Внедрение и настройка аудита

Настройка и администрирование аудита требует выполнения следующих условий:

- необходимо иметь разрешение Manager Auditing And Security Log (Управление аудитом и журналом безопасности) для компьютера, на котором устанавливается политика аудита. По умолчанию Windows 2000 такие права присваивает группе Administrators (Администраторы);

- файлы и папки должны находиться на дисках NTFS (NT file system).

Для настройки политики аудита на компьютере необходимо создать консоль ММС и добавить к ней оснастку Group Policy (Групповая политика). В дереве консоли выбрать папку Audit Policy (Политика аудита) из узла Computer Configuration (Конфигурация компьютера). Консоль покажет текущие параметры политики аудита на правой панели.

Изменения, сделанные в политике аудита компьютера, вступят в силу, когда произойдет одно из следующих событий:

1) будет инициализировано применение политики путем набора в командной строке secedit / Refresh Policy machine _ policy и нажатием клавиши Enter;

2) компьютер будет перезагружен. Windows 2000 применяет изменения, внесенные в политику аудита после перезагрузки компьютера;

3) произойдет обновление политики – применение параметров политики, включая политики аудита к компьютеру. Автоматическое обновление политики происходит через равномерные настраиваемые интервалы, по умолчанию – каждые 8 часов.

13.2.3 Аудит доступа к файлам и папкам

Аудит для файлов и папок устанавливается на разделах NTFS. Необходимо для выбранного объекта открыть диалоговое окно свойств и на вкладке Security (Безопасность) щелкнуть кнопку Advanced (Дополнительно). Перейти на вкладку Auditing (Аудит) и задать параметры аудита для этого объекта. Для установки аудита на принтер необходимо открыть диалоговое окно свойств для интересующего принтера.

Программа EVENT VIEWER

Event Viewer (Просмотр событий) позволяет просматривать журналы безопасности и проверять происшедшие события. По умолчанию можно просмотреть три журнала: журнал приложений (содержит ошибки, предупреждения программ); журнал безопасности (содержит информацию о событиях, определенных политикой аудита); журнал системы (содержит ошибки, предупреждения и информацию, генерируемые Windows 2000).

13.3.1 Обзор журнала безопасности

Открыв оснастку Event Viewer (Просмотр событий) следует выбрать Security log (Журнал безопасности).

На правой панели Event Viewer (Просмотр событий) отобразится список событий. Успешные события обозначены как «ключ», неуспешные – «замок». Далее содержится информация о дате и времени произошедшего события, категории события и пользователя, вызвавшего событие. Категория означает тип события: доступ к объекту, действие с учетной записью или вход в систему.

13.3.2 Поиск нужных событий

При первом запуске Event Viewer (Просмотр событий) автоматически показывает все произошедшие события. Можно установить режим просмотра событий с помощью команды Filter (Фильтр). Определенное событие можно найти при помощи команды Find (Найти). Команды содержатся в меню View (Вид).

Дисковые квоты

Дисковые квоты позволяют ограничивать доступное пользователям дисковое пространство, а так же отслеживают и контролируют его использование для каждого тома и для каждого пользователя.

Windows 2000 отслеживает дисковые квоты для каждого тома, даже если эти тома находятся на одном жестком диске.

1. Windows 2000 определяет объем занятого пространства, основываясь на принадлежащих пользователю файлах/папках. Когда пользователь копирует или сохраняет новый файл Windows 2000 сравнивает пространство, необходимое для размещения файла и квоту пользователя.

2. При определении объема занятого пространства Windows 2000 игнорирует сжатие. Учитывается каждый несжатый байт.

3. Если используются дисковые квоты, свободное пространство на диске, предоставляемое приложениями Windows 2000 будет равно оставшемуся пространству квоты пользователя. Допустим, файлы занимают 50 Мб из назначенной квоты в 100 Мб – Windows 2000 покажет, что объем свободного места на диске равен 50 Мб, даже если том содержит несколько гигабайт незанятого пространства.

13.4.1 Администрирование дисковых квот

Дисковые квоты позволяют осуществлять мониторинг и управлять использованием пространства диска:

1) устанавливать дисковую квоту для каждого пользователя;

2) задавать порог выдачи предупреждений, при котором Windows 2000 отметит в журнале событие, указывающее на то, что пользователь почти достиг предела своей дисковой квоты;

3) обеспечивать соблюдение пределов дисковых квот и блокировать или не блокировать доступ при превышении квоты.

После того как будут включены дисковые квоты, Windows 2000 соберет для всех пользователей, файлы/папки которых размещены в данном томе, сведения о занимаемом дисковом пространстве, что позволит осуществлять мониторинг тома для каждого пользователя. Просматривать и изменять параметры дисковых квот по умолчанию могут лишь члены группы Administrators (Администраторы).

Дисковые квоты и пороги выдачи предупреждения можно включать для отдельных или всех пользователей. Дисковые квоты задаются на вкладке Quota (Квота) диалогового окна Properties (Свойства) диска.

Чтобы задать одинаковые пределы квот для всех пользователей, необходимо ввести соответствующие значения в полях Limit Disk Space To (Выделять на диске не более) и Set Warning Level To (Порог выдачи предупреждений) и пометить флажок Deny Disk Space To Users Exceeding Quota Limit (Не выделять на диске место при превышении квоты). Windows 2000 не позволит создавать в томе папки/файлы пользователям, превысившим квоту.

 

Технология INTELLI MIRROR

IntelliMirror – это набор встроенных в Windows автоматических средств настройки рабочего стола и управления конфигурацией. IntelliMirror сочетает преимущества централизованного управления с производительностью и гибкостью распределенных вычислений.

IntelliMirror обеспечивает перемещение параметров настройки рабочей среды пользователя между компьютерами локальной сети. Кроме того, используя средства IntelliMirror, администраторы могут выполнять удаленную установку Windows.

Поддержка IntelliMirror представлена в Windows несколькими перечисленными ниже возможностями.

1. Управление данными пользователя. Поддержка зеркального отображения данных пользователя в сети и создание локальных копий выбранных сетевых данных.

2. Установка и сопровождение программ. Возможность централизованной установки, восстановления, обновления и удаления программ администраторами.

3. Управление настройкой рабочей среды пользователя. Возможность централизованного задания администраторами параметров настройки рабочей среды пользователей и компьютеров. Также включает возможность зеркального отображения в сети параметров настройки рабочей среды пользователя.

4. Службы удаленной установки. Поддержка автоматизированной установки и настройки, а также удаленной установки операционной системы на компьютерах сети.

Средство управления данными облегчает работу пользователей и сетевых администраторов, зеркально отображая данные локального компьютера в сети и тем самым обеспечивая защиту важных работ. Кроме того, доступ к этим данным может быть осуществлен с любого компьютера Windows, подлеченного к локальной сети.

Пользователи, работающие дома или в дороге, могут синхронизировать свои локальные файлы с сетевыми при очередном подключении, обеспечивая обмен самыми последними версиями документов.

Контрольные вопросы

1. Инструменты настройки параметров безопасности

2. Оснастка Security Configuration and Analysis (Анализ и настройка безопасности)

3. Оснастка Security Templates (Шаблоны безопасности)

4. Аудит

5. Политика аудита

6. Внедрение и настройка аудита

7. Аудит доступа к файлам и папкам

8. Программа Event Viewer

9. Обзор журнала безопасности

10. Поиск нужных событий

11. Дисковые квоты

12. Администрирование дисковых квот

1. Технология Intelli Mirror

Глоссарий

• Абстрактный класс – класс, который не может иметь экземпляров. А.к. пишется в предположении, что его конкретные подклассы дополнят его структуру и поведение, скорее всего, реализовав абстрактные операции.
• Автоматизация - применение технических средств, экономико-математических методов и систем управления, освобождающих человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования энергии, материалов или информации. Автоматизируются:

• технологические, энергетические, транспортные и др. производственные процессы;
• проектирование сложных агрегатов, судов, промышленных сооружений, производственных комплексов;
• организация, планирование и управление в рамках цеха, предприятия, строительства, отрасли, войсковой части, соединения и др.;
• научные исследования, медицинское и техническое диагностирование, учет и обработка статистических данных, программирование, инженерные расчеты и др.

Цель автоматизации - повышение производительности и эффективности труда, улучшение качества продукции, оптимизация управления, устранение человека от работы в условиях, опасных для здоровья. Автоматизация - одно из основных направлений научно-технического прогресса. /БСЭ/

• Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
• Автоматизированная система управления (АСУ) - совокупность математических методов, технических средств (ЭВМ, средств связи, устройств отображения информации и т. д.) и организационных комплексов, обеспечивающих рациональное управление сложным объектом (процессом) в соответствии с заданной целью. АСУ состоит из основы и функциональной части. В основу входят информационное, техническое и математическое обеспечение. К функциональной части относят набор взаимосвязанных программ, автоматизирующих конкретные функции управления (планирование, финансово-бухгалтерскую деятельность и др.). Различают АСУ объектами (технологическими процессами - АСУТП, предприятием - АСУП, отраслью - ОАСУ) и функциональными автоматизированными системами, напр., проектирования, расчетов, материально-технического и др. обеспечения. /БСЭ/
• Автоматизированное рабочее место (АРМ) - рабочее место оператора, диспетчера, конструктора, технолога и др., оснащенное средствами вычислительной техники для автоматизации процессов переработки и отображения информации, необходимой для выполнения производственного задания. /БСЭ/
• Авторизация пользователя – процесс выяснения системой прав, предоставленных пользователю, после его распознавания (идентификации и аутентификации) системой. Выражение «пользователь авторизован для выполнения некоторых действий» означает, что пользователь имеет право (т.е. ему разрешено ответственными лицами компьютерной системы) выполнять в системе эти действия.
• Агрегат – см. Составной объект.
• АИС – автоматизированная информационная система.
• АКС – автоматизированная компьютерная система.
• Алгоритмическая декомпозиция (также – декомпозиция) – процесс разделения системы на части, каждая из которых отражает этап общего процесса. Применение структурного подхода к проектированию приводит к А.д., которая фокусируется на потоке управления в системе.
• АРМ - автоматизированное рабочее место.
• Архитектура – см. Архитектура системы.
• Архитектура системы (также архитектура):

• перечень и взаимосвязь компонентов системы. /БСЭ/;
• логическая и физическая структура системы, сформированная всеми стратегическими и тактическими проектными решениями;
• совокупность проектных решений, определяющих:
• схему взаимосвязи функциональных задач, выполняемых системой;
• разбиение понятий, функций, компетенции на архитектурные уровни ИС;
• структурные схемы по основным видам обеспечения (ТО, ПО, ИО, ОО);
• технологию обработки информации в системе;
• режимы, базовые регламенты и алгоритмы функционирования системы.
• АСУ - автоматизированная система управления.
• Атака - действие некоторого субъекта компьютерной системы (пользователя, программы, процесса и т.д.), использующего уязвимость компьютерной системы для достижения целей, выходящих за пределы авторизации данного субъекта в компьютерной системе.
• Атрибут –

• часть составного объекта (агрегата);
• любая характеристика сущности, значимая для рассматриваемой предметной области и предназначенная для квалификации, идентификации, классификации, количественной характеристики или выражения состояния сущности. Атрибут представляет тип характеристик или свойств, ассоциированных со множеством реальных или абстрактных объектов (людей, мест, событий, состояний, идей, пар предметов и т.д.).

Экземпляр атрибута - это определенная характеристика отдельного элемента множества. Экземпляр атрибута определяется типом характеристики и ее значением, называемым значением атрибута. В ER-модели атрибуты ассоциируются с конкретными сущностями. Таким образом, экземпляр сущности должен обладать единственным определенным значением для ассоциированного атрибута. Атрибут может быть либо обязательным, либо необязательным. Обязательность означает, что атрибут не может принимать неопределенных значений. Атрибут может быть либо описательным (т.е. обычным дескриптором сущности), либо входить в состав уникального идентификатора (первичного ключа).