Четверг, Июль 8th, 2010

Информационная безопасность

Для каждого класса событий могут регистрироваться либо только успешные события (соответствующая операция выполнена успешно), либо только неуспешные (при выполнении операции произошла ошибка), либо и те и другие, либо никакие.

В Windows NT считаются опасными следующие привилегии субъектов доступа:
? получать оповещения от файловой системы;
? добавлять записи в журнал аудита;
? создавать маркеры доступа;
? назначать маркеры доступа процессам;
? создавать резервные копии информации, хранящейся на жестких дисках;
? восстанавливать информацию на жестких дисках с резервных копии;
? отлаживать программы.
Далеко не всё объективно опасные привилегии субъектов считаются: опасными с точки зрения подсистемы защиты Windows NT. Например, не считается опасной привилегия загружать и выгружать драйверы и сервисы.
С другой стороны, в журнале аудита Windows NT регистрируется использование некоторых других привилегий, которые согласно документации не считаются опасными.
Таким образом, глобальные настройки политики аудита в отношении доступа субъектов к объектам выполняют роль фильтра, позволяя временно запретить регистрацию успешных/неуспешных попыток доступа всех субъектов ко всем объектам операционной системы.

Какой должна быть политика аудита?

В требованиях NCSC к конфигурации Windows NT, которые должны выполняться для соответствия защищенности операционной системы уровню С2, об аудите говорится очень мало. Фактически утверждается, что аудит должен быть и что при переполнении журнала аудита операционная система должна «показывать синий экран». Детальная проработка политики аудита возлагается на администраторов операционной системы (в этом документе неявно предполагается, что группа администраторов и группа аудиторов совпадают).
При определении политики аудита следует иметь в виду, что адекватность политики аудита заключается не в том, что регистрируется много событий, а в том, что регистрируется ровно столько событий, сколько необходимо. Если подсистема аудита регистрирует слишком много событий, то, с одной стороны, журнал аудита переполняется слишком быстро, а с другой — аудитору трудно выделить в огромном объеме малозначительной информации действительно важные события. Типичная ошибка при определении политики аудита заключается в том, что устанавливается регистрация всех обращений всех субъектов доступа ко всем файлам и поддиректориям системной директории. При такой политике аудита журнал аудита переполняется в считанные минуты.

Общие рекомендации по поддержанию адекватной политики аудита

1. Вход и выход пользователей из системы должен регистрироваться в любом случае.
2. Доступ субъектов к объектам целесообразно регистрировать только в том случае, когда имеются обоснованные подозрения, что один или несколько пользователей злоупотребляют своими полномочиями.
3. Необходимость регистрации использования субъектами опасных привилегий зависит от версии операционной системы.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Категория: Лекции