Для каждого класса событий могут регистрироваться либо только успешные события (соответствующая операция выполнена успешно), либо только неуспешные (при выполнении операции произошла ошибка), либо и те и другие, либо никакие.
В Windows NT считаются опасными следующие привилегии субъектов доступа:
? получать оповещения от файловой системы;
? добавлять записи в журнал аудита;
? создавать маркеры доступа;
? назначать маркеры доступа процессам;
? создавать резервные копии информации, хранящейся на жестких дисках;
? восстанавливать информацию на жестких дисках с резервных копии;
? отлаживать программы.
Далеко не всё объективно опасные привилегии субъектов считаются: опасными с точки зрения подсистемы защиты Windows NT. Например, не считается опасной привилегия загружать и выгружать драйверы и сервисы.
С другой стороны, в журнале аудита Windows NT регистрируется использование некоторых других привилегий, которые согласно документации не считаются опасными.
Таким образом, глобальные настройки политики аудита в отношении доступа субъектов к объектам выполняют роль фильтра, позволяя временно запретить регистрацию успешных/неуспешных попыток доступа всех субъектов ко всем объектам операционной системы.
Какой должна быть политика аудита?
В требованиях NCSC к конфигурации Windows NT, которые должны выполняться для соответствия защищенности операционной системы уровню С2, об аудите говорится очень мало. Фактически утверждается, что аудит должен быть и что при переполнении журнала аудита операционная система должна «показывать синий экран». Детальная проработка политики аудита возлагается на администраторов операционной системы (в этом документе неявно предполагается, что группа администраторов и группа аудиторов совпадают).
При определении политики аудита следует иметь в виду, что адекватность политики аудита заключается не в том, что регистрируется много событий, а в том, что регистрируется ровно столько событий, сколько необходимо. Если подсистема аудита регистрирует слишком много событий, то, с одной стороны, журнал аудита переполняется слишком быстро, а с другой — аудитору трудно выделить в огромном объеме малозначительной информации действительно важные события. Типичная ошибка при определении политики аудита заключается в том, что устанавливается регистрация всех обращений всех субъектов доступа ко всем файлам и поддиректориям системной директории. При такой политике аудита журнал аудита переполняется в считанные минуты.
Общие рекомендации по поддержанию адекватной политики аудита
1. Вход и выход пользователей из системы должен регистрироваться в любом случае.
2. Доступ субъектов к объектам целесообразно регистрировать только в том случае, когда имеются обоснованные подозрения, что один или несколько пользователей злоупотребляют своими полномочиями.
3. Необходимость регистрации использования субъектами опасных привилегий зависит от версии операционной системы.
Информационная безопасность
Для каждого класса событий могут регистрироваться либо только успешные события (соответствующая операция выполнена успешно), либо только неуспешные (при выполнении операции произошла ошибка), либо и те и другие, либо никакие.
В Windows NT считаются опасными следующие привилегии субъектов доступа:
? получать оповещения от файловой системы;
? добавлять записи в журнал аудита;
? создавать маркеры доступа;
? назначать маркеры доступа процессам;
? создавать резервные копии информации, хранящейся на жестких дисках;
? восстанавливать информацию на жестких дисках с резервных копии;
? отлаживать программы.
Далеко не всё объективно опасные привилегии субъектов считаются: опасными с точки зрения подсистемы защиты Windows NT. Например, не считается опасной привилегия загружать и выгружать драйверы и сервисы.
С другой стороны, в журнале аудита Windows NT регистрируется использование некоторых других привилегий, которые согласно документации не считаются опасными.
Таким образом, глобальные настройки политики аудита в отношении доступа субъектов к объектам выполняют роль фильтра, позволяя временно запретить регистрацию успешных/неуспешных попыток доступа всех субъектов ко всем объектам операционной системы.
Какой должна быть политика аудита?
В требованиях NCSC к конфигурации Windows NT, которые должны выполняться для соответствия защищенности операционной системы уровню С2, об аудите говорится очень мало. Фактически утверждается, что аудит должен быть и что при переполнении журнала аудита операционная система должна «показывать синий экран». Детальная проработка политики аудита возлагается на администраторов операционной системы (в этом документе неявно предполагается, что группа администраторов и группа аудиторов совпадают).
При определении политики аудита следует иметь в виду, что адекватность политики аудита заключается не в том, что регистрируется много событий, а в том, что регистрируется ровно столько событий, сколько необходимо. Если подсистема аудита регистрирует слишком много событий, то, с одной стороны, журнал аудита переполняется слишком быстро, а с другой — аудитору трудно выделить в огромном объеме малозначительной информации действительно важные события. Типичная ошибка при определении политики аудита заключается в том, что устанавливается регистрация всех обращений всех субъектов доступа ко всем файлам и поддиректориям системной директории. При такой политике аудита журнал аудита переполняется в считанные минуты.
Общие рекомендации по поддержанию адекватной политики аудита
1. Вход и выход пользователей из системы должен регистрироваться в любом случае.
2. Доступ субъектов к объектам целесообразно регистрировать только в том случае, когда имеются обоснованные подозрения, что один или несколько пользователей злоупотребляют своими полномочиями.
3. Необходимость регистрации использования субъектами опасных привилегий зависит от версии операционной системы.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102