Параметры аудита объектов

Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL) (Список — часть дескриптора безопасности объекта, — предоставляющий или отменяющий разрешения для конкретных пользователей и групп. Аббревиатура DACL образована от Discretionary Access Control List).

Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL) (Список — часть дескриптора безопасности объекта, — определяющий события, проверяемые для пользователя или группы. Примерами таких событий являются: доступ к файлам, вход в систему, выключение системы. Аббревиатура SACL образована от System Access Control List). В таблице SACL указываются следующие сведения.

Учетные записи группы или пользователя для аудита при осуществлении доступа к объекту.

События доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла.

Атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.

Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory.

Файлы и папки

Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.

После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.

Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.

В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.

Действия с папками Действия с файлами
Просмотр имен файлов в папке Просмотр содержимого файла
Просмотр атрибутов папки Просмотр атрибутов файла
Изменение атрибутов папки Просмотр разрешений и имени владельца
Создание подкаталогов и файлов Изменение файла
Переход в подкаталоги Изменение атрибутов файла
Отображение владельца и разрешений папки Выполнение (если файл является программным модулем)
Удаление папки Удаление файла
Смена разрешений для папки. Смена разрешений для файла
Смена владельца папки Смена владельца файла

Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.

Объекты Active Directory

Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:

чтения/записи всех свойств;

чтения/записи отдельных свойств.

Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».

2. Защита данных

Безопасность и целостность данных начинаются с определения подлинности (процесс проверки регистрационных сведений, предоставленных пользователем. Имя пользователя и пароль проверяются по списку пользователей, которым разрешен доступ в систему. Если данные обнаружены, пользователю предоставляется доступ, определяемый набором соответствующих разрешений. При входе пользователя в компьютер, на котором выполняется Windows 2000 Professional, проверка подлинности осуществляется этой рабочей станцией. Если пользователь входит в домен на компьютере, на котором выполняется Windows 2000 Server, проверка подлинности может быть выполнена любым сервером в этом домене) сети. Пользователь может войти в сеть и получить разрешение на доступ к данным с подходящими учетными данными (либо с надежным паролем, либо с открытым ключом).

В Windows 2000 поддерживаются защита двух типов данных — сохраненных и сетевых.

Защита сохраненных данных

Средства защиты сохраненных (оперативных и автономных) данных приведены ниже.

Шифрованная файловая система (EFS). EFS использует шифрование открытого ключа для шифрования локальных данных NTFS.

Цифровые подписи. Компоненты программного обеспечения подписываются цифровыми подписями для подтверждения их срока действия.

Доступ к файлам, безопасность которых требуется обеспечить, может быть ограничен через использование прав пользователей и разрешений. Однако, если злоумышленник получит доступ к диску пользователя, он может извлечь диск, установить его на другую систему, а затем при помощи привилегий администратора получить доступ к данным на диске. Чтобы этого избежать, в Windows 2000 используется наиболее надежный способ защиты, шифрование данных. Шифрование данных в Windows 2000 прозрачно, благодаря такой возможности, как шифрованная файловая система (EFS).

Шифрованная файловая система (EFS) позволяет пользователям безопасно хранить данные на локальных компьютерах. EFS делает это возможным, благодаря шифрованию данных в выбранных файлах и папках NTFS.

Поскольку EFS интегрирована в файловую систему, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры.

Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS также разработана для безопасного хранения данных на локальных компьютерах. Шифрованная файловая система не поддерживает общий доступ к зашифрованным данным.

Ключи шифрования EFS

Пользователю достаточно один раз задать шифрование файла, и фактический процесс шифрования и расшифровки данных будет для него полностью прозрачным. Пользователям не обязательно понимать весь процесс. Однако следующее объяснение шифрования и расшифровки данных может оказаться полезным для администраторов.

Это объяснение касается только файлов, но не папок. Сами по себе папки не шифруются, шифруется только содержимое файлов в папке. Как и папки, подкаталоги не шифруются; однако они выделяются, чтобы указать, что в них содержатся зашифрованные данные в файлах.

Шифрование файлов происходит следующим образом.

Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла.

Ключ шифрования файла сам по себе зашифрован — он защищен открытым ключом пользователя, соответствующим сертификату EFS.

Ключ шифрования файла также защищен открытым ключом прошедшего проверку агента восстановления.

Расшифровка файлов происходит следующим образом.

Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым.

Не только пользователь может расшифровать ключ шифрования файла. Это также может сделать агент восстановления с помощью своего закрытого ключа.

После расшифровки ключ шифрования файла может быть использован либо пользователем, либо агентом восстановления для расшифровки данных в файле.

Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (SAM) или в отдельном каталоге.

Кроме защиты данных пользователей от порчи или кражи, в Windows 2000 также поддерживается цифровая подпись, защищающая пользователей от небезопасных компонентов программ.

Цифровая подпись является способом, гарантирующим целостность и происхождение данных. Цифровая подпись обеспечивает убедительные доказательства, что данные не были изменены после подписания, и подтверждает подлинность пользователя или элемента, подписавшего данные. Это создает такие возможности системы безопасности, как целостность и неотрекаемость, которые важны для безопасных электронных торговых операций.

Цифровые подписи обычно используют при распространении данных в виде скрытого текста или в незашифрованной форме. В этих случаях, хотя уязвимость сообщения не является основанием для шифрования, могут быть важные причины гарантировать, что данные находятся в исходном виде и не были отправлены самозванцем. Это связано с тем, что в распределенных вычислительных средах незашифрованный текст может быть прочитан и изменен любым лицом с соответствующим доступом (санкционированным или нет).

Защита сетевых данных

Сетевые данные внутри сайта (локальной сети и подсетей) защищены протоколом проверки подлинности. Для установки дополнительных уровней защиты можно также выбрать шифрование сетевых данных внутри сайта. IPSEC позволяет шифровать все сетевые подключения для конкретных клиентов или для всех клиентов в домене. Безопасность IP (IPSEC) — это:

долгосрочное направление в области сетевой безопасности;

активная защита от атак из частной сети и Интернета при сохранении простоты использования;

набор служб защиты на основе криптографии, а также протоколов безопасности;

безопасность связи между узлами; об использовании IPSEC должны знать только два компьютера — отправляющая и принимающая стороны связи;

возможность защиты связей между рабочими группами, компьютерами локальной сети, клиентами и серверами домена, удаленными дочерними подразделениями организации, внешними сетями, мобильными клиентами и удаленными администраторами компьютеров.

Реализация IPSEC в Windows 2000 основана на промышленных стандартах, разрабатываемых рабочей группой IETF (Internet Engineering Task Force).

Ниже приведены служебные программы защиты входящих и выходящих (через интрасети, внешние сети или шлюз Интернета) сетевых данных сайта.

Безопасность протокола IP. Шифрование всех подключений TCP/IP для клиента.

Маршрутизация и удаленный доступ. Настройка маршрутизации и удаленного доступа.

Прокси-сервер. Защита сайта с помощью брандмауэра и прокси-сервера.

Кроме того, такие программы, как Microsoft Exchange, Microsoft Outlook и Microsoft Internet Explorer, производят шифрование с использованием открытого ключа сообщений и операций внутри сайта или в сетях.

Принцип работы IPSEC

Для наглядности в данном примере рассматривается использование IPSEC для компьютеров одного домена. Мария, работающая с приложением на компьютере A, отправляет сообщение Ивану.

Драйвер IPSEC на компьютере A проверяет список фильтров IP в активной политике на наличие совпадающего адреса или типа трафика исходящих пакетов.

Драйвер IPSEC предоставляет ISAKMP сведения для начала согласования безопасности с компьютером B.

Служба ISAKMP на компьютере B получает запрос для согласования безопасности.

Два компьютера выполняют обмен ключами, устанавливают соответствие безопасности ISAKMP и создают общий секретный ключ.

Два компьютера согласовывают уровень безопасности для передачи данных, устанавливая пару соответствий безопасности IPSEC и ключей для защиты пакетов IP.

Используя сопоставление безопасности IPSEC для исходящего трафика и ключ, драйвер IPSEC на компьютере A подписывает пакеты для проверки целостности и зашифровывает пакеты, если было согласовано шифрование.

Драйвер IPSEC на компьютере A отправляет пакеты на соответствующий тип подключения для передачи на компьютер B.

Компьютер B получает защищенные пакеты и передает их драйверу IPSEC.

Используя сопоставление безопасности IPSEC для входящего трафика и ключ, драйвер IPSEC на компьютере B проверяет подпись целостности и, при необходимости, расшифровывает пакеты.

Драйвер IPSEC на компьютере B передает расшифрованные пакеты драйверу TCP/IP, который передает их в принимающее приложение.

Для Марии и Ивана все эти процессы не видны. Стандартные маршрутизаторы и коммутаторы, передающие данные между сторонами подключения, не требуют использования IPSEC. Они автоматически пересылают зашифрованные пакеты IP в место назначения. Однако, если маршрутизатор функционирует как брандмауэр, шлюз безопасности или прокси-сервер, для прохождения безопасных пакетов IP необходимо включить специальную фильтрацию.

Общие сведения о маршрутизации

Служба маршрутизации и удаленного доступа, входящая в состав Microsoft Windows 2000 Server — это полнофункциональный программный маршрутизатор и открытая платформа для маршрутизации и объединения сетей. Она предлагает службы маршрутизации в локальных и глобальных сетевых средах, а также через Интернет с помощью безопасных виртуальных частных подключений. Служба маршрутизации и удаленного доступа объединяет функции раздельных служб маршрутизации и удаленного доступа Windows NT 4.0 и является расширением службы Routing and Remote Access Service (RRAS) Windows NT 4.0.

Одним из достоинств службы маршрутизации и удаленного доступа является ее интегрированность с операционной системой Windows 2000 Server. Служба маршрутизации и удаленного доступа предоставляет множество экономящих средства решений и работает со многими аппаратными платформами и с сотнями различных сетевых адаптеров. Служба маршрутизации и удаленного доступа расширяема с помощью интерфейсов программирования приложений (API), которые позволяют разработчикам создавать собственные сетевые решения для удовлетворения растущих потребностей открытых объединенных сетей.

Прокси-сервер

Такие приложения интрасетей, как веб-обозреватели, предоставляют больше возможностей, если локальная сеть подключена к Интернету, но установка такого ненастроенного подключения может угрожать безопасности локальной сети. Программа Microsoft Proxy Server помогает снизить возможность угрозы безопасности, управляя передачей данных между локальной сетью и Интернетом, повышая безопасность и эффективность приложений интрасети. Microsoft Proxy Server выполняет роль шлюза с безопасностью уровня брандмауэра между локальной сетью и Интернетом.

Прокси-сервер управляет трафиком между программами в одной сети и серверами в другой. Когда клиентская программа делает запрос, прокси-сервер преобразует его и передает в Интернет. После ответа компьютера в Интернете, прокси-сервера передает ответ в клиентскую программу на компьютер, с которого был сделан запрос. Прокси-сервер имеет два сетевых интерфейса: один подключен к локальной сети, а другой — к Интернету.

Основными возможностями безопасности прокси-сервера являются следующие.

Блокировка входящих подключений.

Клиенты в локальной сети могут создавать подключения к серверам в Интернете, но клиентам в Интернете не разрешается создавать подключения к серверам в локальной сети.

Ограничение исходящих подключений.

Клиенты локальной сети проходят проверку подлинности со своими стандартными учетными данными безопасности Windows NT. Прокси-сервер может ограничить исходящие подключения несколькими способами: по пользователю, протоколу, номеру порта TCP/IP, времени дня, имени конечного домена или по IP-адресу.

Поведение приложений будет различаться в зависимости от того, используется прокси-сервер или прямой доступ к сетевым ресурсам. Как правило, веб-обозреватели должны быть настроены заново, но дополнительного программного обеспечения не требуется.

3. Аудит

Установление контрольного следа является важным аспектом безопасности. Отображение создания и изменения объектов позволяет отслеживать возможные угрозы безопасности, помогает убедиться в подлинности пользователя, а также получать подтверждение в случае сбоя системы безопасности.

Внедрение аудита безопасности в систему включает три главных шага.

Во-первых, необходимо включить категории событий для аудита. Примерами категорий событий являются вход пользователя в систему, выход из нее и управление учетными записями. Выбранные категории событий составляют политику аудита. Поскольку при первой установке Windows 2000 никакие категории не выбраны, политика аудита отсутствует. Категории событий, для которых можно выполнить аудит, перечислены в окне «Управление компьютером».

Во-вторых, необходимо настроить размер и параметры журнала безопасности.

И, наконец, если выбрана либо категория доступа аудита службы каталогов, либо аудита объекта, необходимо определить объекты, для которых требуется отображать доступ и соответственно изменить их дескрипторы безопасности. Например, чтобы выполнить аудит всех попыток пользователей открыть конкретный файл, можно установить атрибут «Успех» или «Отказ» для этого файла и конкретного события.

Политики аудита

Перед внедрением аудита необходимо выбрать политику аудита. Политика аудита указывает категории событий, связанных с безопасностью, для аудита. При первой установке Windows 2000 все категории аудита выключены. Включая аудит различных категорий событий, можно создавать политику аудита, удовлетворяющую всем требованиям организации.

Категории аудита включаются и выключаются с помощью оснастки «Управление компьютером».

Для проведения аудита можно выбрать следующие категории событий:

аудит событий входа в систему;

аудит управления учетными записями;

аудит доступа к службе каталогов;

аудит входа в систему;

аудит доступа к объектам;

аудит изменения политики;

аудит использования привилегий;

аудит отслеживания процессов;

аудит системных событий.

Если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер). После включения правильной категории доступа к объекту можно использовать Свойства каждого отдельного объекта для указания аудита успехов или отказов для разрешений каждой группы или пользователя.

Параметры аудита объектов

Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL).

Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL). В таблице SACL указываются следующие сведения:

учетные записи группы или пользователя для аудита при осуществлении доступа к объекту;

события доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла;

атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.

Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory. В следующих разделах перечислены типы доступа.

Файлы и папки

Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.

После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.

Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.

В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.

Действия с папками Действия с файлами
   
Просмотр имен файлов в папке Просмотр содержимого файла
Просмотр атрибутов папки Просмотр атрибутов файла
Изменение атрибутов папки Просмотр разрешений и имени владельца
Создание подкаталогов и файлов Изменение файла
Переход в подкаталоги Изменение атрибутов файла
Отображение владельца и разрешений папки Выполнение (если файл является программным модулем)
Удаление папки Удаление файла
Смена разрешений для папки. Смена разрешений для файла
Смена владельца папки Смена владельца файла

Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.

Объекты Active Directory

Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:

чтения/записи всех свойств;

чтения/записи отдельных свойств.

Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».

Выбор объектов для применения элементов аудита

При аудите файлов и папок открывается диалоговое окно Элемент аудита. В поле Применять этого диалогового окна показано, к каким объектам будут применяться элементы аудита. Применение этих элементов аудита зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят.

Если флажок «Применять этот аудит к объектам...» снят

Применять Аудит текущей папки Аудит подпапок в текущей папке Аудит файлов в текущей папке Аудит всех вложенных подпапок Аудит файлов во всех вложенных подпапках
Только для этой папки x        
Для этой папки, ее подпапок и файлов x x x x x
Для этой папки и ее подпапок x x   x  
Для этой папки и ее файлов x   x   x
Только для подпапок и файлов   x x x x
Только для подпапок   x   x  
Только для файлов     x   x

Если флажок «Применять этот аудит к объектам...» установлен

Применять Аудит текущей папки Аудит подпапок в текущей папке Аудит файлов в текущей папке Аудит всех вложенных подпапок Аудит файлов во всех вложенных подпапках
Только для этой папки x        
Для этой папки, ее подпапок и файлов x x x    
Для этой папки и ее подпапок x x      
Для этой папки и ее файлов x   x    
Только для подпапок и файлов   x x    
Только для подпапок   x      
Только для файлов     x    

Просмотр журналов безопасности

В процессе аудита локального объекта создаются записи в журнале безопасности. Записи безопасности, отображающиеся в журнале безопасности, зависят от категорий аудита, выбранных для политики аудита. Записи в журнал безопасности событий доступа к объектам также зависят от параметров аудита, определенных для каждого объекта.

Например, если в политике аудита указан аудит файлов и папок, а в свойствах файла указан аудит отказов удаления, каждая неудачная попытка пользователя удалить файл будет отображаться в журнале безопасности.

Просмотреть журнал безопасности можно в окне просмотра событий.

Размер журнала безопасности

Важно правильно установить размер журнала безопасности. Так как размер журнала безопасности ограничен, категории событий для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.

События для аудита

При просмотре журнала безопасности события будут отображаться в соответствии с категорией, к которой принадлежит событие. Типы событий, аудит которых возможен и которые отображаются в журнале безопасности перечислены ниже. Аудит может проводиться для следующих событий из списка:

Перезапуск системы

Завершение работы системы

Загрузка пакета проверки подлинности

Процесс зарегистрированного входа в систему

Очистка журнала аудита

Число отброшенных проверок

Успешный вход в систему

Неизвестное имя пользователя или пароль

Не выполнено входов из-за ограничений по времени

Отключение учетной записи

Окончание срока действия учетной записи

Неправильная рабочая станция

Ограниченный режим входа

Завершение срока действия пароля

Ошибка входа

Выход из системы

Открытие объекта

Закрытие дескриптора

Назначение специальных привилегий

Привилегированная служба

Привилегированный доступ к объекту

Создание процессов

Выход из процесса

Повторяющийся дескриптор

Непрямая ссылка

Назначение привилегии

Аудит изменения политики

Изменение домена

Изменение пользователя

Создание пользователя

Удаление пользователя

Удаление члена глобальной группы

Добавление члена глобальной группы

Изменение локальной группы домена

Создание локальной группы домена

Удаление члена локальной группы домена

Добавление члена локальной группы домена

Удаление члена локальной группы домена


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



double arrow
Сейчас читают про: