Автоматизирана система за одит (мониторинг) на действията на потребителите. Одит на потребителските действия Одит в Windows 7

Необходимостта от внедряване на системи за одит на действията на потребителите в организации от всяко ниво е убедена от проучвания на компании, участващи в анализа информационна сигурност.

Проучване на Kaspersky Lab, например, показа, че две трети от инцидентите с IS (67%) са причинени, наред с други неща, от действията на лошо информирани или невнимателни служители. В същото време, според проучване на ESET, 84% от компаниите подценяват рисковете, причинени от човешкия фактор.

Защитата срещу заплахи, свързани с потребителя "отвътре", изисква повече усилия, отколкото защитата срещу външни заплахи. За противодействие на „зловреден софтуер“ отвън, включително вируси и целеви атаки в мрежата на организацията, е достатъчно да се въведе подходящ софтуер или софтуерно-хардуерна система. Защитата на една организация от вътрешен нападател ще изисква повече инвестиции в инфраструктура за сигурност и задълбочен анализ. Аналитичната работа включва идентифициране на видовете заплахи, които са най-критични за бизнеса, както и съставяне на „портрети на нарушителите“, тоест определяне колко щети може да причини даден потребител въз основа на техните компетенции и правомощия.

Одитът на действията на потребителите е неразривно свързан не само с разбирането какви „пропуски“ в системата за информационна сигурност трябва да бъдат бързо затворени, но и с въпроса за устойчивостта на бизнеса като цяло. Компаниите, конфигурирани за непрекъсната работа, трябва да имат предвид, че с усложняването и увеличаването на процесите на информатизация и автоматизация на бизнеса броят на вътрешните заплахи само нараства.

В допълнение към проследяването на действията на обикновен служител е необходимо да се извърши одит на операциите на "суперпотребители" - служители с привилегировани права и съответно повече възможности за случайно или умишлено прилагане на заплахата от изтичане на информация. Тези потребители включват системни администратори, администратори на бази данни и вътрешни разработчици на софтуер. Тук можете да добавите и ангажирани ИТ специалисти и служители, отговарящи за информационната сигурност.

Въвеждането на система за наблюдение на действията на потребителите във фирма ви позволява да записвате и бързо да реагирате на дейността на служителите. Важно: системата за одит трябва да притежава свойството на включваемост. Това означава, че информацията за дейностите на обикновен служител, системен администратор или топ мениджър трябва да бъде анализирана на ниво операционна система, използване на бизнес приложения, на ниво мрежови устройства, достъп до база данни, външни медийни връзки и скоро.

Съвременни системикомплексният одит ви позволява да контролирате всички етапи на действията на потребителя от стартиране до изключване на компютъра (терминална работна станция). Вярно, на практика се опитват да избегнат тоталния контрол. Ако всички операции се записват в журналите за одит, натоварването на инфраструктурата на информационната система на организацията се увеличава многократно: работните станции висят, сървърите и каналите работят при пълно натоварване. Параноята относно информационната сигурност може да навреди на бизнеса, като значително забави работните процеси.

Компетентният специалист по информационна сигурност на първо място определя:

кои данни в компанията са най-ценни, тъй като повечето вътрешни заплахи ще бъдат свързани с тях;
кой и на какво ниво може да има достъп до ценни данни, т.е. очертава кръга от потенциални нарушители;
степента, до която настоящите мерки за защита са в състояние да издържат на умишлените и/или случайни действия на потребителите.

Например специалистите по информационна сигурност от финансовия сектор смятат за най-опасни заплахата от изтичане на платежни данни и злоупотреба с достъп. В промишления и транспортния сектор най-страховити са изтичането на ноу-хау и нелоялното поведение на служителите. Подобни опасения има в ИТ сектора и телекомуникационния бизнес, където най-критичните заплахи са изтичането на патентовани разработки, търговски тайни и информация за плащане.

НАЙ-ВЕРОЯТНИТЕ „ТИПИЧНИ“ НАРУШИТЕЛИ НА АНАЛИТИКАТА СА СВЪРЗАНИ КАТО СЛЕДНИТЕ:

Топ мениджмънт: изборът е очевиден - възможно най-широки правомощия, достъп до най-ценната информация. В същото време отговорните за сигурността често си затварят очите за нарушения на правилата за информационна сигурност от такива фигури.
Нелоялни служители : за да се определи степента на лоялност, специалистите по информационна сигурност на компанията трябва да анализират действията на отделен служител.
Администратори: Привилегировани и упълномощени професионалисти с дълбоки ИТ познания са изкушени да получат неоторизиран достъп до важна информация;
Служители на изпълнител / аутсорсинг : подобно на администраторите, "външните" експерти, притежаващи широки познания, могат да реализират различни заплахи, докато са "вътре" в информационната система на клиента.

Определянето на най-значимата информация и най-вероятните нарушители спомага за изграждането на система за не пълен, а избирателен контрол на потребителите. Той "разтоварва" информационна системаи освобождава специалистите по информационна сигурност от излишна работа.

В допълнение към селективното наблюдение, архитектурата на системите за одит играе важна роля за ускоряване на системата, подобряване на качеството на анализа и намаляване на натоварването на инфраструктурата. Съвременните системи за одит на потребителските действия имат разпределена структура. На крайни работни станции и сървъри са инсталирани сензорни агенти, които анализират събития от определен тип и предават данни към центрове за консолидация и съхранение. Системите за анализ на записана информация, според параметрите, вградени в системата, намират в одитните регистрационни файлове факти за подозрителна или аномална дейност, която не може веднага да бъде приписана на опит за реализиране на заплаха. Тези факти се предават на системата за реагиране, която уведомява администратора по сигурността за нарушението.

Ако системата за одит е в състояние сама да се справи с нарушението (обикновено такива IS комплекси осигуряват сигнатурен метод за отговор на заплаха), тогава нарушението се спира в автоматичен режим, а цялата необходима информация за нарушителя, неговите действия и обекта на заплаха се въвежда в специална база данни. В този случай конзолата за администратор на сигурността ви уведомява, че заплахата е неутрализирана.

Ако системата няма начини за автоматичен отговор подозрителна дейност, тогава цялата информация за неутрализиране на заплахата или за анализ на нейните последствия се прехвърля към конзолата на администратора на IS за извършване на операции в ръчен режим.

В СИСТЕМАТА ЗА МОНИТОРИНГ НА ВСЯКА ОРГАНИЗАЦИЯ ТРЯБВА ДА СЕ КОНФИГУРИРАТ ОПЕРАЦИИТЕ:

Одитиране на използването на работни станции, сървъри, както и времето (по часове и дни от седмицата) на потребителска активност върху тях. По този начин се установява целесъобразността от използване на информационните ресурси.

Анотация: В заключителната лекция се дават окончателни препоръки за изпълнение. технически средствазащита на поверителна информация, разглежда подробно характеристиките и принципите на работа на решенията на InfoWatch

Софтуерни решения на InfoWatch

цел този курсНе е подробно запознаване с техническите подробности за работата на продуктите на InfoWatch, така че ще ги разгледаме от страна на техническия маркетинг. Продуктите на InfoWatch са базирани на две основни технологии – филтриране на съдържание и одитиране на действията на потребителите или администраторите на работното място. Също така, неразделна част от интегрираното решение InfoWatch е хранилище на информация, която е напуснала информационната система и единна вътрешна конзола за управление на сигурността.

Филтриране на съдържанието на каналите за трафик на информация

Основната отличителна черта на филтрирането на съдържанието на InfoWatch е използването на морфологично ядро. За разлика от традиционното сигнатурно филтриране, технологията за филтриране на съдържание на InfoWatch има две предимства – нечувствителност към елементарно кодиране (замяна на един знак с друг) и по-висока производителност. Тъй като ядрото не работи с думи, а с коренни форми, то автоматично отрязва корени, които съдържат смесени кодировки. Освен това работата с корени, от които има по-малко от десет хиляди на всеки език, а не с словоформи, от които има около милион в езиците, ви позволява да покажете значителни резултати на доста непродуктивно оборудване.

Одит на потребителската активност

За да наблюдава действията на потребителите с документи на работна станция, InfoWatch предлага няколко интерцептора в един агент на работна станция - интерцептори за файлови операции, операции за печат, операции в приложения, операции с прикачени устройства.

Съхранение на информация, която е напуснала информационната система по всички канали.

InfoWatch предлага хранилище за информация, която е напуснала информационната система. Документите преминават през всички канали, водещи извън системата - електронна поща, Интернет, печат и сменяеми носители, се съхраняват в приложението *storage (до 2007 - модул Сървър за съхранение на Traffic Monitor), като се посочват всички атрибути - пълно име и длъжност на потребителя, неговите електронни прогнози (IP адрес, акаунт или пощенски адрес), дата и час на операцията, име и атрибути на документите. Цялата информация е достъпна за анализ, включително анализ на съдържанието.

Свързани дейности

Въвеждането на технически средства за защита на поверителна информация изглежда неефективно без използването на други методи, предимно организационни. Вече обсъдихме някои от тях по-горе. Сега нека разгледаме по-отблизо другите необходими действия.

Модели на поведение на нарушителите

С внедряването на система за мониторинг на действия с поверителна информация, освен увеличаване на функционалността и аналитичните възможности, можете да се развивате в още две посоки. Първият е интегрирането на системи за защита срещу вътрешни и външни заплахи. Инцидентите през последните години показват, че има разпределение на ролите между вътрешни и външни нарушители и комбинацията от информация от системите за мониторинг на външни и вътрешни заплахи ще позволи да се открият фактите за такива комбинирани атаки. Една от допирните точки между външната и вътрешната сигурност е управлението на правата за достъп, особено в контекста на симулиране на индустриална нужда от увеличаване на правата на нелоялни служители и саботьори. Всички искания за достъп до ресурси извън служебните задължения трябва незабавно да включват механизъм за одитиране на действия с тази информация. Още по-безопасно е да решавате внезапно възникнали проблеми, без да отваряте достъп до ресурси.

Да вземем пример от живота. Системният администратор получи искане от ръководителя на маркетинговия отдел за отваряне на достъп до финансовата система. Като обосновка на заявлението е приложена задача изпълнителен директорза маркетингови проучвания на процесите на закупуване на стоки, направени от компанията. Тъй като финансовата система е един от най-защитените ресурси и разрешението за достъп до нея се дава от главния изпълнителен директор, пише ръководителят на отдела за информационна сигурност в приложението алтернативно решение- не дават достъп, а качват анонимизирани (без посочване на клиенти) данни в специална база данни за анализ. В отговор на възраженията на главния маркетолог, че му е неудобно да работи по този начин, директорът му зададе директен въпрос: "Защо са ви нужни имената на клиентите - искате ли да обедините базата данни?" След това всички се захванаха за работа. Дали това е опит за изтичане на информация, никога няма да разберем, но каквото и да беше, корпоративната финансова система беше защитена.

Предотвратяване на течове по време на подготвителната фаза

Друго направление в развитието на система за мониторинг на вътрешни инциденти с поверителна информация е изграждането на система за предотвратяване на течове. Алгоритъмът на работа на такава система е същият като при решенията за предотвратяване на проникване. Първо се изгражда модел на нарушителя и от него се формира „сигнатура за нарушение“, тоест последователността от действия на нарушителя. Ако няколко потребителски действия съвпадат със сигнатурата за нарушение, се предвижда следващата стъпка на потребителя, ако тя също съвпада с подписа, се генерира аларма. Например, отворен е поверителен документ, част от него е избрана и копирана в клипборда, след което нов документи съдържанието на буфера беше копирано в него. Системата приема, че ако нов документ бъде запазен по-нататък без етикета „поверително“, това е опит за отвличане. USB устройството все още не е поставено, писмото не е генерирано и системата информира служителя по сигурността на информацията, който решава дали да спре служителя или да проследи къде отива информацията. Между другото, модели (в други източници - "профили") на поведение на нарушителя могат да се използват не само чрез събиране на информация от софтуерни агенти. Ако анализирате естеството на заявките към базата данни, винаги можете да идентифицирате служител, който се опитва да получи конкретна информация в поредица от последователни заявки към базата данни. Необходимо е незабавно да се проследи какво прави с тези заявки, дали ги запазва, дали свързва преносими носители за съхранение и т.н.

Организация на съхранението на информация

Принципите на анонимизиране и криптиране на данни са предпоставка за организиране на съхранение и обработка, и отдалечен достъпможе да се организира според протокола на терминала, без да оставя информация за компютъра, от който е организирана заявката.

Интеграция със системи за удостоверяване

Рано или късно клиентът ще трябва да използва система за наблюдение на поверителни документи, за да разреши проблеми с персонала - например уволнение на служители въз основа на фактите, документирани от тази система, или дори съдебно преследване на изтекли. Всичко, което системата за наблюдение обаче може да даде, е електронният идентификатор на нарушителя - IP адресът, сметка, имейл адрес и др. За да таксувате законно служител, трябва да свържете този идентификатор с дадено лице. Тук се отваря нов пазар за интегратора - въвеждането на системи за удостоверяване - от прости токени до усъвършенствани биометрични и RFID - идентификатори.

Виктор Чутов
Ръководител на проекта INFORMSVYAZ HOLDING

Предпоставки за внедряване на системата

Първото открито глобално проучване на вътрешните заплахи за информационната сигурност, проведено през 2007 г. от Infowatch (въз основа на резултатите от 2006 г.), показа, че вътрешните заплахи са не по-малко разпространени (56,5%) от външните (зловреден софтуер, спам, хакери и др.). д.). В същото време в огромното мнозинство (77%) причината за внедряването на вътрешна заплаха е небрежността на самите потребители (неизпълнение на длъжностни характеристикиили пренебрегване на елементарни средства за защита на информацията).

Динамика на промените в ситуацията през периода 2006-2008 г отразено на фиг. един.

Относителното намаляване на дела на течовете поради небрежност се дължи на частичното внедряване на системи за предотвратяване на течове на информация (включително система за наблюдение на действията на потребителите), които осигуряват доста висока степен на защита срещу случайни течове. Освен това се дължи на абсолютното нарастване на броя на умишлените кражби на лични данни.

Въпреки промяната в статистиката все още може да се каже, че приоритет е борбата с неволното изтичане на информация, тъй като противодействието на такива течове е по-лесно, по-евтино и в резултат повечето инциденти са покрити.

В същото време небрежността на служителите, според анализа на резултатите от изследванията на Infowatch и Perimetrix за 2004-2008 г., се нарежда на второ място сред най-опасните заплахи (обобщените резултати от изследването са представени на фиг. 2), а нейната актуалност продължава да расте заедно с подобряването на софтуерните и хардуерните автоматизирани системи (AS) на предприятията.

По този начин въвеждането на системи за елиминиране на възможността за отрицателно въздействие на служител върху IS в AS на предприятието (включително програми за мониторинг), предоставяне на служителите на IS с доказателствена база и материали за разследване на инцидент, ще елиминира заплахата от изтичане поради небрежност, значително намаляват случайните течове, както и донякъде намаляват умишлените. В крайна сметка тази мярка трябва да позволи значително да се намали прилагането на заплахи от вътрешни лица.

Модерен AS за одит на действията на потребителите. Предимства и недостатъци

Автоматизираните системи за одит (наблюдение) на действията на потребителите (ASADP) AS, често наричани софтуерни продукти за мониторинг, са проектирани да бъдат използвани от администратори по сигурността на AS (организационна услуга за информационна сигурност), за да се гарантира нейната видимост - "свойства изчислителна система, което ви позволява да записвате дейностите на потребителите, както и недвусмислено да идентифицирате идентификаторите на потребителите, участващи в определени събития, за да предотвратите нарушения на политиките за сигурност и/или да осигурите отговорност за определени действия.

Свойството на наблюдаемостта на АС, в зависимост от качеството на неговото изпълнение, позволява в една или друга степен да контролира спазването от служителите на организацията на нейната политика за сигурност и установените правила. безопасна работана компютри.

Използването на софтуерни продукти за наблюдение, включително в реално време, е предназначено за:

определя (локализира) всички случаи на опити за неоторизиран достъп до поверителна информация с точно посочване на времето и работното място в мрежата, от което е направен такъв опит;
откриване на факти за неразрешено инсталиране на софтуер;
определяне на всички случаи на неразрешено използване на допълнителен хардуер (например модеми, принтери и др.) чрез анализиране на фактите за стартиране на неразрешени специализирани приложения;
определя всички случаи на въвеждане на критични думи и фрази на клавиатурата, изготвяне на критични документи, чието прехвърляне на трети страни ще доведе до материални щети;
контрол на достъпа до сървъри и персонални компютри;
контрол на контактите при сърфиране Интернет мрежи;
провеждат изследвания, свързани с определяне на точността, ефективността и адекватността на реакцията на персонала към външни въздействия;
определя натоварването на компютърните работни места на организацията (по време на деня, по ден от седмицата и т.н.) с цел научна организация на работата на потребителите;
контролни случаи на използване персонални компютрив извънработно време и посочете целта на това използване;
получават необходимата надеждна информация, въз основа на която се вземат решения за коригиране и подобряване на политиката за информационна сигурност на организацията и др.

Изпълнението на тези функции се постига чрез въвеждане на агентни модули (сензори) на работни станции и AS сървъри с по-нататъшно проучване на състоянието или получаване на отчети от тях. Докладите се обработват в конзолата за администратор на сигурността. Някои системи са оборудвани с междинни сървъри (консолидационни точки), които обработват собствени зони и групи за сигурност.

Системният анализ на решенията, представени на пазара (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) направи възможно идентифицирането на редица специфични свойства, които, ако се добавят към обещаващ ASADP, ще увеличи показателите си за ефективност в сравнение с изследваните образци.

В общия случай, заедно с доста широка функционалност и голям пакет от опции, съществуващите системи могат да се използват за проследяване на дейностите само на отделни потребители на AS въз основа на задължително циклично проучване (сканиране) на всички определени елементи на AS (и , преди всичко потребители на AWP).

В същото време разпространението и мащабът на съвременните автоматизирани системи, които включват доста голям брой работни станции, технологии и софтуер, значително усложнява процеса на наблюдение на работата на потребителите и всяко от мрежовите устройства е в състояние да генерира хиляди одитни съобщения , достигайки доста големи количества информация, които изискват поддържане на огромни, често дублиращи се бази данни. Тези инструменти, наред с други неща, консумират значителни мрежови и хардуерни ресурси, зареждат обща AS. Те се оказват неподатливи на преконфигуриране на хардуер и софтуер. компютърни мрежи, не са в състояние да се адаптират към неизвестни типове нарушения и мрежови атаки и ефективността на тяхното откриване на нарушения на политиката за сигурност ще зависи до голяма степен от честотата на сканиране на AS елементи от администратора по сигурността.

Един от начините за повишаване на ефективността на тези системи е директно увеличаване на честотата на сканиране. Това неизбежно ще доведе до намаляване на ефективността на изпълнение на тези основни задачи, за които всъщност е предназначен този AS, поради значително увеличаване на изчислителното натоварване както на работната станция на администратора, така и на компютрите на потребителските работни станции, както и като при увеличаване на трафика локална мрежаКАТО.

В допълнение към проблемите, свързани с анализа на голямо количество данни, съществуващите системи за мониторинг имат сериозни ограничения върху ефективността и точността на вземаните решения, причинени от човешкия фактор, който се определя от физическите възможности на администратора като човек оператор.

Наличието в съществуващите системи за наблюдение на възможността за уведомяване в реално време за изрични неразрешени действия на потребителите не решава фундаментално проблема като цяло, тъй като позволява проследяване само на предварително известни типове нарушения (метод на подпис) и не е в състояние да осигурява противодействие на нови видове нарушения.

Разработването и използването на обширни методи за информационна сигурност в системите за информационна сигурност, които осигуряват повишаване на нивото на нейната защита поради допълнителния "избор" на изчислителния ресурс от AS, намалява възможностите на AS за решаване на задачи, за които е предназначен, и/или увеличава цената му. Провалът на подобен подход на бързо развиващия се пазар на ИТ технологии е съвсем очевиден.

Автоматизирана система за одит (мониторинг) на действията на потребителите. Обещаващи имоти

От резултатите от анализа, даден по-рано, има очевидна необходимост да се придадат следните свойства на обещаващи системи за мониторинг:

автоматизация, с изключение на рутинни "ръчни" операции;
комбинации от централизация (базирана на работната станция на администратора по сигурността) с управление на ниво отделни елементи(интелектуален компютърни програми) системи за наблюдение на работата на потребителите на AU;
скалируемост, която позволява увеличаване на капацитета на системите за мониторинг и разширяване на техните възможности без значително увеличаване на изчислителните ресурси, необходими за ефективното им функциониране;
адаптивност към промени в състава и характеристиките на атомните електроцентрали, както и към появата на нови видове нарушения на политиката за сигурност.

Обобщената структура на ASADP AS, която има отбелязаните отличителни черти, които могат да бъдат реализирани в AS за различни цели и принадлежности, е показана на фиг. 3.

Горната структура включва следните основни компоненти:

софтуерни компоненти-сензори, поставени върху някои елементи на АС (на потребителски работни станции, сървъри, мрежово оборудване, средства за защита на информацията), които се използват за запис и обработка на одитни данни в реално време;
регистрационни файлове, съдържащи междинна информация за потребителския опит;
компоненти за обработка на данни и вземане на решения, които получават информация от сензори чрез регистрационни файлове, анализират я и вземат решения за по-нататъшни действия (например за въвеждане на информация в базата данни, уведомяване на длъжностни лица, създаване на отчети и др.);
одитна база данни (БД), съдържаща информация за всички регистрирани събития, въз основа на които се генерират отчети и се следи състоянието на АС за даден период от време;
компоненти за генериране на отчети и сертификати на базата на информация, записана в базата данни за одит и филтриращи записи (по дата, по потребителски идентификатори, по работна станция, по събития за сигурност и др.);
компонент на интерфейса на администратора по сигурността, който се използва за управление на работата на ASADP AS от неговата работна станция, преглед и печат на информация, създаване различен видзаявки към базата данни и генериране на отчети, което позволява наблюдение в реално време на текущите дейности на потребителите на АС и оценка на текущото ниво на сигурност на различни ресурси;
допълнителни компоненти, по-специално софтуерни компоненти за конфигуриране на системата, инсталиране и поставяне на сензори, архивиране и криптиране на информация и др.

Обработката на информацията в ASADP AS включва следните етапи:

фиксиране от сензори на регистрационна информация;
събиране на информация от отделни сензори;
обмен на информация между съответните агенти на системата;
обработка, анализ и корелация на регистрирани събития;
представяне на обработената информация на администратора по сигурността в нормализиран вид (под формата на отчети, диаграми и др.).

С цел минимизиране на необходимите изчислителни ресурси, повишаване на секретността и надеждността на системата, информацията може да се съхранява на различни елементи на AS.

Въз основа на задачата да даде на ASADP AS фундаментално нови (в сравнение със съществуващите системи за одит на работата на потребителите на AS) свойства за автоматизация, комбинация от централизация и децентрализация, мащабируемост и адаптивност, се вижда една от възможните стратегии за неговото изграждане. модерна технологияинтелигентни мултиагентни системи, реализирани чрез разработването на интегрирана общност от агенти различни видове(интелигентни автономни програми, които изпълняват определени функции за откриване и противодействие на потребителски действия, които противоречат на политиката за сигурност) и организиране на тяхното взаимодействие.

За проверка на достъпа до файлове и папки в Windows сървър 2008 R2, трябва да активирате функцията за проверка и да посочите папките и файловете, до които искате да заключите достъпа. След настройка на одита, регистрационният файл на сървъра ще съдържа информация за достъпа и други събития на избраните файлове и папки. Струва си да се отбележи, че достъпът до файлове и папки може да се проверява само на томове с файлова система NTFS.

Активиране на одит за обекти на файловата система в Windows Server 2008 R2

Одитът на достъпа до файлове и папки се активира и деактивира чрез групови политики: политика за домейн за домейна Активна директорияили местни политики за сигурност за самостоятелни сървъри. За да активирате одит на един сървър, трябва да отворите конзолата за управление местен политик Старт ->всичкоПрограми ->административенИнструменти ->МестенсигурностПолитика. В конзолата за локална политика разгънете дървото на локалната политика ( Местенполитики)и изберете елемент одитПолитика.

Изберете елемент в десния панел одитОбектДостъпи в прозореца, който се показва, посочете какви видове събития за достъп до файлове и папки трябва да бъдат записани (успешен / неуспешен достъп):

След като изберете желаната настройка, натиснете ДОБРЕ.

Избор на файлове и папки, достъпът до които ще бъде фиксиран

След активиране на одита на достъпа до файлове и папки, трябва да изберете конкретни обекти файлова система, достъпът до които ще бъде одитиран. Точно като разрешенията за NTFS, настройките за проверка по подразбиране се наследяват за всички дъщерни обекти (освен ако не е конфигурирано друго). По същия начин, както при присвояване на права за достъп до файлове и папки, наследяването на настройките за проверка може да бъде разрешено както за всички, така и само за избрани обекти.

За да настроите проверка за конкретна папка/файл, трябва да щракнете върху него Кликнете с десния бутонмишката и изберете Свойства ( Имоти). В прозореца със свойства отидете на раздела Сигурност ( сигурност) и натиснете бутона Разширено. В прозореца с разширени настройки за защита ( РазширеносигурностНастройки) отидете на раздела Одит ( Одитиране). Настройването на одит, разбира се, изисква администраторски права. На този етап прозорецът за проверка ще покаже списък с потребители и групи, за които проверката е активирана за този ресурс:

За да добавите потребители или групи, чийто достъп до този обект ще бъде фиксиран, щракнете върху бутона Добавяне...и посочете имената на тези потребители/групи (или посочете Всеки– за проверка на достъпа на всички потребители):

Веднага след прилагане на тези настройки в регистрационния файл на системата за сигурност (можете да го намерите в компютърУправление -> Events Viewer), всеки път, когато имате достъп до обекти, за които е активиран одит, ще се появят съответните записи.

Като алтернатива, събитията могат да се преглеждат и филтрират с помощта на командата PowerShell − Get-EventLogНапример, за да покажете всички събития с eventid 4660, изпълнете командата:

Get-EventLog сигурност | ?($_.eventid -eq 4660)

съвет. Може да се присвои на всяко събитие в Дневник на Windowsопределени действия, като например изпращане електронна пощаили изпълнение на скрипт. Как се конфигурира е описано в статията:

UPD от 06.08.2012г (Благодаря на коментатора).

В Windows 2008/Windows 7 е въведено управление на одита специална полезност одитпол. Пълен списъктиповете обекти, които могат да бъдат одитирани, могат да се видят с помощта на командата:

auditpol /списък /подкатегория:*

Както можете да видите, тези обекти са разделени на 9 категории:

Система
Влизане/Излизане
Достъп до обекти
Използване на привилегии
Подробно проследяване
промяна на политиката
Управление на профила
D.S.Достъп
Влизане в акаунт

И всеки от тях, съответно, е разделен на подкатегории. Например категорията одит на достъп до обекти включва подкатегорията файлова система и за да активирате одит за обекти на файлова система на компютър, изпълнете командата:

Auditpol /set /подкатегория:"Файлова система" /failure:enable /success:enable

Деактивира се с командата:

Auditpol /set /подкатегория:"Файлова система" /failure:disable /success:disable

Тези. Ако изключите проверката на ненужните подкатегории, можете значително да намалите обема на дневника и броя на ненужните събития.

След активиране на одита на достъпа до файлове и папки, трябва да посочите конкретните обекти, които ще контролираме (в свойствата на файловете и папките). Имайте предвид, че по подразбиране настройките за проверка се наследяват за всички дъщерни обекти (освен ако не е указано друго).

Понякога се случват събития, които изискват да отговорим на въпрос. "кой го направи?"Това може да се случи "рядко, но уместно", така че трябва да се подготвите предварително да отговорите на въпроса.

Почти навсякъде има дизайнерски отдели, счетоводни отдели, разработчици и други категории служители, които работят заедно върху групи от документи, съхранявани в публична (споделена) папка на файлов сървър или на една от работните станции. Може да се случи някой да изтрие важен документ или директория от тази папка, в резултат на което работата на целия екип може да бъде загубена. В такъв случай преди системен администраторвъзникват няколко въпроса:

Кога и в колко часа се появи проблемът?

От това, което е най-близо до това време архивиранетрябва ли да възстановите данните си?

Може би е имало повреда в системата, която може да се случи отново?

Windows има система одит,което ви позволява да проследявате и регистрирате информация за това кога, от кого и с каква програма са изтрити документи. По подразбиране Auditing не е активиран - самото проследяване изисква определен процент от капацитета на системата и ако записвате всичко подред, натоварването ще стане твърде голямо. Освен това не всички потребителски действия може да представляват интерес за нас, така че политиките за одит ни позволяват да активираме проследяване само на онези събития, които са наистина важни за нас.

Системата за одит е вградена във всички Операционна система MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. За съжаление, в системите от серията Начало на Windowsодитът е скрит дълбоко и е твърде трудно да се конфигурира.

Какво трябва да се конфигурира?

За да разрешите проверката, влезте с администраторски права на компютър, който предоставя достъп до споделени документи, и изпълнете командата Започнете→Бягай→gpedit.msc. В секцията Конфигурация на компютъра разгънете папката Настройки на Windows→ Настройки на сигурността→ Местни правила→ Политики за одит:

Кликнете два пъти върху политика Одит на достъп до обект (Одит на достъпа до обекти)и изберете квадратчето за отметка успех. Тази настройка включва механизма за проследяване на успешен достъп до файлове и регистър. Всъщност ние се интересуваме само от успешни опити за изтриване на файлове или папки. Разрешете проверка само на компютри, които директно съхраняват наблюдавани обекти.

Просто активирането на политиката за одит не е достатъчно, ние също трябва да посочим кои папки искаме да имаме достъп. Обикновено такива обекти са папки с общи (споделени) документи и папки с производствени програми или бази данни (счетоводни, складови и др.) - тоест ресурси, с които работят няколко души.

Невъзможно е да се познае предварително кой точно ще изтрие файла, така че проследяването е посочено за Всеки (Всички). Успешните опити за изтриване на наблюдавани обекти от всеки потребител ще бъдат регистрирани. Обадете се на свойствата на необходимата папка (ако има няколко такива папки, тогава всички на свой ред) и в раздела Сигурност → Разширени → Одитдобавете проследяване на тема Всички (Всички),неговите успешни опити за достъп Изтрийи Изтриване на подпапки и файлове:

Могат да се регистрират много събития, така че трябва да коригирате и размера на журнала сигурност(безопасност)на които ще бъдат написани. За
това изпълнява командата Започнете→ Бягай→ eventvwr. магистър. В прозореца, който се показва, извикайте свойствата на дневника за защита и задайте следните параметри:

Максимален размер на регистрационния файл = 65536 KB(за работни станции) или 262144 KB(за сървъри)

Презаписвайте събития, ако е необходимо.

Всъщност тези цифри не са гарантирани, че са точни, но се избират емпирично за всеки конкретен случай.

Windows 2003/ XP)?

Кликнете Започнете→ Бягай→ eventvwr.msc Сигурност (Сигурност). изглед→ филтър

Източник на събитието: Сигурност;
Категория: Достъп до обекти;
Видове събития: Одит на успеха;
ИД на събитие: 560;

Прегледайте списъка с филтрирани събития, като обърнете внимание на следните полета във всеки запис:

ОбектИме. Име на търсената папка или файл;
ОбразфайлИме. Името на програмата, която е изтрила файла;
достъпи. Набор от искани права.

Програмата може да поиска няколко вида достъп от системата наведнъж - напр. Изтрий+ Синхронизирайтеили Изтрий+ Прочети_ контрол. Правилно за нас е Изтрий.

И така, кой изтри документите (Windows 2008/ Vista)?

Кликнете Започнете→ Бягай→ eventvwr.mscи отворете дневника Сигурност (Сигурност).Регистърът може да е пълен със събития, които не са пряко свързани с проблема. Като щракнете с десния бутон върху регистрационния файл за сигурност, изберете командата изглед→ филтъри филтрирайте изгледа по следните критерии:

Източник на събитието: Сигурност;
Категория: Достъп до обекти;
Видове събития: Одит на успеха;
ИД на събитие: 4663;

Не бързайте да тълкувате всички изтривания като злонамерени. Тази функция често се използва по време на нормална работа на програми - например изпълнение на командата Запазване(Запазване),пакетни програми Microsoftофиспърво създайте нов временен файл, запазете документа в него и след това го изтрийте предишна версияфайл. По същия начин много приложения за бази данни първо създават временен заключващ файл при стартиране. (. лк), след това го изтрийте при излизане от програмата.

На практика трябваше да се справя със злонамерени потребителски действия. Например, конфликтен служител на определена компания, след като напусна работното си място, реши да унищожи всички резултати от работата си, като изтрие файловете и папките, с които е свързан. Събития от този вид са ясно видими - генерират десетки, стотици записи в секунда в дневника за сигурност. Разбира се, възстановяване на документи от СянкаКопия(Сенчести копия)или автоматично създаден дневен архив не е трудно, но в същото време мога да отговоря на въпросите „Кой направи това?“ и „Кога се случи това?“.