Automatizovaný systém auditu (monitorovania) akcií užívateľov. Audit akcií používateľov Audit v systéme Windows 7

O potrebe implementácie systémov na auditovanie akcií používateľov v organizáciách akejkoľvek úrovne presviedčajú štúdie spoločností zapojených do analýzy informačná bezpečnosť.

Štúdia Kaspersky Lab napríklad ukázala, že dve tretiny incidentov s IS (67 %) sú spôsobené okrem iného konaním nedostatočne informovaných alebo nepozorných zamestnancov. Zároveň podľa výskumu ESET 84 % firiem podceňuje riziká spôsobené ľudským faktorom.

Ochrana pred hrozbami spojenými s používateľom „zvnútra“ si vyžaduje viac úsilia ako ochrana pred vonkajšími hrozbami. Na boj proti „malvéru“ zvonka, vrátane vírusov a cielených útokov na sieť organizácie, stačí zaviesť vhodný softvér alebo softvérový a hardvérový systém. Udržanie organizácie v bezpečí pred interným útočníkom si bude vyžadovať viac investícií do bezpečnostnej infraštruktúry a hĺbkovej analýzy. Analytická práca zahŕňa identifikáciu typov hrozieb, ktoré sú pre podnikanie najkritickejšie, ako aj zostavovanie „portrétov narušiteľov“, teda určenie toho, koľko škody môže používateľ spôsobiť, na základe svojich kompetencií a právomocí.

Audit akcií používateľov je neoddeliteľne spojený nielen s pochopením toho, aké „medzery“ v systéme informačnej bezpečnosti je potrebné rýchlo odstrániť, ale aj s otázkou udržateľnosti podnikania ako celku. Spoločnosti nakonfigurované na nepretržitú prevádzku by mali počítať s tým, že s komplikáciami a nárastom procesov informatizácie a automatizácie podnikania počet interných hrozieb len narastá.

Okrem sledovania činnosti bežného zamestnanca je potrebné vykonať audit operácií „superužívateľov“ - zamestnancov s privilegovanými právami a podľa toho aj viac príležitostí na náhodnú alebo úmyselnú implementáciu hrozby úniku informácií. Medzi týchto používateľov patria správcovia systému, správcovia databáz a interní vývojári softvéru. Tu môžete pridať aj zapojených IT špecialistov a zamestnancov zodpovedných za informačnú bezpečnosť.

Zavedenie systému na sledovanie akcií používateľov vo firme umožňuje evidovať a rýchlo reagovať na aktivitu zamestnancov. Dôležité: systém auditu musí mať vlastnosť inkluzívnosti. To znamená, že informácie o činnosti bežného zamestnanca, systémového administrátora alebo vrcholového manažéra je potrebné analyzovať na úrovni operačného systému, využívania podnikových aplikácií, na úrovni sieťových zariadení, prístupov k databázam, pripojení externých médií a tak ďalej.

Moderné systémy komplexný audit umožňuje kontrolovať všetky fázy užívateľských akcií od spustenia až po vypnutie PC (terminálnej pracovnej stanice). Pravda, v praxi sa snažia vyhnúť úplnej kontrole. Ak sú všetky operácie zaznamenané v protokoloch auditu, zaťaženie infraštruktúry informačného systému organizácie sa mnohonásobne zvýši: pracovné stanice visia, servery a kanály pracujú pri plnom zaťažení. Paranoja o informačnej bezpečnosti môže poškodiť podnikanie výrazným spomalením pracovných tokov.

Kompetentný špecialista na informačnú bezpečnosť v prvom rade určí:

  • aké údaje v spoločnosti sú najcennejšie, keďže s nimi bude spojená väčšina interných hrozieb;
  • kto a na akej úrovni môže mať prístup k cenným údajom, to znamená, že načrtáva okruh potenciálnych porušovateľov;
  • rozsah, v akom sú súčasné ochranné opatrenia schopné odolať úmyselnému a/alebo náhodnému konaniu používateľov.

Napríklad špecialisti na informačnú bezpečnosť z finančného sektora považujú za najnebezpečnejšiu hrozbu úniku platobných údajov a zneužitia prístupu. V priemyselnom a dopravnom sektore sa najviac obávajú úniku know-how a nelojálneho správania zamestnancov. Podobné obavy sú v sektore IT a telekomunikačnom biznise, kde sú najkritickejšími hrozbami únik patentovaných produktov, obchodných tajomstiev a informácií o platbách.

NAJPRAVDEPODOBNEJŠÍ „TYPICKÍ“ PORUŠOVATELIA ANALYTIKY SÚ SPOJENÉ TAKTO:

  • Vrcholový manažment: voľba je zrejmá – čo najširšie právomoci, prístup k najcennejším informáciám. Zároveň osoby zodpovedné za bezpečnosť často privierajú oči pred porušovaním pravidiel informačnej bezpečnosti zo strany takýchto osôb.
  • Nelojálni zamestnanci : na určenie stupňa lojality by mali špecialisti na informačnú bezpečnosť spoločnosti analyzovať činnosť jednotlivého zamestnanca.
  • Administrátori: Privilegovaní a oprávnení profesionáli s hlbokými znalosťami IT sú v pokušení získať neoprávnený prístup dôležitá informácia;
  • Zamestnanci dodávateľa / outsourcing : ako správcovia, tak aj „vonkajší“ experti, ktorí majú široké znalosti, môžu implementovať rôzne hrozby, pričom sú „vo vnútri“ informačného systému zákazníka.

Určenie najvýznamnejších informácií a najpravdepodobnejších narušiteľov pomáha vybudovať systém nie úplnej, ale selektívnej kontroly používateľov. "vykladá" informačný systém a odbremení špecialistov informačnej bezpečnosti od nadbytočnej práce.

Okrem selektívneho monitorovania hrá architektúra auditových systémov významnú úlohu pri zrýchľovaní systému, zlepšovaní kvality analýz a znižovaní zaťaženia infraštruktúry. Moderné systémy na auditovanie akcií používateľov majú distribuovanú štruktúru. Na koncových pracovných staniciach a serveroch sú nainštalovaní senzoroví agenti, ktorí analyzujú udalosti určitého typu a prenášajú dáta do konsolidačných a úložných centier. Systémy na analýzu zaznamenaných informácií podľa parametrov zabudovaných v systéme nachádzajú v protokoloch auditu skutočnosti o podozrivej alebo anomálnej činnosti, ktorú nemožno bezprostredne pripísať pokusu o implementáciu hrozby. Tieto skutočnosti sú odovzdané do reakčného systému, ktorý na porušenie upozorní bezpečnostného správcu.

Ak je systém auditu schopný sa s priestupkom vysporiadať sám (takéto komplexy IS zvyčajne poskytujú podpisovú metódu reakcie na hrozbu), porušovanie sa zastaví v automatický režim a všetky potrebné informácie o narušiteľovi, jeho činnostiach a objekte hrozby sa vkladajú do špeciálnej databázy. V tomto prípade vás konzola bezpečnostného správcu upozorní, že hrozba bola neutralizovaná.

Ak systém nemá spôsoby, ako automaticky reagovať podozrivá aktivita, potom sa všetky informácie na neutralizáciu hrozby alebo na analýzu jej následkov prenesú do konzoly správcu IS na vykonávanie operácií v manuálnom režime.

V SYSTÉME MONITOROVANIA AKEJKOĽVEK ORGANIZÁCIE BY MALI BYŤ PREVÁDZKY KONFIGUROVANÉ:

Auditovanie používania pracovných staníc, serverov, ako aj času (podľa hodín a dní v týždni) aktivity používateľov na nich. Týmto spôsobom je stanovená účelnosť využívania informačných zdrojov.

Anotácia: V záverečnej prednáške sú uvedené záverečné odporúčania na realizáciu. technické prostriedky ochrany dôverných informácií, podrobne rozoberá vlastnosti a princípy fungovania riešení InfoWatch

Softvérové ​​riešenia InfoWatch

cieľ tento kurz Nejde o podrobné oboznámenie sa s technickými detailmi fungovania produktov InfoWatch, preto ich zvážime zo strany technického marketingu. Produkty InfoWatch sú založené na dvoch základných technológiách – filtrovanie obsahu a auditovanie akcií používateľa alebo správcu na pracovisku. Neoddeliteľnou súčasťou integrovaného riešenia InfoWatch je aj úložisko informácií, ktoré opustili informačný systém a jedna interná konzola na riadenie bezpečnosti.

Filtrovanie obsahu informačných kanálov

Hlavným rozlišovacím znakom filtrovania obsahu InfoWatch je použitie morfologického jadra. Na rozdiel od tradičného filtrovania podpisov má technológia filtrovania obsahu InfoWatch dve výhody – necitlivosť na elementárne kódovanie (nahradenie jedného znaku druhým) a vyšší výkon. Keďže jadro nepracuje so slovami, ale s koreňovými formami, automaticky odreže korene, ktoré obsahujú zmiešané kódovania. Taktiež práca s koreňmi, ktorých je v každom jazyku menej ako desaťtisíc, a nie so slovnými tvarmi, ktorých je v jazykoch asi milión, umožňuje ukázať výrazné výsledky na dosť neproduktívnom vybavení.

Audit aktivity používateľa

Na monitorovanie akcií používateľov s dokumentmi na pracovnej stanici ponúka InfoWatch niekoľko zachytávačov v jednom agentovi na pracovnej stanici - zachytávače pre operácie so súbormi, tlačové operácie, operácie v rámci aplikácií, operácie s pripojenými zariadeniami.

Ukladanie informácií, ktoré opustili informačný systém všetkými kanálmi.

InfoWatch ponúka úložisko informácií, ktoré opustili informačný systém. Dokumenty prechádzali všetkými kanálmi vedúcimi mimo systému – e-mailom, internetom, tlačou a vymeniteľné médiá, sú uložené v aplikácii *úložisko (do roku 2007 - modul Traffic Monitor Storage Server) s uvedením všetkých atribútov - celé meno a pozícia užívateľa, jeho elektronické projekcie (IP adresa, účet resp Poštová adresa), dátum a čas operácie, názov a atribúty dokumentov. Všetky informácie sú k dispozícii na analýzu, vrátane analýzy obsahu.

Súvisiace aktivity

Zavedenie technických prostriedkov na ochranu dôverných informácií sa javí ako neúčinné bez použitia iných metód, predovšetkým organizačných. Niektoré z nich sme už rozoberali vyššie. Teraz sa pozrime bližšie na iné potrebné opatrenia.

Vzorce správania páchateľov

Nasadením systému monitorovania akcií s dôvernými informáciami sa okrem zvýšenia funkčnosti a analytických schopností môžete rozvíjať v dvoch ďalších smeroch. Prvým je integrácia ochranných systémov proti vnútorným a vonkajším hrozbám. Incidenty v posledných rokoch ukazujú, že dochádza k rozdeleniu rolí medzi internými a externými narušiteľmi a kombinácia informácií z monitorovacích systémov vonkajších a vnútorných hrozieb umožní odhaliť fakty o takýchto kombinovaných útokoch. Jedným z styčných bodov medzi vonkajšou a vnútornou bezpečnosťou je riadenie prístupových práv, najmä v kontexte simulácie priemyselnej potreby zvýšiť práva nelojálnych zamestnancov a sabotérov. Všetky žiadosti o prístup k zdrojom mimo pracovných povinností musia okamžite zahŕňať mechanizmus na auditovanie akcií s týmito informáciami. Ešte bezpečnejšie je riešiť problémy, ktoré sa náhle objavili, bez otvorenia prístupu k zdrojom.

Vezmime si príklad zo života. Správca systému dostal od vedúceho marketingového oddelenia požiadavku na otvorenie prístupu do finančného systému. Ako odôvodnenie žiadosti bola pripojená úloha CEO o marketingových prieskumoch procesov nákupu tovarov realizovaných spoločnosťou. Keďže finančný systém je jedným z najviac chránených zdrojov a povolenie na prístup k nemu udeľuje generálny riaditeľ, napísal vedúci oddelenia informačnej bezpečnosti v aplikácii alternatívne riešenie- neposkytujte prístup, ale nahrajte anonymizované (bez špecifikácie klientov) údaje do špeciálnej databázy na analýzu. Na námietky hlavného marketéra, že je pre neho nevýhodné takto pracovať, mu riaditeľ položil priamu otázku: "Načo potrebujete mená klientov - chcete zlúčiť databázu?" Potom sa všetci pustili do práce. Či to bol pokus o únik informácií, sa už nikdy nedozvieme, ale nech už to bolo čokoľvek, firemný finančný systém bol chránený.

Zabránenie úniku počas prípravnej fázy

Ďalším smerom vo vývoji systému monitorovania interných incidentov s dôvernými informáciami je vybudovanie systému prevencie úniku. Algoritmus činnosti takéhoto systému je rovnaký ako pri riešeniach prevencie narušenia. Najprv sa zostaví model narušiteľa a z neho sa vytvorí „podpis porušenia“, teda postupnosť akcií narušiteľa. Ak sa niekoľko akcií používateľa zhoduje s podpisom porušenia, predpovedá sa ďalší krok používateľa, ak sa zhoduje aj s podpisom, vygeneruje sa alarm. Napríklad bol otvorený dôverný dokument, jeho časť bola vybratá a skopírovaná do schránky, potom a nový dokument a obsah vyrovnávacej pamäte sa do nej skopíroval. Systém predpokladá, že ak je nový dokument ďalej uložený bez označenia „dôverné“, ide o pokus o únos. USB disk ešte nebol vložený, list nebol vygenerovaný a systém informuje pracovníka informačnej bezpečnosti, ktorý rozhodne, či zamestnanca zastaví alebo bude sledovať, kam informácie idú. Mimochodom, modely (v iných zdrojoch – „profily“) správania páchateľa sa dajú využiť nielen pri zbere informácií od softvérových agentov. Ak analyzujete povahu dopytov do databázy, vždy môžete identifikovať zamestnanca, ktorý sa snaží získať konkrétnu informáciu v sérii po sebe nasledujúcich dopytov do databázy. Je potrebné okamžite vysledovať, čo s týmito požiadavkami robí, či ich ukladá, či pripája vymeniteľné pamäťové médiá atď.

Organizácia ukladania informácií

Princípy anonymizácie a šifrovania údajov sú nevyhnutným predpokladom organizácie ukladania a spracovania, a vzdialený prístup môžu byť organizované podľa protokolu terminálu, pričom v počítači, z ktorého je požiadavka organizovaná, nezostanú žiadne informácie.

Integrácia s autentifikačnými systémami

Skôr či neskôr bude musieť zákazník použiť systém monitorovania dôverných dokumentov na riešenie personálnych problémov – napríklad prepúšťanie zamestnancov na základe skutočností zdokumentovaných týmto systémom, či dokonca súdne stíhanie únikov. Monitorovací systém však môže poskytnúť iba elektronický identifikátor porušovateľa - IP adresu, účtu, emailová adresa atď. Ak chcete legálne účtovať zamestnancovi, musíte tento identifikátor prepojiť s osobou. Tu sa pre integrátora otvára nový trh – zavedenie autentifikačných systémov – od jednoduchých tokenov až po pokročilé biometrické a RFID – identifikátory.

Viktor Chutov
Projektový manažér INFORMSVYAZ HOLDING

Predpoklady pre implementáciu systému

Prvá otvorená globálna štúdia interných hrozieb informačnej bezpečnosti vykonaná v roku 2007 spoločnosťou Infowatch (na základe výsledkov z roku 2006) ukázala, že interné hrozby nie sú menej bežné (56,5 %) ako externé (malvér, spam, hackeri atď.). d.). Zároveň je v drvivej väčšine (77 %) dôvodom implementácie internej hrozby nedbanlivosť samotných používateľov (nedodržanie popisy práce alebo zanedbanie základných prostriedkov ochrany informácií).

Dynamika zmien situácie v období 2006-2008 odráža sa na obr. jeden.

Relatívny pokles podielu únikov z nedbanlivosti je spôsobený čiastočnou implementáciou systémov prevencie úniku informácií (vrátane systému monitorovania akcií používateľov), ktoré poskytujú pomerne vysoký stupeň ochrany pred náhodným únikom. Navyše je to kvôli absolútnemu nárastu počtu úmyselných krádeží osobných údajov.

Napriek zmene v štatistikách možno stále s istotou povedať, že prioritou je boj proti neúmyselným únikom informácií, keďže čeliť takýmto únikom je jednoduchšie, lacnejšie a v dôsledku toho je väčšina incidentov pokrytá.

Zároveň nedbanlivosť zamestnancov podľa analýzy výsledkov výskumu Infowatch a Perimetrix za roky 2004-2008 patrí medzi najnebezpečnejšie hrozby na druhom mieste (súhrnné výsledky výskumu sú uvedené na obr. 2) a jej relevantnosť neustále rastie spolu so zdokonaľovaním softvérových a hardvérových automatizovaných systémov (AS) podnikov.

Zavedenie systémov, ktoré eliminujú možnosť negatívneho vplyvu zamestnanca na IS v podnikovej AS (vrátane monitorovacích programov), poskytnú zamestnancom IS dôkazovú základňu a podklady na vyšetrenie incidentu, eliminujú hrozbu úniku z nedbanlivosti, eliminujú hrozbu úniku z nedbanlivosti. výrazne znížiť náhodné úniky, ako aj do istej miery obmedziť úmyselné. V konečnom dôsledku by toto opatrenie malo umožniť výrazne obmedziť realizáciu hrozieb zo strany insiderov.

Moderný AS na auditovanie užívateľských akcií. Výhody a nevýhody

Automatizované systémy na auditovanie (monitorovanie) užívateľských akcií (ASADP) AS, často nazývané monitorovacie softvérové ​​produkty, sú navrhnuté tak, aby ich používali správcovia bezpečnosti AS (organizačná služba informačnej bezpečnosti) na zabezpečenie jeho pozorovateľnosti – „vlastnosti výpočtový systém, ktorý umožňuje zaznamenávať aktivity používateľov, ako aj jednoznačne identifikovať identifikátory používateľov zapojených do určitých udalostí s cieľom predchádzať porušovaniu bezpečnostných zásad a/alebo zabezpečiť zodpovednosť za určité akcie.

Vlastnosť pozorovateľnosti AS v závislosti od kvality jej implementácie umožňuje v tej či onej miere kontrolovať dodržiavanie bezpečnostnej politiky a stanovených pravidiel zamestnancami organizácie. bezpečná práca na počítačoch.

Používanie monitorovacích softvérových produktov, a to aj v reálnom čase, je navrhnuté tak, aby:

  • určiť (lokalizovať) všetky prípady pokusov o neoprávnený prístup k dôverným informáciám s presným uvedením času a sieťového pracoviska, z ktorého bol takýto pokus vykonaný;
  • zistiť skutočnosti o neoprávnenej inštalácii softvéru;
  • určiť všetky prípady neoprávneného použitia dodatočného hardvéru (napríklad modemov, tlačiarní atď.) analýzou skutočností o spustení neoprávnených špecializovaných aplikácií;
  • určiť všetky prípady písania kritických slov a fráz na klávesnici, pripraviť kritické dokumenty, ktorých prenos na tretie strany povedie k materiálnym škodám;
  • kontrola prístupu k serverom a osobným počítačom;
  • ovládanie kontaktov pri surfovaní Internetové siete;
  • vykonávať výskum súvisiaci s určovaním presnosti, efektívnosti a primeranosti reakcie personálu na vonkajšie vplyvy;
  • určiť pracovnú náplň počítačových pracovísk organizácie (podľa dennej doby, podľa dňa v týždni a pod.) za účelom vedeckej organizácie práce používateľov;
  • kontrolovať prípady použitia osobné počítače mimo pracovného času a identifikovať účel takéhoto použitia;
  • dostávať potrebné spoľahlivé informácie, na základe ktorých sa prijímajú rozhodnutia o úprave a zlepšení politiky informačnej bezpečnosti organizácie a pod.

Implementácia týchto funkcií je dosiahnutá zavedením agentových modulov (senzorov) na pracovné stanice a AS servery s ďalším stavovým dotazovaním alebo prijímaním správ z nich. Správy sa spracúvajú v konzole bezpečnostného správcu. Niektoré systémy sú vybavené prechodnými servermi (konsolidačnými bodmi), ktoré spracúvajú svoje vlastné oblasti a bezpečnostné skupiny.

Systémová analýza riešení prezentovaných na trhu (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) umožnila identifikovať množstvo špecifických vlastností, ktoré, ak sa pridajú k sľubnej ASADP, zvýši svoje výkonnostné ukazovatele v porovnaní so študovanými vzorkami.

Vo všeobecnosti, spolu s pomerne širokou funkcionalitou a veľkým balíkom možností, je možné využiť existujúce systémy na sledovanie aktivít iba jednotlivých užívateľov AS na základe povinného cyklického prieskumu (skenovania) všetkých špecifikovaných prvkov AS (a , v prvom rade používatelia AWP).

Zároveň distribúcia a rozsah moderných automatizovaných systémov, ktoré zahŕňajú pomerne veľký počet pracovných staníc, technológií a softvéru, značne komplikuje proces monitorovania práce používateľov a každé zo sieťových zariadení je schopné generovať tisíce audítorských správ. , dosahujúce pomerne veľké množstvo informácií, ktoré si vyžadujú údržbu obrovských, často duplikujúcich sa databáz. Tieto nástroje okrem iného spotrebúvajú značné sieťové a hardvérové ​​zdroje, zaťažujú spoločný AS. Ukázalo sa, že sú neflexibilné pri rekonfigurácii hardvéru a softvéru. počítačové siete, nie sú schopné adaptovať sa na neznáme typy narušení a sieťových útokov a efektivita ich detekcie porušení bezpečnostnej politiky bude do značnej miery závisieť od frekvencie skenovania AS prvkov bezpečnostným administrátorom.

Jedným zo spôsobov, ako zvýšiť efektivitu týchto systémov, je priamo zvýšiť frekvenciu skenovania. To nevyhnutne povedie k zníženiu efektívnosti vykonávania tých hlavných úloh, na ktoré je tento AS v skutočnosti určený, a to z dôvodu výrazného zvýšenia výpočtovej záťaže tak na administrátorskej pracovnej stanici, ako aj na počítačoch užívateľských staníc, ako aj ako pri náraste dopravy lokálna sieť AS.

Okrem problémov spojených s analýzou veľkého množstva údajov majú existujúce monitorovacie systémy vážne obmedzenia v efektívnosti a presnosti prijímaných rozhodnutí spôsobené ľudským faktorom, ktorý je determinovaný fyzickými možnosťami správcu ako človeka. operátor.

Prítomnosť možnosti v reálnom čase upozorniť na explicitné neoprávnené akcie používateľov v existujúcich monitorovacích systémoch zásadne nerieši problém ako celok, pretože umožňuje sledovať iba predtým známe typy porušení (metóda podpisu) a nie je schopná zabezpečiť proti novým typom porušovania.

Rozvoj a používanie rozsiahlych metód informačnej bezpečnosti v systémoch informačnej bezpečnosti, ktoré zabezpečujú zvýšenie úrovne jej ochrany dodatočným „výberom“ výpočtového zdroja z AS, znižuje možnosti AS riešiť úlohy, na ktoré je určený, a/alebo zvyšuje jeho náklady. Zlyhanie takéhoto prístupu na rýchlo sa rozvíjajúcom trhu IT technológií je celkom zrejmé.

Automatizovaný systém auditu (monitorovania) akcií užívateľov. Sľubné vlastnosti

Z výsledkov analýzy uvedenej vyššie je zjavná potreba dodať sľubným monitorovacím systémom nasledujúce vlastnosti:

  • automatizácia, s výnimkou rutinných „ručných“ operácií;
  • kombinácie centralizácie (na základe pracovnej stanice bezpečnostného správcu) s riadením na úrovni jednotlivé prvky(intelektuál počítačové programy) systémy na monitorovanie práce používateľov AÚ;
  • škálovateľnosť, ktorá umožňuje zvyšovať kapacitu monitorovacích systémov a rozširovať ich schopnosti bez výrazného zvýšenia výpočtových zdrojov potrebných na ich efektívne fungovanie;
  • adaptabilita na zmeny v zložení a charakteristikách jadrových elektrární, ako aj na vznik nových typov porušovania bezpečnostnej politiky.

Zovšeobecnená štruktúra ASADP AS, ktorá má uvedené charakteristické črty, ktoré môžu byť implementované v AS na rôzne účely a príslušenstvo, je znázornená na obr. 3.

Vyššie uvedená štruktúra obsahuje nasledujúce hlavné komponenty:

  • softvérové ​​komponenty-senzory umiestnené na niektorých prvkoch AS (na používateľských pracovných staniciach, serveroch, sieťových zariadeniach, nástrojoch informačnej bezpečnosti), ktoré slúžia na zaznamenávanie a spracovanie auditovaných údajov v reálnom čase;
  • protokolové súbory obsahujúce prechodné informácie o používateľskej skúsenosti;
  • komponenty spracovania údajov a rozhodovania, ktoré prijímajú informácie zo senzorov prostredníctvom registračných súborov, analyzujú ich a rozhodujú o ďalšom postupe (napríklad o zadávaní niektorých informácií do databázy, oznamovaní úradníkom, vytváraní správ atď.);
  • databázu auditov (DB) obsahujúcu informácie o všetkých zaregistrovaných udalostiach, na základe ktorých sa generujú správy a monitoruje sa stav AÚ za dané časové obdobie;
  • komponenty na generovanie správ a certifikátov na základe informácií zaznamenaných v databáze auditu a filtrovanie záznamov (podľa dátumu, podľa identifikátorov užívateľa, podľa pracovnej stanice, podľa bezpečnostných udalostí atď.);
  • komponent rozhrania bezpečnostného administrátora, ktorý slúži na riadenie práce ASADP AS z jeho pracovnej stanice, prezeranie a tlač informácií, vytváranie iný druh dotazov do databázy a generovanie reportov, čo umožňuje v reálnom čase sledovať aktuálne aktivity užívateľov AS a vyhodnocovať aktuálnu úroveň zabezpečenia rôznych zdrojov;
  • doplnkové komponenty, najmä softvérové ​​komponenty na konfiguráciu systému, inštaláciu a umiestnenie senzorov, archiváciu a šifrovanie informácií atď.

Spracovanie informácií v ASADP AS zahŕňa nasledujúce fázy:

  • fixácia registračných informácií pomocou snímačov;
  • zber informácií z jednotlivých senzorov;
  • výmena informácií medzi príslušnými agentmi systému;
  • spracovanie, analýza a korelácia registrovaných udalostí;
  • prezentácia spracovávaných informácií bezpečnostnému správcovi v normalizovanej forme (vo forme správ, diagramov a pod.).

Za účelom minimalizácie požadovaných výpočtových zdrojov, zvýšenia utajenia a spoľahlivosti systému môžu byť informácie uložené na rôznych prvkoch AS.

Na základe úlohy dať ASADP AS zásadne nové (v porovnaní s existujúcimi systémami na auditovanie práce používateľov AS) automatizačné vlastnosti, kombináciu centralizácie a decentralizácie, škálovateľnosti a adaptability, sa ukazuje jedna z možných stratégií jeho konštrukcie. moderná technológia inteligentné multiagentové systémy implementované prostredníctvom rozvoja integrovanej komunity agentov rôzne druhy(inteligentné autonómne programy, ktoré implementujú určité funkcie zisťovania a boja proti akciám používateľov, ktoré sú v rozpore s bezpečnostnou politikou) a organizujú ich interakciu.

Na auditovanie prístupu k súborom a priečinkom v Windows Server 2008 R2, musíte povoliť funkciu auditovania a zadať priečinky a súbory, ku ktorým chcete uzamknúť prístup. Po nastavení auditu bude protokol servera obsahovať informácie o prístupe a iných udalostiach k vybraným súborom a priečinkom. Stojí za zmienku, že prístup k súborom a priečinkom možno auditovať iba na zväzkoch so systémom súborov NTFS.

Povoľte auditovanie objektov systému súborov v systéme Windows Server 2008 R2

Auditovanie prístupu k súborom a priečinkom je povolené a zakázané pomocou skupinové politiky: doménová politika pre doménu Aktívny adresár alebo miestne bezpečnostné zásady pre samostatné servery. Ak chcete povoliť auditovanie na jednom serveri, musíte otvoriť riadiacu konzolu miestny politik Štart ->VšetkyProgramy ->administratívneNástroje ->Miestnebezpečnosťpolitika. V konzole lokálnej politiky rozbaľte strom miestnej politiky ( Miestnepostupy) a vyberte prvok auditpolitika.

Vyberte položku na pravej table auditObjektPrístup a v zobrazenom okne zadajte, aké typy udalostí prístupu k súborom a priečinkom je potrebné zaznamenať (úspešný / neúspešný prístup):


Po výbere požadovaného nastavenia stlačte OK.

Výber súborov a priečinkov, ku ktorým bude opravený prístup

Po aktivácii auditovania prístupu k súborom a priečinkom je potrebné vybrať konkrétne objekty systém súborov, prístup ku ktorému bude kontrolovaný. Rovnako ako povolenia NTFS, predvolené nastavenia auditu sa dedia na všetky podriadené objekty (pokiaľ nie je nakonfigurované inak). Rovnako ako pri prideľovaní prístupových práv k súborom a priečinkom je možné povoliť dedenie nastavení auditu pre všetky aj len pre vybrané objekty.

Ak chcete nastaviť auditovanie pre konkrétny priečinok/súbor, musíte naň kliknúť kliknite pravým tlačidlom myši myšou a vyberte Vlastnosti ( Vlastnosti). V okne vlastností prejdite na kartu Zabezpečenie ( bezpečnosť) a stlačte tlačidlo Pokročilé. V okne rozšírených nastavení zabezpečenia ( Pokročilébezpečnosťnastavenie) prejdite na kartu Audit ( Auditovanie). Nastavenie auditu si samozrejme vyžaduje administrátorské práva. V tejto fáze sa v okne auditu zobrazí zoznam používateľov a skupín, pre ktoré je pre tento zdroj povolený audit:

Ak chcete pridať používateľov alebo skupiny, ktorých prístup k tomuto objektu bude pevný, kliknite na tlačidlo Pridať... a uveďte mená týchto používateľov/skupín (alebo uveďte Všetci– kontrolovať prístup všetkých používateľov):

Ihneď po použití týchto nastavení v protokole bezpečnostného systému (nájdete ho v počítačManažment -> Prehliadač udalostí), zakaždým, keď pristúpite k objektom, pre ktoré je povolené auditovanie, zobrazia sa zodpovedajúce položky.

Prípadne je možné udalosti zobraziť a filtrovať pomocou rutiny cmdlet prostredia PowerShell − Get-EventLog Napríklad, ak chcete zobraziť všetky udalosti s eventid 4660, spustite príkaz:

Zabezpečenie Get-EventLog | ?($_.eventid -ekv. 4660)

Poradenstvo. Dá sa priradiť k akejkoľvek udalosti v denník systému Windows určité akcie, napríklad odoslanie email alebo spustenie skriptu. Ako je nakonfigurovaný, je popísané v článku:

UPD zo dňa 08.06.2012 (Ďakujem komentátorovi).

Vo Windows 2008/Windows 7 bola zavedená správa auditu špeciálna pomôcka auditpol. Úplný zoznam typy objektov, ktoré možno auditovať, je možné zobraziť pomocou príkazu:

auditpol /zoznam /podkategória:*

Ako vidíte, tieto objekty sú rozdelené do 9 kategórií:

  • Systém
  • Prihlásenie/Odhlásenie
  • Prístup k objektu
  • Privilegované používanie
  • Podrobné sledovanie
  • zmena politiky
  • Vedenie účtu
  • D.S.Access
  • Prihlásenie účtu

A každá z nich je rozdelená do podkategórií. Napríklad kategória auditovania prístupu k objektu zahŕňa podkategóriu Systém súborov a ak chcete povoliť auditovanie objektov systému súborov na počítači, spustite príkaz:

Auditpol /set /subcategory:"Systém súborov" /failure:enable /success:enable

Deaktivuje sa príkazom:

Auditpol /set /subcategory:"Systém súborov" /failure:disable /success:disable

Tie. Ak vypnete auditovanie nepotrebných podkategórií, môžete výrazne znížiť objem denníka a počet nepotrebných udalostí.

Po aktivácii auditovania prístupu k súborom a priečinkom je potrebné špecifikovať konkrétne objekty, ktoré budeme kontrolovať (vo vlastnostiach súborov a priečinkov). Majte na pamäti, že štandardne sa nastavenia auditu dedia na všetky podriadené objekty (pokiaľ nie je uvedené inak).

Niekedy sa stanú udalosti, ktoré vyžadujú, aby sme odpovedali na otázku. "kto to urobil?" To sa môže stať „zriedka, ale vhodne“, takže by ste sa mali vopred pripraviť na odpoveď na otázku.

Takmer všade existujú dizajnérske oddelenia, účtovné oddelenia, vývojári a ďalšie kategórie zamestnancov, ktorí spolupracujú na skupinách dokumentov uložených vo verejnom (zdieľanom) priečinku na súborovom serveri alebo na jednej z pracovných staníc. Môže sa stať, že niekto z tohto priečinka vymaže dôležitý dokument alebo adresár, v dôsledku čoho môže prísť o prácu celého tímu. V tom prípade predtým systémový administrátor vyvstáva niekoľko otázok:

    Kedy a kedy sa problém vyskytol?

    Z toho, čo je k tejto dobe najbližšie zálohovanie mali by ste obnoviť svoje údaje?

    Možno došlo k zlyhaniu systému, ktoré sa môže zopakovať?

Windows má systém audit, ktorý vám umožňuje sledovať a zaznamenávať informácie o tom, kedy, kým a akým programom boli vymazané dokumenty. V predvolenom nastavení nie je Auditing povolený – samotné sledovanie vyžaduje určité percento kapacity systému a ak zaznamenáte všetko za sebou, zaťaženie bude príliš veľké. Navyše, nie všetky akcie používateľov nás môžu zaujímať, takže zásady auditu nám umožňujú povoliť sledovanie iba tých udalostí, ktoré sú pre nás skutočne dôležité.

Systém auditu je zabudovaný do všetkých Operačné systémy MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Bohužiaľ, v systémoch série Windows domov auditovanie je skryté hlboko a je príliš ťažké ho nakonfigurovať.

Čo je potrebné nakonfigurovať?

Ak chcete povoliť auditovanie, prihláste sa s právami správcu k počítaču, ktorý poskytuje prístup k zdieľaným dokumentom, a spustite príkaz ŠtartBežaťgpedit.msc. V časti Konfigurácia počítača rozbaľte priečinok nastavenia systému WindowsBezpečnostné nastaveniaMiestne pravidláPravidlá auditu:

Dvakrát kliknite na politiku Auditovať prístup k objektu (Audit prístupu k objektom) a začiarknite políčko úspech. Toto nastavenie zapína mechanizmus sledovania úspešného prístupu k súborom a registrom. V skutočnosti nás zaujímajú iba úspešné pokusy o vymazanie súborov alebo priečinkov. Povoliť auditovanie iba na počítačoch, ktoré priamo ukladajú monitorované objekty.

Povolenie politiky auditu nestačí, musíme tiež určiť, do ktorých priečinkov chceme pristupovať. Väčšinou sú takýmito objektmi priečinky bežných (zdieľaných) dokumentov a priečinky s výrobnými programami či databázami (účtovníctvo, sklad a pod.) – teda zdroje, s ktorými pracuje viacero ľudí.

Nie je možné vopred odhadnúť, kto presne súbor vymaže, takže sledovanie je indikované pre všetkých (Všetci). Úspešné pokusy o vymazanie monitorovaných objektov ktorýmkoľvek používateľom budú zaznamenané. Vyvolajte vlastnosti požadovaného priečinka (ak existuje niekoľko takýchto priečinkov, potom všetky postupne) a na karte Zabezpečenie → Rozšírené → Auditovanie pridať sledovanie objektu Všetci (všetci), jeho úspešné pokusy o prístup Odstrániť a Odstrániť podpriečinky a súbory:


Je možné zaznamenať veľa udalostí, takže by ste mali upraviť aj veľkosť denníka bezpečnosť(Bezpečnosť) na ktoré budú napísané. Pre
toto spustite príkaz ŠtartBežaťeventvwr. msc. V okne, ktoré sa zobrazí, zavolajte vlastnosti protokolu zabezpečenia a zadajte nasledujúce parametre:

    Maximálna veľkosť denníka = 65536 KB(pre pracovné stanice) príp 262144 KB(pre servery)

    Prepíšte udalosti podľa potreby.

V skutočnosti nie je zaručená presnosť týchto údajov, ale sú vybrané empiricky pre každý konkrétny prípad.

Windows 2003/ XP)?

Kliknite ŠtartBežaťeventvwr.msc Zabezpečenie (Security). vyhliadkafilter

  • Zdroj udalosti:Bezpečnosť;
  • Kategória: Prístup k objektu;
  • Typy udalostí: Audit úspechu;
  • ID udalosti: 560;


Skontrolujte zoznam filtrovaných udalostí a venujte pozornosť nasledujúcim poliam v rámci každého záznamu:

  • Objektnázov. Názov hľadaného priečinka alebo súboru;
  • Obrázoksúbornázov. Názov programu, ktorý odstránil súbor;
  • prístupy. Súbor požadovaných práv.

Program si môže vyžiadať niekoľko typov prístupov zo systému naraz – napr. Odstrániť+ Synchronizovať alebo Odstrániť+ čítať_ ovládanie. To pravé pre nás je Odstrániť.


Takže, kto vymazal dokumenty (Windows 2008/ Vista)?

Kliknite ŠtartBežaťeventvwr.msc a otvorte denník Zabezpečenie (Security). Protokol môže byť naplnený udalosťami, ktoré priamo nesúvisia s problémom. Kliknutím pravým tlačidlom myši na protokol zabezpečenia vyberte príkaz vyhliadkafilter a filtrovať zobrazenie podľa nasledujúcich kritérií:

  • Zdroj udalosti: Zabezpečenie;
  • Kategória: Prístup k objektu;
  • Typy udalostí: Audit úspechu;
  • ID udalosti: 4663;

Neponáhľajte sa interpretovať všetky vymazania ako škodlivé. Táto funkcia sa často používa pri bežnej prevádzke programov - napríklad pri vykonávaní príkazu Uložiť(Uložiť), balíkové programy Microsoftkancelária najprv vytvorte nový dočasný súbor, uložte doň dokument a potom ho odstráňte predošlá verzia súbor. Podobne mnohé databázové aplikácie najskôr pri spustení vytvoria dočasný uzamknutý súbor. (. lck), potom ho vymažte pri ukončení programu.

V praxi som sa musel vysporiadať so zlomyseľným konaním používateľov. Napríklad konfliktný zamestnanec istej spoločnosti sa pri odchode zo svojho pracoviska rozhodol zničiť všetky výsledky svojej práce vymazaním súborov a priečinkov, ku ktorým mal vzťah. Udalosti tohto druhu sú jasne viditeľné – generujú desiatky, stovky záznamov za sekundu v bezpečnostnom denníku. Samozrejme, obnovenie dokumentov z TieňKópie(Tieňové kópie) alebo automaticky vytvorený denný archív nie je náročný, no zároveň by som vedel odpovedať na otázky „Kto to urobil?“ a "Kedy sa to stalo?".