ระบบอัตโนมัติสำหรับการตรวจสอบ (ติดตาม) การกระทำของผู้ใช้ การตรวจสอบการกระทำของผู้ใช้ การตรวจสอบใน Windows 7

ความจำเป็นในการใช้ระบบการตรวจสอบสำหรับการดำเนินการของผู้ใช้ในองค์กรทุกระดับได้รับการยืนยันโดยการวิจัยจากบริษัทที่มีส่วนร่วมในการวิเคราะห์ ความปลอดภัยของข้อมูล.

ตัวอย่างเช่น การศึกษาของแคสเปอร์สกี้ แลป แสดงให้เห็นว่า สองในสามของเหตุการณ์ด้านความปลอดภัยของข้อมูล (67%) มีสาเหตุจากการกระทำของพนักงานที่ไม่ได้รับข้อมูลหรือไม่ตั้งใจ ในขณะเดียวกัน จากการวิจัยของ ESET พบว่า 84% ของบริษัทประเมินความเสี่ยงที่เกิดจากปัจจัยด้านมนุษย์ต่ำไป

การป้องกันภัยคุกคามจากภายในต้องใช้ความพยายามมากกว่าการป้องกันภัยคุกคามจากภายนอก เพื่อตอบโต้ "สัตว์รบกวน" ภายนอก รวมถึงไวรัสและการโจมตีแบบกำหนดเป้าหมายบนเครือข่ายขององค์กร การใช้ซอฟต์แวร์หรือระบบฮาร์ดแวร์-ซอฟต์แวร์ที่เหมาะสมก็เพียงพอแล้ว การรักษาความปลอดภัยองค์กรจากการโจมตีภายในจะต้องมีการลงทุนมากขึ้นในโครงสร้างพื้นฐานด้านความปลอดภัยและการวิเคราะห์เชิงลึก งานวิเคราะห์ประกอบด้วยการระบุประเภทของภัยคุกคามที่สำคัญที่สุดสำหรับธุรกิจ เช่นเดียวกับการจัดทำ “ภาพเหมือนของผู้ฝ่าฝืน” ซึ่งก็คือ การกำหนดความเสียหายที่ผู้ใช้สามารถก่อให้เกิดโดยพิจารณาจากความสามารถและอำนาจของพวกเขา

การตรวจสอบการกระทำของผู้ใช้มีความเชื่อมโยงอย่างแยกไม่ออกไม่เพียงแต่กับความเข้าใจว่า "ช่องว่าง" ใดในระบบรักษาความปลอดภัยข้อมูลจำเป็นต้องปิดอย่างรวดเร็ว แต่ยังรวมถึงปัญหาความยั่งยืนของธุรกิจโดยรวมด้วย บริษัทที่มุ่งมั่นในการดำเนินงานอย่างต่อเนื่องจะต้องคำนึงว่าด้วยความซับซ้อนและการเพิ่มขึ้นของกระบวนการข้อมูลข่าวสารและระบบอัตโนมัติทางธุรกิจ ทำให้จำนวนภัยคุกคามภายในเพิ่มมากขึ้นเท่านั้น

นอกเหนือจากการติดตามการกระทำของพนักงานทั่วไปแล้ว ยังจำเป็นต้องตรวจสอบการดำเนินงานของ "ผู้ใช้ระดับสูง" ซึ่งเป็นพนักงานที่มีสิทธิ์พิเศษ และด้วยเหตุนี้ จึงมีโอกาสมากขึ้นที่จะตระหนักถึงภัยคุกคามของการรั่วไหลของข้อมูลโดยไม่ตั้งใจหรือโดยเจตนา ผู้ใช้เหล่านี้รวมถึงผู้ดูแลระบบ ผู้ดูแลระบบฐานข้อมูล และนักพัฒนาซอฟต์แวร์ภายใน ที่นี่คุณสามารถเพิ่มผู้เชี่ยวชาญด้านไอทีและพนักงานที่รับผิดชอบด้านความปลอดภัยของข้อมูลได้

การใช้ระบบติดตามการกระทำของผู้ใช้ในบริษัททำให้คุณสามารถบันทึกและตอบสนองต่อกิจกรรมของพนักงานได้อย่างรวดเร็ว สำคัญ: ระบบการตรวจสอบจะต้องมีความครอบคลุม ซึ่งหมายความว่าข้อมูลเกี่ยวกับกิจกรรมของพนักงานทั่วไป ผู้ดูแลระบบ หรือผู้จัดการระดับสูงจำเป็นต้องได้รับการวิเคราะห์ในระดับระบบปฏิบัติการ การใช้งานแอปพลิเคชันทางธุรกิจ ในระดับ อุปกรณ์เครือข่ายการเข้าถึงฐานข้อมูล การเชื่อมต่อสื่อภายนอก และอื่นๆ

ระบบที่ทันสมัยการตรวจสอบที่ครอบคลุมช่วยให้คุณควบคุมทุกขั้นตอนของการดำเนินการของผู้ใช้ตั้งแต่เริ่มต้นจนถึงการปิดเครื่องพีซี (เวิร์กสเตชันเทอร์มินัล) จริงอยู่ ในทางปฏิบัติ พวกเขาพยายามหลีกเลี่ยงการควบคุมทั้งหมด หากการดำเนินการทั้งหมดถูกบันทึกไว้ในบันทึกการตรวจสอบ โหลดในโครงสร้างพื้นฐานระบบข้อมูลขององค์กรจะเพิ่มขึ้นหลายครั้ง เช่น เวิร์กสเตชันหยุดทำงาน เซิร์ฟเวอร์และแชนเนลทำงานภายใต้โหลดเต็ม ความหวาดระแวงเกี่ยวกับความปลอดภัยของข้อมูลอาจเป็นอันตรายต่อธุรกิจโดยทำให้กระบวนการทำงานช้าลงอย่างมาก

ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่มีความสามารถจะกำหนด:

• ข้อมูลใดในบริษัทที่มีค่าที่สุด เนื่องจากภัยคุกคามภายในส่วนใหญ่จะเชื่อมโยงกับข้อมูลนั้น
• ใครและในระดับใดที่สามารถเข้าถึงข้อมูลอันมีค่าได้ กล่าวคือ โครงร่างวงกลมของผู้ที่อาจละเมิด
• ขอบเขตที่มาตรการรักษาความปลอดภัยในปัจจุบันสามารถทนต่อการกระทำของผู้ใช้โดยเจตนาและ/หรือโดยไม่ได้ตั้งใจ

ตัวอย่างเช่น ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจากภาคการเงินถือว่าภัยคุกคามจากการรั่วไหลของข้อมูลการชำระเงินและการเข้าถึงในทางที่ผิดเป็นสิ่งที่อันตรายที่สุด ในภาคอุตสาหกรรมและการขนส่ง ความกลัวที่ใหญ่ที่สุดคือการรั่วไหลของความรู้ความชำนาญและพฤติกรรมที่ไม่ซื่อสัตย์ของคนงาน มีความกังวลที่คล้ายกันในภาคไอทีและธุรกิจโทรคมนาคม ซึ่งภัยคุกคามที่สำคัญที่สุดคือการรั่วไหลของการพัฒนาที่เป็นกรรมสิทธิ์ ความลับทางการค้า และข้อมูลการชำระเงิน

ในฐานะผู้ฝ่าฝืน "ทั่วไป" ที่น่าจะเป็นไปได้มากที่สุด การวิเคราะห์ระบุว่า:

• ผู้บริหารระดับสูง: ทางเลือกที่ชัดเจน - อำนาจที่กว้างที่สุดเท่าที่จะเป็นไปได้ การเข้าถึงข้อมูลที่มีค่าที่สุด ในเวลาเดียวกัน ผู้ที่รับผิดชอบด้านความปลอดภัยมักจะเมินเฉยต่อการละเมิดกฎความปลอดภัยของข้อมูลจากตัวเลขดังกล่าว
• พนักงานที่ไม่ซื่อสัตย์ : เพื่อกำหนดระดับความภักดี ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลของบริษัทควรวิเคราะห์การกระทำของพนักงานแต่ละคน
• ผู้ดูแลระบบ: ผู้เชี่ยวชาญที่มีสิทธิ์การเข้าถึงและอำนาจขั้นสูงที่มีความรู้เชิงลึกเกี่ยวกับสาขาไอที มีแนวโน้มที่จะถูกล่อลวงให้เข้าถึงโดยไม่ได้รับอนุญาต ข้อมูลสำคัญ;
• พนักงานรับเหมา/จัดจ้างภายนอก : เช่นเดียวกับผู้ดูแลระบบ ผู้เชี่ยวชาญ “ภายนอก” ที่มีความรู้กว้างขวาง สามารถใช้ภัยคุกคามต่างๆ ได้ในขณะที่ “อยู่ภายใน” ระบบข้อมูลของลูกค้า

การระบุข้อมูลที่สำคัญที่สุดและผู้โจมตีที่มีแนวโน้มมากที่สุดจะช่วยสร้างระบบที่ควบคุมผู้ใช้ได้ไม่ทั้งหมดแต่เป็นแบบเลือกสรร การ "ขนถ่าย" นี้ ระบบข้อมูลและบรรเทาผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจากการทำงานซ้ำซ้อน

นอกเหนือจากการตรวจสอบแบบเลือกสรรแล้ว สถาปัตยกรรมของระบบการตรวจสอบยังมีบทบาทสำคัญในการเร่งการทำงานของระบบ ปรับปรุงคุณภาพของการวิเคราะห์ และลดภาระบนโครงสร้างพื้นฐาน ระบบสมัยใหม่สำหรับการตรวจสอบการกระทำของผู้ใช้มีโครงสร้างแบบกระจาย ตัวแทนเซ็นเซอร์ได้รับการติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์ปลายทาง ซึ่งจะวิเคราะห์เหตุการณ์บางประเภทและส่งข้อมูลไปยังศูนย์รวมและศูนย์จัดเก็บข้อมูล ระบบสำหรับการวิเคราะห์ข้อมูลที่บันทึกไว้ตามพารามิเตอร์ที่สร้างไว้ในระบบจะค้นหาข้อเท็จจริงในบันทึกการตรวจสอบของกิจกรรมที่น่าสงสัยหรือผิดปกติซึ่งไม่สามารถนำมาประกอบกับความพยายามในการดำเนินการภัยคุกคามได้ทันที ข้อเท็จจริงเหล่านี้จะถูกส่งไปยังระบบตอบสนองซึ่งจะแจ้งให้ผู้ดูแลระบบความปลอดภัยทราบถึงการละเมิด

หากระบบการตรวจสอบสามารถรับมือกับการละเมิดได้อย่างอิสระ (โดยปกติแล้วระบบความปลอดภัยของข้อมูลดังกล่าวจะมีวิธีการตอบสนองต่อภัยคุกคามที่เป็นเอกลักษณ์) การละเมิดจะหยุดลง โหมดอัตโนมัติและข้อมูลที่จำเป็นทั้งหมดเกี่ยวกับผู้กระทำความผิด การกระทำของเขา และเป้าหมายของภัยคุกคามจะจบลงในฐานข้อมูลพิเศษ ในกรณีนี้ Security Administrator Console จะแจ้งให้คุณทราบว่าภัยคุกคามได้รับการแก้ไขแล้ว

หากระบบไม่มีวิธีตอบสนองอัตโนมัติ กิจกรรมที่น่าสงสัยจากนั้นข้อมูลทั้งหมดเพื่อต่อต้านภัยคุกคามหรือวิเคราะห์ผลที่ตามมาจะถูกถ่ายโอนไปยังคอนโซลผู้ดูแลระบบความปลอดภัยของข้อมูลเพื่อดำเนินการด้วยตนเอง

ในระบบการตรวจสอบขององค์กรใดๆ การดำเนินการควรได้รับการกำหนดค่า:

ตรวจสอบการใช้เวิร์กสเตชัน เซิร์ฟเวอร์ รวมถึงเวลา (ตามชั่วโมงและวันในสัปดาห์) ของกิจกรรมของผู้ใช้ ด้วยวิธีนี้จึงมีการสร้างความเป็นไปได้ในการใช้ทรัพยากรสารสนเทศ

คำอธิบายประกอบ: การบรรยายครั้งสุดท้ายจะให้คำแนะนำขั้นสุดท้ายสำหรับการดำเนินการ วิธีการทางเทคนิคการปกป้องข้อมูลที่เป็นความลับ มีการกล่าวถึงคุณลักษณะและหลักการทำงานของโซลูชัน InfoWatch โดยละเอียด

โซลูชันซอฟต์แวร์ InfoWatch

วัตถุประสงค์ หลักสูตรนี้ไม่ใช่ความคุ้นเคยโดยละเอียดกับรายละเอียดทางเทคนิคของการทำงานของผลิตภัณฑ์ InfoWatch ดังนั้นเราจะพิจารณาจากฝ่ายการตลาดทางเทคนิค ผลิตภัณฑ์ InfoWatch ใช้เทคโนโลยีพื้นฐานสองประการ ได้แก่ การกรองเนื้อหาและการตรวจสอบการดำเนินการของผู้ใช้หรือผู้ดูแลระบบในที่ทำงาน ส่วนหนึ่งของโซลูชัน InfoWatch ที่ครอบคลุมก็คือพื้นที่เก็บข้อมูลที่ออกจากระบบข้อมูลและคอนโซลการจัดการความปลอดภัยภายในแบบรวมศูนย์

การกรองเนื้อหาของช่องทางการไหลของข้อมูล

ขั้นพื้นฐาน คุณสมบัติที่โดดเด่นการกรองเนื้อหา InfoWatch ขึ้นอยู่กับการใช้เคอร์เนลทางสัณฐานวิทยา เทคโนโลยีการกรองเนื้อหา InfoWatch แตกต่างจากการกรองลายเซ็นแบบดั้งเดิม มีข้อดีสองประการ ได้แก่ การไม่ไวต่อการเข้ารหัสเบื้องต้น (การแทนที่อักขระบางตัวด้วยอักขระอื่น) และประสิทธิภาพที่สูงกว่า เนื่องจากเคอร์เนลไม่ได้ทำงานด้วยคำ แต่ใช้กับรูปแบบรูท เคอร์เนลจะตัดรูทที่มีการเข้ารหัสแบบผสมออกโดยอัตโนมัติ นอกจากนี้ การทำงานกับรากเหง้าซึ่งมีภาษาต่างๆ น้อยกว่าหมื่นภาษา และไม่มีรูปแบบคำซึ่งมีประมาณล้านภาษา ทำให้สามารถแสดงผลลัพธ์ที่สำคัญบนอุปกรณ์ที่ค่อนข้างไม่เกิดผลได้

การตรวจสอบการกระทำของผู้ใช้

ในการตรวจสอบการกระทำของผู้ใช้กับเอกสารบนเวิร์กสเตชัน InfoWatch นำเสนอตัวดักหลายตัวในเอเจนต์เดียวบนเวิร์กสเตชัน - ตัวดักสำหรับการดำเนินการกับไฟล์ การดำเนินการพิมพ์ การดำเนินการภายในแอปพลิเคชัน และการดำเนินการกับอุปกรณ์ที่เชื่อมต่อ

แหล่งเก็บข้อมูลที่ออกจากระบบสารสนเทศทุกช่องทาง

บริษัท InfoWatch นำเสนอพื้นที่เก็บข้อมูลที่ออกจากระบบข้อมูล เอกสารที่ส่งผ่านทุกช่องทางชั้นนำนอกระบบ - อีเมล อินเตอร์เน็ต สิ่งพิมพ์ และ สื่อที่ถอดออกได้จะถูกจัดเก็บไว้ในแอปพลิเคชัน *storage (จนถึงปี 2007 - module เซิร์ฟเวอร์จัดเก็บข้อมูลการตรวจสอบปริมาณข้อมูล) ระบุคุณลักษณะทั้งหมด - ชื่อเต็มและตำแหน่งของผู้ใช้ การฉายภาพทางอิเล็กทรอนิกส์ (ที่อยู่ IP บัญชี หรือ รหัสไปรษณีย์) วันที่และเวลาที่ทำรายการ ชื่อและคุณลักษณะของเอกสาร ข้อมูลทั้งหมดพร้อมสำหรับการวิเคราะห์ รวมถึงการวิเคราะห์เนื้อหา

การดำเนินการที่เกี่ยวข้อง

การแนะนำวิธีการทางเทคนิคในการปกป้องข้อมูลที่เป็นความลับดูเหมือนจะไม่มีประสิทธิภาพหากปราศจากการใช้วิธีอื่น โดยหลักๆ คือวิธีในองค์กร เราได้กล่าวถึงบางส่วนข้างต้นแล้ว ทีนี้มาดูคนอื่นๆ กันดีกว่า การดำเนินการที่จำเป็น.

รูปแบบพฤติกรรมของผู้ฝ่าฝืน

ด้วยการปรับใช้ระบบสำหรับการตรวจสอบการดำเนินการด้วยข้อมูลที่เป็นความลับ นอกเหนือจากการเพิ่มฟังก์ชันการทำงานและความสามารถในการวิเคราะห์แล้ว คุณสามารถพัฒนาได้อีกสองทิศทาง ประการแรกคือการบูรณาการระบบการป้องกันภัยคุกคามภายในและภายนอก เหตุการณ์ในช่วงไม่กี่ปีที่ผ่านมาแสดงให้เห็นว่ามีการกระจายบทบาทระหว่างผู้โจมตีภายในและภายนอก และการรวมข้อมูลจากระบบตรวจสอบภัยคุกคามภายนอกและภายในจะทำให้สามารถตรวจจับการโจมตีแบบรวมดังกล่าวได้ จุดเชื่อมต่อประการหนึ่งระหว่างความปลอดภัยภายนอกและภายในคือการจัดการสิทธิ์การเข้าถึง โดยเฉพาะอย่างยิ่งในบริบทของการจำลองความจำเป็นในการผลิตเพื่อเพิ่มสิทธิ์โดยพนักงานและผู้ก่อวินาศกรรมที่ไม่ซื่อสัตย์ การร้องขอการเข้าถึงทรัพยากรที่อยู่นอกเหนือขอบเขตหน้าที่ราชการจะต้องรวมกลไกในการตรวจสอบการดำเนินการกับข้อมูลนั้นทันที จะปลอดภัยกว่าในการแก้ปัญหาที่เกิดขึ้นโดยฉับพลันโดยไม่ต้องเปิดการเข้าถึงทรัพยากร

ขอยกตัวอย่างจากชีวิต ผู้ดูแลระบบได้รับคำขอจากหัวหน้าแผนกการตลาดให้เปิดการเข้าถึงระบบการเงิน มีการแนบงานเพื่อรองรับแอปพลิเคชัน ผู้อำนวยการทั่วไปเพื่อการวิจัยการตลาดเกี่ยวกับกระบวนการซื้อสินค้าที่ผลิตโดยบริษัท เนื่องจากระบบการเงินเป็นหนึ่งในทรัพยากรที่ได้รับการคุ้มครองมากที่สุด และซีอีโอจะอนุญาตให้เข้าถึงได้ หัวหน้าแผนกความปลอดภัยของข้อมูลจึงเขียนไว้ในใบสมัคร ทางเลือกอื่น- ไม่ให้สิทธิ์เข้าถึง แต่อัปโหลดข้อมูลที่ไม่ระบุชื่อ (โดยไม่ระบุไคลเอ็นต์) ลงในฐานข้อมูลพิเศษเพื่อการวิเคราะห์ เพื่อตอบสนองต่อคำคัดค้านของหัวหน้านักการตลาดที่ไม่สะดวกสำหรับเขาในการทำงานเช่นนี้ ผู้อำนวยการถามคำถาม "ตรงหน้า": "ทำไมคุณถึงต้องการชื่อลูกค้า - คุณต้องการรวมฐานข้อมูลหรือไม่? ” -หลังจากนั้นทุกคนก็ไปทำงาน ไม่ว่านี่จะเป็นความพยายามในการรั่วไหลของข้อมูลหรือไม่ เราก็ไม่มีทางรู้ได้ แต่ไม่ว่ามันจะเป็นเช่นไร ระบบการเงินขององค์กรก็ได้รับการปกป้อง

ป้องกันการรั่วไหลระหว่างการเตรียมการ

อีกแนวทางในการพัฒนาระบบติดตามเหตุการณ์ภายในด้วยข้อมูลที่เป็นความลับคือการสร้างระบบป้องกันการรั่วไหล อัลกอริธึมการทำงานของระบบดังกล่าวเหมือนกับในโซลูชั่นป้องกันการบุกรุก ขั้นแรก มีการสร้างแบบจำลองของผู้บุกรุกขึ้น และจากแบบจำลองดังกล่าว "ลายเซ็นการละเมิด" นั่นคือลำดับการกระทำของผู้บุกรุก หากการกระทำของผู้ใช้หลายอย่างเกิดขึ้นพร้อมกับลายเซ็นการละเมิด ขั้นตอนถัดไปของผู้ใช้จะถูกคาดการณ์ และหากการกระทำนั้นตรงกับลายเซ็นด้วย จะมีการส่งสัญญาณเตือน ตัวอย่างเช่น มีการเปิดเอกสารลับ ส่วนหนึ่งถูกเลือกและคัดลอกไปยังคลิปบอร์ด จากนั้น ก เอกสารใหม่และเนื้อหาของบัฟเฟอร์ก็ถูกคัดลอกลงไป ระบบจะถือว่า: หากเอกสารใหม่ถูกบันทึกโดยไม่มีป้ายกำกับ "ความลับ" แสดงว่าเป็นความพยายามที่จะขโมย ยังไม่ได้ใส่ไดรฟ์ USB ยังไม่ได้สร้างจดหมาย และระบบแจ้งให้เจ้าหน้าที่รักษาความปลอดภัยข้อมูลที่ตัดสินใจ - ให้หยุดพนักงานหรือติดตามว่าข้อมูลไปอยู่ที่ไหน อย่างไรก็ตาม โมเดล (ในแหล่งอื่น - "โปรไฟล์") ของพฤติกรรมของผู้กระทำความผิดสามารถใช้ได้ไม่เพียงแต่โดยการรวบรวมข้อมูลจากตัวแทนซอฟต์แวร์เท่านั้น หากคุณวิเคราะห์ลักษณะของการสืบค้นไปยังฐานข้อมูล คุณสามารถระบุพนักงานที่พยายามรับข้อมูลเฉพาะเจาะจงผ่านชุดการสืบค้นตามลำดับไปยังฐานข้อมูลได้เสมอ จำเป็นต้องตรวจสอบทันทีว่าทำอะไรกับคำขอเหล่านี้ ไม่ว่าจะบันทึกหรือไม่ เชื่อมต่อสื่อบันทึกข้อมูลแบบถอดได้หรือไม่ เป็นต้น

องค์กรของการจัดเก็บข้อมูล

หลักการของการไม่เปิดเผยตัวตนและการเข้ารหัสข้อมูลเป็นข้อกำหนดเบื้องต้นสำหรับการจัดระเบียบการจัดเก็บและการประมวลผล และ การเข้าถึงระยะไกลสามารถจัดระเบียบได้โดยใช้โปรโตคอลเทอร์มินัล โดยไม่ทิ้งข้อมูลใด ๆ ไว้บนคอมพิวเตอร์ที่ใช้จัดระเบียบคำขอ

บูรณาการกับระบบการตรวจสอบความถูกต้อง

ไม่ช้าก็เร็วลูกค้าจะต้องใช้ระบบติดตามการดำเนินการด้วยเอกสารลับเพื่อแก้ไขปัญหาด้านบุคลากร เช่น การเลิกจ้างพนักงานตามข้อเท็จจริงที่ระบบนี้บันทึกไว้ หรือแม้แต่ดำเนินคดีกับผู้ที่รั่วไหล อย่างไรก็ตาม สิ่งที่ระบบตรวจสอบสามารถให้ได้คือตัวระบุทางอิเล็กทรอนิกส์ของผู้กระทำความผิด - ที่อยู่ IP บัญชี, ที่อยู่อีเมล ฯลฯ ในการกล่าวหาพนักงานอย่างถูกกฎหมาย ตัวระบุนี้จะต้องเชื่อมโยงกับบุคคล ที่นี่ผู้รวมระบบจะเปิดขึ้น ตลาดใหม่– การใช้งานระบบการรับรองความถูกต้อง – ตั้งแต่โทเค็นธรรมดาไปจนถึงไบโอเมตริกซ์ขั้นสูงและตัวระบุ RFID

วิคเตอร์ ชูทอฟ
ผู้จัดการโครงการแจ้ง VYAZ HOLDING

ข้อกำหนดเบื้องต้นสำหรับการนำระบบไปใช้

การศึกษาระดับโลกแบบเปิดครั้งแรกเกี่ยวกับภัยคุกคามภายในต่อความปลอดภัยของข้อมูล ซึ่งดำเนินการโดย Infowatch ในปี 2550 (จากผลการวิจัยในปี 2549) แสดงให้เห็นว่าภัยคุกคามภายในนั้นพบไม่น้อย (56.5%) เมื่อเทียบกับภัยคุกคามภายนอก (มัลแวร์ สแปม แฮ็กเกอร์ ฯลฯ ) ง.) นอกจากนี้ ส่วนใหญ่อย่างล้นหลาม (77%) สาเหตุของการดำเนินการตามภัยคุกคามภายในคือความประมาทเลินเล่อของผู้ใช้เอง (ความล้มเหลวใน รายละเอียดงานหรือละเลยมาตรการรักษาความปลอดภัยข้อมูลขั้นพื้นฐาน)

พลวัตของการเปลี่ยนแปลงของสถานการณ์ในช่วงปี พ.ศ. 2549-2551 แสดงในรูปที่. 1.

การลดลงสัมพัทธ์ของส่วนแบ่งการรั่วไหลเนื่องจากความประมาทเลินเล่อเกิดจากการใช้ระบบป้องกันการรั่วไหลของข้อมูลบางส่วน (รวมถึงระบบสำหรับตรวจสอบการกระทำของผู้ใช้) ซึ่งให้การป้องกันการรั่วไหลโดยไม่ตั้งใจในระดับสูงพอสมควร นอกจากนี้ยังเกิดจากการเพิ่มขึ้นอย่างแน่นอนของจำนวนการขโมยข้อมูลส่วนบุคคลโดยเจตนา

แม้จะมีการเปลี่ยนแปลงทางสถิติ แต่เรายังสามารถพูดได้อย่างมั่นใจว่างานสำคัญอันดับแรกคือการต่อสู้กับการรั่วไหลของข้อมูลโดยไม่ได้ตั้งใจ เนื่องจากการตอบโต้การรั่วไหลดังกล่าวนั้นง่ายกว่า ถูกกว่า และด้วยเหตุนี้ เหตุการณ์ส่วนใหญ่จึงได้รับการคุ้มครอง

ในเวลาเดียวกัน ความประมาทเลินเล่อของพนักงานตามการวิเคราะห์ผลการวิจัยของ Infowatch และ Perimetrix ในปี 2547-2551 อยู่ในอันดับที่สองในบรรดาภัยคุกคามที่อันตรายที่สุด (ผลการวิจัยโดยสรุปแสดงไว้ในรูปที่ 2) และความเกี่ยวข้องยังคงเติบโตอย่างต่อเนื่อง ด้วยการปรับปรุงซอฟต์แวร์และฮาร์ดแวร์ระบบอัตโนมัติ (AS) ขององค์กร

ดังนั้นการใช้ระบบที่กำจัดความเป็นไปได้ที่พนักงานจะมีอิทธิพลเชิงลบต่อความปลอดภัยของข้อมูลในระบบอัตโนมัติขององค์กร (รวมถึงโปรแกรมการตรวจสอบ) ช่วยให้พนักงานบริการรักษาความปลอดภัยข้อมูลมีฐานหลักฐานและเอกสารสำหรับการสืบสวนเหตุการณ์ จะช่วยขจัดภัยคุกคามของ การรั่วไหลเนื่องจากความประมาท ลดการรั่วไหลโดยไม่ได้ตั้งใจได้อย่างมาก และยังช่วยลดการรั่วไหลโดยเจตนาเล็กน้อยอีกด้วย ท้ายที่สุดแล้ว มาตรการนี้ควรทำให้สามารถลดการดำเนินการตามภัยคุกคามจากผู้ฝ่าฝืนภายในได้อย่างมาก

ระบบอัตโนมัติที่ทันสมัยสำหรับการตรวจสอบการกระทำของผู้ใช้ ข้อดีและข้อเสีย

ระบบอัตโนมัติสำหรับการตรวจสอบ (การตรวจสอบ) การกระทำของผู้ใช้ (ASADP) AS ซึ่งมักเรียกว่าผลิตภัณฑ์ซอฟต์แวร์การตรวจสอบนั้นมีไว้สำหรับใช้งานโดยผู้ดูแลระบบความปลอดภัย AS (บริการรักษาความปลอดภัยข้อมูลขององค์กร) เพื่อให้มั่นใจในความสามารถในการสังเกต - "คุณสมบัติ ระบบคอมพิวเตอร์ซึ่งช่วยให้คุณสามารถบันทึกกิจกรรมของผู้ใช้ รวมถึงสร้างตัวระบุของผู้ใช้ที่เกี่ยวข้องกับเหตุการณ์บางอย่างโดยไม่ซ้ำกัน เพื่อป้องกันการละเมิดนโยบายความปลอดภัย และ/หรือรับประกันความรับผิดชอบสำหรับการกระทำบางอย่าง"

คุณสมบัติความสามารถในการสังเกตของ AS ขึ้นอยู่กับคุณภาพของการใช้งาน ช่วยให้สามารถติดตามการปฏิบัติตามโดยพนักงานขององค์กรด้วยนโยบายความปลอดภัยและกฎที่กำหนดไว้ในระดับหนึ่งหรืออย่างอื่น การทำงานที่ปลอดภัยบนคอมพิวเตอร์

การใช้ผลิตภัณฑ์ซอฟต์แวร์ตรวจสอบ รวมถึงแบบเรียลไทม์ มีจุดประสงค์เพื่อ:

• ระบุ (แปล) ทุกกรณีของความพยายามในการเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตพร้อมการระบุเวลาและสถานที่ทำงานเครือข่ายที่แน่นอนซึ่งมีความพยายามดังกล่าวเกิดขึ้น
• ระบุข้อเท็จจริงของการติดตั้งซอฟต์แวร์โดยไม่ได้รับอนุญาต
• ระบุทุกกรณีของการใช้ฮาร์ดแวร์เพิ่มเติมโดยไม่ได้รับอนุญาต (เช่น โมเด็ม เครื่องพิมพ์ ฯลฯ) โดยการวิเคราะห์ข้อเท็จจริงของการเปิดตัวแอปพลิเคชันพิเศษที่ติดตั้งโดยไม่ได้รับอนุญาต
• ระบุทุกกรณีของการพิมพ์คำและวลีวิจารณ์บนแป้นพิมพ์ การเตรียมเอกสารสำคัญ การโอนไปยังบุคคลที่สามจะนำไปสู่ความเสียหายทางวัตถุ
• ควบคุมการเข้าถึงเซิร์ฟเวอร์และคอมพิวเตอร์ส่วนบุคคล
• ควบคุมผู้ติดต่อขณะท่องเว็บ เครือข่ายอินเทอร์เน็ต;
• ดำเนินการวิจัยที่เกี่ยวข้องกับการกำหนดความถูกต้อง ประสิทธิภาพ และเพียงพอของการตอบสนองต่ออิทธิพลภายนอกของบุคลากร
• กำหนดภาระบนเวิร์กสเตชันคอมพิวเตอร์ขององค์กร (ตามเวลาของวันตามวันในสัปดาห์ ฯลฯ ) เพื่อวัตถุประสงค์ขององค์กรทางวิทยาศาสตร์ของแรงงานผู้ใช้
• ตรวจสอบกรณีการใช้งาน คอมพิวเตอร์ส่วนบุคคลในระหว่างนอกเวลาทำงานและระบุวัตถุประสงค์ของการใช้งานดังกล่าว
• รับข้อมูลที่เชื่อถือได้ที่จำเป็นโดยพิจารณาจากการตัดสินใจเพื่อปรับและปรับปรุงนโยบายความปลอดภัยข้อมูลขององค์กร ฯลฯ

การใช้งานฟังก์ชันเหล่านี้ทำได้โดยการแนะนำโมดูลตัวแทน (เซ็นเซอร์) บนเวิร์กสเตชันและเซิร์ฟเวอร์ AS พร้อมการสำรวจสถานะเพิ่มเติมหรือรับรายงานจากโมดูลเหล่านั้น รายงานจะได้รับการประมวลผลในคอนโซลผู้ดูแลระบบความปลอดภัย บางระบบมีการติดตั้งเซิร์ฟเวอร์ระดับกลาง (จุดรวม) ที่ประมวลผลพื้นที่ของตนเองและกลุ่มความปลอดภัย

ดำเนินการ การวิเคราะห์ระบบโซลูชันที่นำเสนอในตลาด (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, Uryadnik/Enterprise Guard, Insider) ทำให้สามารถระบุคุณสมบัติเฉพาะจำนวนหนึ่งได้ โดยให้ ASADP ที่มีแนวโน้มว่าจะปรับปรุงตัวบ่งชี้ประสิทธิภาพในการเปรียบเทียบ กับตัวอย่างที่ศึกษา

ในกรณีทั่วไป พร้อมด้วยฟังก์ชันการทำงานที่ค่อนข้างกว้างและตัวเลือกแพ็คเกจจำนวนมาก ระบบที่มีอยู่สามารถใช้เพื่อติดตามกิจกรรมของผู้ใช้ AS แต่ละรายเท่านั้น โดยอิงตามการสำรวจแบบวนรอบบังคับ (การสแกน) ขององค์ประกอบ AS ที่ระบุทั้งหมด (และเวิร์กสเตชันหลัก) ผู้ใช้)

ในขณะเดียวกันก็มีการกระจายและขนาดของระบบที่ทันสมัยรวมทั้งค่อนข้างมาก จำนวนมาก AWS เทคโนโลยี และซอฟต์แวร์ ทำให้กระบวนการตรวจสอบงานของผู้ใช้มีความซับซ้อนอย่างมาก และอุปกรณ์เครือข่ายแต่ละเครื่องก็สามารถสร้างข้อความตรวจสอบได้หลายพันข้อความ เข้าถึงข้อมูลปริมาณค่อนข้างมากซึ่งจำเป็นต้องดูแลรักษาฐานข้อมูลขนาดใหญ่และมักจะซ้ำกัน เหนือสิ่งอื่นใด เครื่องมือเหล่านี้ใช้ทรัพยากรเครือข่ายและฮาร์ดแวร์จำนวนมากและโหลดระบบที่ใช้ร่วมกัน พวกเขากลับกลายเป็นว่าไม่ยืดหยุ่นกับการกำหนดค่าฮาร์ดแวร์และซอฟต์แวร์ใหม่ เครือข่ายคอมพิวเตอร์ไม่สามารถปรับตัวให้เข้ากับการละเมิดประเภทที่ไม่รู้จักและการโจมตีเครือข่ายได้ และประสิทธิภาพของการตรวจจับการละเมิดนโยบายความปลอดภัยจะขึ้นอยู่กับความถี่ในการสแกนองค์ประกอบ AS โดยผู้ดูแลระบบความปลอดภัยเป็นส่วนใหญ่

วิธีหนึ่งในการเพิ่มประสิทธิภาพของระบบเหล่านี้คือการเพิ่มความถี่ในการสแกนโดยตรง สิ่งนี้จะนำไปสู่การลดประสิทธิภาพของการปฏิบัติงานหลักเหล่านั้นอย่างหลีกเลี่ยงไม่ได้ซึ่งอันที่จริง AS นี้ตั้งใจไว้เนื่องจากการเพิ่มขึ้นอย่างมากในภาระการประมวลผลทั้งบนเวิร์กสเตชันของผู้ดูแลระบบและบนคอมพิวเตอร์ของเวิร์กสเตชันของผู้ใช้เช่นกัน เช่นเดียวกับการเติบโตของการจราจร เครือข่ายท้องถิ่นเครื่องปรับอากาศ

นอกเหนือจากปัญหาที่เกี่ยวข้องกับการวิเคราะห์ข้อมูลจำนวนมากแล้ว ระบบการตรวจสอบที่มีอยู่ยังมีข้อจำกัดร้ายแรงในด้านประสิทธิภาพและความแม่นยำในการตัดสินใจ ซึ่งเกิดจากปัจจัยมนุษย์ที่กำหนดโดยความสามารถทางกายภาพของผู้ดูแลระบบในฐานะผู้ปฏิบัติงานที่เป็นมนุษย์

การมีอยู่ในระบบการตรวจสอบที่มีอยู่ของความสามารถในการแจ้งเตือนเกี่ยวกับการกระทำที่ไม่ได้รับอนุญาตที่ชัดเจนของผู้ใช้แบบเรียลไทม์ไม่สามารถแก้ปัญหาโดยรวมได้เนื่องจากช่วยให้สามารถติดตามเฉพาะการละเมิดประเภทที่ทราบก่อนหน้านี้เท่านั้น (วิธีการลงนาม) และไม่สามารถ ต่อต้านการละเมิดประเภทใหม่

การพัฒนาและการใช้วิธีการที่ครอบคลุมในการรับรองความปลอดภัยของข้อมูลในระบบความปลอดภัยของข้อมูลโดยเพิ่มระดับการป้องกันเนื่องจากการ "เลือก" ทรัพยากรคอมพิวเตอร์เพิ่มเติมจาก AS จะช่วยลดความสามารถของ AS ในการแก้ปัญหา งานที่ตั้งใจไว้และ/หรือเพิ่มต้นทุน ความล้มเหลวของแนวทางนี้ในตลาดเทคโนโลยีไอทีที่กำลังพัฒนาอย่างรวดเร็วนั้นค่อนข้างชัดเจน

ระบบอัตโนมัติสำหรับการตรวจสอบ (ติดตาม) การกระทำของผู้ใช้ คุณสมบัติที่มีแนวโน้ม

จากผลการวิเคราะห์ที่นำเสนอก่อนหน้านี้ เป็นไปตามความจำเป็นที่ชัดเจนในการให้คุณสมบัติต่อไปนี้แก่ระบบการตรวจสอบที่มีแนวโน้ม:

• ระบบอัตโนมัติกำจัดการดำเนินการ "ด้วยตนเอง" ตามปกติ
• การรวมกันของการรวมศูนย์ (ขึ้นอยู่กับเวิร์กสเตชันผู้ดูแลระบบความปลอดภัยอัตโนมัติ) กับการจัดการในระดับ แต่ละองค์ประกอบ(ผู้มีปัญญา โปรแกรมคอมพิวเตอร์) ระบบสำหรับติดตามการทำงานของผู้ใช้ AS;
• ความสามารถในการปรับขนาดซึ่งช่วยให้เพิ่มขีดความสามารถของระบบตรวจสอบและขยายขีดความสามารถโดยไม่ต้องเพิ่มทรัพยากรคอมพิวเตอร์ที่จำเป็นสำหรับการทำงานที่มีประสิทธิภาพ
• การปรับตัวให้เข้ากับการเปลี่ยนแปลงองค์ประกอบและลักษณะของ AS ตลอดจนการเกิดขึ้นของการละเมิดนโยบายความปลอดภัยประเภทใหม่

โครงสร้างทั่วไปของ ASADP AS ซึ่งมีคุณสมบัติโดดเด่นที่ระบุไว้ ซึ่งสามารถนำไปใช้ใน AS ได้ เพื่อวัตถุประสงค์ต่างๆและอุปกรณ์เสริมต่างๆ ตามภาพ 3.

โครงสร้างที่กำหนดประกอบด้วยส่วนประกอบหลักดังต่อไปนี้:

• ส่วนประกอบซอฟต์แวร์-เซ็นเซอร์ที่วางอยู่บนองค์ประกอบบางส่วนของระบบลำโพง (เวิร์กสเตชันของผู้ใช้ เซิร์ฟเวอร์ อุปกรณ์เครือข่ายเครื่องมือรักษาความปลอดภัยข้อมูล) ที่ใช้ในการบันทึกและประมวลผลข้อมูลการตรวจสอบแบบเรียลไทม์
• ไฟล์การลงทะเบียนที่มีข้อมูลระดับกลางเกี่ยวกับงานของผู้ใช้
• การประมวลผลข้อมูลและองค์ประกอบการตัดสินใจที่ได้รับข้อมูลจากเซ็นเซอร์ผ่านไฟล์การลงทะเบียน วิเคราะห์และตัดสินใจในการดำเนินการต่อไป (เช่น การป้อนข้อมูลบางอย่างลงในฐานข้อมูล การแจ้งเจ้าหน้าที่ การสร้างรายงาน ฯลฯ)
• ฐานข้อมูลการตรวจสอบ (DB) ที่มีข้อมูลเกี่ยวกับเหตุการณ์ที่ลงทะเบียนทั้งหมดบนพื้นฐานของการสร้างรายงานและสถานะของ AS จะถูกตรวจสอบในช่วงเวลาที่กำหนด
• ส่วนประกอบสำหรับการสร้างรายงานและใบรับรองตามข้อมูลที่บันทึกไว้ในฐานข้อมูลการตรวจสอบและบันทึกการกรอง (ตามวันที่ ตามรหัสผู้ใช้ ตามเวิร์กสเตชัน ตามเหตุการณ์ด้านความปลอดภัย ฯลฯ)
• ส่วนประกอบของอินเทอร์เฟซผู้ดูแลระบบความปลอดภัย ซึ่งทำหน้าที่ควบคุมการทำงานของ ASADP AS ด้วยเวิร์กสเตชัน ดูและพิมพ์ข้อมูล สร้าง หลากหลายชนิดสอบถามฐานข้อมูลและการสร้างรายงาน ช่วยให้สามารถตรวจสอบกิจกรรมปัจจุบันของผู้ใช้ AS แบบเรียลไทม์และประเมินระดับความปลอดภัยปัจจุบันของทรัพยากรต่างๆ
• ส่วนประกอบเพิ่มเติม โดยเฉพาะส่วนประกอบซอฟต์แวร์สำหรับการกำหนดค่าระบบ การติดตั้งและวางเซ็นเซอร์ การเก็บถาวรและการเข้ารหัสข้อมูล เป็นต้น

การประมวลผลข้อมูลใน ASADP AS ประกอบด้วยขั้นตอนต่อไปนี้:

• บันทึกข้อมูลการลงทะเบียนด้วยเซ็นเซอร์
• การรวบรวมข้อมูลจากเซ็นเซอร์แต่ละตัว
• การแลกเปลี่ยนข้อมูลระหว่างตัวแทนระบบที่เกี่ยวข้อง
• การประมวลผล การวิเคราะห์ และความสัมพันธ์ของเหตุการณ์ที่ลงทะเบียนไว้
• การนำเสนอข้อมูลที่ประมวลผลต่อผู้ดูแลระบบความปลอดภัยในรูปแบบมาตรฐาน (ในรูปแบบของรายงาน แผนภูมิ ฯลฯ)

เพื่อลดทรัพยากรการประมวลผลที่จำเป็น เพิ่มความลับและความน่าเชื่อถือของระบบ ข้อมูลสามารถเก็บไว้ในองค์ประกอบ AS ต่างๆ

จากงานในการให้คุณสมบัติใหม่พื้นฐาน (เมื่อเทียบกับระบบที่มีอยู่สำหรับการตรวจสอบงานของผู้ใช้ AS) คุณสมบัติอัตโนมัติการรวมกันของการรวมศูนย์และการกระจายอำนาจ ความสามารถในการปรับขนาดและการปรับตัว หนึ่งในกลยุทธ์ที่เป็นไปได้สำหรับการก่อสร้างดูเหมือนจะเป็น เทคโนโลยีที่ทันสมัยระบบหลายตัวแทนอัจฉริยะ ดำเนินการโดยการพัฒนาชุมชนตัวแทนแบบบูรณาการ หลากหลายชนิด(โปรแกรมอัตโนมัติอัจฉริยะที่ใช้ฟังก์ชันบางอย่างในการตรวจจับและตอบโต้การกระทำของผู้ใช้ที่ขัดต่อนโยบายความปลอดภัย) และจัดระเบียบการโต้ตอบของพวกเขา

เพื่อตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์ใน วินโดวส์เซิร์ฟเวอร์ 2008 R2 คุณต้องเปิดใช้งานฟังก์ชันการตรวจสอบ และระบุโฟลเดอร์และไฟล์ที่ควรบันทึกการเข้าถึงด้วย หลังจากตั้งค่าการตรวจสอบ บันทึกเซิร์ฟเวอร์จะมีข้อมูลเกี่ยวกับการเข้าถึงและกิจกรรมอื่น ๆ ในไฟล์และโฟลเดอร์ที่เลือก เป็นที่น่าสังเกตว่าการตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์สามารถทำได้เฉพาะกับโวลุ่มที่มีระบบไฟล์ NTFS เท่านั้น

เปิดใช้งานการตรวจสอบวัตถุระบบไฟล์ใน Windows Server 2008 R2

การตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์ถูกเปิดใช้งานและปิดใช้งานโดยใช้ นโยบายกลุ่ม: นโยบายโดเมนสำหรับโดเมน ไดเรกทอรีที่ใช้งานอยู่หรือนโยบายความปลอดภัยท้องถิ่นสำหรับเซิร์ฟเวอร์แบบสแตนด์อโลน หากต้องการเปิดใช้งานการตรวจสอบในแต่ละเซิร์ฟเวอร์ คุณต้องเปิดคอนโซลการจัดการ นักการเมืองท้องถิ่น เริ่ม ->ทั้งหมดโปรแกรม ->ฝ่ายธุรการเครื่องมือ ->ท้องถิ่นความปลอดภัยนโยบาย. ในคอนโซลนโยบายท้องถิ่น คุณต้องขยายแผนผังนโยบายท้องถิ่น ( ท้องถิ่นนโยบาย)และเลือกองค์ประกอบ การตรวจสอบนโยบาย.

ในแผงด้านขวา คุณต้องเลือกองค์ประกอบ การตรวจสอบวัตถุเข้าถึงและในหน้าต่างที่ปรากฏขึ้น ให้ระบุประเภทของเหตุการณ์การเข้าถึงไฟล์และโฟลเดอร์ที่ต้องบันทึก (การเข้าถึงสำเร็จ/ไม่สำเร็จ):

หลังจากเลือกการตั้งค่าที่ต้องการแล้ว คลิก ตกลง.

การเลือกไฟล์และโฟลเดอร์ที่จะบันทึกการเข้าถึง

หลังจากเปิดใช้งานการตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์แล้ว คุณจะต้องเลือกออบเจ็กต์เฉพาะ ระบบไฟล์การเข้าถึงซึ่งจะถูกตรวจสอบ เช่นเดียวกับสิทธิ์ NTFS การตั้งค่าการตรวจสอบจะสืบทอดตามค่าเริ่มต้นไปยังออบเจ็กต์ลูกทั้งหมด (เว้นแต่จะกำหนดค่าเป็นอย่างอื่น) เช่นเดียวกับเมื่อกำหนดสิทธิ์การเข้าถึงไฟล์และโฟลเดอร์ คุณสามารถเปิดใช้งานการสืบทอดการตั้งค่าการตรวจสอบสำหรับออบเจ็กต์ที่เลือกทั้งหมดหรือเฉพาะเท่านั้น

หากต้องการตั้งค่าการตรวจสอบสำหรับโฟลเดอร์/ไฟล์เฉพาะ คุณต้องคลิกที่ไฟล์นั้น คลิกขวาเมาส์และเลือกคุณสมบัติ ( คุณสมบัติ). ในหน้าต่างคุณสมบัติ ไปที่แท็บความปลอดภัย ( ความปลอดภัย) และกดปุ่ม ขั้นสูง. ในหน้าต่างการตั้งค่าความปลอดภัยขั้นสูง ( ขั้นสูงความปลอดภัยการตั้งค่า) ไปที่แท็บตรวจสอบ ( การตรวจสอบ). แน่นอนว่าการตั้งค่าการตรวจสอบต้องใช้สิทธิ์ของผู้ดูแลระบบ ในขั้นตอนนี้ หน้าต่างการตรวจสอบจะแสดงรายชื่อผู้ใช้และกลุ่มที่เปิดใช้งานการตรวจสอบสำหรับทรัพยากรนี้:

หากต้องการเพิ่มผู้ใช้หรือกลุ่มที่จะบันทึกการเข้าถึงออบเจ็กต์นี้ ให้คลิกปุ่ม เพิ่ม…และระบุชื่อผู้ใช้/กลุ่มเหล่านี้ (หรือระบุ ทุกคน– เพื่อตรวจสอบการเข้าถึงของผู้ใช้ทั้งหมด):

ทันทีหลังจากใช้การตั้งค่าเหล่านี้กับ บันทึกระบบความปลอดภัย (คุณสามารถดูได้ในสแน็ปอิน คอมพิวเตอร์การจัดการ ->ตัวแสดงเหตุการณ์) แต่ละครั้งที่คุณเข้าถึงออบเจ็กต์ที่เปิดใช้งานการตรวจสอบ รายการที่เกี่ยวข้องจะปรากฏขึ้น

หรืออีกทางหนึ่ง สามารถดูและกรองเหตุการณ์ได้โดยใช้ PowerShell cmdlet - รับ-EventLogตัวอย่างเช่น หากต้องการแสดงเหตุการณ์ทั้งหมดด้วย eventid 4660 ให้รันคำสั่ง:

รับ-EventLog การรักษาความปลอดภัย | ?($_.เหตุการณ์ -eq 4660)

คำแนะนำ. สามารถกำหนดให้จัดงานใด ๆ ใน บันทึกของ Windowsการดำเนินการบางอย่าง เช่น การส่ง อีเมลหรือการดำเนินการสคริปต์ วิธีการกำหนดค่านี้อธิบายไว้ในบทความ:

อัปเดตตั้งแต่ 06.08.2012 (ขอบคุณผู้บรรยาย)

ใน Windows 2008/Windows 7 มีการนำการจัดการการตรวจสอบมาใช้ ยูทิลิตี้พิเศษ การตรวจสอบ. รายการเต็มประเภทของออบเจ็กต์ที่สามารถเปิดใช้งานการตรวจสอบได้สามารถดูได้โดยใช้คำสั่ง:

Auditpol /list /subcategory:*

อย่างที่คุณเห็นวัตถุเหล่านี้แบ่งออกเป็น 9 หมวดหมู่:

• ระบบ
• เข้าสู่ระบบ/ออกจากระบบ
• การเข้าถึงวัตถุ
• การใช้สิทธิพิเศษ
• การติดตามโดยละเอียด
• การเปลี่ยนแปลงนโยบาย
• การจัดการบัญชี
• การเข้าถึง DS
• เข้าสู่ระบบบัญชี

และแต่ละประเภทก็ถูกแบ่งออกเป็นหมวดหมู่ย่อย ตัวอย่างเช่น หมวดหมู่การตรวจสอบ Object Access จะมีหมวดหมู่ย่อย File System และหากต้องการเปิดใช้งานการตรวจสอบสำหรับออบเจ็กต์ระบบไฟล์บนคอมพิวเตอร์ ให้รันคำสั่ง:

Auditpol /set /subcategory:"ระบบไฟล์" /failure:enable /success:enable

มันถูกปิดใช้งานตามคำสั่ง:

Auditpol /set /subcategory:"ระบบไฟล์" /failure:disable /success:disable

เหล่านั้น. หากคุณปิดใช้งานการตรวจสอบหมวดหมู่ย่อยที่ไม่จำเป็น คุณสามารถลดปริมาณบันทึกและจำนวนเหตุการณ์ที่ไม่จำเป็นได้อย่างมาก

หลังจากเปิดใช้งานการตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์แล้ว คุณจะต้องระบุวัตถุเฉพาะที่เราจะตรวจสอบ (ในคุณสมบัติของไฟล์และโฟลเดอร์) โปรดทราบว่าตามค่าเริ่มต้น การตั้งค่าการตรวจสอบจะสืบทอดไปยังออบเจ็กต์ลูกทั้งหมด (เว้นแต่จะระบุไว้เป็นอย่างอื่น)

บางครั้งเหตุการณ์เกิดขึ้นที่ทำให้เราต้องตอบคำถาม "ใครทำ?"สิ่งนี้สามารถเกิดขึ้นได้ “ไม่บ่อยนักแต่แม่นยำ” ดังนั้นคุณควรเตรียมตัวตอบคำถามล่วงหน้า

เกือบทุกแห่งมีแผนกออกแบบ แผนกบัญชี นักพัฒนา และพนักงานประเภทอื่นๆ ที่ทำงานร่วมกันในกลุ่มเอกสารที่จัดเก็บไว้ในโฟลเดอร์ที่เข้าถึงได้แบบสาธารณะ (แชร์) บนไฟล์เซิร์ฟเวอร์หรือบนเวิร์กสเตชันเครื่องใดเครื่องหนึ่ง อาจเกิดขึ้นได้ว่ามีคนลบเอกสารหรือไดเร็กทอรีสำคัญออกจากโฟลเดอร์นี้ ส่งผลให้งานของทั้งทีมสูญหาย ในกรณีนี้ก่อน ผู้ดูแลระบบมีคำถามมากมายเกิดขึ้น:

ปัญหาเกิดขึ้นเมื่อใดและเมื่อไร?

จากอันไหนที่ใกล้เคียงที่สุดในเวลานี้ สำเนาสำรองข้อมูลควรถูกกู้คืนหรือไม่?

อาจจะมี ระบบล่มอะไรจะเกิดขึ้นได้อีก?

วินโดว์มีระบบ การตรวจสอบ,ช่วยให้คุณสามารถติดตามและบันทึกข้อมูลเกี่ยวกับเวลา โดยใคร และใช้เอกสารโปรแกรมใดที่ถูกลบ ตามค่าเริ่มต้น การตรวจสอบไม่ได้เปิดใช้งาน - การติดตามตัวเองต้องใช้พลังงานของระบบเป็นเปอร์เซ็นต์ และหากคุณบันทึกทุกอย่าง โหลดจะมีขนาดใหญ่เกินไป นอกจากนี้ ไม่ใช่ว่าการกระทำของผู้ใช้ทั้งหมดอาจทำให้เราสนใจ ดังนั้นนโยบายการตรวจสอบจึงอนุญาตให้เราติดตามเฉพาะเหตุการณ์ที่สำคัญสำหรับเราจริงๆ เท่านั้น

ระบบการตรวจสอบถูกสร้างขึ้นในทุกสิ่ง ระบบปฏิบัติการ ไมโครซอฟต์หน้าต่างนท: Windows XP/Vista/7, Windows Server 2000/2003/2008 น่าเสียดายที่ในระบบซีรีย์ วินโดว์โฮมการตรวจสอบถูกซ่อนไว้อย่างลึกซึ้งและกำหนดค่าได้ยากเกินไป

ต้องกำหนดค่าอะไรบ้าง?

หากต้องการเปิดใช้งานการตรวจสอบ ให้เข้าสู่ระบบด้วยสิทธิ์ผู้ดูแลระบบในคอมพิวเตอร์ที่ให้การเข้าถึงเอกสารที่ใช้ร่วมกันและรันคำสั่ง เริ่ม→วิ่ง→gpedit.msc. ในส่วนการกำหนดค่าคอมพิวเตอร์ ให้ขยายโฟลเดอร์ การตั้งค่าวินโดวส์→ ตั้งค่าความปลอดภัย→ นโยบายท้องถิ่น→ นโยบายการตรวจสอบ:

ดับเบิลคลิกที่นโยบาย การเข้าถึงออบเจ็กต์การตรวจสอบ (การตรวจสอบการเข้าถึงออบเจ็กต์)และเลือกช่องทำเครื่องหมาย ความสำเร็จ. การตั้งค่านี้ช่วยให้กลไกในการตรวจสอบการเข้าถึงไฟล์และรีจิสทรีได้สำเร็จ แท้จริงแล้วเราสนใจเฉพาะความพยายามในการลบไฟล์หรือโฟลเดอร์ที่ประสบความสำเร็จเท่านั้น เปิดใช้งานการตรวจสอบเฉพาะบนคอมพิวเตอร์ที่จัดเก็บออบเจ็กต์ที่ถูกตรวจสอบโดยตรง

การเปิดใช้งานนโยบายการตรวจสอบเพียงอย่างเดียวนั้นไม่เพียงพอ เราต้องระบุโฟลเดอร์ที่เราต้องการตรวจสอบด้วย โดยทั่วไปแล้ว ออบเจ็กต์ดังกล่าวคือโฟลเดอร์ของเอกสารและโฟลเดอร์ทั่วไป (ที่ใช้ร่วมกัน) ที่มีโปรแกรมการผลิตหรือฐานข้อมูล (การบัญชี คลังสินค้า ฯลฯ) ซึ่งก็คือทรัพยากรที่คนหลายคนทำงานด้วย

เป็นไปไม่ได้ที่จะคาดเดาล่วงหน้าว่าใครจะลบไฟล์อย่างแน่นอน ดังนั้นจึงมีการระบุการติดตามสำหรับทุกคน ความพยายามในการลบออบเจ็กต์ที่ถูกตรวจสอบโดยผู้ใช้ใดๆ จะถูกบันทึกไว้ เรียกคุณสมบัติของโฟลเดอร์ที่ต้องการ (หากมีหลายโฟลเดอร์ดังกล่าวให้เปิดทั้งหมดตามลำดับ) และบนแท็บ ความปลอดภัย → ขั้นสูง → การตรวจสอบเพิ่มการติดตามเรื่อง ทุกคนความพยายามในการเข้าถึงที่ประสบความสำเร็จของเขา ลบและ ลบโฟลเดอร์ย่อยและไฟล์:

สามารถบันทึกเหตุการณ์ได้ค่อนข้างมาก ดังนั้นคุณควรปรับขนาดบันทึกด้วย ความปลอดภัย(ความปลอดภัย)ซึ่งพวกเขาจะถูกบันทึกไว้ สำหรับ
รันคำสั่งนี้ เริ่ม→ วิ่ง→ เหตุการณ์vwr. ปริญญาโท. ในหน้าต่างที่ปรากฏขึ้น ให้เรียกคุณสมบัติของบันทึกความปลอดภัยและระบุพารามิเตอร์ต่อไปนี้:

ขนาดบันทึกสูงสุด = 65536 เค.บี.(สำหรับเวิร์กสเตชัน) หรือ 262144 เค.บี.(สำหรับเซิร์ฟเวอร์)

เขียนทับเหตุการณ์ตามความจำเป็น

ในความเป็นจริง ตัวเลขที่ระบุไม่รับประกันว่าจะมีความแม่นยำ แต่จะถูกเลือกโดยเชิงประจักษ์สำหรับแต่ละกรณี

หน้าต่าง 2003/ ประสบการณ์)?

คลิก เริ่ม→ วิ่ง→ eventvwr.msc ความปลอดภัย. ดู→ กรอง

• แหล่งที่มาของเหตุการณ์:ความปลอดภัย;
• หมวดหมู่: การเข้าถึงวัตถุ;
• ประเภทเหตุการณ์: การตรวจสอบความสำเร็จ;
• รหัสเหตุการณ์: 560;

เรียกดูรายการเหตุการณ์ที่กรอง โดยให้ความสนใจกับฟิลด์ต่อไปนี้ภายในแต่ละรายการ:

• วัตถุชื่อ. ชื่อของโฟลเดอร์หรือไฟล์ที่คุณกำลังมองหา
• ภาพไฟล์ชื่อ. ชื่อของโปรแกรมที่ลบไฟล์
• การเข้าถึง. ชุดสิทธิที่ร้องขอ

โปรแกรมสามารถขอเข้าใช้ระบบได้หลายประเภทพร้อมกัน เช่น ลบ+ ซิงโครไนซ์หรือ ลบ+ อ่าน_ ควบคุม. สิทธิที่สำคัญสำหรับเราคือ ลบ.

แล้วใครเป็นคนลบเอกสาร (หน้าต่าง 2008/ วิสตา)?

คลิก เริ่ม→ วิ่ง→ eventvwr.mscและเปิดนิตยสารเพื่อดู ความปลอดภัย.บันทึกอาจเต็มไปด้วยเหตุการณ์ที่ไม่เกี่ยวข้องโดยตรงกับปัญหา คลิกขวาที่บันทึกความปลอดภัยแล้วเลือก ดู→ กรองและกรองการดูของคุณตามเกณฑ์ต่อไปนี้:

• แหล่งที่มาของเหตุการณ์: ความปลอดภัย;
• หมวดหมู่: การเข้าถึงวัตถุ;
• ประเภทเหตุการณ์: การตรวจสอบความสำเร็จ;
• รหัสเหตุการณ์: 4663;

อย่ารีบตีความการลบทั้งหมดว่าเป็นอันตราย ฟังก์ชันนี้มักใช้ระหว่างการทำงานของโปรแกรมปกติ เช่น การรันคำสั่ง บันทึก(บันทึก),โปรแกรมแพ็คเกจ ไมโครซอฟต์สำนักงานขั้นแรกให้สร้างไฟล์ชั่วคราวใหม่ บันทึกเอกสารลงในนั้น จากนั้นจึงลบออก รุ่นก่อนหน้าไฟล์. ในทำนองเดียวกัน แอปพลิเคชันฐานข้อมูลจำนวนมากจะสร้างไฟล์ล็อคชั่วคราวก่อนเมื่อเปิดใช้งาน (. โชค), แล้วลบออกเมื่อออกจากโปรแกรม

ฉันต้องรับมือกับการกระทำที่เป็นอันตรายของผู้ใช้ในทางปฏิบัติ ตัวอย่างเช่น พนักงานที่มีข้อขัดแย้งในบริษัทแห่งหนึ่งเมื่อออกจากงาน ตัดสินใจที่จะทำลายผลงานทั้งหมดของเขา โดยลบไฟล์และโฟลเดอร์ที่เขาเกี่ยวข้อง เหตุการณ์ประเภทนี้สามารถมองเห็นได้ชัดเจน โดยสร้างรายการนับสิบหลายร้อยรายการต่อวินาทีในบันทึกความปลอดภัย แน่นอนว่าการเรียกคืนเอกสารจาก เงาสำเนา (หอกเงา) หรือการสร้างไฟล์เก็บถาวรอัตโนมัติทุกวันไม่ใช่เรื่องยาก แต่ในขณะเดียวกัน ก็สามารถตอบคำถามว่า “ใครทำสิ่งนี้” และ “สิ่งนี้เกิดขึ้นเมื่อใด”