4. Успешные попытки внесения изменений в список пользователей должны регистрироваться в любом случае.
5. Изменения в политике безопасности должны регистрироваться обязательно.
6. Регистрировать системные события в большинстве случаев нецелесообразно.
7. Регистрировать запуск и завершение процессов имеет смысл только в том случае, когда есть обоснованные подозрения, что операционная система атакована вирусом, получившим права администратора.
Достоинства и недостатки подсистемы аудита Windows NT
Подсистема аудита в Windows NT является наиболее «сырой» частью подсистемы защиты и буквально «пропитана» ошибками в программном обеспечении. Единственное достоинство этой подсистемы заключается в том, что она существует и позволяет регистрировать в журнале аудита хоть какие-то события.
Основные недостатки подсистемы аудита Windows NT.
• Журнал аудита защищается от несанкционированного доступа только средствами разграничения доступа. Было бы логично дополнить защиту журнала аудита криптографическими средствами, а также средствами обеспечения корректности совместного доступа процессов к объектам. (Например, сервис EventLog при старте открывает файл SecEvent.evt в режиме монопольного доступа и в дальнейшем предоставляет другим процессам все услуги, связанные с чтением, пополнением и очисткой журнала аудита. В этом случае никакой другой процесс независимо от своих полномочий не сможет обратиться к файлу SecEvent.evt без посредничества сервиса EventLog.).
• Отсутствуют удобные и эффективные средства, позволяющие отделить пользователей-аудиторов от администраторов операционной системы.
• Недостаточное количество категорий событий аудита затрудняет управление политикой аудита.
• Многие важные с точки зрения безопасности системы события (например, старт драйвера) не могут быть зарегистрированы в журнале аудита.
• Многие объекты операционной системы, недоступные для стандартных утилит администрирования, по умолчанию имеют SACL, что приводит к регистрации в журнале аудита множества малоинтересных событий.
• Из-за ошибок в программном обеспечении многие события регистрируются не всегда или регистрируются некорректно (например, в Windows NT 3.51 SP5 не всегда, когда это предусмотрено политикой аудита, регистрируется выход пользователя из системы).
• Реальный порядок регистрации многих событий противоречит описанному в документации
Мониторинг функционирования СВТ
Средства контроля администратора безопасности.
Информационная безопасность
4. Успешные попытки внесения изменений в список пользователей должны регистрироваться в любом случае.
5. Изменения в политике безопасности должны регистрироваться обязательно.
6. Регистрировать системные события в большинстве случаев нецелесообразно.
7. Регистрировать запуск и завершение процессов имеет смысл только в том случае, когда есть обоснованные подозрения, что операционная система атакована вирусом, получившим права администратора.
Достоинства и недостатки подсистемы аудита Windows NT
Подсистема аудита в Windows NT является наиболее «сырой» частью подсистемы защиты и буквально «пропитана» ошибками в программном обеспечении. Единственное достоинство этой подсистемы заключается в том, что она существует и позволяет регистрировать в журнале аудита хоть какие-то события.
Основные недостатки подсистемы аудита Windows NT.
• Журнал аудита защищается от несанкционированного доступа только средствами разграничения доступа. Было бы логично дополнить защиту журнала аудита криптографическими средствами, а также средствами обеспечения корректности совместного доступа процессов к объектам. (Например, сервис EventLog при старте открывает файл SecEvent.evt в режиме монопольного доступа и в дальнейшем предоставляет другим процессам все услуги, связанные с чтением, пополнением и очисткой журнала аудита. В этом случае никакой другой процесс независимо от своих полномочий не сможет обратиться к файлу SecEvent.evt без посредничества сервиса EventLog.).
• Отсутствуют удобные и эффективные средства, позволяющие отделить пользователей-аудиторов от администраторов операционной системы.
• Недостаточное количество категорий событий аудита затрудняет управление политикой аудита.
• Многие важные с точки зрения безопасности системы события (например, старт драйвера) не могут быть зарегистрированы в журнале аудита.
• Многие объекты операционной системы, недоступные для стандартных утилит администрирования, по умолчанию имеют SACL, что приводит к регистрации в журнале аудита множества малоинтересных событий.
• Из-за ошибок в программном обеспечении многие события регистрируются не всегда или регистрируются некорректно (например, в Windows NT 3.51 SP5 не всегда, когда это предусмотрено политикой аудита, регистрируется выход пользователя из системы).
• Реальный порядок регистрации многих событий противоречит описанному в документации
Мониторинг функционирования СВТ
Средства контроля администратора безопасности.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102