Menü
Bedava
giriş
ana  /  Navigatörler / InfoWatch yazılımı çözümleri ve ilgili eylemler. Kullanıcı Eylemlerinin Otomatik Denetim Sistemi (İzleme) Denetim Windows Kullanıcı İşlemleri

InfoWatch yazılımı çözümleri ve ilgili eylemler. Kullanıcı Eylemlerinin Otomatik Denetim Sistemi (İzleme) Denetim Windows Kullanıcı İşlemleri

Bazen soruyu cevaplamamızı gerektiren olaylar "bunu kim yaptı?" Bu "nadiren, ama apt" olabilir, bu yüzden sorunun cevabı önceden hazırlanmalıdır.

Neredeyse her yerde, bir dosya sunucusundaki veya iş istasyonlarından birinin paylaşılan (paylaşılan) klasörde depolanan belgelerin grupları üzerinde çalışan tasarım departmanları, muhasebe, geliştiricileri ve diğer çalışan kategorileri vardır. Birinin, tüm ekibin çalışmasının kaybolabileceği bir sonucu olarak, birinin bu klasörden önemli bir belgeyi veya dizini sileceği olabilir. Bu durumda, sistem yöneticisine birkaç soru ortaya çıkıyor:

    Sorun ne zaman ve ne kadar oldu?

    Bu zamana en yakın olanı destek olmak Verileri geri yüklemeniz mi gerekiyor?

    Belki bir yer vardı sistem hatasıKim tekrar tekrarlayabilir?

Windows bir sistemi var Denetim Kiminle, belgelerin ne zaman silindiğiyle ilgili bilgileri izlemeye ve kaydetmeye izin verilmesi. Varsayılan olarak, denetim dahil değildir - izlemenin kendisi sistemin gücünün belirli bir yüzdesini gerektirir ve her şeyi üst üste yazarsanız, yük çok büyük olacaktır. Dahası, tüm kullanıcı eylemleri bizi ilgilendiremez, bu nedenle denetim politikaları sadece bizim için gerçekten önemli olan olayları izlemenize izin verir.

Denetim sistemi tüm işletim sistemlerine yerleştirilmiştir. Microsoft.pencerelerNt.: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Maalesef, sistem serisinde Windows Home. Denetimin derinleri gizlidir ve yapılandırılması çok zordur.

Yapılandırmak için neye ihtiyacınız var?

Denetim etkinleştirmek için, yöneticinin paylaşılan belgelere erişim sağlayan ve komutu yürüten bir bilgisayara yöneticisine gidin. Başlat. ÇALIŞTIRMAK. gpedit.msc.. Bilgisayar Yapılandırması bölümünde, klasörü açın Windows Ayarları Güvenlik ayarları Yerel politikalar. Denetim politikaları:

Politikaya çift tıklayın Denetim nesnesi erişimi (Nesnelere erişimi denetleme) Ve kene'yi seçin Başarı.. Bu parametre, dosyalara ve kayıt defterine başarılı bir şekilde erişimi izlemek için bir mekanizma içerir. Nitekim, çünkü sadece dosyaları veya klasörleri silmek için silinmiş girişimlerle ilgileniyoruz. Denetimi yalnızca doğrudan izlenen nesnelerin depolandığı bilgisayarlarda açın.

Denetim politikasını etkinleştirmek yeterli değil, aynı zamanda hangi tür klasörlerin izlenmesi gerektiğine erişimini de belirtmeliyiz. Genellikle, bu tür nesneler genel (paylaşılan) belgelerin klasörleri ve üretim programları veya veritabanları (muhasebe, depo vb.) - yani, birkaç insanın çalıştığı kaynaklardır.

Tahmin ettiğinizde dosyayı tam olarak silmek imkansızdır, bu yüzden izleme ve herkes için (herkes) belirtilir. Herhangi bir kullanıcı tarafından izlenen nesneleri silmeye çalışanlar günlüğe kaydedilir. İstediğiniz klasörün özelliklerini arayın (bu tür birkaç klasör varsa, hepsi sırayla) ve sekmesinde Güvenlik (güvenlik) → Gelişmiş (gelişmiş) → Denetim (denetim) Konuya Sorun Ekle Herkes (hepsi), başarılı erişim girişimleri Silmek ve Alt klasörleri ve dosyaları silin:


Olaylar oldukça fazla geliştirilebilir, bu nedenle derginin boyutunu da ayarlamalıdır. Güvenlik (Emniyet)hangi kaydedilecekleri. İçin
Bu komutu al Başlat.ÇALIŞTIRMAK.eventvwr.. msc.. Görünen pencerede, güvenlik günlüğünün özelliklerini arayın ve aşağıdaki parametreleri belirtin:

    Maksimum günlük boyutu \u003d 65536 KB. (iş istasyonları için) veya 262144 KB. (sunucular için)

    Olayların gerektiği gibi üzerine yaz.

Aslında, belirtilen numaralar doğru garanti edilmez, ancak her bir vaka için deneyimlidir.

pencereler 2003/ Xp.)?

Tıklayın Başlat. ÇALIŞTIRMAK. Eventvwr.msc. Güvenlik. GÖRÜNÜM.Filtre.

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 560;


Her kayıt içindeki aşağıdaki alanlara dikkat ederek filtrelenmiş olayların bir listesine göz atın:

  • Nesne.İsim.. Arama klasörünün veya dosyanın adı;
  • Görüntü.Dosyaİsim.. Dosyanın silindiği programın adı;
  • Erişim.. İstenen haklar kümesi.

Program sistemde birkaç erişim türü talep edebilir - örneğin, Silmek.+ Senkronize etmek veya Silmek.+ Okumak._ Kontrol. Bize doğru anlamlı Silmek..


Peki belgeleri kim siltin (pencereler 2008/ Vista.)?

Tıklayın Başlat. ÇALIŞTIRMAK. Eventvwr.msc. ve dergiyi görüntülemek için açık Güvenlik. Dergi olaylarla doldurulabilir, sahip olmama sorununa doğrudan tutum. Güvenlik günlüğüne sağ tıklayarak, komutu seçin. GÖRÜNÜM.Filtre. Ve aşağıdaki kriterleri filtreleyin:

  • Olay Kaynağı: Güvenlik;
  • Kategori: Nesne erişimi;
  • Olay Türleri: Başarı Denetimi;
  • Olay Kimliği: 4663;

Tüm kaldırılmaları kötü niyetli olarak yorumlamak için acele etmeyin. Bu özellik genellikle programların normal çalışmasında kullanılır - örneğin, komutu yürüterek. Kayıt etmek. (Kayıt etmek), Paket Programları Microsoft.Ofis. İlk önce yeni bir geçici dosya oluşturun, belgeyi kendisine kaydedin, ardından kaldırın Önceki versiyon dosya. Benzer şekilde, başlangıçta birçok veritabanı uygulaması önce geçici bir engelleme dosyası oluşturur (. lck.), Sonra programı terk ederken çıkarın.

Kullanıcıların her iki kötü niyetli eylemiyle yüzleşmek zorunda kaldım. Örneğin, bir şirketin bir çatışma simidi, iş yerinden işten çıkarıldığında, işçiliğinin tüm sonuçlarını yok etmeye, bir ilişkisi olduğu dosyaları ve klasörleri silmeye karar verdi. Bu tür olaylar iyi farkedilir - güvenlik günlüğünde saniyede onlarca, yüzlerce kayıt üretiyorlar. Tabii ki, belgeleri geri yükleme Gölge.Kopyalar. (Gölge kopyalar) Veya günlük otomatik olarak oluşturulan arşiv çok zor değil, ancak aynı zamanda "kimin yaptı?" Sorularını cevaplayabilirim. Ve "Ne zaman oldu?".

Viktor Lyudov
Proje Yöneticisi Informsvyaz Holding

Sistemin uygulanması için önkoşullar

2007 yılında yapılan ilk iç tehditlerin ilk açık küresel çalışması bilgi Güvenliği InfoWatch (2006 yıllarına göre), iç tehditlerin dış (kötü amaçlı yazılım, spam, bilgisayar korsanlarının, vb. İşlemleri vb.) Daha az yaygın olmadığını (% 56.5) göstermiştir. Aynı zamanda, ezici çoğunlukta (% 77), iç tehdidin uygulanmasının nedeni, kullanıcıların kendilerinin ihmalidir (iş tanımlarının yerine getirilmemesi veya temel bilgi koruma araçlarını ihmal eder).

2006-2008 döneminde durumdaki değişikliklerin dinamikleri Şekil l'de yansıyan. bir.

İhmal nedeniyle sızıntının payındaki nispi azalma, rastgele sızıntılara karşı yeterince yüksek bir koruma sağlayan bilgi sızıntısını (kullanıcı izleme sistemleri dahil) önlenmesi için sistemlerin kısmen uygulanmasından kaynaklanmaktadır. Ek olarak, kişisel verilerin kasıtlı olarak hırsızlığı sayısındaki mutlak artıştan kaynaklanmaktadır.

İstatistikteki değişikliğe rağmen, önceliğin istem dışı bilgi sızıntılarıyla mücadele etmek olmasını, çünkü bu sızıntılara, daha ucuza, daha ucuza ve sonuçların çoğu olayların çoğu tarafından kaplandığından daha kolay olduğu için hala olası bir şekilde iddia etmek mümkündür.

Aynı zamanda, ihmal memurları, 2004-2008 yılları için infoxatch ve perimetrix çalışmalarının sonuçlarının analizine göre, en tehlikeli tehditler arasında ikinci sırada (konsolide araştırma sonuçları, Şekil 2'de sunulmaktadır) ve alaka düzeyi devam ediyor Yazılım ve Donanım Otomatik Sistemleri (AC) işletmeleri geliştirmekle birlikte büyütün.

Böylece, bir çalışanın IB üzerindeki olumsuz etkilerini ortadan kaldıran sistemlerin tanıtımı (izleme programları dahil), IB hizmeti çalışanlarını kanıt tabanına ve olay soruşturması için yapılan materyallere sunmak amacıyla ortadan kaldıracak ihmal nedeniyle sızıntı tehdidi, rastgele sızıntıyı önemli ölçüde azaltır ve aynı zamanda kasıtlı olarak hafifçe azaltır. Sonuçta, bu önlem, iç ihlallerden gelen tehditlerin gerçekleştirilmesini önemli ölçüde azaltmalıdır.

Kullanıcı eylemlerinin modern AU denetimi. Avantajlar ve dezavantajlar

Kullanıcı eylemlerinin (ASADP) AUS'u (ASADP) AUS'u, genellikle izleme yazılımı ürünleri olarak adlandırılan AUS'u (ASADP) AUS, güvenlik yöneticilerinin (IB kuruluşu) kullanılmasını sağlamak için tasarlanmıştır. "Kullanıcıyı kaydetmenizi sağlayan bir hesaplama sisteminin özellikleri Aktivite ve ayrıca, güvenlik politikalarının ihlal edilmesini ve / veya belirli eylemler için sorumluluğun güvenliğini sağlamak için belirli kullanıcı olaylarına dahil olan tanımlayıcıları da belirleyin. "

AC'nin gözlemlenebilirliğinin, uygulamasının kalitesine bağlı olarak, bir dereceye kadar güvenlik politikasının organizasyonu çalışanlarının gözlemlenmesini izlemenize ve bilgisayarlarda güvenli çalışma için kuralları belirlemenizi sağlar.

İzleme Uygulaması yazılım Ürünler, Gerçek zamanlı olarak, tasarlanmıştır:

  • böyle bir girişimin yapıldığı zaman ve ağ işyerinin tam bir göstergesi ile gizli bilgilere izinsiz erişime izin vermeye (yerelleştirmek) tüm girişim vakalarını belirleyin;
  • İzinsiz bir yazılım kurulumunun gerçeklerini tanımlar;
  • İzinsiz kurulu özel uygulamaları başlatmanın gerçeklerini analiz ederek, ek donanımın (örneğin, modemler, yazıcılar vb.) Tüm yetkisiz kullanım durumlarını tanımlayın;
  • kritik kelimelerin ve cümlelerin klavyesindeki tüm ayarları belirleyin, kritik belgelerin hazırlanması, üçüncü şahısların aktarılması, maddi hasara neden olacaktır;
  • sunuculara ve kişisel bilgisayarlara erişimin kontrolü;
  • sörf yaparken kontakları kontrol edin İnternet;
  • personelin dış etkilerinin doğruluğunun, verimliliğinin ve yeterliliğinin belirlenmesi ile ilgili araştırma yapmak;
  • İşgücü işçiliğinin bilimsel organizasyonu amacıyla, organizasyon için bilgisayar işlerinin (günün günü, haftanın gününe kadar vb.) İndirilmesi;
  • kumanda kullanım durumları kişisel bilgisayarlar çalışmayan zaman ve bu kullanımın amacını tanımlamak;
  • gerekli güvenilir bilgileri, IB organizasyonunun politikasını ayarlamak ve geliştirmek için yapılan kararlar temelinde alınır.

Bu fonksiyonların uygulanması, iş istasyonları ve AC sunucuları üzerindeki ajan modülleri (sensörler), devletin bir başka anketi olan veya onlardan rapor almak suretiyle uygulanarak elde edilir. Raporlar güvenlik yöneticisi konsolunda işlenir. Bazı sistemler, alanlarını ve güvenlik gruplarını işleyen ara sunucular (konsolidasyon noktaları) ile donatılmıştır.

Yürütüldü sistem Analizi Piyasada sunulan çözümler (Statwin, Tivoli Configuration Manager, Tivoli Uzaktan Kumanda, OpenView işlemleri, "İlçe / Kurumsal Koruma", Insider), bir dizi belirli özelliği vurgulamamıza izin verdi; Çalışılan numunelere.

Genel olarak, oldukça geniş bir işlevsel ve büyük bir seçenek paketi ile birlikte, mevcut sistemlerin, AC'nin belirtilen tüm öğelerinin zorunlu bir döngüsel araştırmasına (tarama) dayanarak yalnızca AC'nin tek tek kullanıcılarının faaliyetlerini izlemek için kullanılabilir. tüm kol kullanıcılarından önce).

Aynı zamanda, yeterince çok sayıda kol, teknoloji ve yazılım da dahil olmak üzere, modern AUS'un dağılımı ve ölçeği, kullanıcıların çalışmalarını ve her birinin izlenmesi sürecini önemli ölçüde karmaşıklaştırır. ağ cihazları Büyük, genellikle çoğaltılan veritabanları gerektiren yeterince büyük miktarda bilgi sağlayan binlerce denetim mesajı üretme yeteneğine sahiptir. Bu fonlar, diğer şeylerin yanı sıra, önemli bir ağ ve donanım kaynaklarını tüketin, genel AC'yi yükleyin. Donanım ve yazılım yeniden yapılandırmaları için esnek değildirler. bilgisayar ağlarıBilinmeyen ihlal ve ağ saldırılarına uyum sağlayamıyorlar ve güvenlik ihlallerinin tespit edilmesinin verimliliği büyük ölçüde AC'nin güvenlik yöneticisi unsurları tarafından tarama sıklığına bağlı olacaktır.

Belirtilen sistemlerin verimliliğini artırmanın bir yolu, tarama frekansındaki doğrudan artıştır. Bu, kaçınılmaz olarak, aslında, bu AU'nun hem ADM yöneticisinde hem de kullanıcıların iş istasyonlarının bilgisayarlarında hem de kullanıcıların iş istasyonlarının bilgisayarlarında olduğu gibi, bu AU'nun amaçlandığı ana görevlerin etkinliğini bir azalmaya yol açacaktır. Trafik büyümesi olarak yerel ağ Au.

Çok miktarda veri analizi ile ilgili sorunlara ek olarak, mevcut izleme sistemlerinde, belirlenen insan faktörünün neden olduğu kararların verimliliği ve doğruluğu konusunda ciddi kısıtlamalar vardır. fiziksel fırsatlar Bir operatör adamı olarak yönetici.

Mevcut izleme sistemlerinde varlığı, kullanıcıların açıkça yetkisiz eylemleri gerçek zamanlı olarak uyarma olasılığı, yalnızca bilinen ihlallerin (imza yöntemini) takip etmenize izin verdiği için sorunu temelde bir bütün olarak çözmezler (imza yöntemi) ve Yeni ihlal türlerine karşı koyamıyor.

AU'ndaki bilgi işlem kaynağının ek bir "seçimi" pahasına bir artışın sağlanmasında sağlanmasının sağlanması sağlanmasının kapsamlı yöntemlerinin korunması için kapsamlı yöntemlerin geliştirilmesi ve kullanımı, AU'nun olanaklarını azaltır. amaçlandığı görevleri çözmek ve / veya değerini arttırır. Hızla gelişen BT teknoloji pazarına yaklaşılamaması oldukça açık.

Kullanıcı eylemlerinin otomatik denetim sistemi (izleme). Perspektif özellikleri

Yukarıdaki analiz sonuçlarından, perspektif izleme sistemlerine aşağıdaki özellikleri vermeleri gerekir:

  • rutin "manuel" işlemleri hariç otomasyon;
  • kombine merkezileştirme (otomatik güvenlik yöneticisi işyerine dayanarak) seviye yönetimi ile bireysel unsurlar (Entelektüel bilgisayar programları) AC kullanıcılarının sistem izleme sistemleri;
  • İzleme sistemlerinin kapasitesini artırmanıza ve yeteneklerini etkili işleyişi için gerekli olan hesaplama kaynaklarında önemli bir artış olmadan genişletmenize olanak sağlayan ölçeklenebilirlik;
  • aC'nin kompozisyonundaki değişimin ve özelliklerin yanı sıra, yeni güvenlik ihlallerinin ortaya çıkmasına da uyarlanabilirlik.

Asadp'in genelleştirilmiş yapısı olarak işaretlenmiş ayırt edici özellikleriŞekilde sunulan çeşitli amaçlar ve aksesuarlar için AC'de uygulanabilir. 3.

Yukarıdaki yapı aşağıdaki ana bileşenleri içerir:

  • yazılım Bileşenleri-Sensörler, AC'nin bazı unsurlarına (kullanıcıların, sunucular, ağ ekipmanı, bilgi güvenliği araçlarında), denetim verilerini gerçek zamanlı olarak düzeltmeye ve işleme koymaya hizmet eden;
  • kullanıcı işlemi hakkında ara bilgileri içeren kayıt dosyaları;
  • veri işleme bileşenleri ve kararları analiz eden ve kararlar veren kayıt dosyalarıyla sensörlerden bilgi alan karar alma bileşenleri daha fazla eylemler (Örneğin, bazı bilgilerin veritabanına kaydını, yetkililerin bildirimi, raporların oluşturulması vb.);
  • bir denetim veritabanı (veritabanı), Raporlara Göre Tüm Kayıtlı Olaylar Hakkında Bilgi İçeren ve AC'nin durumunu herhangi bir süre için monitörler;
  • raporlama ve sertifikaların bileşenleri Denetim veritabanında kaydedilen bilgilere dayanarak ve kayıtları filtreleme (tarihe göre, kullanıcı tanımlayıcıları, iş istasyonuna, güvenlik olayları, vb.);
  • aSADP AC'nin çalışmalarını kolunu, görüntüleme ve yazdırma bilgisini yönetmeye, farklı tür bir veritabanı istekleri oluşturma ve raporlama raporları oluşturan güvenlik yöneticisi arayüzü bileşeni, AC kullanıcılarının mevcut faaliyetlerini izlemek ve akımı değerlendirmek için gerçek zamanlı olarak Çeşitli kaynakların güvenliği seviyesi;
  • ek bileşenler, özellikle yazılım yapılandırma bileşenleri, sensörlerin kurulumu ve yerleştirilmesi, bilginin arşivlenmesi ve şifrelenmesi vb.

Asadp AC'deki Bilgi İşlemleri aşağıdaki adımları içerir:

  • kayıt bilgisi sensörlerinin sabitlenmesi;
  • bireysel sensörlerden bilgi topluluğu;
  • ilgili sistem ajanları arasında bilgi alışverişi;
  • kayıtlı olayların işlenmesi, analizi ve korelasyonu;
  • İşlenmiş bilgilerin güvenlik yöneticisine normalize edilmiş formda gösterilmesi (raporlar, diyagramlar vb. Şekilde).

Gerekli bilgi işlem kaynaklarını en aza indirmek için, sistemin gizliliğini ve güvenilirliğini arttırmak için, AC'nin çeşitli elemanlarında bilgi depolama yapılabilir.

Asadp AC'yi temelde yeni vermenin görevine dayanarak (kıyasla mevcut sistemler AC kullanıcıları çalışmalarının denetimi) Otomasyonun özellikleri, merkezileşme ve ademi merkeziyetçilik kombinasyonları, ölçeklenebilirlik ve uyarlanabilirlik, inşaatı için olası stratejilerden biri görülüyor modern teknoloji Entegre bir ajan topluluğunu geliştirerek uygulanan akıllı çoklu ajan sistemleri farklı şekiller (Kullanıcıların güvenlik politikalarına aykırı olarak tespit ve muhalefetin belirli işlevlerini uygulayan ve etkileşimlerini organize eden akıllı çevrimdışı programlar.

Windows Server 2008 R2'deki Dosya ve Klasörlere Erişim Denetimi yapmak için, denetim özelliğini etkinleştirmeniz ve ayrıca düzeltmek istediğinize erişin, klasörleri ve dosyaları belirtmeniz gerekir. Denetim kurduktan sonra, sunucu kütüğü, seçilen dosyalara ve klasörlere erişim ve diğer olaylar hakkında bilgi içerecektir. Dosya ve klasörlere erişim denetiminin yalnızca NTFS dosya sistemi ile hacimlerde gerçekleştirilebileceğini belirtmekte fayda var.

Windows Server 2008 R2'de Sistem Nesnelerinin Dosya Nesnelerine Dönüştürün

Dosya ve klasörlere denetim erişimini açar ve kesilir grup ilkesi: Active Directory etki alanı veya ayrı sunucular için yerel güvenlik politikası için etki alanı politikası. Ayrı bir sunucuda denetimi etkinleştirmek için, Yerel Politika Yönetimi Konsolu'nu açmanız gerekir. Başlat -\u003eHerşey.Programlar -\u003eYönetimAraçlar -\u003eYerelGüvenlikPolitika. Yerel politika konsolunda, yerel bir politika ağacı dağıtmanız gerekir ( YerelPolitikalar) ve bir öğe seçin Denetim. Politika.

Sağ bölmede bir öğe seçmeniz gerekir Denetim.Nesne.Giriş. Ve görünen pencerede, hangi tür olay erişimi ve klasörlerin sabitlenmesi gerektiğini belirtin (başarılı / başarısız erişim):


Seçimden sonra gerekli ayarlar Basmanız gerekiyor TAMAM MI.

Dosya ve Klasörleri Seçin, Sabitlenecek Erişim

Dosya ve klasörlere erişme denetiminden sonra, belirli nesneleri seçmelisiniz dosya sistemi, Yapılacak olan denetim erişimini denetleyin. NTFS izinlerinin yanı sıra, varsayılan denetim ayarları herkese devralınır. İştirakler (Aksi yapılandırılmamışsa). Aynı şekilde, dosya ve klasörlere erişim hakları atadığınızda, denetim ayarlarının mirası hem herkes için hem de seçilen nesneler için etkinleştirilebilir.

Belirli bir klasör / dosya için bir denetim yapılandırmak için, sağ fare düğmesiyle üzerine tıklamanız ve özellikleri seçin ( Özellikleri.). Özellikler penceresinde, Güvenlik sekmesine gitmeniz gerekir ( Güvenlik) ve düğmeye tıklayın ileri. Gelişmiş Güvenlik Ayarları penceresinde ( ileriGüvenlikAyarlar) Denetim sekmesine devam edelim ( Denetleme). Doğal olarak denetim yapılandırması, yönetici hakları gerektirir. Üzerinde bu aşama Denetim penceresi, bu kaynak için bir denetimin açık olduğu kullanıcı ve grupların bir listesini görüntüleyecektir:

Bu nesneye erişiminin sabitleneceği kullanıcı veya gruplar eklemek için düğmeye tıklamanız gerekir. Ekle ... ve bu kullanıcıların / grupların adlarını belirtin (veya belirtin) Herkes. - Tüm kullanıcılara erişimi denetlemek için):

Bu ayarları güvenlik sistemi günlüğüne uyguladıktan hemen sonra (Snap'ta bulabilirsiniz) BilgisayarYönetim -\u003eOlaylar Görüntüleyicisi), denetimin açıldığı nesnelere erişim, uygun girişler görünecektir.

Alternatif olarak, Olaylar PowerShell cmdlet kullanarak görüntülenebilir ve filtrelenebilir - Get-Eventlog. Örneğin, tüm olayları EventID 4660 ile getirmek için bir komut yapacağım:

GET-EVENTLOG Security | ($ _. EventID -EQ 4660)

Konsey. Herhangi bir etkinliğe atamak mümkündür windows dergisi Gönderme gibi bazı eylemler e-posta veya komut dosyasının yürütülmesi. Makalede nasıl yapılandırılmıştır:

06.08.2012 (Teşekkür ederim).

Windows 2008 / Windows 7'de denetim kontrolü ortaya çıktı Özel program auditpol. Tam liste Denetim yapabileceğiniz nesne türleri, komutu kullanarak görülebilir:

AUDITPOL / LİSTE / SUBTCATATURY: *

Bu nesnelerin 9 kategoriye ayrıldığını görüyorsunuz:

  • Sistem.
  • Oturum açma / oturumu kapatma.
  • Nesne erişimi.
  • Ayrıcalık kullanımı.
  • Detaylı izleme
  • Politika değişikliği
  • Hesap Yönetimi.
  • DS erişim
  • Hesap oturum açma.

Ve her biri sırasıyla, alt kategori paylaşmak için. Örneğin, Nesne Erişim Denetim Kategorisi, dosya sistemi alt kategorisini içerir ve bilgisayardaki dosya sistemi nesneleri için denetimin etkinleştirilmesi komutu yürütecektir:

AUDITPOL / SET / SUBTCATEURY: "Dosya Sistemi" / Hata: Etkinleştir / Başarı: Etkinleştir

Komuta göre kapanır:

AUDITPOL / SET / SUBTCATECY: "Dosya Sistemi" / Hatası: Devre Dışı Bırak / Başarı: Devre Dışı Bırak

Şunlar. Gereksiz alt kategorilerin denetimini kapatırsanız, kütüğün hacmini ve gereksiz olayların sayısını önemli ölçüde azaltabilirsiniz.

Dosyalara ve klasörlere erişim denetiminin etkinleştirilmesinden sonra, izlenecek belirli nesneleri belirlemeniz gerekir (dosyaların ve klasörlerin özelliklerinde). Varsayılan denetim ayarlarının tüm alt nesnelere miras alındığını unutmayın (aksi belirtilmedikçe).

Sistem denetim sistemlerini herhangi bir seviyede organizasyonlarda uygulama gereğinde, bilgi güvenliği analiz şirketlerinin araştırılmasına ikna olmuşlardır.

Kaspersky laboratuvarının incelenmesi, örneğin: IB olaylarının üçte ikisi (% 67), kötü bilgilendirilmiş veya dikkatsiz çalışanların eylemleri de dahil olmak üzere neden olmuştur. Aynı zamanda, ESET araştırmasına göre, şirketlerin% 84'ü insan faktörünün neden olduğu riskleri hafife alıyor.

Kullanıcı ile ilgili tehditlere karşı korunma "İçten", dış tehditlere karşı korumaya karşı büyük çaba gerektirir. Organizasyonun ağındaki virüsler ve hedef saldırılar dahil olmak üzere dışarıdan "zararlıları" ortadan kaldırmak için uygun yazılımı veya yazılım ve donanım kompleksini uygulamak yeterlidir. Organizasyonu iç saldırgandan korumak için, güvenlik altyapısına ve derin analizde daha ciddi yatırımlar gerekli olacaktır. Analitik çalışma, iş için en kritik olan tehdit türlerinin tahsis edilmesinin yanı sıra, "ihlal edenlerin portrelerinin" derlenmesini, yani yetkinliklerine ve yetkilerine dayanarak hasarın uygulanabileceği tanımları içerir.

Kullanıcıların eylemlerinin denetimi ile ayrılmaz bir şekilde bağlantılı değil, yalnızca bilgi güvenliği sisteminde "Bresci" nin bir bütün olarak işin sürdürülebilirliği sorusunun da bir bütün olarak "Bresci" nin anlayışını değil aynı zamanda bir bütün olarak ilişkilendirilir. Devam eden faaliyetler için yapılandırılan şirketler, bilişim ve iş otomasyonunun komplikasyon ve artan sürecinde, iç tehditlerin sayısı sadece büyüdüğünü göz önünde bulundurmalıdır.

Sıradan bir çalışanın eylemlerini izlemeye ek olarak, "SuperAusers" - çalışanların ayrıcalıklı hakları olan ve buna göre, bilgi sızıntısı tehdidini daha yaygın olarak uygular veya kasıtlı olarak uygulayın. Bu tür kullanıcılar sistem yöneticileri, veritabanı yöneticileri, dahili yazılım geliştiricileri içerir. Ayrıca, BT uzmanlarını ekleyebilir ve çekebilir ve IB'den sorumlu çalışanlar.

Şirketteki kullanıcıların eylemlerini izlemek için bir sistemin uygulanması, çalışanların faaliyetlerine tamir etmenizi ve yanıtlamanızı sağlar. ÖNEMLİ: Denetim sisteminin dahil etme özelliğine sahip olmalıdır. Bu, sıradan bir çalışanın faaliyetleri hakkında bilgi, sistem yöneticisi veya üst yöneticinin düzeyinde analiz edilmesi gerektiği anlamına gelir. işletim sistemi, İşletme uygulamalarının, ağ aygıtlarının düzeyinde, veritabanlarına hitap eder, harici ortamın bağlantısı vb.

Modern entegre denetim sistemleri, PC'yi (terminal işyerinde) kapatmaya başlayan kullanıcı eylemlerinin tüm adımlarını kontrol etmenizi sağlar. Doğru, pratikte toplam kontrol, önlenmeye çalışıyor. Denetim günlüğünde tüm işlemleri kaydetmek için, kuruluşun bilgi sisteminin altyapısındaki yük arttırılır: "Asmak" iş istasyonları, sunucular ve kanallar tam yük altında çalışır. Bilgi güvenliği konusundaki paranoya, iş akışlarını önemli ölçüde yavaşlatır.

Yetkili bir bilgi güvenliği uzmanı öncelikle belirler:

  • Şirketteki hangi veriler en değerlidir, çünkü iç tehditlerin çoğu onlarla bağlantılı olacak;
  • kim ve hangi düzeyde değerli verilere erişebileceği, yani potansiyel davetsiz misafir çemberini özetliyor;
  • kullanıcıların kasıtlı ve / veya rastgele eylemlerine ne kadar akım koruma önlemleri yapabilirsiniz.

Örneğin, Finansal sektörden IB uzmanları, ödeme verilerinin sızması ve erişimin kötüye kullanılması için en tehlikeli tehditleri göz önünde bulundurur. Endüstriyel ve taşımacılık sektöründe, bilgi sızıntıları ve işçilerin sadakatsel davranışları en çok korkar. BT Küre ve Telekomünikasyon İşletmelerinde, kendi gelişmelerinin en kritik tehditlerinin, ticari sırların ve ödeme bilgilerinin olduğu gibi benzer endişeler.

Muhtemelen "tipik" analitik davetsiz misafirleri olarak tahsis eder:

  • Üst yönetim: Seçim açıktır - mümkün olan en geniş güçler, en çok erişim degerli bilgi. Aynı zamanda, güvenliğin sorumluluğu, gözlerini bu tür rakamlarla IB kurallarının ihlallerine sıklıkla kapatır.
  • Bebek çalışanları : Sadakat derecesini belirlemek için, Şirket'in IB uzmanları, ayrı bir çalışanın analitik eylemleriyle gerçekleştirilmelidir.
  • Yöneticiler: Tercih edilen erişim ve genişletilmiş otoriteye sahip uzmanlar, bu alanda derin bilgiye sahip, baştan çıkarılmak için hassastır. yetkisiz Erişim için Önemli bilgi;
  • Taahhüt Kuruluşları Çalışanları / Dış Kaynak Kullanımı : Yöneticiler, "dıştan" uzmanlar, geniş bir bilgi sahibi olan uzmanlar, müşterinin bilgi sisteminin "içeride" ile çeşitli tehditleri gerçekleştirebilir.

En önemli bilgilerin tanımı ve en muhtemel saldırganlar, toplam olmayan, ancak seçici kullanıcı kontrolü oluşturmaya yardımcı olur. "Boşaltıyor" bilgi sistemi Ve ib uzmanlarını gereksiz işten ortadan kaldırır.

Seçici izlemeye ek olarak, sistemin çalışmasını hızlandırmada, analiz kalitesinin iyileştirilmesinde ve altyapı üzerindeki yükün azaltılmasında önemli bir rol, denetim sistemlerinin mimarisini oynar. Kullanıcı eylemlerinin modern sistem denetim sistemleri dağıtılmış bir yapıya sahiptir. Son iş istasyonlarında ve sunucularında, belirli bir türdeki olayları analiz eden sensörler kurulur ve verileri konsolidasyon ve depolama merkezlerine iletir. Sistemde belirtilen sistem üzerine sabit bilginin analizi, denetim dergilerinde, şüpheli veya anormal aktivitenin gerçekleri, tehdidi gerçekleştirme girişimine atfedilemez. Bu gerçekler, güvenlik yöneticisini ihlalde fark eden yanıt sistemine iletilir.

Denetim sistemi bağımsız olarak ihlalle başa çıkabiliyorsa (genellikle bu tür komplekslerde IB, tehditlere bir cevap verme yöntemi sağlar), sonra ihlal edilir otomatik modVe ihlal eden, eylemleri ve tehditlerin nesnesi hakkında gerekli tüm bilgileri özel bir veritabanına düşer. Bu durumda güvenlik yöneticisi konsolu, etkisiz hale getirme tehdidini bildirir.

Sistem şüpheli aktivite için otomatik yanıt yöntemlerini içermezse, tehdidi nötralize etmek veya sonuçlarını analiz etmek için tüm bilgiler, manuel modda işlem yapmak için IB Yönetici Konsolu'na iletilir.

Herhangi bir kuruluşun izleme sisteminde, işlemleri yapılandırmanız gerekir:

İş istasyonlarının, sunucuların ve ayrıca zamanın (haftanın saati ve günlerine kadar) kullanıcının içindeki etkinlikleri denetleyin. Bu şekilde, bilgi kaynaklarını kullanmanın fizibilitesi kurulur.

Açıklama: Son derste, uygulamaya en son öneriler verilir. teknik araçlar Koruyucu Bilgi Koruması, InfoWatch çözümlerinin çalıştırılmasının özellikleri ve prensipleri ayrıntılı olarak kabul edilir.

InfoWatch Yazılım Çözümleri

Bu dersin amacı, infoxatch ürünlerinin çalışmalarının teknik detaylarıyla ayrıntılı bir tanıdık değildir, bu nedenle onları teknik pazarlamadan düşünün. InfoWatch ürünleri, iki temel teknolojiye dayanmaktadır - işyerindeki kullanıcı eylemlerinin veya yöneticinin içerik filtrelemesi ve denetimi. Ayrıca, entegre infoozat çözümünün ayrılmaz bir parçası, bilgi sistemini ve tek bir iç güvenlik yönetimi konsolunu yöneten bilgi havuzudur.

Bilgi trafik kanallarının içerik filtrelemesi

İçerik filtreleme informatının ana ayırt edici özelliği, morfolojik çekirdeğin kullanımıdır. Geleneksel imza filtrelemesinin aksine, InfoWatch Content Filtreleme teknolojisinin iki avantajı vardır - temel kodlamaya (bazı karakterlerin başkalarına değiştirilmesi) ve daha yüksek performansa karşı duyarsızlığa sahiptir. Çekirdek kelimelerle çalışmadığından, ancak kök formlarıyla, karışık kodlar içeren kökleri otomatik olarak keser. Ayrıca, her dilde on bin'den az olan köklerle çalışın, yaklaşık bir milyonlarca dillerde, yeterince üretken olmayan ekipmanlarda önemli sonuçlar göstermenizi sağlar.

Kullanıcı eylemlerinin denetimi

InfoWatch Workstation'daki belgelerle kullanıcı eylemlerini izlemek için, iş istasyonunda bir ajanda birkaç öngeriyeci sunar - dosya işlemleri, yazdırma işlemleri, uygulamalar içindeki işlemler, ekteki cihazlarla işlemler.

Bilgi sistemini tüm kanallarda bırakan bilgi havuzu.

InfoWatch, bilgi sistemini yöneten bilgi deposunu sunar. Sistemin dışına giden tüm kanallardan geçen belgeler - e-posta, internet, baskı ve değiştirilebilir medya * depolama uygulamasında depolanır (2007 yılına kadar - modül Trafik Monitörü Depolama Sunucusu) Tüm özellikler - tam adı ve kullanıcının konumu, elektronik projeksiyonları (IP adresleri, hesap veya posta adresi), tarih ve çalışma süresi, belgelerin adı ve nitelikleri. Tüm bilgiler içerik de dahil olmak üzere analiz için kullanılabilir.

İlgili Eylemler

Gizli bilgilerin korunmasının teknik yollarının tanıtılması, öncelikle örgütsel olarak diğer yöntemlerin kullanımı olmadan etkisizdir. Yukarıda, biz zaten bir kısmı düşündük. Şimdi diğer gerekli eylemlerde daha ayrıntılı kalalım.

İhlallerin davranış modelleri

Gizli bilgilere sahip eylemlerin izlenmesi için bir sistemin genişletilmesi, işlevsellik ve analitik yeteneklerin artmasının yanı sıra, iki yönde gelişmek mümkündür. Birincisi, koruma sistemlerinin iç ve dış tehditlerden entegrasyonudur. Son yılların olayları, iç ve dış davetsiz misafirler arasında bir rol dağıtımı olduğunu ve bilgileri dış ve iç tehditlerin izleme sistemlerinden birleştirerek, bu tür birleşik saldırıların gerçeklerini tespit etmesine izin verecek. Dış ve iç güvenlikle ilgili temas noktalarından biri, özellikle üretimin simülasyonunun bağlamında, sadakatsel çalışanlar ve Sabota haklarını artırmak için ihtiyaç duyulan erişim haklarını yönetmektir. Resmi görevlerle sağlanamayan kaynaklara erişim için herhangi bir başvuru derhal bu bilgilerle eylemleri denetlemek için bir mekanizma içermelidir. Kaynaklara erişimi açmadan aniden ortaya çıkan görevleri çözmek hala daha güvenlidir.

Hayattan bir örnek veriyoruz. Sistem yöneticisi Pazarlama departmanının başkanından finansal sisteme erişimi açmak için uygulanır. Uygulamanın bir gerekçesi olarak görev uygulandı genel Müdür Şirket tarafından üretilen mal satın alma süreçlerinin pazarlama araştırmalarında. Finansal sistem en çok korunan kaynaklardan biri olduğundan ve erişim izninin CEO'yu verir, uygulama üzerindeki bilgi güvenliği departmanı başkanı alternatif bir çözüm yazdı - erişim vermemek, ancak analiz etmek için özel bir üs içine boşaltmak için kişiliksiz (istemcileri belirtmeden) verileri. Ana pazarlamacının itirazlarına cevap olarak, çalışmanın uygunsuz olduğu, "alnında" direktörü tarafından soruldu: "Neden müşteri adlarına ihtiyacınız var - üssü birleştirmek ister misiniz?" - Herkesin işe gitti. Bilgi sızıntısı düzenleme girişimi olup olmadığı, asla öğrenmeyeceğiz, ama ne olursa olsun, kurumsal finansal sistem korunmuştur.

Hazırlık aşamasında sızıntıyı önlemek

Dahili olayların izleme sisteminin gizli bilgilerle izleme sisteminin bir başka yönü, bir sızıntı önleme sistemi oluşturmaktır. Böyle bir sistemin çalışmasının algoritması, izinsiz girişin önlenmesi için çözümlerle aynıdır. İlk olarak, davetsiz misafirin modeli inşa edilmiştir, "İhlalin imzası", yani davetsiz misafirlerin eylemlerinin sırasıdır. Birkaç kullanıcı eylemi bir ihlal imzası ile çakışırsa, bir sonraki kullanıcı adımı imza ile çakışırsa, alarm beslenirse tahmin edilir. Örneğin, gizli bir belge açıldı, bir kısmı tahsis edildi ve tampona kopyalandı, sonra yaratıldı yeni belge Ve tamponun içeriği ona kopyalandı. Sistem öneriyor: Yeni belge "Gizli" etiketi olmadan kaydedilecekse - bu kaçırma denemesidir. Bir USB sürücüsü eklenmemiş, bir harf oluşturulmaz ve sistem bir karar veren bir bilgi güvenliği görevlisini bilgilendirir - bilginin gittiği çalışanı veya izlemeyi durdurmak için. Bu arada, talimatın davranışının modelinin (diğer kaynaklarda - "profilleri") sadece yazılım ajanlarından bilgi toplamakla kalmaz. Veritabanı sorgularının niteliğini analiz edebilirseniz, her zaman bazda ardışık sorguların belirli bir sayıda bilgi almaya çalıştığı her zaman bir çalışanı tanımlayabilirsiniz. Değiştirilebilir medyanın bağlanması ve benzeri olup olmadığını, bu taleplerle ne yaptığını hemen izlemek gerekir.

Bilgi depolama organizasyonu

Anonimleştirme ve şifreleme verilerinin prensipleri - gerekli durum Depolama ve işleme organizasyonları ve uzaktan erişim Terminal protokolünü, talebin düzenlendiği bilgisayardan ayrılmadan, bilgi yok.

Kimlik doğrulama sistemleriyle entegrasyon

Er ya da geç, müşteri personel sorunlarını çözmek için gizli belgelerle bir izleme sistemi kullanmak zorunda kalacak - örneğin, çalışanların bu sistem tarafından belgelenen gerçeklere veya hatta sızıntıya izin veren kişilerin kovuşturulmasına dayanan çalışanların görevden alınması. Ancak, bir izleme sistemi verebilecek her şey bir elektronik davetsiz misafir tanımlayıcısıdır - bir IP adresi, hesap, e-posta adresi vb. Çalışanları yasal olarak suçlamak için, bu tanımlayıcıyı kişiye bağlamanız gerekir. Burada, entegratör yeni bir pazar açar - kimlik doğrulama sistemlerinin tanıtılması basit belirteçlerden gelişmiş biyometrilere ve RFID tanımlayıcılara kadardır.