rendszernek tartalmaznia kell a befogadás tulajdonát. Ez azt jelenti, hogy a rendes alkalmazott tevékenységével kapcsolatos információkat a rendszergazda vagy a felső vezető szintjén kell elemezni operációs rendszer, Üzleti alkalmazások használata a hálózati eszközök szintjén, az adatbázisokhoz, a külső média csatlakoztatása és így tovább.

A modern integrált ellenőrzési rendszerek lehetővé teszik, hogy ellenőrizze a felhasználói műveletek összes lépését a PC (terminális munkahely) kikapcsolásához. Igaz, a gyakorlatban a teljes ellenőrzés megpróbálja elkerülni. Ha az ellenőrzési naplókban rögzítik az összes műveletet, akkor a szervezet információs rendszerének infrastruktúrájának terhelése ismételten növekszik: "Hang" munkaállomások, szerverek és csatornák teljes terhelés alatt működnek. A paranoia az információbiztonság kérdésében az üzleti tevékenységet okozhat, jelentősen lassítja a munkafolyamatokat.

Az illetékes információbiztonsági szakember elsősorban meghatározza:

  • milyen adatok vannak a cégben a legértékesebbek, mivel a belső fenyegetések többsége kapcsolódik velük;
  • aki és milyen szinten hozzáférhet az értékes adatokhoz, azaz felvázolja a potenciális betolakodók körét;
  • mennyi a jelenlegi védelmi intézkedések képesek ellenállni a felhasználók szándékos és / vagy véletlenszerű fellépéseinek ellen.

Például a pénzügyi szektorból származó Ib szakemberek a legveszélyesebb fenyegetések a fizetési adatok szivárgását és a hozzáférés visszaélését tekintik. Az ipari és közlekedési ágazatban a know-how szivárgását és a munkavállalók hűtlen viselkedését leginkább félnek. Hasonló aggodalmak az IT-gömb és a távközlési üzletágban, ahol a saját fejlesztések, kereskedelmi titkok és fizetési információk szivárgásának legkritikusabb veszélyei.

Mivel az Analytics legvalószínűbb "tipikus" betolakodásai:

  • Felsővezetés: A választás nyilvánvaló - a lehető legszélesebb ereje, a leginkább hozzáférés értékes információ. Ugyanakkor a biztonságért felelős felelősek gyakran bezárják a szemüket az IB szabályok megsértésére ilyen adatokkal.
  • Baba alkalmazottak : A hűség fokának meghatározása, a vállalat Ib szakembereit egy külön alkalmazott analitikai intézkedésekkel kell elvégezni.
  • Adminisztrátorok: Az IT-Gömb mély tudásával rendelkező preferált hozzáférési és kibővített hatóság szakemberei hajlamosak arra, hogy elcsábulhassák illetéktelen hozzáférés nak nek fontos információ;
  • Szerződő szervezetek munkatársai / outsourcing : Mint az adminisztrátorok, a "kívülről" szakértők széles körű tudással rendelkeznek, különböző fenyegetéseket tudnak megvalósítani az ügyfél információs rendszerével.

A legjelentősebb információk és a legvalószínűbb támadók meghatározása segít a nem teljes, de szelektív felhasználói vezérlés létrehozásában. "Kirakod" tájékoztatási rendszer És megszünteti az IB szakembereit a redundáns munkából.

A szelektív megfigyelés mellett jelentős szerepet játszik a rendszer működésének felgyorsításában, az elemzés minőségének javítása és az infrastruktúra terhelésének csökkentése az ellenőrzési rendszerek építészetét játssza le. A felhasználói tevékenységek modern rendszerellenőrzési rendszerei elosztott struktúrával rendelkeznek. A véges munkaállomásokon és kiszolgálóknál a szenzorok telepítve vannak, amelyek elemzik egy adott típusú és adatátvitel eseményeit a konszolidációs és tárolóközpontokhoz. A rendszerben meghatározott rendszerre vonatkozó rögzített információk elemzése az audit magazinokban található, a gyanús vagy abnormális aktivitás tényei, amelyeket nem lehet haladéktalanul tulajdonítani a fenyegetés megvalósításának kísérlete. Ezeket a tényeket továbbítják a válaszrendszerre, amely észrevette a biztonsági rendszergazdát a megsértéséről.

Ha az ellenőrzési rendszer képes önállóan megbirkózni a megsértéssel (általában ilyen komplexekben az IB egy anarted reagálási módot kínál a fenyegetésre), akkor a megsértés automatikus üzemmód, És az összes szükséges információ a jogsértővel, cselekvéseiről és a fenyegetések tárgyáról egy speciális adatbázisba esik. A biztonsági rendszergazda konzol ebben az esetben értesíti a veszélyt a semlegesítésére.

Ha a rendszer nem tartalmazza a gyanús aktivitás automatikus válaszadási módjait, akkor minden információt a fenyegetés semlegesítésére vagy annak következményei elemzésére az IB adminisztrátori konzolra továbbítják, hogy kézi üzemmódban végezzen műveleteket.

Bármely szervezet monitoring rendszerében be kell állítania a műveleteket:

A munkaállomások, szerverek, valamint az idő (a hét órájának és napjainak) tevékenységének ellenőrzése a felhasználó számára. Ily módon az információs források felhasználásának megvalósíthatósága megtörtént.

Jegyzet: A végső előadásban a legújabb ajánlások a végrehajtás. technikai eszközök Az InfoWatch-megoldások működésének jellemzőit és elvét részletesen figyelembe veszik.

Infowatch szoftver megoldások

A kurzus célja nem részletes ismeretesség az infowatch termékek munkájának technikai részleteivel, ezért fontolja meg őket a technikai marketingektől. A InfoWatch termékek két alapvető technológiát - a tartalomszűrés és a felhasználói műveletek vagy a rendszergazda ellenőrzése a munkahelyen. Az integrált infowatch megoldás szerves részét képezik továbbá az információs adattár, amely az információs rendszert és egy belső biztonsági menedzsment konzolt vezette.

Az információs forgalmi csatornák tartalmának szűrése

A tartalomszűrési infowatch fő megkülönböztető jellemzője a morfológiai mag használata. A hagyományos aláírásszűréssel ellentétben a Content Content Silection technológia két előnye van - az elemi kódolással szembeni érzéketlenség (néhány karakter helyettesítése másoknak) és a nagyobb teljesítmény. Mivel a rendszermag nem működik szavakkal, de gyökér formákkal automatikusan levágja a vegyes kódolásokat tartalmazó gyökereket. Továbbá a gyökerekkel való együttműködés, amely minden nyelven kevesebb, mint tízezer, és nem szóformákkal, amelyek körülbelül egy millió nyelven vannak, lehetővé teszi, hogy jelentős eredményeket mutatjon a megfelelő módon nem produktív berendezéseken.

A felhasználói műveletek ellenőrzése

Figyelemmel kíséri a felhasználó akciók dokumentumokat a InfoWatch munkaállomáson ajánlatok több elfogó egy szert a munkaállomáson - fájlműveleteket, a nyomtatási műveletek, műveletek alkalmazások műveletek csatlakoztatott eszközöket.

Információs adattár, aki minden csatornán elhagyta az információs rendszert.

A Infowatch az információs rendszert vezette az információs rendszert. Az összes csatornán keresztül vezetett dokumentumok a rendszer kívülről - e-mail, internet, nyomtatás és cserélhető adathordozók tárolódnak a * Tárolási alkalmazásban (2007-ig - modul Forgalmi monitor tároló szerver) Minden attribútummal - a felhasználó teljes neve és pozíciója, elektronikus előrejelzései (IP-címek, fiókok vagy postai cím), a dátumok és a dokumentumok neve és attribútumai. Minden információ az elemzéshez, beleértve a tartalmat is.

Kapcsolódó cselekvések

A bizalmas információk védelmének technikai eszközeinek bevezetése nem hatékony más módszerek használata nélkül, elsősorban szervezeti. A fentiek közül már megvizsgáltuk őket. Most maradjunk részletesebben más szükséges intézkedésekkel.

A jogsértők viselkedésének modelljei

A bizalmas információkkal kapcsolatos intézkedések ellenőrzésére szolgáló rendszer bővítése a funkcionalitás és az analitikai képességek növekedése mellett két irányban is kialakítható. Az első a belső és külső fenyegetések védelmi rendszereinek integrálása. Az elmúlt évek eseményei azt mutatják, hogy a belső és a külső behatolók közötti szerepek elosztása, valamint a külső és belső fenyegetések megfigyelési rendszereiből származó információk kombinálása lehetővé teszi az ilyen kombinált támadások tényállását. A külső és belső biztonság egyik pontja a hozzáférési jogok kezelése, különösen a termelés szimulációjával összefüggésben, hogy növelje jogaikat a hűtlen alkalmazottakkal és a Sabota-val. A hivatalos feladatok által nem előírt erőforrásokhoz való hozzáférés iránti kérelmeknek azonnal közé tartoznak az ilyen információkkal kapcsolatos ellenőrzési intézkedések mechanizmusa. Még mindig biztonságosabb, hogy megoldja a hirtelen felmerülő feladatokat az erőforrásokhoz való hozzáférés nélkül.

Adunk példát az életről. Rendszergazda A Marketing Tanszék vezetőjéből a pénzügyi rendszerhez való hozzáférés megnyitása. A kérelem igazolásaként a feladatot alkalmazták főigazgató A vállalat által termelt áruk vásárlási folyamatának forgalmazásáról. Mivel a pénzügyi rendszer az egyik legvédettebb erőforrás és a hozzáférés engedélye a vezérigazgatónak, az alkalmazás információs biztonsági osztályának vezetője alternatív megoldást írt - nem adhat hozzáférést, hanem az elemzés speciális bázisának kirakodását személytelen (az ügyfelek megadása nélkül) adatok. A fő marketinger kifogásaira válaszul, hogy kényelmetlen volt a munkához, megkérdezte az igazgató "a homlokában": "Miért van szüksége az ügyfél nevére - Szeretne egyesíteni az alapot?" - Mindenki elment dolgozni. Akár kísérlet volt az információ szivárgásának megszervezésére, soha nem fogunk tanulni, de bármi is legyen, a vállalati pénzügyi rendszer védett.

Megakadályozza a szivárgást az előkészítési szakaszban

A bizalmas információkkal rendelkező belső incidensek megfigyelési rendszerének másik irányítása a szivárgásmegelőzési rendszer kialakítása. Az ilyen rendszer munkájának algoritmusa megegyezik a behatolás megakadályozására szolgáló megoldásokkal. Először is, a behatoló modellje épül, a "megsértés aláírása" kialakul, azaz a behatoló cselekedeteinek sorrendje. Ha több felhasználói tevékenység egybeesett egy megsértési aláírással, akkor a következő felhasználói lépés előre jelzi, ha egybeesik az aláírással - a riasztást táplálják. Például egy bizalmas dokumentumot nyitottak meg, egy részét elosztották és átmásolták a pufferre, majd létrehozták Új dokumentum És a puffer tartalmát másolták. A rendszer azt sugallja: Ha az új dokumentumot a "bizalmas" címke nélkül fogják megmenteni - ez az elrablás kísérlete. Az USB-meghajtó nincs behelyezve, egy levél nincs kialakítva, és a rendszer tájékoztatja az információbiztonsági tisztviselőt, amely döntést hoz - abbahagyja a munkavállalót vagy nyomot, ahol az információ megy. By the way, a modell (más forrásokban - "profilok") használható, nemcsak az információk gyűjtése a szoftvertől. Ha elemezheti az adatbázis-lekérdezések jellegét, akkor mindig azonosíthatja a munkavállalót, aki számos egymást követő lekérdezés a bázishoz konkrét számú információt szerezhet. Szükséges azonnal nyomon követni, hogy mit csinál ezekkel a kérésekkel, függetlenül attól, hogy megtartják-e őket, függetlenül attól, hogy a cserélhető média csatlakozik-e és így tovább.

Információ tárolásának megszervezése

Anonimizációs és titkosítási adatok elvei - szükséges feltétel Tároló- és feldolgozó szervezetek, és távoli hozzáférés A terminál protokollt rendezhet, anélkül, hogy elhagynánk a számítógépet, ahonnan a kérés szerveződik, nincs információ.

Integráció hitelesítési rendszerekkel

Előbb-utóbb az ügyfélnek bizalmas dokumentumokkal rendelkező monitoring rendszert kell használnia a személyzeti kérdések megoldására - például a munkavállalók elbocsátása az e rendszer által dokumentált tények alapján, vagy akár a szivárgást megengedő személyek büntetőeljárásán. Mindazonáltal minden, ami felügyeleti rendszert adhat, egy elektronikus betolakodó azonosító - IP-cím, számla, e-mail cím stb. Annak érdekében, hogy jogilag vádolják a munkavállalót, meg kell kötned ezt az azonosítót a személynek. Itt az integrátor új piacot nyit meg - a hitelesítési rendszerek bevezetése az egyszerű zsetonoktól a fejlett biometrikusokig és az RFID azonosítókig terjed.