Secret Net 2000. Руководство по администрированию
2.Отметьте категории событий Windows и события Secret Net , которые необходимо регистрировать в локальном журнале безопасности.
ДлярегистрациисобытийWindows, относящихсяккатегории"Доступкфайламиобъектам", недостаточно установить отметку в одноименном поле данного диалога. Для использования этого режимарегистрациинеобходимонастроитьполитикуаудитакаждогоресурса(файла, папкиидр.).
Чтобынастроитьполитикуаудитаресурса:
•Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите кнопку"Дополнительно". Впоявившемсяокнеперейдитекдиалогу"Аудит".
•Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита" группы пользователей или отдельных пользователей и укажите, какие попытки доступа пользователей к ресурсу следует регистрировать. Так, например, чтобы включить регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить в таблицу группу"Все" ивключитьдлявсехтиповдоступарегистрациюотказавдоступе.
Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примениматолькокресурсам, размещающимсянадискахсфайловойсистемойNTFS.
Подробное описание событий Windows и порядка настройки политики аудита ресурсов содержатсявдокументациикОСWindows 2000, MSDN, атакженаInternet сайтекомпанииMicrosoft.
3. Нажмите кнопку "OK" или "Применить".
Контроль целостности
Контроль целостности предназначен для слежения за неизменностью содержимого ресурсов компьютера и прав доступа к ним. К таким ресурсам относятся файлы, каталоги, ключи и значения системного реестра Windows 2000.
Действие механизма контроля целостности основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма контроля целостности. В процессе контроля при обнаружении несоответствия текущих и эталонных значений контролируемых параметров система оповещает о нарушении целостности ресурсов. В этом случае администратору следует выявить причины несоответствия и принять меры по их устранению.
Для удобства контролируемые ресурсы группируются в списки по любым устанавливаемым признакам. Такими признаками могут быть: тип ресурса (файл, каталог, ключ реестра и т.д.), тип контролируемых данных и алгоритм проверки, степень важности защиты ресурса (например, с точки зрения защиты компьютера системные библиотеки Windows имеют более высокий приоритет по сравнению с файлами прикладных программ) и т.п. Для того чтобы ресурс подлежал проверке, он должен быть включен в один из имеющихся списков. Если подходящего списка нет, его необходимо создать.
В список можно включать любое количество ресурсов, исходя из требований, предъявляемых к их защите.
Для списка проверяемых ресурсов составляется задание – подробная схема контроля данных. В задании указываются тип контролируемой информации, алгоритм проведения контроля и реакция системы на результаты проверки. Алгоритм проведения контроля и реакция на результаты проверки зависят от типа контролируемой информации.
Для задания формируется расписание, в соответствии с которым будут определяться текущие значения контролируемых параметров и сравниваться с эталонными.
Для списка ресурсов можно составить несколько заданий и в дальнейшем управлять ими (включать и выключать, изменять параметры).
94
Глава 7. Настройка механизмов контроля и регистрации
Кроме заданий, сформированных средствами локального администрирования, на компьютере могут выполняться задания, поступившие с сервера безопасности. Включать, выключать и изменять параметрыэтихзаданийможнотолькосредствамицентрализованногоуправления.
Дополнительные сведения о механизме контроля целостности содержатся в документе "Система защиты Secret Net. Принципы построения и применения".
При использовании механизма контроля целостности рекомендуется придерживаться следующей последовательности:
|
Этап |
Содержание |
Описание |
1. |
Подготовка |
Составление списков ресурсов и настройка реги- |
См. ниже |
|
|
стрируемых событий |
|
2. |
Настройка заданий |
Формирование заданий и составление расписа- |
Стр.98 |
|
|
ния |
|
3. |
Управление |
Изменение настроек заданий |
Стр.101 |
|
заданиями |
|
|
4. |
Анализ нарушений и |
Поиск и анализ причин, вызвавших нарушение |
Стр.103 |
|
восстановление |
целостности ресурса. |
|
|
ресурсов |
Устранение причин и восстановление ресурса |
|
Подготовка механизма контроля целостности к работе
Регистрация
событий
Перед использованием механизма контроля целостности необходимо тщательно продумать и наметить общую схему защиты ресурсов.
Чтобы правильно составить схему защиты ресурсов, следует внимательно рассмотреть и проанализировать комплекс взаимосвязанных вопросов:
•Какие ресурсы должны контролироваться, какие атрибуты (параметры) они имеют и насколько важна степень защиты каждого из них;
•Какие способы контроля (алгоритмы) предусмотрены в системе Secret Net и как они могут быть применены к тем или иным типам ресурсов;
•Как составить оптимальное расписание проведения проверки в зависимости от назначения ресурсов и их типов;
•Какой должна быть реакция системы в зависимости от влияния ресурсов на работу операционной системы и прикладных программ;
•Какие последствия могут иметь нарушения целостности ресурсов и как эти нарушения могут отразиться на работе пользователей;
•Какие средства имеются для анализа нарушений, и какие настройки необходимо выполнить, чтобы наиболее эффективно их использовать.
Тщательное рассмотрение этих вопросов позволит правильно настроить задания контроля и тем самым обеспечит надежную работу системы защиты.
Для поиска и анализа причин, вызвавших нарушение целостности ресурса, необходимо регистрировать соответствующие события в журнале безопасности. Чтобы события, связанные с нарушением целостности ресурсов, регистрировались в журнале, в общем перечне регистрируемых событий и в индивидуальных перечнях пользователей (стр. 91) должны быть отмечены следующие события:
|
Группа событий |
|
Событие |
|
События расширенной |
|
Контроль целостности выполнен с исправлениями |
|
регистрации |
|
Ошибка при контроле целостности данных |
|
|
|
Восстановлено значение объекта |
|
События НСД |
|
Нарушена целостность объекта |
95
Secret Net 2000. Руководство по администрированию
По умолчанию перечень регистрируемых событий, связанных с работой механизма контроля целостности, настраиваетсяавтоматическиприустановкесистемынакомпьютер.
Проверьте и при необходимости восстановите перечень регистрируемых событий в соответствии с описанием раздела "Регистрация событий" (стр. 90).
Списки ресурсов Как указывалось выше, все ресурсы, подлежащие проверке на целостность, группируются в списки. С этой целью на данном этапе составляется перечень таких спи-
сков, и в каждый из них вносятся соответствующие ресурсы.
Перед началом составления перечня списков рекомендуется продумать порядок группировки ресурсов и, исходяиз возможностей системы, выработать общую схему контроля их целостности. При этом необходимо учитывать, что возможна ситуация, когда после включения в список нескольких ресурсов разного типа и составления задания, у отдельных ресурсов проверка контролируемых параметров выполняться не будет. Так, например, если в список ресурсов включить файл и каталог, а в качестве задания указать контроль содержимого ресурса, то проверка будет выполняться только для файла. Поэтому рекомендуется предварительно ознакомиться в приложении с содержанием Табл. 20, в которойуказывается– длякакихтиповресурсовпроверкавыполняется, адлякаких– нет.
Для создания списка ресурсов:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Контроль целостности":
Выберите нужный список ресурсов
Ресурсы выбранного списка
Для удаления списка ресурсов выберите его и нажмите эту кнопку
Для создания нового списка ресурсов нажмите эту кнопку
Кнопка-заголовок включает или отключает исполнение задания
Отметка, установленная в ячейке, включает контроль ресурса, находящегося в этой строке
Этой кнопкой вызывается меню, содержащее команды для добавления и удаления ресурса
Этой кнопкой вызывается меню, содержащее команды создания, редактирования и удаления
задания
Рис. 37. Настройка контроля целостности
Поле в верхней части диалога предназначено для выбора списка ресурсов и отображения его названия. Для выбора списка нажмите кнопку, расположенную справа, и в раскрывающемся перечне выберите название списка ресурсов.
Если списки ресурсов не формировались, перечень будет содержать только названия заданий, поступившихссерверабезопасности.
Ниже расположена таблица, содержащая в первом столбце перечень ресурсов, входящих в выбранный список. Рядом с наименованием ресурса отображается пиктограмма, соответствующая типу ресурса. Перечень всех типов ресурсов
96
Глава 7. Настройка механизмов контроля и регистрации
приведен в приложении (см. Табл. 19). Элементы списка ресурсов расположены с различным отступом по отношению друг к другу, что позволяет представить иерархию их вложенности.
Второй и последующие столбцы таблицы соответствует заданию контроля, сформированному для данного списка ресурсов. Кнопка в заголовке задания позволяет включать или отключать контроль целостности для всего списка ресурсов, а выключатели в ячейках – для отдельных ресурсов списка.
Таблица на Рис. 37 иллюстрирует пример, в котором для списка ресурсов "Контроль при загрузке" сформировано только одно задание. В общем случае, в соответствии с выработанной схемой контроля целостности, для списка может быть сформировано любое необходимое количество заданий. Каждое задание будет отображено в таблице отдельным столбцом.
2.В диалоге "Контроль целостности" нажмите кнопку "Создать список ресурсов". На экране появится диалог:
3.Введите название создаваемого списка ресурсов и нажмите кнопку "Сохранить".
Диалог закроется, а название нового списка появится в поле верхней части диалога "Контроль целостности".
4.Нажмите кнопку "Ресурс".
В появившемся меню выберите пункт "Добавить ресурс" (или выберите эту же команду из контекстного меню таблицы ресурсов).
На экране появится диалог:
Имя ресурса, содержащее полный путь, можно ввести вручную или …
… выполнить поиск ресурсов в диалоговом режиме, используя для вызова диалога кнопку "Обзор". Диалоги обзора различны для разных типов ресурсов
5.Укажите необходимые значения параметров:
•В раскрывающемся списке "Тип ресурса" выберите нужное значение. Описание типов ресурсов приведено в приложении (см. Табл. 19 на стр. 134).
•Если необходимо включить в список все входящие в ресурс объекты, поставьте отметку в поле "Загрузить вместе с подобъектами".
•В поле "Имя ресурса" укажите имя ресурса и полный путь к нему. Введите имя вручную или укажите его в диалоговом режиме, вызвав диалог кнопкой "Обзор".
Нажмите кнопку "OK".
Добавленный ресурс появится в списке ресурсов.
6.Длядобавления в список следующего ресурса, повторите процедуру, начиная с п.4.
7.Сформировав список, нажмите кнопку"ОК" в окне настройки общихпараметров.
97