Contatti      Informazioni sul sito
casa Sicurezza

Controllo della copia dei file di Windows 10. Utilizzo del controllo di Windows per tenere traccia dell'attività dell'utente. Integrazione con i sistemi di autenticazione

La necessità di implementare sistemi per il controllo delle azioni degli utenti nelle organizzazioni di qualsiasi livello è convinta da studi di aziende coinvolte nell'analisi della sicurezza delle informazioni.

Uno studio di Kaspersky Lab, ad esempio, ha mostrato che due terzi degli incidenti IS (67%) sono causati, tra l'altro, dalle azioni di dipendenti poco informati o disattenti. Allo stesso tempo, secondo la ricerca ESET, l'84% delle aziende sottovaluta i rischi causati dal fattore umano.

La protezione contro le minacce associate all'utente "dall'interno" richiede uno sforzo maggiore rispetto alla protezione contro le minacce esterne. Per contrastare i "malware" dall'esterno, inclusi virus e attacchi mirati alla rete dell'organizzazione, è sufficiente introdurre un software o un sistema hardware e software appropriato. Tenere un'organizzazione al sicuro da un aggressore interno richiederà maggiori investimenti nell'infrastruttura di sicurezza e un'analisi approfondita. Il lavoro analitico include l'identificazione dei tipi di minacce più critiche per il business, nonché la compilazione di "ritratti dei trasgressori", ovvero la determinazione dell'entità del danno che un utente può causare, in base alle proprie competenze e poteri.

L'audit delle azioni degli utenti è indissolubilmente legato non solo alla comprensione di quali “lacune” nel sistema di sicurezza delle informazioni devono essere rapidamente colmate, ma anche al tema della sostenibilità del business nel suo complesso. Le aziende configurate per il funzionamento continuo dovrebbero tenere conto del fatto che con la complicazione e l'aumento dei processi di informatizzazione e automazione aziendale, il numero di minacce interne è solo in aumento.

Oltre a tracciare le azioni di un dipendente ordinario, è necessario controllare le operazioni dei "superutenti" - dipendenti con diritti privilegiati e, di conseguenza, maggiori opportunità di implementare accidentalmente o intenzionalmente la minaccia di fuga di informazioni. Questi utenti includono amministratori di sistema, amministratori di database e sviluppatori di software interni. Qui puoi anche aggiungere specialisti IT coinvolti e dipendenti responsabili della sicurezza delle informazioni.

L'introduzione di un sistema per il monitoraggio delle azioni degli utenti in un'azienda consente di registrare e rispondere rapidamente all'attività dei dipendenti. Importante: il sistema di audit deve avere la proprietà dell'inclusività. Ciò significa che le informazioni sulle attività di un normale dipendente, amministratore di sistema o top manager devono essere analizzate a livello sistema operativo, utilizzando applicazioni aziendali, a livello di dispositivi di rete, accedendo a database, connettendo supporti esterni e così via.

I moderni sistemi di audit integrati consentono di controllare tutte le fasi delle azioni dell'utente dall'avvio allo spegnimento del PC (workstation terminale). È vero, in pratica cercano di evitare il controllo totale. Se tutte le operazioni vengono registrate nei log di controllo, il carico sull'infrastruttura del sistema informativo dell'organizzazione aumenta molte volte: le workstation si bloccano, i server ei canali funzionano a pieno carico. La paranoia sulla sicurezza delle informazioni può danneggiare un'azienda rallentando notevolmente i flussi di lavoro.

Uno specialista della sicurezza delle informazioni competente determina prima di tutto:

  • quali dati in azienda sono i più preziosi, dal momento che la maggior parte delle minacce interne sarà associata ad essi;
  • chi e a quale livello può avere accesso a dati preziosi, ovvero delinea la cerchia dei potenziali trasgressori;
  • la misura in cui le attuali misure di protezione sono in grado di resistere alle azioni intenzionali e/o accidentali degli utenti.

Ad esempio, gli specialisti della sicurezza delle informazioni del settore finanziario considerano la minaccia della fuga di dati di pagamento e l'abuso di accesso come i più pericolosi. Nei settori industriale e dei trasporti, le perdite di know-how e il comportamento sleale dei dipendenti sono i più temuti. Preoccupazioni simili sono nel settore IT e nel settore delle telecomunicazioni, dove le minacce più critiche sono la perdita di sviluppi proprietari, segreti commerciali e informazioni di pagamento.

I PIÙ PROBABILI VIOLATORI "TIPICI" DI ANALYTICS SONO ASSOCIATI COME SEGUENTI:

  • Top management: la scelta è ovvia: i più ampi poteri possibili, l'accesso alle informazioni più preziose. Allo stesso tempo, i responsabili della sicurezza spesso chiudono un occhio sulle violazioni delle regole di sicurezza delle informazioni da parte di tali figure.
  • Dipendenti sleali : per determinare il grado di fedeltà, gli specialisti della sicurezza delle informazioni dell'azienda dovrebbero analizzare le azioni di un singolo dipendente.
  • Amministratori: Professionisti privilegiati e abilitati con una profonda conoscenza del campo IT sono tentati di ottenere l'accesso non autorizzato a informazioni sensibili;
  • Impiegati appaltatori/esternalizzazione : come gli amministratori, gli esperti "esterni", avendo una vasta conoscenza, possono implementare varie minacce pur essendo "dentro" il sistema informativo del cliente.

Determinare le informazioni più significative e gli intrusi più probabili aiuta a costruire un sistema di controllo non totale, ma selettivo degli utenti. Si "scarica" sistema informativo e solleva gli specialisti della sicurezza delle informazioni dal lavoro ridondante.

Oltre al monitoraggio selettivo, l'architettura dei sistemi di audit svolge un ruolo significativo nell'accelerazione del sistema, nel miglioramento della qualità dell'analisi e nella riduzione del carico sull'infrastruttura. I moderni sistemi per il controllo delle azioni degli utenti hanno una struttura distribuita. Gli agenti dei sensori sono installati su workstation e server finali, che analizzano eventi di un certo tipo e trasmettono i dati ai centri di consolidamento e storage. I sistemi di analisi delle informazioni registrate, secondo i parametri previsti dal sistema, rilevano negli audit log fatti di attività sospette o anomale non immediatamente riconducibili al tentativo di mettere in atto una minaccia. Questi fatti vengono passati al sistema di risposta, che notifica la violazione all'amministratore della sicurezza.

Se il sistema di audit è in grado di far fronte alla violazione da solo (di solito, tali sistemi IS forniscono un metodo di firma per rispondere a una minaccia), la violazione viene interrotta automaticamente e tutte le informazioni necessarie sull'intruso, le sue azioni e l'oggetto minaccia cade in un database speciale. In questo caso, la Security Administrator Console notifica all'utente che la minaccia è stata neutralizzata.

Se il sistema non contiene metodi per rispondere automaticamente ad attività sospette, tutte le informazioni per neutralizzare la minaccia o per analizzarne le conseguenze vengono trasferite alla console dell'amministratore IS per le operazioni manuali.

NEL SISTEMA DI MONITORAGGIO DI QUALSIASI ORGANIZZAZIONE, LE OPERAZIONI DEVONO ESSERE CONFIGURATE:

Controllo dell'uso di workstation, server, nonché del tempo (per ore e giorni della settimana) di attività degli utenti su di essi. In questo modo si stabilisce l'opportunità di utilizzare le risorse informative.

Victor Chutov
Project Manager INFORMSVYAZ HOLDING

Prerequisiti per l'implementazione del sistema

Il primo studio globale aperto sulle minacce alla sicurezza delle informazioni interne condotto nel 2007 da Infowatch (basato sui risultati del 2006) ha mostrato che le minacce interne non sono meno comuni (56,5%) di quelle esterne (malware, spam, hacker, ecc.). D.). Allo stesso tempo, nella stragrande maggioranza (77%), il motivo dell'implementazione di una minaccia interna è la negligenza degli utenti stessi (mancato rispetto delle istruzioni di lavoro o abbandono dei mezzi elementari di protezione delle informazioni).

Dinamica dei cambiamenti della situazione nel periodo 2006-2008 riflesso in fig. uno.

La relativa diminuzione della quota di perdite per negligenza è dovuta alla parziale implementazione di sistemi di prevenzione delle perdite di informazioni (tra cui un sistema di monitoraggio delle azioni degli utenti), che forniscono un grado di protezione contro le perdite accidentali piuttosto elevato. Inoltre, è dovuto all'aumento assoluto del numero di furti deliberati di dati personali.

Nonostante il cambiamento delle statistiche, è ancora sicuro affermare che la priorità è combattere le fughe di informazioni non intenzionali, poiché è più facile ed economico contrastare tali fughe e, di conseguenza, la maggior parte degli incidenti è coperta.

Allo stesso tempo, la negligenza dei dipendenti, secondo l'analisi dei risultati della ricerca di Infowatch e Perimetrix per il 2004-2008, è al secondo posto tra le minacce più pericolose (i risultati di sintesi della ricerca sono presentati in Fig. 2) e la sua rilevanza continua a crescere insieme al miglioramento dei sistemi automatizzati software e hardware (AS) delle imprese.

Pertanto, l'introduzione di sistemi per eliminare la possibilità di un impatto negativo di un dipendente sull'IS nell'AS dell'impresa (compresi i programmi di monitoraggio), fornire ai dipendenti IS una base di prove e materiali per indagare su un incidente, eliminerà la minaccia di perdite dovute a negligenza, ridurre significativamente le perdite accidentali, oltre a ridurre leggermente le perdite intenzionali. In definitiva, questa misura dovrebbe consentire di ridurre significativamente l'attuazione di minacce provenienti da insider.

AS moderno per il controllo delle azioni dell'utente. Vantaggi e svantaggi

I sistemi automatizzati per il controllo (monitoraggio) delle azioni degli utenti (ASADP) AS, spesso indicati come prodotti software di monitoraggio, sono progettati per essere utilizzati dagli amministratori della sicurezza AS (il servizio di sicurezza delle informazioni dell'organizzazione) per garantirne l'osservabilità - "proprietà di un sistema informatico che consente di registrare l'attività degli utenti, nonché di impostare in modo univoco gli utenti coinvolti in determinati eventi al fine di prevenire violazioni delle politiche di sicurezza e/o garantire la responsabilità per determinate azioni.

La proprietà di osservabilità AS, a seconda della qualità della sua attuazione, consente, in una certa misura, di controllare l'osservanza da parte dei dipendenti dell'organizzazione della sua politica di sicurezza e delle regole stabilite per il lavoro sicuro sui computer.

Applicazione del monitoraggio prodotti software, anche in tempo reale, è progettato per:

  • determinare (localizzare) tutti i casi di tentativi di accesso non autorizzato a informazioni riservate con un'indicazione esatta dell'ora e del luogo di lavoro della rete da cui tale tentativo è stato effettuato;
  • rilevare fatti di installazione di software non autorizzati;
  • determinare tutti i casi di utilizzo non autorizzato di hardware aggiuntivo (ad esempio modem, stampanti, ecc.) analizzando i fatti relativi all'avvio di applicazioni specializzate non autorizzate;
  • determinare tutti i casi di digitazione di parole e frasi critiche sulla tastiera, predisponendo documenti critici il cui trasferimento a terzi comporterà danni materiali;
  • controllare l'accesso a server e personal computer;
  • controllare i contatti durante la navigazione in Internet;
  • condurre ricerche relative alla determinazione dell'accuratezza, dell'efficienza e dell'adeguatezza della risposta del personale alle influenze esterne;
  • determinare il carico di lavoro dei posti di lavoro informatici dell'organizzazione (per ora del giorno, per giorno della settimana, ecc.) ai fini dell'organizzazione scientifica del lavoro degli utenti;
  • controllare i casi d'uso computer personale durante le ore non lavorative e identificare lo scopo di tale utilizzo;
  • ricevere le informazioni affidabili necessarie, sulla base delle quali vengono prese le decisioni per adeguare e migliorare la politica di sicurezza delle informazioni dell'organizzazione, ecc.

L'implementazione di queste funzioni si ottiene introducendo moduli agente (sensori) su workstation e server AS con ulteriore polling di stato o ricezione di report da essi. I rapporti vengono elaborati nella Security Administrator Console. Alcuni sistemi sono dotati di server intermedi (punti di consolidamento) che elaborano le proprie aree e gruppi di sicurezza.

L'analisi di sistema delle soluzioni presentate sul mercato (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) ha consentito di identificare alcune proprietà specifiche che, se sommate a un promettente ASADP, aumenterà i propri indicatori di performance rispetto ai campioni studiati.

Nel caso generale, insieme a una funzionalità abbastanza ampia e un ampio pacchetto di opzioni, i sistemi esistenti possono essere utilizzati per tracciare le attività dei soli utenti AS sulla base di un poll (scan) ciclico obbligatorio di tutti gli elementi AS specificati (e , in primis gli utenti AWP).

Allo stesso tempo, la distribuzione e la scalabilità dei moderni sistemi automatizzati, che includono un numero abbastanza elevato di workstation, tecnologie e software, complica notevolmente il processo di monitoraggio del lavoro degli utenti e ciascuno dei dispositivi di rete è in grado di generare migliaia di messaggi di controllo , raggiungendo quantità di informazioni piuttosto elevate che richiedono il mantenimento di database enormi, spesso duplicati. Questi strumenti, tra le altre cose, consumano risorse hardware e di rete significative, caricano un AS comune. Si rivelano inflessibili alla riconfigurazione di hardware e software. reti di computer, non sono in grado di adattarsi a tipi sconosciuti di violazioni e attacchi di rete e l'efficacia del rilevamento delle violazioni delle politiche di sicurezza dipenderà in gran parte dalla frequenza di scansione degli elementi AS da parte dell'amministratore della sicurezza.

Uno dei modi per aumentare l'efficienza di questi sistemi è aumentare direttamente la frequenza di scansione. Ciò comporterà inevitabilmente una diminuzione dell'efficienza nello svolgimento di quei compiti principali a cui, appunto, questo AS è destinato, a causa di un notevole aumento del carico computazionale sia sulla postazione dell'amministratore che sui computer delle postazioni degli utenti, nonché come con un aumento del traffico rete locale COME.

Oltre ai problemi associati all'analisi di una grande quantità di dati, i sistemi di monitoraggio esistenti presentano seri limiti all'efficienza e all'accuratezza delle decisioni prese, causati dal fattore umano, che è determinato dalle capacità fisiche dell'amministratore come uomo operatore.

La presenza nei sistemi di monitoraggio esistenti della possibilità di notifica in tempo reale di evidenti azioni non autorizzate degli utenti non risolve sostanzialmente il problema nel suo insieme, poiché consente di tracciare solo tipologie di violazioni precedentemente note (metodo della firma), e non è in grado di per contrastare i nuovi tipi di violazioni.

Lo sviluppo e l'uso di metodi estensivi di sicurezza delle informazioni nei sistemi di sicurezza delle informazioni, che prevedono un aumento del livello della sua protezione grazie alla "selezione" aggiuntiva della risorsa di calcolo dall'AS, riduce le capacità dell'AS di risolvere il compiti per i quali è destinato, e/o ne aumenta il costo. Il fallimento di un tale approccio nel mercato delle tecnologie IT in rapido sviluppo è abbastanza ovvio.

Sistema automatizzato di audit (monitoraggio) delle azioni dell'utente. Proprietà promettenti

Dai risultati dell'analisi fornita in precedenza, è evidente la necessità di conferire le seguenti proprietà a sistemi di monitoraggio promettenti:

  • automazione, escluse le operazioni "manuali" di routine;
  • combinazioni di centralizzazione (basata sul posto di lavoro automatizzato dell'amministratore della sicurezza) con controllo a livello di singoli elementi (intellettuali programmi per computer) sistemi di monitoraggio dell'operato degli utenti dell'UA;
  • la scalabilità, che consente di aumentare la capacità dei sistemi di monitoraggio e di ampliarne le capacità senza un aumento significativo delle risorse informatiche necessarie per il loro efficace funzionamento;
  • adattabilità ai cambiamenti nella composizione e nelle caratteristiche delle centrali nucleari, nonché all'emergere di nuovi tipi di violazioni delle politiche di sicurezza.

La struttura generalizzata di ASADP AS, che ha le caratteristiche distintive annotate, che possono essere implementate in AS per vari scopi e accessori, è mostrata in fico. 3.

La struttura di cui sopra comprende i seguenti componenti principali:

  • componenti software-sensori posizionati su alcuni elementi AS (sulle workstation degli utenti, server, apparecchiature di rete, strumenti di sicurezza delle informazioni), che vengono utilizzati per registrare ed elaborare i dati di audit in tempo reale;
  • file di log contenenti informazioni intermedie sull'esperienza dell'utente;
  • componenti di elaborazione dati e decisionali che ricevono informazioni dai sensori attraverso file di registro, le analizzano e prendono decisioni su ulteriori azioni (ad esempio, l'inserimento di alcune informazioni nel database, la notifica ai funzionari, la creazione di rapporti, ecc.);
  • un database di audit (DB) contenente le informazioni su tutti gli eventi registrati, sulla base del quale vengono creati i report e viene monitorato lo stato dell'UA per un determinato periodo di tempo;
  • componenti per la generazione di report e certificati sulla base delle informazioni registrate nel database di audit e di filtraggio dei record (per data, per identificativi utente, per workstation, per eventi di sicurezza, ecc.);
  • componente dell'interfaccia dell'amministratore della sicurezza, che viene utilizzata per gestire il lavoro di ASADPS con la sua workstation, visualizzare e stampare informazioni, creare vari tipi di query al database e generare report, che consente il monitoraggio in tempo reale delle attività correnti degli utenti AS e la valutazione l'attuale livello di sicurezza delle varie risorse;
  • componenti aggiuntivi, in particolare componenti software per la configurazione del sistema, l'installazione e il posizionamento dei sensori, l'archiviazione e la crittografia delle informazioni, ecc.

L'elaborazione delle informazioni in ASADP AS comprende le seguenti fasi:

  • fissazione da parte di sensori delle informazioni di registrazione;
  • raccolta di informazioni dai singoli sensori;
  • scambio di informazioni tra i corrispondenti agenti del sistema;
  • elaborazione, analisi e correlazione degli eventi registrati;
  • presentazione delle informazioni trattate all'amministratore della sicurezza in forma normalizzata (sotto forma di report, diagrammi, ecc.).

Al fine di ridurre al minimo le risorse di calcolo richieste, aumentare la segretezza e l'affidabilità del sistema, le informazioni possono essere archiviate su vari elementi dell'AS.

Basato sul compito di conferire ad ASADP AS proprietà di automazione fondamentalmente nuove (rispetto ai sistemi esistenti per l'audit del lavoro degli utenti AS), una combinazione di centralizzazione e decentramento, scalabilità e adattabilità, una delle possibili strategie per la sua costruzione è la moderna tecnologia di sistemi intelligenti multi-agente, implementati attraverso lo sviluppo di una community integrata di agenti vari tipi(programmi autonomi intelligenti che implementano determinate funzioni di rilevamento e contrasto delle azioni dell'utente che contraddicono la politica di sicurezza) e di organizzazione della loro interazione.

Annotazione: La lezione finale fornisce le ultime raccomandazioni per l'implementazione di mezzi tecnici per proteggere le informazioni riservate, discute in dettaglio le caratteristiche e i principi di funzionamento delle soluzioni InfoWatch.

Soluzioni software InfoWatch

Lo scopo di questo corso non è una conoscenza dettagliata dei dettagli tecnici dei prodotti InfoWatch, quindi li considereremo dal lato del marketing tecnico. I prodotti InfoWatch si basano su due tecnologie fondamentali: il filtraggio dei contenuti e il controllo delle azioni dell'utente o dell'amministratore sul posto di lavoro. Inoltre, parte integrante della soluzione integrata InfoWatch è un repository di informazioni che ha lasciato il sistema informativo e un'unica console interna di gestione della sicurezza.

Filtraggio dei contenuti dei canali di traffico di informazioni

La principale caratteristica distintiva del filtraggio dei contenuti di InfoWatch è l'uso di un nucleo morfologico. A differenza del tradizionale filtraggio delle firme, la tecnologia di filtraggio dei contenuti di InfoWatch presenta due vantaggi: insensibilità alla codifica elementare (sostituzione di un carattere con un altro) e prestazioni più elevate. Poiché il core non funziona con le parole, ma con le forme radice, taglia automaticamente le radici che contengono codifiche miste. Inoltre, lavorare con le radici, di cui ce ne sono meno di diecimila in ogni lingua, e non con le forme verbali, di cui ce ne sono circa un milione nelle lingue, consente di mostrare risultati significativi su apparecchiature piuttosto improduttive.

Verifica delle attività degli utenti

Per monitorare le azioni dell'utente con i documenti su una workstation, InfoWatch offre diversi intercettori in un agente su una workstation: intercettori per operazioni sui file, operazioni di stampa, operazioni all'interno delle applicazioni, operazioni con dispositivi collegati.

Memorizzazione delle informazioni che hanno lasciato il sistema informativo attraverso tutti i canali.

InfoWatch offre un repository per le informazioni che hanno lasciato il sistema informativo. I documenti passati attraverso tutti i canali che conducono all'esterno del sistema - e-mail, Internet, stampa e supporti rimovibili, sono archiviati nell'applicazione *storage (fino al 2007 - modulo Server di archiviazione di monitoraggio del traffico) indicando tutti gli attributi - nome completo e posizione dell'utente, le sue proiezioni elettroniche (indirizzo IP, account o indirizzo postale), data e ora dell'operazione, nome e attributi dei documenti. Tutte le informazioni sono disponibili per l'analisi, inclusa l'analisi del contenuto.

Attività correlate

L'introduzione di mezzi tecnici di protezione delle informazioni riservate sembra inefficace senza il ricorso ad altre modalità, in primis quelle organizzative. Ne abbiamo già discussi alcuni sopra. Ora diamo un'occhiata più da vicino ad altre azioni necessarie.

Modelli di comportamento degli autori di reato

Implementando un sistema di monitoraggio per le azioni con informazioni riservate, oltre ad aumentare le funzionalità e le capacità analitiche, è possibile svilupparsi in altre due direzioni. Il primo è l'integrazione dei sistemi di protezione contro le minacce interne ed esterne. Gli incidenti degli ultimi anni mostrano che esiste una distribuzione dei ruoli tra intrusi interni ed esterni e la combinazione di informazioni provenienti dai sistemi di monitoraggio delle minacce esterne e interne consentirà di rilevare i fatti di tali attacchi combinati. Uno dei punti di contatto tra sicurezza esterna e interna è la gestione dei diritti di accesso, soprattutto nell'ambito della simulazione di un'esigenza industriale di accrescere i diritti dei dipendenti sleali e dei sabotatori. Eventuali richieste di accesso a risorse al di fuori delle mansioni lavorative devono includere immediatamente un meccanismo per l'auditing delle azioni con queste informazioni. È ancora più sicuro risolvere problemi che sono sorti improvvisamente senza aprire l'accesso alle risorse.

Prendiamo un esempio dalla vita. L'amministratore di sistema ha ricevuto una richiesta dal capo del dipartimento marketing di aprire l'accesso al sistema finanziario. A giustificazione della domanda, è stato allegato un compito Amministratore delegato su ricerche di mercato dei processi di acquisto dei beni effettuate dall'azienda. Poiché il sistema finanziario è una delle risorse più protette e l'amministratore delegato dà il permesso di accedervi, il capo del dipartimento di sicurezza delle informazioni ha scritto una soluzione alternativa sull'applicazione: non per consentire l'accesso, ma per caricare dati anonimi (senza specificare i clienti) in un database speciale per l'analisi. In risposta alle obiezioni del capo marketing secondo cui era scomodo per lui lavorare in questo modo, il direttore gli ha posto una domanda diretta: "Perché hai bisogno dei nomi dei clienti - vuoi unire il database?" Dopodiché tutti sono andati al lavoro. Non lo sapremo mai se si trattava di un tentativo di fuga di informazioni, ma qualunque cosa fosse, il sistema finanziario aziendale era protetto.

Prevenzione delle perdite durante la fase di preparazione

Un'altra direzione nello sviluppo di un sistema di monitoraggio degli incidenti interni con informazioni riservate è la costruzione di un sistema di prevenzione delle perdite. L'algoritmo di funzionamento di un tale sistema è lo stesso delle soluzioni di prevenzione delle intrusioni. Innanzitutto, viene costruito un modello dell'intruso e da esso viene formata una "firma di violazione", ovvero la sequenza di azioni dell'intruso. Se più azioni dell'utente corrispondono alla firma della violazione, viene previsto il passaggio successivo dell'utente, se corrisponde anche alla firma, viene generato un allarme. Ad esempio, un documento riservato è stato aperto, parte di esso è stata selezionata e copiata negli appunti, quindi è stato creato un nuovo documento e il contenuto degli appunti è stato copiato in esso. Il sistema presuppone che se un nuovo documento viene salvato ulteriormente senza l'etichetta "riservato", si tratti di un tentativo di rapimento. La chiavetta USB non è stata ancora inserita, la lettera non è stata generata e il sistema informa il responsabile della sicurezza delle informazioni, che decide se fermare il dipendente o tracciare dove vanno le informazioni. A proposito, i modelli (in altre fonti - "profili") del comportamento dell'autore del reato possono essere utilizzati non solo raccogliendo informazioni da agenti software. Se si analizza la natura delle query al database, è sempre possibile identificare un dipendente che tenta di ottenere un'informazione specifica con una serie di query consecutive al database. È necessario tracciare immediatamente cosa fa con queste richieste, se le salva, se collega supporti di archiviazione rimovibili, ecc.

Organizzazione dell'archiviazione delle informazioni

I principi dell'anonimizzazione e della crittografia dei dati sono un prerequisito per l'organizzazione dell'archiviazione e dell'elaborazione e l'accesso remoto può essere organizzato utilizzando un protocollo terminale senza lasciare alcuna informazione sul computer da cui viene effettuata la richiesta.

Integrazione con i sistemi di autenticazione

Prima o poi, il cliente dovrà utilizzare un sistema di monitoraggio dei documenti riservati per risolvere i problemi relativi al personale, ad esempio il licenziamento dei dipendenti sulla base dei fatti documentati da questo sistema o persino il perseguimento legale dei divulgatori. Tuttavia, tutto ciò che il sistema di monitoraggio può fornire è l'identificatore elettronico del trasgressore: l'indirizzo IP, account, indirizzo email, ecc. Per addebitare legalmente un dipendente, è necessario associare questo identificatore a una persona. Qui si apre un nuovo mercato per l'integratore - l'introduzione di sistemi di autenticazione - dai semplici token alla biometria avanzata e agli identificatori RFID.

Per controllare l'accesso a file e cartelle in Windows Server 2008 R2, è necessario abilitare la funzione di controllo e specificare le cartelle ei file a cui si desidera bloccare l'accesso. Dopo aver impostato l'audit, il registro del server conterrà informazioni sull'accesso e altri eventi sui file e sulle cartelle selezionati. Vale la pena notare che l'accesso a file e cartelle può essere verificato solo su volumi con il file system NTFS.

Abilita il controllo per gli oggetti del file system in Windows Server 2008 R2

Il controllo dell'accesso a file e cartelle è abilitato e disabilitato utilizzando i criteri di gruppo: criteri di dominio per un dominio Directory attiva o politiche di sicurezza locali per server standalone. Per abilitare il controllo su un singolo server, è necessario aprire la Console di gestione delle politiche locali Inizia ->TuttiProgrammi ->amministrativoStrumenti ->LocalesicurezzaPolitica. Nella console delle politiche locali, espandere l'albero delle politiche locali ( Localepolitiche) e seleziona l'elemento auditPolitica.

Seleziona un elemento nel riquadro di destra auditOggettoAccesso e nella finestra che appare, specificare quali tipi di eventi di accesso a file e cartelle devono essere registrati (accesso riuscito/non riuscito):


Dopo aver selezionato l'impostazione desiderata, premere OK.

Selezione di file e cartelle, il cui accesso verrà risolto

Dopo aver attivato il controllo dell'accesso a file e cartelle, è necessario selezionare oggetti specifici file system, il cui accesso sarà verificato. Proprio come le autorizzazioni NTFS, le impostazioni di controllo predefinite vengono ereditate su tutti gli oggetti figlio (se non diversamente configurato). Allo stesso modo dell'assegnazione dei diritti di accesso a file e cartelle, l'ereditarietà delle impostazioni di controllo può essere abilitata sia per tutti che solo per gli oggetti selezionati.

Per configurare il controllo per una cartella/file specifico, fare clic con il pulsante destro del mouse su di esso e selezionare Proprietà ( Proprietà). Nella finestra delle proprietà, vai alla scheda Sicurezza ( sicurezza) e premere il pulsante Avanzate. Nella finestra delle impostazioni di sicurezza avanzate ( AvanzatesicurezzaImpostazioni) vai alla scheda Audit ( Auditing). L'impostazione di un audit, ovviamente, richiede diritti di amministratore. A questo punto, la finestra di controllo visualizzerà un elenco di utenti e gruppi per i quali l'audit è abilitato per questa risorsa:

Per aggiungere utenti o gruppi a cui accede questo oggetto sarà risolto, è necessario premere il pulsante Aggiungere... e specificare i nomi di questi utenti/gruppi (o specificare Tutti– per controllare l'accesso di tutti gli utenti):

Immediatamente dopo aver applicato queste impostazioni nel registro del sistema di sicurezza (lo trovi nel file computerGestione -> Visualizzatore eventi), ogni volta che si accede a oggetti per i quali è abilitato il controllo, verranno visualizzate le voci corrispondenti.

In alternativa, gli eventi possono essere visualizzati e filtrati utilizzando il cmdlet di PowerShell − Get-EventLog Ad esempio, per visualizzare tutti gli eventi con eventid 4660, eseguire il comando:

Sicurezza Get-EventLog | ?($_.eventid -eq 4660)

Consigli. È possibile assegnare determinate azioni a qualsiasi evento nel registro di Windows, come l'invio di un'e-mail o l'esecuzione di uno script. Come è configurato è descritto nell'articolo:

UPD dal 08/06/2012 (Grazie al commentatore).

In Windows 2008/Windows 7, un'utilità speciale sembrava gestire l'audit auditpol. L'elenco completo dei tipi di oggetti che possono essere controllati può essere visualizzato utilizzando il comando:

auditpol /lista /sottocategoria:*

Come puoi vedere questi oggetti sono divisi in 9 categorie:

  • Sistema
  • Accesso/Disconnessione
  • Accesso agli oggetti
  • Utilizzo dei privilegi
  • Tracciamento dettagliato
  • cambiamento di politica
  • Gestione contabile
  • DSAccess
  • Accesso all'account

E ciascuno di essi, rispettivamente, è suddiviso in sottocategorie. Ad esempio, la categoria di controllo Accesso agli oggetti include la sottocategoria File System e per abilitare il controllo per gli oggetti del file system su un computer, eseguire il comando:

Auditpol /set /sottocategoria:"File System" /failure:enable /success:enable

Viene disabilitato dal comando:

Auditpol /set /sottocategoria:"File System" /failure:disable /success:disable

Quelli. Se si disattiva il controllo delle sottocategorie non necessarie, è possibile ridurre notevolmente il volume del registro e il numero di eventi non necessari.

Dopo aver attivato l'audit dell'accesso a file e cartelle, è necessario specificare gli oggetti specifici che controlleremo (nelle proprietà di file e cartelle). Tieni presente che, per impostazione predefinita, le impostazioni di controllo vengono ereditate su tutti gli oggetti figlio (se non diversamente specificato).

Condividi con gli amici o salva per te:

Caricamento in corso...
Articoli correlati consigliati
Come effettuare i dettagli delle chiamate tramite il tuo account personale Beeline
Come effettuare i dettagli delle chiamate tramite il tuo account personale Beeline
Istruzioni per aumentare la cache nel browser Google Chrome
Istruzioni per aumentare la cache nel browser Google Chrome
Come zippare un file e inviarlo via e-mail!
Come zippare un file e inviarlo via e-mail!