Сценарий: Аудит доступа к файлам

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, акт о передаче и защите данных учреждений здравоохранения HIPAA и стандарт индустрии платежных карт (PCI), предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие политик безопасности и обеспечить соответствие требованиям указанных стандартов. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять недостатки в политиках безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе.

Требования политики аудита обычно распространяются на следующие уровни.

• Информационная безопасность. Журналы аудита доступа к файлам часто используются для ретроспективного анализа и обнаружения вторжений. Возможность получения интересующих данных о доступе к ценной информации позволяет организациям сократить время реакции и повысить точность расследования.

• Политика организации. Например, организации, регулируемые стандартами PCI, могут иметь централизованную политику по обеспечению контроля доступа ко всем файлам, содержащим информацию о кредитных картах и персональные данные (PII).

• Политика отделов. Например, финансовый отдел может потребовать, чтобы возможность изменения определенных финансовых документов (например, ежеквартального отчета о доходах) была доступна только финансовому отделу. Таким образом, финансовый отдел сможет отслеживать другие попытки изменения этих документов.

• Бизнес-политика. Например, владельцы предприятия могут отслеживать все несанкционированные попытки просмотра данных о проектах.

Кроме того, отдел по наблюдению за выполнением нормативных требований может отслеживать все изменения в централизованных политиках авторизации и элементах политики, например атрибутах пользователя, компьютера и ресурсов.

Одним из самых важных факторов, которые необходимо учитывать при аудите безопасности является стоимость сбора, хранения и анализа событий аудита. Если политики аудита слишком обширные, то количество событий аудита, сведения о которых собираются, растет и, следовательно, увеличиваются затраты. Если политики аудита слишком ограниченные, то существует риск пропустить важные события.

С помощью Windows Server 2012 можно создавать политики аудита с помощью свойств утверждений и ресурсов. Это способствует созданию более полных, целенаправленных и удобных в управлении политик аудита. В результате можно решать задачи, которые прежде было невозможно или слишком сложно решить. Ниже приведены примеры политик аудита, которые может создать администратор.

• Проверять каждого, не имеющего разрешения от системы безопасности высокого уровня и пытающегося получить доступ к важному для предприятия документу (HBI). Например, Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

• Аудит всех поставщиков, пытающихся получить доступ к документам по проектам, над которыми они не работают. Например, Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Эти политики помогают контролировать объем событий аудита и ограничить их до наиболее релевантных данных или пользователей.

После того как администраторы создали и применили политики аудита, им нужно выбрать значимую информацию из собранных событий аудита. События аудита на основе выражений помогают сократить объем аудита. Однако пользователям нужен способ запрашивать эти события для получения значимых сведений и задавать такие вопросы, как "Кто обращается к данным HBI?" или "Была ли несанкционированная попытка доступа к конфиденциальным данным?"

Windows Server 2012 улучшает существующие события доступа к данным с использованием утверждений пользователей, компьютеров и ресурсов. Эти события создаются для каждого сервера. Для обеспечения полного обзора событий по всей организации корпорация Майкрософт работает со своими партнерами по созданию средств сбора и анализа событий. Пример такого средства — службы Audit Collection Services, расположенные в System Center Operation Manager.

На Рис. 4 приведен обзор централизованной политики аудита.

Рис. 4   События централизованной политики аудита

Настройка и использование аудита безопасности включает в себя следующее:

1. Определение правильной совокупности данных и пользователей для наблюдения

2. Создание и применение подходящих политик аудита

3. Сбор и анализ событий аудита

4. Управление созданными политиками и наблюдение за ними

Содержание сценария

Следующие разделы содержат дополнительную информацию по этому сценарию:

• Планирование для аудита доступа к файлам

• Развертывание аудита безопасности с помощью централизованных политик аудита (обучающий пример)

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.

Роль/компонент	Способ поддержки сценария
Роль доменных служб Active Directory	AD DS в Windows Server 2012 представляет платформу авторизации на основе утверждений на основе утверждений, которая позволяет создавать утверждения пользователей и устройства, составные удостоверения (утверждения пользователей и устройств), новую модель централизованного доступа (CAP) и использование сведений о классификации файлов в решениях по авторизации.
Роль служб файлов и хранилищ	Файловые серверы в Windows Server 2012 предоставляют пользовательский интерфейс, в котором администраторы могут просматривать действующие разрешения для пользователей файлов или папок и устранять проблемы с доступом и предоставлять доступ по мере необходимости.