Планирование и развертывание расширенных политик аудита безопасности

  • Статья

В этом разделе ИТ-специалисты узнают, какие факторы должны учесть планировщики и какие задачи им необходимо выполнить для развертывания эффективной политики аудита безопасности в сети с дополнительными политиками аудита безопасности.

Организации инвестируют значительную часть своих ИТ-бюджетов в такие приложения и службы безопасности, как антивредоносное ПО, брандмауэры и шифрование. Однако независимо от развернутого оборудования или ПО безопасности, строгости контроля прав пользователей и тщательности настройки разрешений для операций с данными вашу работу нельзя считать законченной, пока нет продуманной и своевременной стратегии аудита, которая позволяет отслеживать эффективность защиты и обнаруживать попытки обойти защитные меры.

Продуманная и своевременная стратегия аудита должна предоставить полезные данные по мониторингу важнейших ресурсов организации, критически важных видов поведения и возможных рисков. Во все большем числе организаций такая стратегия должна также предоставлять абсолютное подтверждение того, что ИТ-операции соответствуют корпоративным и нормативным требованиям.

К сожалению, ни одна организация не располагает неограниченными возможностями для отслеживания каждого ресурса и действия в сети. Без хорошего плана, скорее всего, в вашей стратегии аудита будут пробелы. Однако если пытаться отслеживать каждый ресурс и действие, то данных мониторинга может оказаться слишком много. Аналитику придется просматривать тысячи обычных записей аудита в поисках небольшого набора, требующего особого внимания. Это может вызывать задержки и даже мешать аудиторам выявлять подозрительную деятельность. Таким образом, слишком большое количество данных мониторинга может сделать организацию такой же уязвимой, как недостаточный мониторинг.

Вот некоторые условия, которые помогут сосредоточить усилия на главном.

  • Дополнительные параметры политики аудита. Вы можете применять и управлять подробными параметрами политики аудита с помощью групповой политики.

  • Аудит «причины доступа». Можно указать и определить разрешения, которые использовались для создания конкретного события безопасности в связи с доступом к объекту.

  • Аудит доступа к глобальным объектам. Вы можете определить системные списки управления доступом (SACL) для всей файловой системы или реестра компьютера.

Для развертывания этих компонентов и планирования эффективной стратегии аудита необходимо сделать следующее.

  • Определить наиболее важные ресурсы и действия, которые необходимо отслеживать.

  • Определить параметры аудита для отслеживания этих действий.

  • Оценить преимущества и возможные затраты, связанные с каждым из них.

  • Проверка этих параметров для подтверждения правильности выбора.

  • Разработать планы развертывания политики аудита и управления ею.

Об этом руководстве

В этом документе описаны шаги планирования политики аудита безопасности, которая использует функции безопасности Windows. Эта политика должна учитывать важные потребности бизнеса, в том числе:

  • надежность сети;

  • нормативные требования;

  • защита данных и интеллектуальной собственности организации;

  • пользователи, включая то сотрудников, контрагентов, партнеров и клиентов;

  • клиентские компьютеры и приложения;

  • серверы, а также приложения и службы, которые на них работают.

Политика аудита также должна определять процессы управления данными аудита после их регистрации, в том числе:

  • сбор, оценка и анализ данных аудита;

  • хранение данных аудита и удаление (если потребуется).

Тщательное планирование, разработка, тестирование и развертывание решения с учетом бизнес-требований организации обеспечат необходимую стандартизированную функциональность, безопасность и управление.

Общие сведения о проектировании политики аудита безопасности

Процесс проектирования и развертывания политики аудита безопасности Windows охватывает следующие задачи, подробнее описанные в этом документе.

  • Определение целей развертывания политики аудита безопасности Windows

    Этот раздел поможет определить бизнес-цели, которые необходимо будет учитывать при разработке политики аудита безопасности Windows. Он также поможет определить ресурсы, пользователей и компьютеры, на которые должен распространяться аудит безопасности.

  • Назначение политики аудита безопасности группам пользователей, компьютерам и ресурсам организации

    В этом разделе показано, как объединить параметры политики аудита безопасности с параметрами групповой политики домена для разных групп пользователей, компьютеров и ресурсов. Кроме того, если в сети используется несколько версий клиентских и серверных операционных систем Windows, объясняется также, когда использовать основные параметры политики аудита безопасности, а когда дополнительные.

  • Сопоставление целей аудита безопасности с параметрами политики аудита безопасности

    В этом разделе объясняются категории доступных параметров аудита безопасности Windows. Указываются также отдельные параметры политики аудита безопасности Windows, особенно полезные для конкретных сценариев аудита.

  • Планирование мониторинга безопасности и управления им

    Этот раздел поможет планировать сбор, анализ и хранение данных аудита Windows. В зависимости от количества компьютеров и типов действий, которые необходимо отслеживать, журнал событий Windows может быстро заполняться. Кроме того, показано, как аудиторы могут получить доступ к данным о событиях с нескольких серверов и настольных компьютеров и объединить эти данные. Показано также, как учесть требования хранения, в частности количество хранимых данных аудита и способы их хранения.

  • Развертывание политики аудита безопасности

    В этом разделе содержатся рекомендации и методические указания по эффективному развертывания политики аудита безопасности Windows. Настройка и развертывание параметров политики аудита Windows в лабораторной тестовой среде помогут проверить, что выбранные параметры обеспечат необходимые данные аудита. Однако лишь поэтапные пилотные и добавочные развертывания с учетом структуры домена и подразделения организации (OU) позволят убедиться в том, что создаваемые данные аудита можно отслеживать и они соответствуют потребностям аудита в вашей организации.

Определение целей развертывания политики аудита безопасности Windows

Политика аудита безопасности должна поддерживать всю систему безопасности организации и быть ее важной и неотъемлемой частью.

У каждой организации есть свой уникальный набор информационных и сетевых активов (пользовательские и финансовые данные, коммерческие тайны и т. д.), физических ресурсов (настольные компьютеры, портативные компьютеры и серверы) и пользователей (включая такие внутренние группы, как финансы и маркетинг, и такие внешние группы, как партнеры, клиенты и анонимные пользователи веб-сайта). Не все эти активы, ресурсы и пользователи оправдывают стоимость аудита. Ваша задача — определить, каким активам, ресурсам и пользователям действительно требуется аудит безопасности.

Для создания плана аудита безопасности Windows прежде всего определяется следующее:

  • общая сетевая среда, включая домены, подразделения организации и группы безопасности;

  • ресурсы сети, пользователи этих ресурсов и как эти ресурсы используются;

  • нормативные требования.

Сетевая среда

Структура домена и подразделений организации являются важной отправной точкой при определении способов применения аудита политики безопасности. Часто именно эта структура обеспечивает основу для создания объектов групповой политики и логической группировки ресурсов и действий, к которым можно применить выбранные параметры аудита. Вероятно также, что определенные части вашего домена и структуры подразделений уже располагают логическими группами пользователей, ресурсами и действиями, для которых оправданы затраты времени и ресурсов на аудит. Сведения о том, как интегрировать политику аудита безопасности в структуру домена и подразделения организации, см. в разделе Сопоставление политики аудита безопасности группам пользователей, компьютерам и ресурсам организации далее в этом документе.

Помимо модели домена, необходимо также выяснить, создается ли и поддерживается ли в вашей организации системная модель рисков. Хорошая модель рисков поможет выявить угрозы для ключевых компонентов инфраструктуры, и вы сможете определить и применить параметры аудита, которые расширят возможности организации выявлять эти угрозы и противостоять им.

Важно  

Включение аудита в план безопасности организации также позволяет выделить бюджетные средства в областях, где аудит может дать удачные результаты.

 

Дополнительные сведения о выполнении каждого шага и создании подробной модели угроз содержатся в Руководстве по моделированию угроз для ИТ-инфраструктуры.

Данные и ресурсы

Для аудита данных и ресурсов необходимо определить наиболее важные типы данных и ресурсов (например, карточки пациентов, бухгалтерские данные или маркетинговые планы), которые могут выиграть от более тщательного мониторинга, обеспечиваемого аудитом Windows. Возможно, некоторые из этих ресурсов данных уже отслеживаются с помощью функций аудита в таких продуктах, как Microsoft SQL Server и Exchange Server. Если это так, то можно подумать о том, как усилить существующую стратегию аудита с помощью функций аудита Windows. Как и со структурой домена и подразделений, рассмотренной выше, аудит безопасности должен быть сосредоточен на самых важных ресурсах. Необходимо также определить, с каким объемом данных аудита вы справитесь.

Можно определить влияние этих ресурсов на бизнес (большое, среднее или малое), затраты организации в случае несанкционированного доступа к ним, а также риск, который может представлять для организации такой доступ. Тип доступа пользователей (например, для чтения, изменения или копирования) также может создавать разные уровни риска для организации.

Все чаще доступ к данным и их использование регулируются законами и нормативами, нарушение которых может строго караться законом и нанести ущерб репутации организации. Если соответствие требованиям важно для управления вашими данными, это должно быть отмечено в документации.

В следующей таблице содержится пример анализа ресурсов для организации.

Класс ресурса Место хранения Подразделение Влияние на бизнес Безопасность или нормативные требования

Данные по зарплате

Corp-Finance-1

Бухучет: чтение и запись в Corp-Finance-1

Менеджер по зарплате в отделе: только запись в Corp-Finance-1

Сильное

Финансовая безупречность и конфиденциальность сотрудников

Медицинские карты пациентов

MedRec-2

Врачи и медсестры: чтение и запись в Med/Rec-2

Лаборанты: только запись в Med/Rec-2

Бухучет: только чтение на MedRec-2

Сильное

Строгие правовые стандарты и нормативы

Данные о здоровье потребителя

Web-Ext-1

Авторы веб-содержимого для связей с общественностью: чтение и запись в Web-Ext-1

Общий доступ: только чтение на Web-Ext-1

Слабое

Просвещение общественности и имидж компании

 

Пользователи

Во многих организациях полезно разделить пользователей на типы и выдавать разрешения на этой основе. Эта же классификация поможет определить, какие действия пользователей должны быть предметом аудита безопасности и сколько данных аудита они будут создавать.

Организации могут создавать категории по типу прав и разрешений, необходимых пользователям для работы. Например, в категории «Администраторы» крупные организации могут назначить обязанности локального администратора одному компьютеру для таких приложений, как Exchange Server или SQL Server, или для всего домена. В категории «Пользователи» можно использовать разрешения и параметры групповой политики как для всех пользователей в организации, так и для отдельной подгруппы в указанном отделе.

Кроме того, если на организацию распространяются соответствующие нормативные требования, может потребоваться мониторинг таких действий пользователей, как доступ к медицинским картам или финансовым данным, для проверки соответствия этим требованиям.

Для эффективного аудита действий пользователей начните со списка типов пользователей в организации и типов данных, доступ к которым им требуется (наряду со списком данных, к которым у них не должно быть доступа).

Кроме того, если какие-то внешние пользователи имеют доступ к данным вашей организации, необходимо определить таких пользователей, включая группу (деловые партнеры, пользователи или обычные пользователи), данные, к которым у них есть доступ, и разрешения на операции с данными.

В следующей таблице показан анализ пользователей сети. Хотя этот пример содержит только один столбец «Возможные факторы аудита», можно создать и дополнительные столбцы для разных типов действий в сети (например, разрешенные часы доступа и использование разрешения).

Группы Данные Возможные факторы аудита

Администраторы учетных записей

Учетные записи пользователей и группы безопасности

Администраторы учетных записей имеют все привилегии на создание новых учетных записей, сброс паролей и изменение членства в группах безопасности. Требуется механизм для мониторинга этих изменений.

Работники финансового отдела

Финансовая документация

Пользователи из финансового отдела имеют право на чтение и запись финансовых данных, но не могут изменить разрешения на доступ к этим ресурсам. На эти финансовые записи распространяются государственные нормативные требования.

Внешние партнеры

Проект Z

Сотрудники партнерских организаций имеют право чтения и записи для определенных данных и серверов проекта Z, но не имеют прав на другие серверы и данные в сети.

 

Компьютеры

Требования безопасности и аудита, а также объем данных по событиям аудита сильно зависят от типов компьютеров в организации. Эти требования могут быть основаны на следующем.

  • Тип компьютеров (серверы, настольные компьютеры и портативные).

  • Важные приложения, работающие на компьютерах (например, Exchange Server, SQL Server или Forefront Identity Manager).

    Примечание  

    Имеют ли серверные приложения (включая Exchange Server и SQL Server) параметры аудита. Подробнее об аудите в Exchange Server см. в Руководстве по безопасности Exchange 2010. Подробнее об аудите в SQL Server 2008 см. в разделе Аудит (компонент Database Engine). Сведения по SQL Server 2012 см. в разделе Аудит SQL Server (компонент Database Engine).

     

  • Версии операционной системы.

    Примечание  

    Версия операционной системы определяет, какие параметры аудита доступны, а также объем данных о событиях аудита.

     

  • Ценность данных для бизнеса.

Например, параметры аудита для веб-сервера, к которому обращаются внешние пользователи, будут отличаться от параметров корневого центра сертификации (CA), доступ к которому закрыт не только для Интернета общего пользования, но и для обычных пользователей сети организации.

В следующей таблице показан анализ компьютеров в организации.

Тип компьютера и приложений Версия операционной системы Расположение

Серверы с Exchange Server

Windows Server 2008 R2

Подразделение ExchangeSrv

Файловые серверы

Windows Server 2012

Подразделения с ресурсами (OU) по отделам и (в некоторых случаях) по расположению

Портативные компьютеры

Windows Vista и Windows 7

Отдельные подразделения (OU) с портативными компьютерами по отделам и (в некоторых случаях) по расположению

Веб-сервер

Windows Server 2008 R2

Подразделение WebSrv

 

Нормативные требования

Для многих отраслей и регионов существуют особые требования по сетевым операциям и защите ресурсов. Например, в здравоохранении и финансах существуют строгие правила доступа к записям и их использования. Во многих странах существуют строгие правила конфиденциальности. Для определения нормативных требований проконсультируйтесь с юридическим отделом и другими отделами вашей организации, ответственными за эти требования. Затем рассмотрите параметры безопасности и аудита, которые можно использовать для соответствия этим требованиям.

Дополнительные сведения см. в разделе System Center Process Pack для IT GRC.

Назначение политики аудита безопасности группам пользователей, компьютерам и ресурсам организации

С помощью групповой политики можно применить политику аудита безопасности к определенным группам пользователей, компьютерам и ресурсам. Для назначения политики аудита безопасности определенным группам в организации необходимо понять, как используется групповая политика для применения параметров политики аудита безопасности.

  • Параметры политики, которые вы выбрали, можно применить с помощью одного или нескольких объектов групповой политики. Для создания и изменения объекта групповой политики используйте консоль управления групповыми политиками. Используя консоль GPMC для привязки объекта групповой политики к избранным сайтам, доменам и подразделениям Active Directory, вы применяете параметры политики, указанные в GPO, к пользователям и компьютерам в этих объектах Active Directory. Подразделение (OU) — это контейнер Active Directory самого низкого уровня, которому можно назначить параметры групповой политики.

  • Для каждого выбранного параметра политики необходимо решить, применять его ко всей организации или только к выбранным пользователям или компьютерам. Затем можно объединить эти параметры политики аудита в объекты групповой политики и связать их с соответствующими контейнерами Active Directory.

  • По умолчанию параметры, заданные в объектах групповой политики, связанных с сайтами, доменами и подразделениями Active Directory более высокого уровня, наследуются всеми подразделениями. Однако объект групповой политики, назначенный на более низком уровне, может переопределить унаследованные политики.

    Например, вы хотите использовать объект групповой политики домена (GPO) для назначения группы параметров аудита всей организации, но при этом назначить группу дополнительных параметров одному из подразделений. Для этого можно связать второй GPO с этим подразделением более низкого уровня. В этом случае параметр аудита входа, заданный на уровне подразделения, переопределит конфликтующий параметр аудита входа, заданный на уровне домена (если вы не выполнили специальные шаги для применения обработки замыкания групповой политики).

  • Политики аудита — это политики компьютера. Поэтому они должны применяться через объекты групповой политики к объектам OU компьютера, а не пользователя. Однако в большинстве случаев можно применить параметры аудита только для определенных ресурсов или групп пользователей, задав системные списки управления доступом (SACL) на нужных объектах. Таким образом, включается аудит для группы безопасности, которая содержит только указанных вами пользователей.

    Например, можно настроить список SACL для папки Payroll Data («Данные по зарплате») на сервере Accounting Server 1. Таким образом можно будет отслеживать попытки пользователей из подразделения «Расчет заработной платы» удалить объекты из этой папки. Параметр политики аудита Доступ к объектам / Аудит файловой системы применяется к серверу Accounting Server 1, но, поскольку он требует соответствующего списка SACL, события аудита будут формироваться только членами подразделения Payroll Processors в папке Payroll Data.

  • Дополнительные параметры политики аудита были представлены в Windows Server 2008 R2 или Windows 7 и могут применяться в этих и более поздних ОС. Эти расширенные политики аудита могут применяться только с помощью групповой политики.

    Важно  

    Вне зависимости от того, применяете ли вы расширенные политики аудита с помощью групповой политики или сценариев входа, не используйте одновременно параметры базовой политики аудита в разделе Локальные политики\Политика аудита и расширенные параметры в разделе Параметры безопасности\Конфигурация расширенной политики аудита. Одновременное использование основных и дополнительных параметров политики аудита может привести к неожиданным результатам в отчете по аудиту.

    Если вы используете параметры конфигурации расширенной политики аудита или сценарии входа для применения расширенных политик аудита, следует включить параметр политики Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии в разделе Локальные политики\Параметры безопасности. Это позволит избежать конфликтов между аналогичными параметрами благодаря принудительному игнорированию базового аудита безопасности.

     

Следующие примеры показывают, как применить политики к структуре подразделений организации.

  • Применение параметров активности данных к подразделению, содержащему файловые серверы. Если в организации есть серверы с действительно конфиденциальными данными, можно поместить их в отдельное подразделение для настройки и применения более строгой политики аудита к этим серверам.

  • Применение политики аудита действий пользователя в подразделении, содержащем все компьютеры организации. Если пользователи организации размещаются в подразделениях в зависимости от отдела, в котором они работают, можно рассмотреть возможность настройки и применения более детальных разрешений для важных ресурсов, которые используются сотрудниками из более конфиденциальных областей, таких как сетевые администраторы или юридический отдел.

  • Применение политики аудита действий сети и системы к подразделениям, содержащим самые важные серверы организации, такие как контроллеры доменов, центр сертификации, почтовые серверы или серверы баз данных.

Сопоставление целей аудита безопасности с параметрами политики аудита безопасности

Определив цели аудита безопасности, можно сопоставить их с конфигурацией политики аудита безопасности. Эта конфигурация политики аудита должна соответствовать не только самым важным целям аудита безопасности, но и таким ограничениям организации, как количество компьютеров для мониторинга, количество действий, требующих аудита, количество событий аудита, которые будет формировать система, и количество доступных администраторов для анализа данных аудита и действий на этой основе.

Для создания конфигурации политики аудита необходимо сделать следующее.

  1. Изучить все параметры политики аудита, которые можно использовать с учетом ваших нужд.

  2. Выбрать оптимальные параметры аудита для требований аудита, выявленных в предыдущем разделе.

  3. Убедиться в том, что выбранные параметры совместимы с операционными системами на компьютерах, которые вы ходите контролировать.

  4. Решить, что вы хотите отслеживать для параметров аудита (успех, сбой или оба эти события).

  5. Развернуть параметры аудита в лабораторной или тестовой среде для проверки того, что они соответствуют ожидаемым результатам с точки зрения объемов, возможности поддержки и комплексности. Затем развернуть параметры аудита в пилотной производственной среде для проверки того, что вы правильно оценили объем данных, которые будут генерироваться вашим планом аудита, и что вы справитесь с ним.

Изучение параметров политики аудита

Параметры политики аудита безопасности в поддерживаемых версиях Windows можно просмотреть и настроить в следующих местах.

  • Параметры безопасности / Локальные политики / Политика аудита;

  • Параметры безопасности / Локальные политики / Параметры безопасности;

  • Параметры безопасности / Расширенная настройка политик аудита. Подробнее см. в разделе Параметры расширенной политики аудита безопасности.

Выбор параметров аудита для использования

В зависимости от целей можно выбрать разные наборы параметров аудита. Например, некоторые параметры в разделе Параметры безопасности / Расширенная настройка политик аудита могут использоваться для мониторинга следующего:

  • данные и ресурсы;

  • пользователи;

  • сеть.

Важно  

Параметры, описанные в справочнике, могут также содержать ценные сведения о действиях, отслеживаемых с помощью другого параметра. Например, очевидно, что параметры, используемые для отслеживания действий пользователей и сетевой активности, связаны с защитой ресурсов данных. Аналогично попытки создать угрозу информационным ресурсам сильно влияют на общее состояние сети и, возможно, на эффективность управления работой пользователей в сети.

 

Использование данных и ресурсов

Для многих организаций взлом информационных ресурсов может привести к огромным финансовым убыткам, помимо юридической ответственности и потери престижа. Если в организации есть важные информационные ресурсы, которые необходимо защитить от любых атак, следующие параметры обеспечат эффективный мониторинг и данные для судебной экспертизы.

  • Доступ к объектам / Аудит общего файлового ресурса. Этот параметр политики позволяет отслеживать, к какому содержимому произведен доступ, источник запроса (IP-адрес и порт) и учетная запись пользователя, которая использовалась для доступа. Объем данных о событиях, созданных этим параметром, зависит от количества клиентских компьютеров, которые пытаются получить доступ к общей папке. На файловом сервере или контроллере домена объем может быть большим из-за доступа клиентских компьютеров к папке SYSVOL для обработки политики. Если нет необходимости регистрировать рутинный доступ клиентских компьютеров, имеющих разрешения на общий сетевой ресурс, то, возможно, вы захотите регистрировать в журнале только сбои при попытке обращения к общей папке.

  • Доступ к объектам / Аудит файловой системы. Этот параметр политики определяет, отслеживает ли операционная система попытки пользователей получить доступ к объектам файловой системы. События аудита создаются только для объектов (например, файлов и папок), для которых созданы системные списки управления доступом (SACL), и только в случае, если запрошенный тип доступа (для чтения, записи или изменения) и учетная запись, из которой делается запрос, соответствуют параметрам в списке SACL.

    Если включен аудит успешного доступа, то запись аудита формируется каждый раз, когда любая учетная запись успешно получает доступ к объекту файловой системы, имеющему соответствующий список SACL. Если включен аудит сбоев, то запись аудита формируется при каждой неудачной попытке любой учетной записи получить доступ к объекту файловой системы, имеющему соответствующий список SACL. Объем данных аудита, создаваемых параметром политики Аудит файловой системы, может сильно зависеть от числа объектов, выбранных для мониторинга.

    Примечание  

    Чтобы отслеживать попытки пользователей получить доступ ко всем объектам файловой системы на компьютере, используйте параметры категории «Аудит доступа к глобальным объектам» Реестр (Аудит доступа к глобальным объектам) или Файловая система (Аудит доступа к глобальным объектам).

     

  • Доступ к объектам / Аудит работы с дескрипторами. Этот параметр политики определяет, создает ли операционная система события аудита, когда открывается или закрывается дескриптор объекта. Эти события создаются только объектами с заданными системными списками управления доступом (SACL) и только в случае, если неудачная операция с дескриптором соответствует списку SACL.

    Объем данных о событиях может быть большим в зависимости от настройки списков SACL. Если параметры политики Аудит файловой системы или Аудит реестра используются вместе с параметром политики Аудит работы с дескрипторами, администратор может получить полезные данные о причине доступа с подробным указанием разрешений, на которых основано событие аудита. Например, если файл был настроен как ресурс только для чтения, а пользователь пытается сохранить изменения в файле, событие аудита зарегистрирует не только сам факт попытки сохранить изменения, но и разрешения, которые для этого использовались (или которые пытались использовать).

  • Аудит доступа к глобальным объектам. Все больше организаций используют аудит безопасности для проверки соответствия нормативным требованиям, регулирующим безопасность данных и конфиденциальность. Однако бывает чрезвычайно сложно показать, что применяются строгие меры контроля. Для решения этой проблемы поддерживаемые версии Windows включают два параметра политики в категории Аудит доступа к глобальным объектам — один для реестра и другой для файловой системы. Если заданы эти параметры, системный список управления доступом (SACL) применяется ко всем объектам этого класса в системе, и это условие невозможно переопределить или обойти.

    Важно  

    Параметры политики в категории Аудит доступа к глобальным объектам должны быть заданы и использоваться в сочетании с параметрами политики аудита Аудит файловой системы и Аудит реестра в категории Доступ к объектам. Дополнительные сведения об использовании параметров политики Аудит доступа к глобальным объектам содержатся в Пошаговом руководстве по аудиту повышенной безопасности.

     

Действия пользователя

Параметры в предыдущем разделе относятся к действиям с файлами, папками и сетевым папками, которые хранятся в сети, а параметры в этом разделе связаны с пользователями, которые могут обращаться к этим ресурсам, включая сотрудников, партнеров и клиентов.

В большинстве случаев такие попытки допустимы и сеть должна обеспечивать готовность данных для законных пользователей. Но бывают и случаи, когда сотрудники, партнеры и другие лица пытаются получить доступ к ресурсам без какой-либо уважительной причины. Аудит безопасности может использоваться для отслеживания самых разных действий пользователей на определенном компьютере в целях диагностики и устранения проблем для законных пользователей и борьбы с незаконными действиями. Ниже приведены несколько важных параметров, которые можно использовать для мониторинга действий пользователей в сети.

  • Вход учетной записи / Аудит проверки учетных данных. Это чрезвычайно важный параметр политики, так как он позволяет отслеживать каждую удачную и неудачную попытку предоставить учетные данные для входа пользователя в систему. В частности, шаблон неудачных попыток может показать, что пользователь или приложение использует устаревшие ученые данные или пытается использовать разные учетные данные в надежде, что одна из попыток окажется успешной. Эти события происходят на доверенном компьютере для этих учетных данных. Для учетных записей домена контроллер домена является доверенным. Для локальных учетных записей локальный компьютер является доверенным.

  • Подробное отслеживание / Аудит создания процессов и Подробное отслеживание / Аудит завершения процессов. Эти параметры политики помогут отслеживать приложения, которые пользователь открывает и закрывает на компьютере.

  • Доступ к службе каталогов (DS) / Аудит доступа к службе каталогов и Доступ к службе каталогов (DS) / Аудит изменений в службе каталогов. Эти параметры политики обеспечивают подробный журнал аудита, где регистрируются все попытки создать, изменить, удалить, перенести или восстановить объекты в доменных службах Active Directory (AD DS). Права на изменение объектов AD DS имеют только администраторы домена, поэтому чрезвычайно важно выявлять злонамеренные попытки изменить эти объекты. Кроме того, хотя администраторы домена должны быть из числа самых надежных сотрудников организации, параметры Аудит доступа к службе каталогов и Аудит изменений в службе каталогов обеспечивают мониторинг и проверку того, что в AD DS вносятся только утвержденные изменения. Эти события аудита записываются в журнал только на контроллерах домена.

  • Вход/выход / Аудит блокировки учетных записей. Еще один распространенный сценарий — это когда пользователь пытается войти в систему с учетной записью, которая была заблокирована. Важно выявлять такие случаи и быть в состоянии определить, была ли попытка использовать заблокированную учетную запись злонамеренной.

  • Вход/выход / Аудит выхода из системы и Вход/выход / Аудит входа в систему. События входа и выхода важны для отслеживания действий пользователей и обнаружения потенциальных атак. События входа связаны с созданием сеансов входа в систему и происходят на компьютере, доступ в который выполнялся. В случае интерактивного входа в систему события создаются на компьютере, в который был выполнен вход. В случае входа в сеть (например, доступа к общему ресурсу) события создаются на компьютере, на котором размещен ресурс, доступ к которому выполнялся. События выхода создаются, когда завершаются сеансы входа.

    Примечание  

    Никаких событий сбоя при выходе из системы не существует, так как в случае неудачной попытки выхода (например, при внезапном завершении работы системы) запись аудита не создается. События выхода нельзя считать надежными на 100 %. Например, компьютер может выключиться без правильного выхода и завершения работы, а событие выхода при этом не создается.

     

  • Вход/выход / Аудит специального входа. Специальный вход имеет права, эквивалентные правам администратора, и может использоваться для передачи процесса на более высокий уровень. Рекомендуется отслеживать входы такого типа. Подробнее об этом в статье 947223 базы знаний Майкрософт.

  • Доступ к объектам / Аудит служб сертификации. Этот параметр политики позволяет отслеживать самые разные действия на компьютере, где расположены службы ролей Службы сертификации Active Directory (AD CS). Цель — сделать так, чтобы выполнялись только авторизованные или нужные задачи и выполняли их только авторизованные пользователи.

  • Доступ к объектам / Аудит файловой системы и Доступ к объектам / Аудит общего файлового ресурса. Эти параметры политики описаны в предыдущем разделе.

  • Доступ к объектам / Аудит работы с дескрипторами. Этот параметр политики и его роль в предоставлении «причины доступа» описаны в предыдущем разделе.

  • Доступ к объектам / Аудит реестра. Мониторинг изменений в реестре — важнейший инструмент администратора, с помощью которого можно предотвратить изменение основных параметров компьютера злоумышленниками. События аудита создаются только для объектов с заданными списками управления доступом (SACL) и только в случае, если запрошенный тип доступа (для чтения, записи или изменения) и учетная запись, из которой делается запрос, соответствуют параметрам в списке SACL.

    Важно  

    В критически важных системах, где необходимо регистрировать все попытки изменить параметры реестра, можно сочетать параметр политики Аудит реестра с параметрами политики Аудит доступа к глобальным объектам. Это позволит обнаружить любые попытки изменить параметры реестра на компьютере.

     

  • Доступ к объектам / Аудит SAM. Диспетчер учетных записей безопасности (Security Accounts Manager, SAM) — это база данных, присутствующая на компьютерах с ОС Windows. Она содержит учетные записи пользователей и дескрипторы безопасности для пользователей на локальном компьютере. Изменения в объектах «Пользователь» и «Группа» отслеживаются категорией аудита Управление учетными записями. Однако учетные записи пользователей с соответствующими правами пользователя могут изменять файлы в обход всех событий категории Управление учетными записями, если учетная запись и пароль хранятся в системе.

  • Использование прав / Аудит использования прав, затрагивающих конфиденциальные данные. Параметры политики Использование прав и события аудита позволяют отслеживать использование определенных прав в одной или нескольких системах. Если задан этот параметр политики, событие аудита создается при каждом запросе на конфиденциальные данные, требующем особых прав.

Сетевая активность

Следующие параметры политики связаны с сетевой активностью и позволяют отслеживать элементы, которые не обязательно включены в такие категории, как данные или действия пользователей, но могут быть одинаково важны для состояния и защиты сети.

  • Управление учетными записями. Параметры политики в этой категории можно использовать для отслеживания попыток создания, удаления или изменения учетных записей пользователей или компьютеров, групп безопасности или групп рассылки. Мониторинг этих действий дополняет стратегии мониторинга, выбранные в разделах действий пользователей и активности данных.

  • Вход учетной записи / Аудит службы проверки подлинности Kerberos и Вход учетной записи / Аудит операций с билетами службы Kerberos. Параметры политики аудита в категории Вход учетной записи обеспечивают мониторинг действий, связанных с использованием данных учетной записи домена. Эти параметры политики дополняют параметры политики в категории Вход/выход. Параметр политики Аудит службы проверки подлинности Kerbero позволяет отслеживать состояние службы Kerberos и потенциальные угрозы. Параметр политики Аудит операций с билетами службы Kerberos позволяет отслеживать использование запросов в службу поддержки Kerberos.

    Примечание  

    Параметры политики Вход учетной записи относятся только к конкретным действиям учетной записи домена, независимо от компьютера, к которому происходит доступ, а параметры политики Вход/выход относятся к компьютеру c ресурсами, к которым происходит доступ.

     

  • Вход учетной записи / Аудит других событий входа учетных записей. Этот параметр политики может использоваться для отслеживания ряда действий в сети, включая попытки создать подключения к удаленному рабочему столу, подключения по проводной сети и беспроводные подключения.

  • Доступ к службе каталогов (DS). Параметры политики в этой категории позволяют отслеживать службы ролей в Доменных службах Active Directory (AD DS), которые предоставляют данные учетной записи, проверяют вход, поддерживают разрешения на доступ к сети и предоставляют другие услуги, важные для безопасной и правильной работы сети. Поэтому аудит прав доступа к конфигурации контроллера домена и ее изменения могут помочь организации поддерживать безопасную и надежную работу сети. Кроме того, одна из основных задач, выполняемых Доменными службами Active Directory, — это репликация данных между контроллерами домена.

  • Вход/выход / Аудит расширенного режима IPsec, Вход/выход / Аудит основного режима IPsec и Вход/выход / Аудит быстрого режима IPsec. Многие сети поддерживают большое количество внешних пользователей, включая удаленных сотрудников и партнеров. Поскольку эти пользователи находятся за пределами сети организации, пакет протоколов IPsec часто используется для защиты сообщений, поступающих по Интернету, так как обеспечивает проверку подлинности кэширующих узлов на сетевом уровне, проверку подлинности источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от атак с повторением пакетов. Вы можете использовать эти параметры для обеспечения правильной работы служб IPsec.

  • Вход/выход / Аудит сервера политики сети. Организации, использующие протокол RADIUS (IAS) и средства защиты доступа к сети (Network Access Protection, NAP) для безопасной связи с внешними пользователями, могут использовать этот параметр политики для отслеживания эффективности этих политик и выявления попыток обойти средства защиты.

  • Изменение политики. Эти параметры политики и события позволяют отслеживать изменения в важных политиках безопасности на локальном компьютере или в сети. Поскольку политики обычно устанавливаются администраторами в целях защиты сетевых ресурсов, любые изменения или попытки изменения этих политик могут быть важным аспектом управления безопасностью сети.

  • Изменение политики / Аудит изменения политики аудита. Этот параметр политики позволяет отслеживать изменения в политике аудита. Если пользователи-злоумышленники получают учетные данные администратора домена, они могут временно отключить важные параметры политики аудита безопасности, чтобы их действия в сети не могли быть обнаружены.

  • Изменение политики / Аудит изменения политики платформы фильтрации. Этот параметр политики можно использовать для мониторинга самых разных изменений в политиках IPsec организации.

  • Изменение политики / Аудит изменения политики на уровне правил MPSSVC. Этот параметр политики определяет, создает ли операционная система события аудита, если вносятся изменения в правила политики для службы защиты Майкрософт (Microsoft Protection Service, файл MPSSVC.exe), используемой брандмауэром Windows. Изменения в правилах брандмауэра важны для понимания состояния безопасности компьютера и того, насколько хорошо этот компьютер защищен от сетевых атак.

Проверка совместимости версий операционной системы

Не все версии Windows поддерживают дополнительные параметры политики аудита или использование групповой политики для применения этих параметров и управления ими. Подробнее см. в разделе Какие выпуски Windows поддерживают расширенную настройку политик аудита.

Параметры политики аудита в разделе Локальные политики / Политика аудита перекрываются с параметрами политики аудита в разделе Параметры безопасности / Расширенная настройка политик аудита. Однако категории и подкатегории расширенной политики аудита позволяют сосредоточить аудит на самых важных действиях, что сокращает объем данных аудита, менее важных для организации.

Например, раздел Локальные политики / Политика аудита содержит всего один параметр под названием Аудит событий входа в систему. Если этот параметр задан, он создает по крайней мере 10 типов событий аудита.

Для сравнения: категория «Вход учетной записи» в разделе Параметры безопасности / Расширенная настройка политик аудита включает следующие дополнительные параметры, позволяющие сосредоточить усилия на определенных аспектах:

  • проверка учетных данных;

  • служба проверки подлинности Kerberos;

  • операции с билетами службы Kerberos;

  • другие события входа учетной записи.

Эти параметры обеспечивают значительно более строгий контроль над тем, какие действия или события создают данные о событиях. Некоторые действия и события будут более важными для вашей организации, поэтому следует по возможности ограничить политику аудита безопасности.

Успех, сбой или оба события

Какие бы параметры событий ни были включены в ваш план, необходимо будет также решить, какие события регистрировать в журнале: успешное выполнение, сбой или то и другое. Это важный вопрос, и ответ на него будет зависеть от важности события и того, как это повлияет на объем данных о событиях.

Например, на файловом сервере, к которому часто обращаются законные пользователи, может быть достаточным регистрировать только неудачные попытки получить доступ к данным, поскольку это может свидетельствовать о действиях неавторизованных пользователей или злоумышленников. Если в этой ситуации регистрировать и случаи успешного входа на сервер, журнал событий быстро заполнится данными о законных операциях.

С другой стороны, если общая папка содержит конфиденциальную и очень ценную информацию (например, коммерческие тайны), может потребоваться регистрация каждой попытки входа, удачной или неудачной, и вы получите журнал событий с записями о каждом пользователе, который получил или пытался получить доступ к ресурсу.

Планирование мониторинга безопасности и управления им

Сети могут содержать сотни серверов с важнейшими службами или данными, которые необходимо отслеживать. Число клиентских компьютеров в сети может достигать десятков или даже сотен тысяч. Возможно, это не создаст проблем, если на каждого администратора приходится небольшое число серверов или компьютеров. Однако, даже если администратор, отвечающий за аудит безопасности и производительности, должен отслеживать лишь относительно небольшое число компьютеров, необходимо решить, каким образом он будет получать данные о событиях для анализа. Вот некоторые варианты получения данных события.

  • Будете ли вы хранить данные события на локальном компьютере, пока администратор не войдет в систему для просмотра этих данных? Если да, то администратору потребуется физический или удаленный доступ к средству просмотра событий на каждом клиентском компьютере, а параметры удаленного доступа и брандмауэра на каждом клиентском компьютере должны будут настроены для такого доступа. Кроме того, нужно решить, как часто администратор сможет посещать каждый компьютер, и задать размер журнала аудита, чтобы важная информация не удалялась из-за заполнения журнала.

  • Будете ли вы собирать данные о событиях таким образом, чтобы их можно было просмотреть с центральной консоли? Если да, то есть ряд продуктов управления компьютером, которые можно использовать для сбора и фильтрации данных о событиях (например, службы Audit Collection Services в Operations Manager 2007 и 2012). Такое решение должно позволить одному администратору просматривать более значительные объемы данных, чем в случае локального хранения. Однако в некоторых случаях это может усложнить выявление кластеров взаимосвязанных событий, которые происходят на одном компьютере.

И независимо от того, решили вы хранить данные аудита на отдельном компьютере или консолидировать их в центральном хранилище, необходимо определить, каким должен быть размер файла журнала и что должно происходить, когда журнал достигает максимального размера. Для настройки этих параметров разверните Журналы Windows, щелкните правой кнопкой мыши пункт Безопасность и выберите Свойства. Вы можете настроить следующие свойства.

  • Переписывать события при необходимости (сначала старые события). Это параметр по умолчанию, приемлемый в большинстве случаев.

  • Архивировать журнал при заполнении; не перезаписывать события. Этот параметр может использоваться, если необходимо сохранять все данные журнала и при этом предполагается, что журнал аудита будет просматриваться не очень часто.

  • Не переписывать события (очистка журнала вручную). Этот параметр прекращает сбор данных аудита, когда файл журнала достигает максимального размера. Более старые данные сохраняются за счет потери последних событий аудита. Используйте этот параметр только в случае, если вы не хотите потерять никакие данные аудита, не хотите создавать архив файла журнала и твердо намерены просматривать данные до того, как журнал достигнет максимального размера.

Кроме того, можно задать размер журнала аудита и другие основные параметры управления с помощью параметров групповой политики. Вы можете изменять настройки журнала событий с помощью консоли управления групповыми политиками (GPMC) в следующих местах: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Безопасность. Эти параметры включают следующее.

  • Максимальный размер журнала (КБ). Этот параметр политики задает максимальный размер файлов журнала. Пользовательские интерфейсы в редакторе локальных групповых политик и средстве просмотра событий дают возможность вводить значения до 2 ТБ. Если этот параметр не задан, максимальный размер журнала событий составляет 20 МБ.

  • Доступ к журналу. Этот параметр политики определяет, какие учетные записи пользователей имеют доступ к файлам журнала и какие права использования им предоставляются.

  • Сохранять старые события. Этот параметр политики определяет, что должно происходить с журналом событий, когда он достигает максимального размера. Если этот параметр политики задан и файл журнала достигает максимального размера, новые события не записываются в журнал и будут потеряны. Если этот параметр отключен и файл журнала достигает максимального размера, новые события записываются поверх старых.

  • Автоматически выполнять резервное копирование журнала при заполнении. Этот параметр политики определяет, что происходит с файлом журнала, когда он достигает максимального размера, и действует только в случае, если задан параметр политики Сохранять старые события. Если вы задали эти параметры политики, то файл журнала событий, достигший максимального размера, автоматически закрывается и переименовывается. После этого запускается новый файл. Если отключить или не задавать этот параметр политики и параметр политики Сохранять старые события, то новые события не регистрируются и сохраняются старые.

Кроме того, во все большем числе организаций требуется хранить файлы журнала в течение нескольких лет. Узнайте у ответственных за соблюдение нормативно-правовых требований в вашей организации, распространяются ли такие правила на вашу организацию. Подробнее см. в Руководстве по контролю соответствия ИТ-стандартам.

Развертывание политики аудита безопасности

Прежде чем развертывать политику аудита в производственной среде, важно определить эффект заданных параметров политики.

Для оценки вашей политики аудита необходимо прежде всего создать тестовую среду в лаборатории и смоделировать различные сценарии использования, которые вы определили. Цель — убедиться в том, что выбранные вами параметры аудита правильно заданы и дадут нужные результаты. Дополнительные сведения о лабораторной среде для тестирования политики аудита безопасности содержатся в Пошаговом руководстве по аудиту повышенной безопасности.

Однако, если вы не сможете создать достаточно реалистичные модели, лабораторная среда не даст вам точной информации об объеме данных аудита, которые будут генерироваться при заданных параметрах, и о том, насколько эффективным будет ваш план отслеживания этих данных. Для получения такой информации необходимо провести одно или несколько пилотных развертываний. Эти пилотные развертывания могут включать следующее:

  • одно подразделение, включающее серверы с важными данными, или подразделение, включающее все настольные компьютеры в указанном месте;

  • ограниченный набор параметров политики аудита безопасности, например Вход/выход и Вход учетной записи;

  • сочетание ограниченного числа подразделений и параметров политики аудита — например, для серверов только в подразделении бухучета с параметрами политики Доступ к объектам.

После одного или нескольких успешных развертываний необходимо убедиться в том, что ваши администраторы смогут управлять собираемыми данными аудита с помощью имеющихся инструментов управления. После успешного и действующего пилотного развертывания необходимо убедиться в том, что у вас есть инструменты и персонал для расширения (добавления новых подразделений и наборов параметров), что потребуется до полного развертывания в производственной среде.