Сценарий: аудит доступа к файлам

  • Статья

 

Применимо к:Windows Server 2012

Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, акт о передаче и защите данных учреждений здравоохранения HIPAA и стандарт индустрии платежных карт (PCI), предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие политик безопасности и обеспечить соответствие требованиям указанных стандартов. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять недостатки в политиках безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе.

Требования политики аудита обычно распространяются на следующие уровни.

  • Информационная безопасность. Журналы аудита доступа к файлам часто используются для ретроспективного анализа и обнаружения вторжений. Возможность получения интересующих данных о доступе к ценной информации позволяет организациям сократить время реакции и повысить точность расследования.

  • Политика организации. Например, организации, регулируемые стандартами PCI, могут иметь централизованную политику по обеспечению контроля доступа ко всем файлам, содержащим информацию о кредитных картах и персональные данные (PII).

  • Политика отделов. Например, финансовый отдел может потребовать, чтобы возможность изменения определенных финансовых документов (например, ежеквартального отчета о доходах) была доступна только финансовому отделу. Таким образом, финансовый отдел сможет отслеживать другие попытки изменения этих документов.

  • Бизнес-политика. Например, владельцы предприятия могут отслеживать все несанкционированные попытки просмотра данных о проектах.

Кроме того, отдел по наблюдению за выполнением нормативных требований может отслеживать все изменения в централизованных политиках авторизации и элементах политики, например атрибутах пользователя, компьютера и ресурсов.

Одним из самых важных факторов, которые необходимо учитывать при аудите безопасности является стоимость сбора, хранения и анализа событий аудита. Если политики аудита слишком обширные, то количество событий аудита, сведения о которых собираются, растет и, следовательно, увеличиваются затраты. Если политики аудита слишком ограниченные, то существует риск пропустить важные события.

С помощью Windows Server 2012 можно создавать политики аудита, используя утверждения и свойства ресурсов. Это способствует созданию более полных, целенаправленных и удобных в управлении политик аудита. В результате можно решать задачи, которые прежде было невозможно или слишком сложно решить. Ниже приведены примеры политик аудита, которые может создать администратор.

  • Проверять каждого, не имеющего разрешения от системы безопасности высокого уровня и пытающегося получить доступ к важному для предприятия документу (HBI). Например, Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

  • Аудит всех поставщиков, пытающихся получить доступ к документам по проектам, над которыми они не работают. Например, Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Эти политики помогают контролировать объем событий аудита и ограничить их до наиболее релевантных данных или пользователей.

После того как администраторы создали и применили политики аудита, им нужно выбрать значимую информацию из собранных событий аудита. События аудита на основе выражений помогают сократить объем аудита. Однако пользователям также нужна возможность получить из этих событий значимую информацию и ответы на такие вопросы, как "Кто обращается к моим HBI-данным?" или "Была ли попытка несанкционированного доступа к конфиденциальным данным?".

Windows Server 2012 улучшает существующие события доступа к данным с помощью утверждений пользователя, компьютера и ресурсов. Эти события создаются для каждого сервера. Для обеспечения полного обзора событий по всей организации корпорация Майкрософт работает со своими партнерами по созданию средств сбора и анализа событий. Пример такого средства — службы Audit Collection Services, расположенные в System Center Operation Manager.

На Рис. 4 приведен обзор централизованной политики аудита.

Изображение 4

Рис. 4   События централизованной политики аудита

Настройка и использование аудита безопасности включает в себя следующее:

  1. Определение правильной совокупности данных и пользователей для наблюдения

  2. Создание и применение подходящих политик аудита

  3. Сбор и анализ событий аудита

  4. Управление созданными политиками и наблюдение за ними

Содержание сценария

Следующие разделы содержат дополнительную информацию по этому сценарию:

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.

Роль/компонент

Способ поддержки сценария

Роль доменных служб Active Directory

Доменные службы Active Directory в Windows Server 2012 предоставляют платформу авторизации, основанную на утверждениях. Эта платформа позволяет создавать утверждения пользователей и устройств, обеспечивает комплексную проверку подлинности (утверждения пользователя и устройства), вводит новую модель централизованных политик доступа (CAP), а также разрешает использование информации о классификации файлов для решения об авторизации.

Роль служб файлов и хранилищ

Файловые серверы в Windows Server 2012 предоставляют пользовательский интерфейс, где администратор может просмотреть действующие разрешения для пользователей в отношении файла или папки, а также диагностировать проблемы доступа и предоставлять доступ в соответствии с требованиями.