Avtomatiziran sistem za revizijo (nadzor) dejanj uporabnikov. Revizija uporabniških dejanj Revizija v sistemu Windows 7

Potrebo po implementaciji revizijskih sistemov za dejanja uporabnikov v organizacijah na kateri koli ravni potrjujejo raziskave podjetij, ki se ukvarjajo z analizami varnost informacij.

Študija družbe Kaspersky Lab je na primer pokazala, da sta dve tretjini informacijsko-varnostnih incidentov (67 %) med drugim posledica dejanj slabo obveščenih ali nepazljivih zaposlenih. Hkrati pa po raziskavi ESET 84 % podjetij podcenjuje tveganja, ki jih povzroča človeški dejavnik.

Zaščita pred notranjimi grožnjami zahteva več truda kot zaščita pred zunanjimi grožnjami. Za boj proti zunanjim »škodljivcem«, vključno z virusi in ciljanimi napadi na omrežje organizacije, je dovolj implementacija ustrezne programske opreme ali strojno-programskega sistema. Zaščita organizacije pred notranjim napadom bo zahtevala večjo naložbo v varnostno infrastrukturo in poglobljeno analizo. Analitično delo obsega prepoznavanje vrst groženj, ki so najbolj kritične za poslovanje, ter izdelavo »portretov kršiteljev«, torej ugotavljanje, kakšno škodo lahko povzroči uporabnik glede na svoje kompetence in pooblastila.

Revizija dejanj uporabnikov je neločljivo povezana le z razumevanjem, katere »vrzeli« v sistemu informacijske varnosti je treba hitro zapolniti, temveč tudi z vprašanjem vzdržnosti poslovanja kot celote. Podjetja, ki so zavezana neprekinjenemu poslovanju, morajo upoštevati, da z zapletanjem in povečevanjem procesov informatizacije in avtomatizacije poslovanja število notranjih groženj le še narašča.

Poleg sledenja dejanj navadnega uslužbenca je potrebno revidirati delovanje "super uporabnikov" - zaposlenih s privilegiranimi pravicami in s tem večjimi možnostmi za naključno ali namerno realizacijo grožnje uhajanja informacij. Ti uporabniki vključujejo sistemske skrbnike, skrbnike baz podatkov in notranje razvijalce programske opreme. Sem lahko dodate tudi privabljene IT strokovnjake in zaposlene, odgovorne za informacijsko varnost.

Implementacija sistema za spremljanje dejanj uporabnikov v podjetju omogoča beleženje in hitro odzivanje na aktivnost zaposlenih. Pomembno: revizijski sistem mora biti celovit. To pomeni, da je treba podatke o dejavnostih navadnega zaposlenega, sistemskega skrbnika ali vodje analizirati na ravni operacijskega sistema, uporabe poslovnih aplikacij, na ravni omrežne naprave, dostop do baz podatkov, povezovanje zunanjih medijev itd.

Sodobni sistemi celovita revizija vam omogoča nadzor nad vsemi stopnjami uporabniških dejanj od zagona do zaustavitve računalnika (terminalne delovne postaje). Res je, v praksi se poskušajo izogniti popolnemu nadzoru. Če so vse operacije zabeležene v revizijskih dnevnikih, se obremenitev infrastrukture informacijskega sistema organizacije večkrat poveča: delovne postaje visijo, strežniki in kanali delujejo pod polno obremenitvijo. Paranoja glede informacijske varnosti lahko škoduje podjetju, saj močno upočasni delovne procese.

Pristojni strokovnjak za informacijsko varnost ugotavlja predvsem:

kateri podatki v podjetju so najbolj dragoceni, saj bo z njimi povezanih največ notranjih groženj;
kdo in na kakšni ravni ima lahko dostop do dragocenih podatkov, torej oriše krog potencialnih kršiteljev;
v kolikšni meri lahko trenutni varnostni ukrepi prenesejo namerna in/ali naključna dejanja uporabnika.

Strokovnjaki za informacijsko varnost iz finančnega sektorja na primer menijo, da sta grožnji uhajanja plačilnih podatkov in zlorabe dostopa najnevarnejši. V industrijskem in prometnem sektorju sta največ strahu pred uhajanjem znanja in nelojalnega ravnanja delavcev. Podobni pomisleki so v sektorju IT in telekomunikacijskem poslu, kjer so najbolj kritične grožnje uhajanje lastniškega razvoja, poslovnih skrivnosti in podatkov o plačilih.

KOT NAJVERJETNEJŠE “TIPIČNE” KRŠITELJE ANALITIKI NAVEDAJO:

Najvišje vodstvo: izbira je očitna - najširša možna pooblastila, dostop do najdragocenejših informacij. Hkrati odgovorni za varnost pogosto zatiskajo oči pred kršitvami pravil informacijske varnosti s strani takšnih oseb.
Nelojalni zaposleni : za določitev stopnje zvestobe bi morali strokovnjaki za informacijsko varnost podjetja analizirati dejanja posameznega zaposlenega.
Administratorji: Strokovnjaki s privilegiranim dostopom in naprednimi avtoritetami, s poglobljenim znanjem IT področja, so dovzetni za skušnjavo pridobitve nepooblaščenega dostopa do pomembna informacija;
Zaposleni izvajalca / zunanje izvajanje : tako kot administratorji lahko tudi »zunanji« strokovnjaki z obsežnim znanjem izvajajo različne grožnje, medtem ko so »znotraj« informacijskega sistema stranke.

Določitev najpomembnejših informacij in najverjetnejših napadalcev pomaga zgraditi sistem ne popolnega, ampak selektivnega nadzora uporabnikov. To "razbremeni" informacijski sistem in razbremeni strokovnjake za informacijsko varnost odvečnega dela.

Arhitektura revizijskih sistemov ima poleg selektivnega nadzora pomembno vlogo pri pospešitvi delovanja sistema, izboljšanju kakovosti analiz in zmanjšanju obremenitev infrastrukture. Sodobni sistemi za nadzor dejanj uporabnikov imajo porazdeljeno strukturo. Na končnih delovnih postajah in strežnikih so nameščeni senzorski agenti, ki analizirajo dogodke določene vrste in posredujejo podatke v konsolidacijske in skladiščne centre. Sistemi za analiziranje zabeleženih informacij na podlagi parametrov, vgrajenih v sistem, najdejo v revizijskih dnevnikih dejstva o sumljivi ali nenormalni dejavnosti, ki je ni mogoče takoj pripisati poskusu izvajanja grožnje. Ta dejstva se posredujejo odzivnemu sistemu, ki o kršitvi obvesti varnostnega skrbnika.

Če je revizijski sistem sposoben neodvisno obvladati kršitev (običajno takšni sistemi informacijske varnosti zagotavljajo metodo podpisa za odziv na grožnjo), se kršitev ustavi v avtomatski način, vse potrebne informacije o storilcu, njegovih dejanjih in tarči grožnje pa končajo v posebni bazi podatkov. V tem primeru vas varnostna skrbniška konzola obvesti, da je bila grožnja nevtralizirana.

Če sistem nima načinov za samodejno odzivanje sumljivo dejavnost, potem se vse informacije za nevtralizacijo grožnje ali analizo njenih posledic prenesejo na skrbniško konzolo za informacijsko varnost za ročno izvajanje operacij.

V NADZORNEM SISTEMU VSAKE ORGANIZACIJE MORAJO BITI KONFIGURIRANE OPERACIJE:

Nadzirajte uporabo delovnih postaj, strežnikov, pa tudi čas (po urah in dnevih v tednu) dejavnosti uporabnikov na njih. Na ta način se ugotovi izvedljivost uporabe informacijskih virov.

Opomba: Zaključno predavanje poda končna priporočila za izvedbo tehnična sredstva varovanje zaupnih podatkov, podrobno so obravnavane značilnosti in principi delovanja rešitev InfoWatch

Programske rešitve InfoWatch

Namen ta tečaj Ne gre za podrobno seznanitev s tehničnimi podrobnostmi delovanja produktov InfoWatch, zato jih bomo obravnavali s tehnične marketinške strani. Izdelki InfoWatch temeljijo na dveh temeljnih tehnologijah – filtriranju vsebine in reviziji uporabnikovih ali skrbniških dejanj na delovnem mestu. Del celovite rešitve InfoWatch je tudi repozitorij informacij, ki so zapustile informacijski sistem, in enotna notranja konzola za upravljanje varnosti.

Vsebinsko filtriranje kanalov pretoka informacij

Osnovno posebnost Filtriranje vsebin InfoWatch temelji na uporabi morfološkega jedra. Za razliko od tradicionalnega filtriranja podpisov ima tehnologija filtriranja vsebin InfoWatch dve prednosti - neobčutljivost na elementarno kodiranje (zamenjava nekaterih znakov z drugimi) in višjo zmogljivost. Ker jedro ne deluje z besedami, temveč s korenskimi oblikami, samodejno odreže korene, ki vsebujejo mešana kodiranja. Tudi delo s koreninami, ki jih je v vsakem jeziku manj kot deset tisoč, in ne z besednimi oblikami, ki jih je v jezikih približno milijon, omogoča prikaz pomembnih rezultatov na precej neproduktivni opremi.

Revizija uporabnikovih dejanj

Za spremljanje uporabnikovih dejanj z dokumenti na delovni postaji InfoWatch ponuja več lovilcev v enem agentu na delovni postaji - lovilnike za operacije z datotekami, operacije tiskanja, operacije znotraj aplikacij in operacije s priključenimi napravami.

Repozitorij informacij, ki so po vseh kanalih zapustile informacijski sistem.

Podjetje InfoWatch ponuja repozitorij informacij, ki so zapustile informacijski sistem. Dokumenti so šli skozi vse kanale, ki vodijo zunaj sistema - e-pošta, internet, tisk in izmenljivi mediji, so shranjeni v aplikaciji *storage (do 2007 - modul Strežnik za shranjevanje Traffic Monitor) z navedbo vseh atributov - polno ime in položaj uporabnika, njegove elektronske projekcije (IP-naslov, račun oz. poštni naslov), datum in čas transakcije, ime in atribute dokumentov. Vse informacije so na voljo za analizo, vključno z analizo vsebine.

Povezana dejanja

Uvedba tehničnih sredstev za zaščito zaupnih informacij se zdi neučinkovita brez uporabe drugih metod, predvsem organizacijskih. Nekatere smo že obravnavali zgoraj. Zdaj pa si poglejmo druge pobližje potrebna dejanja.

Vzorci obnašanja kršiteljev

Z uvedbo sistema za spremljanje dejanj z zaupnimi informacijami se lahko poleg povečanja funkcionalnosti in analitičnih zmožnosti razvijate še v dve smeri. Prvi je integracija zaščitnih sistemov pred notranjimi in zunanjimi grožnjami. Incidenti v zadnjih letih kažejo, da obstaja porazdelitev vlog med notranjimi in zunanjimi napadalci, združevanje informacij iz zunanjih in notranjih sistemov za spremljanje groženj pa bo omogočilo odkrivanje takšnih kombiniranih napadov. Ena od stičnih točk med zunanjo in notranjo varnostjo je upravljanje dostopnih pravic, predvsem v kontekstu simuliranja proizvodne potrebe po povečanju pravic s strani nelojalnih zaposlenih in saboterjev. Vse zahteve za dostop do virov, ki presegajo obseg uradnih dolžnosti, morajo takoj vključevati mehanizem za revizijo dejanj, izvedenih s temi informacijami. Še bolj varno je rešiti težave, ki se nenadoma pojavijo, ne da bi odprli dostop do virov.

Navedimo primer iz življenja. Skrbnik sistema je od vodje trženjskega oddelka prejel zahtevo za odprtje dostopa do finančnega sistema. Za podporo aplikaciji je bila priložena naloga generalni direktor za trženjske raziskave procesov nabave blaga, ki ga proizvaja podjetje. Ker je finančni sistem eden najbolj varovanih virov in dovoljenje za dostop do njega daje direktor, je na prijavi zapisal vodja oddelka za informacijsko varnost. alternativna rešitev- ne dovoli dostopa, temveč naloži anonimizirane (brez navedbe strank) podatke v posebno bazo za analizo. V odgovor na ugovore glavnega tržnika, da mu je bilo neprijetno tako delati, mu je direktor zastavil vprašanje "na glavo": "Zakaj potrebujete imena strank - ali želite združiti bazo podatkov? ” - nakar so vsi šli na delo. Ali je šlo za poskus odtekanja informacij, ne bomo nikoli izvedeli, a kakor koli že je bilo, finančni sistem podjetij je bil zaščiten.

Preprečevanje puščanja med pripravo

Druga smer razvoja sistema spremljanja notranjih incidentov z zaupnimi informacijami je izgradnja sistema za preprečevanje uhajanja. Algoritem delovanja takega sistema je enak kot pri rešitvah za preprečevanje vdorov. Najprej se zgradi model vsiljivca in iz njega se oblikuje "podpis kršitve", to je zaporedje dejanj vsiljivca. Če več uporabniških dejanj sovpada s podpisom kršitve, se predvideva naslednji korak uporabnika, in če se tudi ta ujema s podpisom, se sproži alarm. Na primer, odprt je bil zaupen dokument, njegov del je bil izbran in kopiran v odložišče, nato nov dokument in vsebina medpomnilnika je bila prekopirana vanj. Sistem predvideva: če se nato shrani nov dokument brez oznake »zaupno«, je to poskus kraje. USB ključek še ni vstavljen, pismo ni generirano, sistem pa obvesti informacijsko varnostno osebo, ki se odloči - ustaviti zaposlenega ali izslediti, kam gre informacija. Mimogrede, modeli (v drugih virih - "profili") storilčevega vedenja se lahko uporabljajo ne samo z zbiranjem informacij od agentov programske opreme. Če analizirate naravo poizvedb v bazi podatkov, lahko vedno prepoznate zaposlenega, ki s serijo zaporednih poizvedb v bazi podatkov poskuša pridobiti določeno informacijo. Takoj je treba spremljati, kaj počne s temi zahtevami, ali jih shrani, ali poveže izmenljive pomnilniške medije itd.

Organizacija shranjevanja informacij

Načela anonimizacije in šifriranja podatkov so predpogoj za organizacijo hrambe in obdelave ter oddaljen dostop je mogoče organizirati z uporabo terminalskega protokola, ne da bi ostali podatki na računalniku, iz katerega je organizirana zahteva.

Integracija s sistemi za preverjanje pristnosti

Prej ali slej bo stranka morala uporabiti sistem za spremljanje dejanj z zaupnimi dokumenti za reševanje kadrovskih vprašanj - na primer odpuščanje zaposlenih na podlagi dejstev, ki jih dokumentira ta sistem, ali celo preganjanje tistih, ki so pricurljali. Vse, kar lahko nadzorni sistem zagotovi, pa je elektronski identifikator kršitelja – IP naslov, račun, elektronski naslov itd. Da bi pravno obtožili zaposlenega, mora biti ta identifikator povezan s posameznikom. Tukaj se odpre integrator nov trg– implementacija sistemov za avtentikacijo – od preprostih žetonov do napredne biometrije in identifikatorjev RFID.

Victor Chutov
Vodja projekta INFORMSVYAZ HOLDING

Predpogoji za implementacijo sistema

Prva odprta globalna študija notranjih groženj informacijski varnosti, ki jo je izvedel Infowatch leta 2007 (na podlagi rezultatov iz leta 2006), je pokazala, da notranje grožnje niso nič manj pogoste (56,5 %) kot zunanje (zlonamerna programska oprema, neželena pošta, hekerji itd.). d.). Še več, v veliki večini (77 %) je razlog za implementacijo notranje grožnje malomarnost samih uporabnikov (neupoštevanje opisi delovnih mest ali zanemarjanje osnovnih ukrepov za varnost informacij).

Dinamika spreminjanja stanja v obdobju 2006-2008. prikazano na sl. 1.

Relativno zmanjšanje deleža uhajanj zaradi malomarnosti je posledica delne implementacije sistemov za preprečevanje uhajanja informacij (vključno s sistemi za spremljanje dejanj uporabnikov), ki zagotavljajo dokaj visoko stopnjo zaščite pred naključnimi uhajanji. Poleg tega je to posledica absolutnega povečanja števila namernih kraj osebnih podatkov.

Kljub spremembi statistike lahko še vedno z gotovostjo trdimo, da je prednostna naloga boj proti nenamernemu uhajanju informacij, saj je boj proti uhajanju informacij lažji, cenejši, posledično pa je večina incidentov pokritih.

Hkrati je malomarnost zaposlenih po analizi rezultatov raziskav Infowatch in Perimetrix za 2004-2008 uvrščena na drugo mesto najnevarnejših groženj (povzeti rezultati raziskave so predstavljeni na sliki 2), njena relevantnost pa še narašča. z izboljšanjem programske in strojne opreme avtomatiziranih sistemov (AS) podjetij.

Tako bo uvedba sistemov, ki odpravljajo možnost negativnega vpliva zaposlenega na varnost informacij v avtomatiziranem sistemu podjetja (vključno s programi za spremljanje), zaposlenim v službi za informacijsko varnost zagotavljajo bazo dokazov in materiale za preiskavo incidenta, odpravila nevarnost puščanje zaradi malomarnosti, občutno zmanjšajo naključna puščanja in nekoliko zmanjšajo tudi namerna. Navsezadnje naj bi ta ukrep omogočil bistveno manjše izvajanje groženj notranjih kršiteljev.

Sodoben avtomatiziran sistem za nadzor dejanj uporabnikov. Prednosti in slabosti

Avtomatizirani sistemi za revizijo (nadzor) uporabniških dejanj (ASADP) AS, pogosto imenovani izdelki programske opreme za spremljanje, so namenjeni uporabi s strani varnostnih skrbnikov AS (informacijske varnostne službe organizacije), da zagotovijo njegovo opazljivost – »lastnosti računalniški sistem, ki vam omogoča beleženje dejavnosti uporabnikov, kot tudi enolično določanje identifikatorjev uporabnikov, vpletenih v določene dogodke, da preprečite kršitve varnostnih politik in/ali zagotovite odgovornost za določena dejanja."

Lastnost opazljivosti AS, odvisno od kakovosti njegovega izvajanja, v eni ali drugi meri omogoča spremljanje skladnosti zaposlenih v organizaciji z njeno varnostno politiko in uveljavljenimi pravili. varno delo na računalnikih.

Uporaba programskih izdelkov za spremljanje, tudi v realnem času, je namenjena:

identificirati (lokalizirati) vse primere poskusov nepooblaščenega dostopa do zaupnih podatkov z natančno navedbo časa in omrežnega delovnega mesta, iz katerega je bil tak poskus izveden;
ugotoviti dejstva nepooblaščene namestitve programske opreme;
ugotoviti vse primere nepooblaščene uporabe dodatne strojne opreme (na primer modemov, tiskalnikov itd.) z analizo dejstev o zagonu nepooblaščeno nameščenih specializiranih aplikacij;
identificirati vse primere tipkanja kritičnih besed in besednih zvez na tipkovnico, pripravo kritičnih dokumentov, katerih posredovanje tretjim osebam bo povzročilo materialno škodo;
nadzor dostopa do strežnikov in osebnih računalnikov;
nadzor stikov med brskanjem internetna omrežja;
izvajati raziskave v zvezi z ugotavljanjem točnosti, učinkovitosti in ustreznosti odziva osebja na zunanje vplive;
določi obremenitev računalniških delovnih postaj organizacije (po uri dneva, po dnevu v tednu itd.) za namene znanstvene organizacije dela uporabnikov;
spremljajte primere uporabe osebni računalniki v izvendelovnem času in opredeliti namen take uporabe;
prejemati potrebne zanesljive informacije, na podlagi katerih se sprejemajo odločitve o prilagajanju in izboljšanju politike informacijske varnosti organizacije itd.

Implementacija teh funkcij je dosežena z uvedbo agentskih modulov (senzorjev) na AS delovne postaje in strežnike z nadaljnjim preverjanjem stanja ali prejemanjem poročil od njih. Poročila se obdelujejo v varnostni skrbniški konzoli. Nekateri sistemi so opremljeni z vmesnimi strežniki (konsolidacijskimi točkami), ki obdelujejo lastna področja in varnostne skupine.

Dirigirano sistemska analiza rešitve, predstavljene na trgu (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, Uryadnik/Enterprise Guard, Insider), so omogočile identifikacijo številnih specifičnih lastnosti, katerih podelitev obetajočemu ASADP bo izboljšala njegove kazalnike uspešnosti v primerjavi s proučevanimi vzorci.

V splošnem primeru je poleg dokaj široke funkcionalnosti in velikega paketa možnosti mogoče obstoječe sisteme uporabiti za sledenje aktivnosti le posameznih uporabnikov AS na podlagi obveznega cikličnega pregleda (skeniranja) vseh določenih elementov AS (in predvsem delovne postaje). uporabniki).

Hkrati sta distribucija in obseg sodobnih sistemov, vključno s precej veliko število AWS, tehnologije in programska oprema bistveno otežijo proces spremljanja dela uporabnikov, vsaka od omrežnih naprav pa je sposobna generirati na tisoče revizijskih sporočil, ki dosegajo precej velike količine informacij, ki zahtevajo vzdrževanje ogromnih, pogosto podvojenih baz podatkov. Ta orodja med drugim porabijo znatne omrežne in strojne vire ter obremenjujejo skupni sistem. Izkazalo se je, da niso prilagodljivi rekonfiguraciji strojne in programske opreme računalniška omrežja, se ne morejo prilagajati neznanim vrstam kršitev in omrežnih napadov, učinkovitost njihovega odkrivanja kršitev varnostne politike pa bo v veliki meri odvisna od pogostosti pregledovanja elementov AS s strani varnostnega skrbnika.

Eden od načinov za povečanje učinkovitosti teh sistemov je neposredno povečanje frekvence skeniranja. To bo neizogibno pripeljalo do zmanjšanja učinkovitosti izvajanja tistih osnovnih nalog, za katere je ta AS dejansko namenjen, zaradi znatnega povečanja računalniške obremenitve tako na skrbniški delovni postaji kot tudi na računalnikih uporabniških delovnih postaj. kot z rastjo prometa lokalno omrežje AC.

Poleg težav, povezanih z analizo velikih količin podatkov, imajo obstoječi nadzorni sistemi resne omejitve glede učinkovitosti in točnosti sprejetih odločitev, ki jih povzroča človeški faktor, ki ga določajo fizične zmožnosti administratorja kot človeka operaterja.

Prisotnost v obstoječih nadzornih sistemih zmožnosti obveščanja o očitnih nepooblaščenih dejanjih uporabnikov v realnem času bistveno ne reši problema kot celote, saj omogoča sledenje le predhodno znanim vrstam kršitev (metoda podpisa) in ne more preprečiti nove vrste kršitev.

Razvoj in uporaba obsežnih metod za zagotavljanje informacijske varnosti v sistemih informacijske varnosti, ki zagotavljajo povečanje stopnje njegove zaščite zaradi dodatne "izbire" računalniškega vira iz AS, zmanjšuje sposobnost AS za reševanje težav. naloge, za katere je namenjen, in/ali povečuje stroške. Neuspeh tega pristopa na hitro razvijajočem se trgu IT tehnologije je očiten.

Avtomatiziran sistem za revizijo (nadzor) dejanj uporabnikov. Obetavne lastnosti

Iz predhodno predstavljenih rezultatov analize izhaja očitna potreba, da se obetavnim nadzornim sistemom podelijo naslednje lastnosti:

avtomatizacija, ki odpravlja rutinske "ročne" operacije;
kombinacija centralizacije (na osnovi avtomatizirane skrbniške varnostne postaje) z upravljanjem na ravni posamezne elemente(intelektualec računalniški programi) sistemi za spremljanje dela uporabnikov AS;
razširljivost, ki omogoča povečanje zmogljivosti nadzornih sistemov in razširitev njihovih zmogljivosti brez bistvenega povečanja računalniških virov, potrebnih za njihovo učinkovito delovanje;
prilagodljivost na spremembe v sestavi in značilnostih AS ter na pojav novih vrst kršitev varnostne politike.

Splošna struktura ASADP AS, ki ima navedene posebnosti, ki jih je mogoče implementirati v AS za različne namene in dodatki, prikazani na sl. 3.

Dana struktura vključuje naslednje glavne komponente:

programske komponente-senzorji nameščeni na nekaterih elementih zvočniškega sistema (uporabniške delovne postaje, strežniki, omrežno opremo, orodja za varnost informacij), ki se uporabljajo za beleženje in obdelavo revizijskih podatkov v realnem času;
registracijske datoteke, ki vsebujejo vmesne informacije o delu uporabnikov;
komponente za obdelavo podatkov in odločanje, ki preko registracijskih datotek sprejemajo informacije od senzorjev, jih analizirajo in odločajo o nadaljnjih dejanjih (na primer vnos nekaterih informacij v bazo podatkov, obveščanje uradnih oseb, izdelava poročil itd.);
revizijska baza podatkov (DB), ki vsebuje podatke o vseh registriranih dogodkih, na podlagi katerih se oblikujejo poročila in spremlja stanje AS v posameznem časovnem obdobju;
komponente za generiranje poročil in certifikatov na podlagi podatkov, zapisanih v revizijski bazi in filtriranje zapisov (po datumu, po uporabniških ID-jih, po delovni postaji, po varnostnih dogodkih itd.);
komponenta varnostnega skrbniškega vmesnika, ki služi nadzoru delovanja ASADP AS z njegovo delovno postajo, ogledu in tiskanju informacij, ustvarjanju različne vrste poizvedbe v podatkovno bazo in generiranje poročil, ki omogočajo spremljanje trenutnih aktivnosti uporabnikov AS v realnem času in ocenjevanje trenutne stopnje varnosti različnih virov;
dodatne komponente, predvsem komponente programske opreme za konfiguracijo sistema, namestitev in namestitev senzorjev, arhiviranje in šifriranje informacij itd.

Obdelava informacij v ASADP AS vključuje naslednje stopnje:

snemanje informacij o registraciji s senzorji;
zbiranje informacij iz posameznih senzorjev;
izmenjava informacij med ustreznimi sistemskimi agenti;
obdelava, analiza in korelacija registriranih dogodkov;
predstavitev obdelanih informacij skrbniku varnosti v normalizirani obliki (v obliki poročil, grafikonov ipd.).

Da bi minimizirali potrebne računalniške vire, povečali tajnost in zanesljivost sistema, je mogoče podatke hraniti na različnih elementih AS.

Na podlagi naloge podajanja bistveno novih (v primerjavi z obstoječimi sistemi za revizijo dela uporabnikov AS) lastnosti avtomatizacije, kombinacije centralizacije in decentralizacije, razširljivosti in prilagodljivosti, se zdi ena od možnih strategij za njegovo izgradnjo sodobna tehnologija inteligentni sistemi z več agenti, implementirani z razvojem integrirane skupnosti agentov različne vrste(inteligentni avtonomni programi, ki izvajajo določene funkcije zaznavanja in preprečevanja dejanj uporabnikov, ki so v nasprotju z varnostno politiko) in organiziranje njihove interakcije.

Za nadzor dostopa do datotek in map v Windows Server 2008 R2 morate omogočiti funkcijo revizije in določiti tudi mape in datoteke, do katerih naj se beleži dostop. Po nastavitvi nadzora bo dnevnik strežnika vseboval podatke o dostopu in drugih dogodkih na izbranih datotekah in mapah. Omeniti velja, da je revizijo dostopa do datotek in map mogoče izvajati samo na nosilcih z datotečnim sistemom NTFS.

Omogoči nadzor objektov datotečnega sistema v sistemu Windows Server 2008 R2

Nadzor dostopa za datoteke in mape je omogočen in onemogočen z uporabo pravilnike skupine: pravilnik domene za domeno Aktivni imenik ali lokalne varnostne politike za samostojne strežnike. Če želite omogočiti nadzor na posameznem strežniku, morate odpreti upravljalno konzolo lokalni politik Začetek ->VseProgrami ->AdministrativniOrodja ->LokalnoVarnostPolitika. V konzoli lokalnih pravilnikov morate razširiti drevo lokalnih pravilnikov ( LokalnoPravila) in izberite element revizijaPolitika.

Na desni plošči morate izbrati element revizijaObjektDostop in v oknu, ki se prikaže, določite, katere vrste dogodkov dostopa do datotek in map je treba zabeležiti (uspešen/neuspešen dostop):

Ko izberete želeno nastavitev, kliknite V REDU.

Izbira datotek in map, do katerih se bo beležil dostop

Ko je revizijski dostop do datotek in map aktiviran, morate izbrati določene predmete datotečni sistem, dostop do katerega bo revidiran. Tako kot dovoljenja NTFS so nastavitve revizije privzeto podedovane za vse podrejene objekte (razen če ni drugače konfigurirano). Tako kot pri dodeljevanju pravic dostopa do datotek in map, lahko dedovanje revizijskih nastavitev omogočimo za vse ali samo izbrane objekte.

Če želite nastaviti nadzor za določeno mapo/datoteko, jo morate klikniti desni klik miško in izberite Lastnosti ( Lastnosti). V oknu lastnosti pojdite na zavihek Varnost ( Varnost) in pritisnite gumb Napredno. V oknu naprednih varnostnih nastavitev ( NaprednoVarnostnastavitve) pojdite na zavihek Revizija ( Revizija). Nastavitev revizije seveda zahteva skrbniške pravice. Na tej stopnji bo okno za nadzor prikazalo seznam uporabnikov in skupin, za katere je omogočen nadzor za ta vir:

Če želite dodati uporabnike ali skupine, katerih dostop do tega objekta bo zabeležen, kliknite gumb Dodaj… in določite imena teh uporabnikov/skupin (ali določite Vsi– za revizijo dostopa vseh uporabnikov):

Takoj po uporabi teh nastavitev za sistemski dnevnik Varnost (najdete jo v snap-inu RačunalnikUpravljanje -> Pregledovalnik dogodkov), vsakič, ko dostopate do objektov, za katere je omogočen nadzor, se prikažejo ustrezni vnosi.

Druga možnost je, da si lahko dogodke ogledate in filtrirate z ukazom cmdlet PowerShell − Get-EventLogČe želite na primer prikazati vse dogodke z eventid 4660, zaženite ukaz:

Varnost Get-EventLog | ?($_.eventid -eq 4660)

nasvet. Lahko se dodeli kateremu koli dogodku v Windows dnevnik določena dejanja, kot je pošiljanje E-naslov ali izvajanje skripta. Kako je to konfigurirano, je opisano v članku:

UPD od 06.08.2012 (Hvala komentatorju).

V operacijskem sistemu Windows 2008/Windows 7 je bilo uvedeno upravljanje revizije posebna korist auditpol. Celoten seznam Tipe objektov, za katere je mogoče omogočiti nadzor, si lahko ogledate z ukazom:

Auditpol /seznam /podkategorija:*

Kot lahko vidite, so ti predmeti razdeljeni v 9 kategorij:

Sistem
Prijava/odjava
Dostop do objekta
Uporaba privilegijev
Podrobno sledenje
Sprememba politike
Vodenje računa
DS Access
Prijava v račun

In vsaka od njih je v skladu s tem razdeljena na podkategorije. Na primer, kategorija nadzora dostopa do objektov vključuje podkategorijo datotečni sistem, in če želite omogočiti nadzor za objekte datotečnega sistema v računalniku, zaženite ukaz:

Auditpol /set /podkategorija:"datotečni sistem" /failure:enable /success:enable

Ustrezno je onemogočen z ukazom:

Auditpol /set /podkategorija:"Datotečni sistem" /napaka:onemogoči /uspeh:onemogoči

Tisti. Če onemogočite nadzor nepotrebnih podkategorij, lahko znatno zmanjšate obseg dnevnika in število nepotrebnih dogodkov.

Ko je revizijski dostop do datotek in map aktiviran, morate določiti posebne predmete, ki jih bomo spremljali (v lastnostih datotek in map). Upoštevajte, da so nastavitve revizije privzeto podedovane za vse podrejene objekte (razen če je določeno drugače).

Včasih se zgodijo dogodki, ki od nas zahtevajo odgovor na vprašanje. "kdo je to naredil?" To se lahko zgodi "redko, a natančno", zato se na odgovor na vprašanje pripravite vnaprej.

Skoraj povsod obstajajo oblikovalski oddelki, računovodski oddelki, razvijalci in druge kategorije zaposlenih, ki skupaj delajo na skupinah dokumentov, shranjenih v javno dostopni (Shared) mapi na datotečnem strežniku ali na eni od delovnih postaj. Lahko se zgodi, da nekdo izbriše pomemben dokument ali imenik iz te mape, zaradi česar se lahko izgubi delo celotne ekipe. V tem primeru pred sistemski administrator Poraja se več vprašanj:

Kdaj in kdaj se je pojavila težava?

Od katerega najbližje temu času varnostno kopijo je treba podatke obnoviti?

Mogoče je bil okvara sistema, kaj se lahko ponovi?

Windows ima sistem revizija, ki vam omogoča sledenje in beleženje informacij o tem, kdaj, kdo in s katerimi programskimi dokumenti so bili izbrisani. Privzeto Audit ni omogočen - samo sledenje zahteva določen odstotek sistemske moči in če posnamete vse, bo obremenitev prevelika. Poleg tega nas morda ne zanimajo vsa dejanja uporabnikov, zato nam politike revizije omogočajo, da omogočimo sledenje le tistim dogodkom, ki so za nas resnično pomembni.

Sistem revizije je vgrajen v vse OS MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Na žalost v serijskih sistemih Windows Home revizija je globoko skrita in jo je pretežko konfigurirati.

Kaj je treba konfigurirati?

Če želite omogočiti nadzor, se prijavite s skrbniškimi pravicami v računalnik, ki omogoča dostop do dokumentov v skupni rabi, in zaženite ukaz Začetek→Teči→gpedit.msc. V razdelku Konfiguracija računalnika razširite mapo Nastavitve sistema Windows→ Varnostne nastavitve→ Lokalne politike→ Revizijske politike:

Dvakrat kliknite na politiko Revizijski dostop do predmeta (Revizija dostopa do objekta) in izberite potrditveno polje Uspeh. Ta nastavitev omogoča mehanizem za spremljanje uspešnega dostopa do datotek in registra. Pravzaprav nas zanimajo le uspešni poskusi brisanja datotek ali map. Omogočite nadzor samo na računalnikih, kjer so neposredno shranjeni nadzorovani objekti.

Samo omogočanje politike revizije ni dovolj, določiti moramo tudi, katere mape želimo spremljati. Običajno so takšni objekti mape skupnih (v skupni rabi) dokumentov in mape s proizvodnimi programi ali bazami podatkov (računovodstvo, skladišče itd.) - torej viri, s katerimi dela več ljudi.

Nemogoče je vnaprej uganiti, kdo točno bo izbrisal datoteko, zato je sledenje označeno za vse. Uspešni poskusi izbrisa nadzorovanih objektov s strani katerega koli uporabnika bodo zabeleženi. Pokličite lastnosti zahtevane mape (če obstaja več takih map, potem vse po vrsti) in na zavihku Varnost → Napredno → Nadzor dodajte sledenje temi Vsi njegove uspešne poskuse dostopa Izbriši in Brisanje podmap in datotek:

Beleži se lahko precej dogodkov, zato morate prilagoditi tudi velikost dnevnika Varnost(varnost), v kateri bodo posneti. Za
zaženi ta ukaz Začetek→ Teči→ eventvwr. mag. V oknu, ki se prikaže, pokličite lastnosti varnostnega dnevnika in določite naslednje parametre:

Največja velikost dnevnika = 65536 K.B.(za delovne postaje) oz 262144 K.B.(za strežnike)

Po potrebi prepišite dogodke.

Pravzaprav ni zagotovljena točnost navedenih številk, ampak so izbrane empirično za vsak posamezen primer.

Windows 2003/ XP)?

Kliknite Začetek→ Teči→ eventvwr.msc Varnost. Pogled→ Filter

Vir dogodka: Varnost;
Kategorija: Dostop do objektov;
Vrste dogodkov: revizija uspeha;
ID dogodka: 560;

Brskajte po seznamu filtriranih dogodkov in bodite pozorni na naslednja polja znotraj vsakega vnosa:

ObjektIme. Ime mape ali datoteke, ki jo iščete;
SlikamapaIme. Ime programa, ki je izbrisal datoteko;
Dostopi. Nabor zahtevanih pravic.

Program lahko od sistema zahteva več vrst dostopov hkrati – npr. Izbriši+ Sinhroniziraj oz Izbriši+ Preberi_ Nadzor. Pomembna pravica za nas je Izbriši.

Torej, kdo je izbrisal dokumente (Windows 2008/ Vista)?

Kliknite Začetek→ Teči→ eventvwr.msc in odprite revijo za ogled Varnost. Dnevnik je lahko napolnjen z dogodki, ki niso neposredno povezani s težavo. Z desno miškino tipko kliknite varnostni dnevnik in izberite Pogled→ Filter in filtrirajte svoj ogled po naslednjih kriterijih:

Vir dogodka: Varnost;
Kategorija: Dostop do objektov;
Vrste dogodkov: revizija uspeha;
ID dogodka: 4663;

Ne hitite z razlago vseh izbrisov kot zlonamernih. Ta funkcija se pogosto uporablja med običajnim delovanjem programa - na primer pri izvajanju ukaza Shrani(Shrani), paketni programi MicrosoftPisarna najprej ustvarite novo začasno datoteko, vanjo shranite dokument in ga nato izbrišite prejšnja različica mapa. Podobno številne aplikacije baze podatkov ob zagonu najprej ustvarijo začasno datoteko za zaklepanje (. lck), nato ga izbrišite ob izhodu iz programa.

V praksi sem imel opravka z zlonamernimi dejanji uporabnikov. Konfliktni uslužbenec nekega podjetja se je na primer po odhodu iz službe odločil uničiti vse rezultate svojega dela, pri čemer je izbrisal datoteke in mape, s katerimi je bil povezan. Tovrstni dogodki so jasno vidni – ustvarjajo na desetine, stotine vnosov na sekundo v varnostni dnevnik. Seveda obnova dokumentov iz SencaKopije (Shadow Spears) ali samodejno ustvarjen arhiv vsak dan ni težko, hkrati pa bi lahko odgovoril na vprašanja "Kdo je to naredil?" in "Kdaj se je to zgodilo?"