|
Monitoring va audit standartlarini ishlab chiqish
|
bet | 4/5 | Sana | 23.12.2023 | Hajmi | 32,1 Kb. | | #127452 |
Bog'liq Mustaqil ish111Monitoring va audit standartlarini ishlab chiqish. Doimiy, real vaqt rejimida Active Directory monitoringi o'z
tarmoqlarini himoya qilishga sodiq bo'lgan korxonalar uchun bebaho resurs bo'lishi mumkin. Vakolatli xodimlarga
tarmoqni xavf ostiga qo'yishi mumkin bo'lgan har qanday ruxsatsiz yoki xavfli faoliyat uchun butun tizimni nazorat
qilish va tekshirish imkonini beradigan jarayonni ishlab chiqing. Foydalanuvchi o‘zgarishlari va tarmoq
xattiharakatlarini baholovchi yechimni amalga oshirish mumkin bo‘lgan kiberhujumni chetlab o‘tish uchun
tizimning noodatiy ishtirokini imkon qadar tezroq aniqlashga yordam beradi.
Jamoangizni tarbiyalang. Xodimlar ADdan foydalanadigan kompaniyalar uchun muhim xavfsizlik xavfini keltirib
chiqarishi mumkin. Hatto eng yaxshi niyatli xodim ham beixtiyor fishing havolasini bosishi yoki shaxsiy kompaniya
ma'lumotlarini berish uchun ularni aldash uchun mo'ljallangan elektron pochta orqali aldanib qolishi mumkin. Ishchi
kuchlaringizni kiberxavfsizlik hujumining haqiqiy tahdidlari va xavf-xatarlariga o‘rgatish va o‘rgatish ularni tizim
murosasiga yo‘l qo‘ymaslik uchun zarur vositalar bilan jihozlaydi. Saytdagi va masofaviy foydalanuvchilar uchun
ba'zi asosiy strategiyalar quyidagilarni o'z ichiga oladi:
Ularni fishing firibgarliklari va zararli dastur hujumlarini tan olishga o'rgatish
Turli xil foydalanuvchi xatti-harakatlari bilan xavf darajasini tushunishga o'rgatish
Hech bir foydalanuvchi butun tizimga to'liq kirish huquqiga ega emasligini ta'minlash
Strategik parol siyosatini yaratish va joriy etish
44. Active Directoryda himoyalangan ro‘yxat qayd qilinganlar va guruhlar. Audit siyosatini tuzish.
Active Directory-ning har qanday ma'muri ertami-kechmi Active Directory-dagi o'zgarishlarni tekshirish zarurati
bilan duch keladi va bu muammo yanada keskinlashishi mumkin, Active Directory tuzilmasi qanchalik katta va
murakkab bo'lsa va boshqaruv huquqiga ega bo'lgan shaxslar ro'yxati shunchalik katta bo'ladi. maxsus AD sayti yoki
konteyneri. Administratorning (yoki axborot xavfsizligi bo'yicha mutaxassisning) qiziqish doirasi quyidagi
masalalarni o'z ichiga olishi mumkin:
AD foydalanuvchisi yoki guruhini yaratgan/oʻchirib tashlagan foydalanuvchini kim yoqdi/taqiqlagan qaysi manzildan
domen foydalanuvchisining paroli o'zgartirilgan/qayta tiklangan guruh siyosatini kim yaratgan/tahrirlagan va hokazo.
Windows oilasi operatsion tizimlarida turli xil ob'ektlardagi o'zgarishlarni tekshirish uchun o'rnatilgan vositalar
mavjud bo'lib, ular boshqa Windows sozlamalari kabi Guruh siyosati yordamida boshqarilishi mumkin.
Muayyan misoldan foydalanib, foydalanuvchi sozlamalaridagi o'zgarishlarni tekshirish va Active Directory
guruhlariga a'zolikni yoqish metodologiyasini tahlil qilaylik (ushbu metodologiyaga ko'ra, boshqa toifadagi
hodisalarni kuzatish ham yoqilishi mumkin).
Kengaytirilgan Windows audit siyosati
Keling, "ADdagi o'zgarishlarni tekshirish" nomli yangi GPO (Guruh siyosati) yarataylik. Tahrirlash bo'limiga o'ting
va Kompyuter konfiguratsiyasi > Qoidalar > Windows sozlamalari > Xavfsizlik sozlamalari > Kengaytirilgan audit
konfiguratsiyasi bo'limini kengaytiring. Ushbu guruh siyosati bo'limi turli hodisalarni kuzatish uchun Windows
operatsion tizimlari oilasida faollashtirilishi mumkin bo'lgan ilg'or audit siyosatlarini o'z ichiga oladi. Windows 7 va
Windows Server 2008 R2 da tekshirilishi mumkin bo'lgan hodisalar soni 53 taga ko'paytirildi. Ushbu 53 ta audit
siyosati (tanaviy audit siyosati deb ataladi) Xavfsizlik sozlamalari\Kengaytirilgan audit siyosati konfiguratsiyasi
bo'limida joylashgan bo'lib, ular guruhlarga bo'lingan. 10 toifa:
Hisob qaydnomasiga kirish - hisob ma'lumotlarini tekshirish, Kerberos autentifikatsiya xizmati, Kerberos chipta
operatsiyalari va boshqa tizimga kirish voqealarini tekshiradi
Hisobni boshqarish - foydalanuvchi va kompyuter hisoblaridagi o'zgarishlarni, shuningdek, AD guruhlari va ularga
a'zolik haqidagi ma'lumotlarni kuzatib boring
Batafsil kuzatuv - individual ilovalar faoliyatini tekshirish (RPC, DPAPI)
DS Access - Active Directory Domain Services (AD DS) ob'ektlariga kiritilgan o'zgarishlarning kengaytirilgan auditi
Tizimga kirish/chiqish - kompyuterlar va domen serverlariga interaktiv va tarmoqqa kirish urinishlarini, shuningdek
hisob blokirovkalarini tekshirish
Ob'ektga kirish - turli ob'ektlarga (yadro, fayl tizimi va umumiy papkalar, ro'yxatga olish kitobi, sertifikat xizmatlari
va boshqalar) kirishni tekshirish.
Siyosatni o'zgartirish - guruh siyosatidagi o'zgarishlarni tekshirish
Imtiyozlardan foydalanish - turli toifadagi ma'lumotlarga kirish huquqlarini tekshirish
Tizim - xavfsizlik nuqtai nazaridan juda muhim bo'lgan
kompyuterlar sozlamalaridagi o'zgarishlar
Global Object AccessAuditing - ma'murga barcha qiziqish ob'ektlari bo'yicha ro'yxatga olish
kitobi va fayl tizimidagi
o'zgarishlarni kuzatib boradigan o'z ACL'larini yaratishga ruxsat bering.
Tabiiyki, tizimni keraksiz ishlar va keraksiz ma'lumotlar bilan jurnallarni ortiqcha yuklamaslik uchun faqat minimal
talab qilinadigan tekshiriladigan parametrlar to'plamidan foydalanish tavsiya etiladi.
Active Directory hisobini sozlash va guruh o'zgarishini tekshirish
Bunday holda, bizni Hisob boshqaruvi toifasi qiziqtiradi, bu sizga Audit Security Group Management guruhlaridagi
o'zgarishlarni tekshirish) va foydalanuvchi hisoblarini tekshirishni (Audit User Account Management siyosati) yoqish
imkonini beradi. Biz faqat muvaffaqiyatli o'zgarishlarni kuzatishni sozlash orqali audit siyosati ma'lumotlarini
faollashtiramiz (Muvaffaqiyat).
Ushbu siyosatni domen tekshiruvi hisoblarini o'z ichiga olgan konteyner bilan bog'lash (odatda, bu OU Domain
Controllers) va ushbu siyosatni qo'llash (90 daqiqa kutish yoki gpupdate / force buyrug'ini ishga tushirish orqali).
Ushbu siyosatni qo'llaganingizdan so'ng, foydalanuvchi hisoblari va guruhga a'zolikdagi barcha o'zgarishlar haqidagi
ma'lumotlar Xavfsizlik jurnalidagi domen kontrollerlarida qayd etiladi. Quyidagi skrinshotda foydalanuvchi Active
Directory guruhlaridan olib tashlangan vaqtni aniqlaydigan voqea ko'rsatilgan (bu holda siz kim, qachon va kim
guruhdan o'chirilganligini ko'rishingiz mumkin).
Odatiy bo'lib, jurnal jurnalga kiritilgan barcha xavfsizlik
hodisalarini ko'rsatadi. Siz izlayotgan voqeani topishni
osonlashtirish uchun jurnalni ma'lum bir voqea identifikatori filtrlash mumkin. Agar bizni faqat voqealar qiziqtirsa,
masalan, domenda foydalanuvchi parolini qayta o'rnatish, siz identifikator 4724 bo'yicha filtrni yoqishingiz kerak
Quyida Xavfsizlik amaliyoti jurnalida hodisalarni izlash va filtrlash kerak boʻlishi mumkin boʻlgan voqea identifikatorlarining roʻyxati keltirilgan:
AD guruhlaridagi o'zgarishlar kontekstida hodisa identifikatorlari:
4727 : A security-enabled global group was created.
4728 : A member was added to a security-enabled global group.
4729 : A member was removed from a security-enabled global group.
4730 : A security-enabled global group was deleted.
4731 : A security-enabled local group was created.
4732 : A member was added to a security-enabled local group.
4733 : A member was removed from a security-enabled local group.
4734 : A security-enabled local group was deleted.
4735 : A security-enabled local group was changed.
4737 : A security-enabled global group was changed.
4754 : A security-enabled universal group was created.
4755 : A security-enabled universal group was changed.
4756 : A member was added to a security-enabled universal group.
4757 : A member was removed from a security-enabled universal group.
4758 : A security-enabled universal group was deleted.
4764 : A group’s type was changed.
45. Тahdidlarni aniqlash tizimlarini o‘rganish va tahlil qilish
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash
texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy vositalar:
- Monitoring
- Aniqlash
- axborot tizimlarida sodir bo'layotgan o'zgarishlarni tahlil qilish. Yechimlar murakkablashib, turli xil vositalarni birlashtiradi.
Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu
ko'p hollarda murakkab maqsadli hujumlarni
o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas.
|
| |