1. Axborot xavfsizligiga bo‘ladigan tahdidlar. Tahdid turlari




Download 262,28 Kb.
bet23/46
Sana20.11.2023
Hajmi262,28 Kb.
#102201
1   ...   19   20   21   22   23   24   25   26   ...   46
Bog'liq
Threat intelligence-fayllar.org

Strategik parol siyosatini yaratish va joriy etish
44. Active Directoryda himoyalangan ro‘yxat qayd qilinganlar va guruhlar. Audit siyosatini tuzish.
Active Directory-ning har qanday ma'muri ertami-kechmi Active Directory-dagi o'zgarishlarni tekshirish zarurati
bilan duch keladi va bu muammo yanada keskinlashishi mumkin, Active Directory tuzilmasi qanchalik katta va
murakkab bo'lsa va boshqaruv huquqiga ega bo'lgan shaxslar ro'yxati shunchalik katta bo'ladi. maxsus AD sayti yoki
konteyneri. Administratorning (yoki axborot xavfsizligi bo'yicha mutaxassisning) qiziqish doirasi quyidagi
masalalarni o'z ichiga olishi mumkin:
AD foydalanuvchisi yoki guruhini yaratgan/oʻchirib tashlagan foydalanuvchini kim yoqdi/taqiqlagan qaysi manzildan
domen foydalanuvchisining paroli o'zgartirilgan/qayta tiklangan guruh siyosatini kim yaratgan/tahrirlagan va hokazo.
Windows oilasi operatsion tizimlarida turli xil ob'ektlardagi o'zgarishlarni tekshirish uchun o'rnatilgan vositalar
mavjud bo'lib, ular boshqa Windows sozlamalari kabi Guruh siyosati yordamida boshqarilishi mumkin.
Muayyan misoldan foydalanib, foydalanuvchi sozlamalaridagi o'zgarishlarni tekshirish va Active Directory
guruhlariga a'zolikni yoqish metodologiyasini tahlil qilaylik (ushbu metodologiyaga ko'ra, boshqa toifadagi
hodisalarni kuzatish ham yoqilishi mumkin).
Kengaytirilgan Windows audit siyosati
Keling, "ADdagi o'zgarishlarni tekshirish" nomli yangi GPO (Guruh siyosati) yarataylik. Tahrirlash bo'limiga o'ting
va Kompyuter konfiguratsiyasi > Qoidalar > Windows sozlamalari > Xavfsizlik sozlamalari > Kengaytirilgan audit
konfiguratsiyasi bo'limini kengaytiring. Ushbu guruh siyosati bo'limi turli hodisalarni kuzatish uchun Windows
operatsion tizimlari oilasida faollashtirilishi mumkin bo'lgan ilg'or audit siyosatlarini o'z ichiga oladi. Windows 7 va



Windows Server 2008 R2 da tekshirilishi mumkin bo'lgan hodisalar soni 53 taga ko'paytirildi. Ushbu 53 ta audit


siyosati (tanaviy audit siyosati deb ataladi) Xavfsizlik sozlamalari\Kengaytirilgan audit siyosati konfiguratsiyasi
bo'limida joylashgan bo'lib, ular guruhlarga bo'lingan. 10 toifa:
Hisob qaydnomasiga kirish - hisob ma'lumotlarini tekshirish, Kerberos autentifikatsiya xizmati, Kerberos chipta
operatsiyalari va boshqa tizimga kirish voqealarini tekshiradi
Hisobni boshqarish - foydalanuvchi va kompyuter hisoblaridagi o'zgarishlarni, shuningdek, AD guruhlari va ularga
a'zolik haqidagi ma'lumotlarni kuzatib boring
Batafsil kuzatuv - individual ilovalar faoliyatini tekshirish (RPC, DPAPI)
DS Access - Active Directory Domain Services (AD DS) ob'ektlariga kiritilgan o'zgarishlarning kengaytirilgan auditi
Tizimga kirish/chiqish - kompyuterlar va domen serverlariga interaktiv va tarmoqqa kirish urinishlarini, shuningdek
hisob blokirovkalarini tekshirish
Ob'ektga kirish - turli ob'ektlarga (yadro, fayl tizimi va umumiy papkalar, ro'yxatga olish kitobi, sertifikat xizmatlari
va boshqalar) kirishni tekshirish.
Siyosatni o'zgartirish - guruh siyosatidagi o'zgarishlarni tekshirish
Imtiyozlardan foydalanish - turli toifadagi ma'lumotlarga kirish huquqlarini tekshirish
Tizim - xavfsizlik nuqtai nazaridan juda muhim bo'lgan kompyuterlar sozlamalaridagi o'zgarishlar
Global Object AccessAuditing - ma'murga barcha qiziqish ob'ektlari bo'yicha ro'yxatga olish kitobi va fayl tizimidagi
o'zgarishlarni kuzatib boradigan o'z ACL'larini yaratishga ruxsat bering.
Tabiiyki, tizimni keraksiz ishlar va keraksiz ma'lumotlar bilan jurnallarni ortiqcha yuklamaslik uchun faqat minimal
talab qilinadigan tekshiriladigan parametrlar to'plamidan foydalanish tavsiya etiladi.
Active Directory hisobini sozlash va guruh o'zgarishini tekshirish
Bunday holda, bizni Hisob boshqaruvi toifasi qiziqtiradi, bu sizga Audit Security Group Management guruhlaridagi
o'zgarishlarni tekshirish) va foydalanuvchi hisoblarini tekshirishni (Audit User Account Management siyosati) yoqish
imkonini beradi. Biz faqat muvaffaqiyatli o'zgarishlarni kuzatishni sozlash orqali audit siyosati ma'lumotlarini
faollashtiramiz (Muvaffaqiyat).
Ushbu siyosatni domen tekshiruvi hisoblarini o'z ichiga olgan konteyner bilan bog'lash (odatda, bu OU Domain
Controllers) va ushbu siyosatni qo'llash (90 daqiqa kutish yoki gpupdate / force buyrug'ini ishga tushirish orqali).
Ushbu siyosatni qo'llaganingizdan so'ng, foydalanuvchi hisoblari va guruhga a'zolikdagi barcha o'zgarishlar haqidagi
ma'lumotlar Xavfsizlik jurnalidagi domen kontrollerlarida qayd etiladi. Quyidagi skrinshotda foydalanuvchi Active
Directory guruhlaridan olib tashlangan vaqtni aniqlaydigan voqea ko'rsatilgan (bu holda siz kim, qachon va kim
guruhdan o'chirilganligini ko'rishingiz mumkin).
Odatiy bo'lib, jurnal jurnalga kiritilgan barcha xavfsizlik hodisalarini ko'rsatadi. Siz izlayotgan voqeani topishni
osonlashtirish uchun jurnalni ma'lum bir voqea identifikatori filtrlash mumkin. Agar bizni faqat voqealar qiziqtirsa,
masalan, domenda foydalanuvchi parolini qayta o'rnatish, siz identifikator 4724 bo'yicha filtrni yoqishingiz kerak
Quyida Xavfsizlik amaliyoti jurnalida hodisalarni izlash va filtrlash kerak boʻlishi mumkin boʻlgan voqea
identifikatorlarining roʻyxati keltirilgan:
AD guruhlaridagi o'zgarishlar kontekstida hodisa identifikatorlari:



4727 : A security-enabled global group was created.


4728 : A member was added to a security-enabled global group.
4729 : A member was removed from a security-enabled global group.
4730 : A security-enabled global group was deleted.
4731 : A security-enabled local group was created.
4732 : A member was added to a security-enabled local group.
4733 : A member was removed from a security-enabled local group.
4734 : A security-enabled local group was deleted.
4735 : A security-enabled local group was changed.
4737 : A security-enabled global group was changed.
4754 : A security-enabled universal group was created.
4755 : A security-enabled universal group was changed.
4756 : A member was added to a security-enabled universal group.
4757 : A member was removed from a security-enabled universal group.
4758 : A security-enabled universal group was deleted.
4764 : A group’s type was changed.
45. Тahdidlarni aniqlash tizimlarini o‘rganish va tahlil qilish
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash
texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy
vositalar:
- Monitoring
- Aniqlash
- axborot tizimlarida sodir bo'layotgan o'zgarishlarni tahlil qilish. Yechimlar murakkablashib, turli xil vositalarni
birlashtiradi.
Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu ko'p hollarda murakkab maqsadli hujumlarni
o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas.

Download 262,28 Kb.
1   ...   19   20   21   22   23   24   25   26   ...   46




Download 262,28 Kb.

Bosh sahifa
Aloqalar

    Bosh sahifa



1. Axborot xavfsizligiga bo‘ladigan tahdidlar. Tahdid turlari

Download 262,28 Kb.