Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 557
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Раздел реестра
Описание
HKLM\System\CurrentControlSet\Control\Lsa
Определяет дополнительные настройки штатной подсистемы аудита, настройки протокола сетевой аутентификации NTLM, параметры регистрации пользователей и сетевого доступа
HKLM\System\CurrentControlSet\Control\Print\
Providers\LanMan Print Services\Servers
Определяет настройки подключения принтеров
HKLM\System\CurrentControlSet\Control\
SecurePipeServers\Winreg
Определяет настройки удаленного доступа к реестру
ОС
HKLM\System\CurrentControlSet\Control\Session
Manager
Определяет настройки диспетчера сеансов
HKLM\System\CurrentControlSet\Services\
LanmanWorkstation
Определяет настройки клиента сети Microsoft
HKLM\System\CurrentControlSet\Services\LanManServer Определяет настройки сервера сети Microsoft
HKLM\System\CurrentControlSet\Services\Netlogon
Определяет настройки сетевого доступа в домене
HKLM\System\CurrentControlSet\Services\LDAP
Определяет настройки клиента
LDAP
HKLM\System\CurrentControlSet\Services\NTDS
Определяет настройки сервера
LDAP
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon
Определяет настройки интерактивного входа в систему
HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Setup\RecoveryConsole
Определяет настройки консоли восстановления
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies
Определяет множество параметров групповых политик для компьютера
HKLM\Software\Microsoft\Driver Signing
Определяет параметры проверки цифровой подписи драйверов устройств
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies
Определяет множество параметров групповых политик для пользователя
Аудит доступа к данным разделам реестра необходимо настроить следующим образом:
– задание значения (set value) – успех, отказ;
– создание подраздела (create subkey) – успех, отказ;
– удаление (delete) – успех, отказ.
Для всех разделов необходимо разрешить наследование прав аудита доступа вложенным разделам.
Для контроля функций управления групповыми политиками доменов дополнительно необходимо настроить аудит доступа на файлы шаблонов групповых политик (по умолчанию, расположены на контроллерах домена, в каталоге C:\Windows\SYSVOL).
Аудит доступа к файлам шаблонов групповых политик необходимо настроить следующим образом:
– создание файлов/запись данных (create files/write data) – успех, отказ;
– создание папок/дозапись данных (create folders/append data) – успех, отказ;
– удаление подпапок и файлов (delete subfolders and files) – успех, отказ;
– удаление (delete) – успех, отказ;
– смена разрешений (change permissions) – успех, отказ;
– смена владельца (take ownership) – успех, отказ.
Указанные настройки аудита следует разрешить наследовать вложенным подкаталогам и файлам.
Если регистрация событий вследствие настройки политики аудита вызывает значительное потребление ресурсов или быстрое переполнение файлов журнала, то нужно уменьшить состав регистрируемых событий за счет отказа от регистрации наиболее часто повторяющихся событий.
4.3.4. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД «Аккорд»
Программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win32»,
«Аккорд-Win64» предназначен для применения на АРМ «закрытого» контура с ОС Windows для защиты информационных ресурсов от НСД при многопользовательском режиме эксплуатации [35].
СЗИ от НСД под управлением операционной системы и программного обеспечения ПЭВМ обеспечивает:
– защиту от несанкционированного доступа к ПЭВМ путем идентификации пользователей по не копируемым уникальным TM- идентификаторам DS 1992-1996 («Touch memory» - «Память касания») и их аутентификации по индивидуальному паролю, вводимому с клавиатуры. При этом обеспечивается защита от раскрытия индивидуального пароля пользователя;
– блокировку загрузки с отчуждаемых носителей (FDD, CD-ROM, ZIP
Drive и др.) и прерывания контрольных процедур с клавиатуры;
– доверенную загрузку ОС и защиту от несанкционированных модификаций программ и данных;
– создание и поддержку изолированной программной среды, возможность реализации функционально замкнутых информационных систем на базе ПЭВМ;
– контроль целостности системных областей жестких дисков, программ и данных, а также конфигурации технических средств ПЭВМ до загрузки
ОС;
– защиту от внедрения разрушающих программных воздействий: вирусов, закладок и т. д.;
– разграничение доступа пользователей к ресурсам ПЭВМ в соответствии с уровнем их полномочий;
– управление потоками информации на основе принципов дискреционного и мандатного доступа;
– регистрацию контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, размещенном в энергонезависимой памяти контроллера комплекса. Доступ к журналу обеспечивается только АИБ;
– возможность подключения криптографических средств защиты информации.
СЗИ «Аккорд» сохраняет журналы ШПРС в виде файлов двоичного формата. Каталог, в котором сохраняются файлы, определяется настройками
СЗИ
«Аккорд» и хранится в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Acrun, параметре LogsFolder. По умолчанию это каталог C:\ACCORD.NT или
C:\ACCORD.X64, соответственно, для 32-х или 64-х разрядной версии ОС.
Имя файла в каталоге имеет вид ГГГГДДММЧЧММСС.LOW, где
ГГГГДДММЧЧММСС – дата и время первой записи в данном файле. В одном файле журнала хранится информация об одном сеансе работы пользователя. Файл журнала имеет двоичный формат и состоит из заголовка и последовательности записей.
СЗИ «Аккорд» позволяет регистрировать события, представленные в табл. 4.5.
Таблица 4.5
Список событий журнала ШПРС СЗИ «Аккорд»
Мнемоническое
описание
Числовой
код
Описание
Событий класса «Реестр»
LecoRegOpenKey
0
Открытие ключа реестра
LecoRegCloseKey
1
Закрытие ключа реестра
LecoRegCreateKey
2
Создание ключа реестра
LecoRegDeleteKey
3
Удаление ключа реестра
LecoRegEnumKey
4
Просмотр списка ключей реестра
LecoRegSetValue
5
Присвоение полю значение
LecoRegQueryValue
6
Просмотр значения поля
LecoRegDeleteValue
7
Удаление поля
LecoRegCreateValue
8
Создание поля
LecoRegEnumValue
9
Просмотр списка полей
События класса «Хранитель экрана»
LecoSSOnAtTimeout
0
ScreenSaver включен по времени
LecoSSOnAtHotKey
1
ScreenSaver включен по горячим клавишам
LecoSSOnAtRemoute 2
ScreenSaver включен c АРМ АБИ
LecoSSOffAtTM
3
ScreenSaver выключен c помощью TM
LecoSSOffAtRemoute 4
ScreenSaver выключен c АРМ АБИ
LecoSSOffAtAdmin
5
ScreenSaver выключен c помощью TM администратора
АРМ АБИ
LecoSSTimeDisable
6
Выключен временной контроль ScreenSaver-а
LecoSSTimeEnable
7
Включен временной контроль ScreenSaver-а
LecoSSOffBadTM
8
Попытка разблокировать не тем TM
События класса «Контроль файлов»
LecoHStartCheck
1
Начало проверки списка файлов
LecoHEndCheck
2
Конец проверки списка файлов
LecoHStartUpdate
3
Начало обновления списка файлов
LecoHEndUpdate
4
Конец обновления списка файлов
LecoHTotalHash
5
Хэш списка файлов
LecoHTotalEDS
6
Подпись списка файлов
LecoHGetPrivateKey
7
Получение секретного ключа
LecoHFileCheck
8
Проверка файла
События «Отладочные сообщения СЗИ»
LecoDebugString
0
Отладочное сообщение СЗИ
События для класса «Файловые операции»
Leco21Terminate00 0
Прерывание программы
Leco21SetDate
0x2b
Установка даты
Leco21SetTime
0x2d
Установка времени
Leco21MakeDir
0x39
Создание каталога
Leco21RemakeDir
0x3a
Повторное создание каталога
Leco21ChangeDir
0x3b
Изменение каталога
Leco21CreateFile
0x3c
Создание файла
Leco21OpenFile
0x3d
Открытие файла
Leco21CloseFile
0x3e
Закрытие файла
Leco21DeleteFile
0x41
Удаление файла
Leco21GetSetFileAttr 0x43
Получение/установка атрибутов файла
Leco21Exec
0x4b
Запуск программы
Leco21Terminate
0x4c
Завершение программы
Leco21FindFirst
0x4e
Поиск файлов по маске (первый файл)
Leco21FindNext
0x4f
Поиск файлов по маске (последующие файлы)
Leco21RenameDir
0x50
Переименование каталога
Leco21RenameFile
0x56
Переименование файла
Leco21Traverse
0x6d
Не установлено
Требования к настройкам штатной подсистемы регистрации событий
СЗИ от НСД «Аккорд».
1. Для каждого пользователя администратор может установить уровень детальности журнала ШПРС – низкая, средняя, высокая.
2. Для любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения правил разграничения доступа, изменения правил разграничения доступа (в частности, изменение паролей).
3. Для среднего уровня детальности в журнале отражаются дополнительно все попытки доступа к защищаемым дискам, каталогам и отдельным файлам, а также попытки изменения некоторых системных параметров – даты, времени и др.
4. Для высокого уровня детальности в журнале отражаются дополнительно все попытки доступа к содержимому защищаемых каталогов.
5. Для целей системы достаточно среднего уровня детальности журнала.
Если установка среднего уровня детальности журнала СЗИ от НСД «Аккорд» создает значительную нагрузку на системные ресурсы подконтрольного объекта, то допускается установка минимального уровня детальности журнала.
6. При установке прав доступа к журналам СЗИ от НСД «Аккорд» должны соблюдаться следующие правила:
– к файлам журнала должен быть доступ на чтение для всех учетных записей пользователей ОС;
– к каталогу, хранящему файлы журнала, должен быть доступ на просмотр содержимого.
7. При необходимости допускается изменить в настройках СЗИ каталог, в котором сохраняются файлы журналов. В этом случае следует выбрать каталог, доступный для чтения пользователю ОС Local System и не защищаемый СЗИ «Аккорд».
8. Поскольку система обладает собственными средствами регистрации событий, позволяющими выполнять мониторинг обращений к реестру и файловой системе, достаточно анализировать журнал ШПРС СЗИ от НСД
«Аккорд» на предмет событий классов «Контроль файлов», «Хранитель экрана» и «Отладочные сообщения СЗИ».
4.3.5. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД Secret Net
Secret Net версий 6.x, 7.x – программный комплекс, сочетающий в себе большой набор функциональных возможностей по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия внутренних злоумышленников и возможность мониторинга безопасности, защищаемой
ИС [36]. СЗИ от НСД Secret Net может поставляться как в сетевом варианте исполнения, так и в автономном.
В сетевом варианте Secret Net события ИБ фиксируют и клиенты, и сервер безопасности. При этом события сохраняются:
– в локальном журнале Secret Net;
– в централизованной БД сервера безопасности, функционирующей с использованием СУБД Oracle (для версий СЗИ от НСД Secret Net 6.x, 7.x).
Для версии СЗИ от НСД Secret Net, начиная со сборки 7.2, БД сервера безопасности может функционировать с использованием СУБД Microsoft
SQL Server.
К достоинствам эксплуатации сетевого варианта Secret Net относится:
– обеспечение централизованного управления настройками политики безопасности;
– интеграция с ОС Windows, расширяющая, дополняющая и усиливающая стандартные механизмы защиты;
– осуществление мониторинга и аудита политики безопасности в режиме реального времени;
– оперативное реагирование на события НСД;
– поддержка терминального режима работы пользователей с рабочей станцией;
– аппаратная идентификация пользователей;
– контроль целостности файлов;
– разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т. д.).
В журнале аудита Secret Net используется такой же формат данных и состав полей записей, что и в журналах ШПРС ОС Windows. Загрузка записей для просмотра осуществляется только в программе просмотра журналов, поставляемой в составе Secret Net [36].
1.Настройка параметров аудита сетевого варианта Secret Net.
1. 1. Сервер безопасности имеет возможность централизованного сбора журналов ШПРС Secret Net с клиентских компьютеров в централизованную
БД. Периодичность сбора устанавливается с помощью штатной утилиты
Secret Net «Консоль управления» для каждого клиентского компьютера.
1.2. Параметры накопления аудита на клиентских компьютерах конфигурируются через групповую политику домен Secret Net. Для перехода к редактированию данных параметров необходимо на контроллере домена, перейти по главному меню Программы → Администрирование → Политика безопасности домена. Параметр «Максимальный размер журнала системы защиты» устанавливается в значение 50496 кбайт. Параметр «Политика перезаписи событий» устанавливается в значение «Затирать события по мере необходимости».
1.3. Для включения событий на регистрацию необходимо использовать ветку «Регистрация событий» редактирования групповой политики домена
Secret Net. Минимальный набор событий, необходимый для регистрации средствами Secret Net:
– Вход/Выход (все события категории);
– Замкнутая программная среда (ЗПС): Запрет запуска программы;
– Замкнутая программная среда: Запрет загрузки библиотеки;
– Контроль целостности: Удаление учетной записи из задания ЗПС;
– Контроль целостности: Завершение обработки задания на контроль целостности;
– Централизованное управление КЦ-ЗПС: Добавление субъекта;
– Централизованное управление КЦ-ЗПС: Изменение субъекта;
– Централизованное управление КЦ-ЗПС: Удаление субъекта;
– Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации;
– Разграничение доступа к устройствам: Подключение устройства;
– Разграничение доступа к устройствам: Отключение устройства;
– Разграничение доступа к устройствам: Запрет доступа к устройству.
Система имеет возможность также контроля работы механизмов защиты
(шифрование файлов, полномочное управление, замкнутая программная среда и др.), а также пересылки журналов Secret Net с локальных компьютеров на сервер безопасности.
2. Настройка параметров аудита локального варианта Secret Net
2.1. Необходимо выполнить аналогичные описанным выше настройки в локальной оснастке на каждом компьютере с установленной СЗИ от НСД
Secret Net. Для автоматизированного получения событий из локальной БД
Secret Net, администратору СЗИ от НСД необходимо выполнить экспорт событий из защищенной базы Secret Net в файл БД формата Microsoft Access на каждом компьютере с установленным Secret Net.
2.2. Для выполнения экспорта, необходимо с полномочиями локального администратора ОС запустить штатную утилиту Secret Net Журналы и затем на левой панели утилиты следует выбрать журнал Secret Net, и далее пункт меню Secret Net → Экспорт. В появившемся диалогов окне следует задать параметры файла для сохранения результатов экспорта.
2.3. Для чтения данных файл *.mdb, полученный в результате экспорта, должен быть перемещен на компьютер функционирования агента. Для доступа к файлу экспорта необходимо создать ODBC-псевдоним (с использованием 32-х разрядной версии редактора ODBC-псевдонимов и драйвера Microsoft Access) и связать его с полученным файлом.
СЗИ SecretNet регистрирует настроенные события сразу после своей установки. Система регистрации событий СЗИ SecretNet не может быть отключена. Ее можно только расширить, доведя уровень детализации аудита до максимального (как локальных событий, так и сетевых). Максимальный уровень детализации подразумевает регистрацию таких событий, как операции открытия файлов на чтение, на запись, запись в файлы и так далее.
Кроме того, могут регистрироваться отдельные операции с выбранными файлами.
В качестве контролируемых объектов могут выделяется следующие группы ПО, расположенного на клиентском месте:
– состояние системы защиты SecretNet - по умолчанию контролируется целостность файлов СЗИ, доступ к этим файлам;
– исполняемые файлы АРМ (EXE, COM, DLL и так далее) - протоколируется операции открытия на чтение/запись этих файлов и запуск исполняемых файлов. Протоколируется загрузка DLL-модулей прикладными задачами. Может дополнительно контролироваться целостность файлов;
– конфигурационные файлы прикладного программного обеспечения и специально выбранные файлы - может контролироваться целостность конфигурационных файлов и протоколироваться операции по чтению/записи этих файлов;
– сетевые события - протоколируются регистрация пользователя в корпоративной сети, операции отображения сетевых устройств, доступ к сетевым файлам.
4.3.6. Организационно-технические решения по настройке данных
журнала
аудита
аппаратно-программный
комплекс
шифрования
«Континент»
Основным назначением аппаратно-программного комплекса шифрования(АПКШ) «Континент» является защита информации, в корпоративных сетях, использующих для передачи данных протоколы семейства TCP/IP v. 4, а также защита сегментов VPN от проникновения извне [37]. В состав АПКШ «Континент» входят следующие компоненты:
– криптографический шлюз (КШ) «Континент»;
– центр управления сетью (ЦУС) КШ;
– программу управления сетью КШ.
АПКШ «Континент» обеспечивает:
– шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищаемыми сегментами сети;
– защиту внутренних сегментов сети от несанкционированного доступа извне;
– скрытие внутренней структуры защищаемых сегментов сети;
– централизованное управление защитой сети.
События аудита регистрируются в журналах аудита в виде отдельных записей [38]. На АПКШ с установленным ЦУС формируются как журналы
КШ, так и журналы ЦУС. События, происходящие на КШ, регистрируются в локальных журналах КШ. Для централизованного доступа к записям содержимое локальных журналов перемещается через ЦУС на хранение в БД на сервер БД АПКШ «Континент». В системном журнале регистрируются события, связанные с работой подсистем КШ и ЦУС, а также события, регистрируемые другими СЗИ (например, ПАК «Соболь»). Для каждого зарегистрированного события сохраняются время регистрации, описание события, категория и ряд дополнительных параметров.
В журнале НСД хранятся записи о зарегистрированных событиях, свидетельствующих о возможных угрозах безопасности. Каждая запись содержит информацию о количестве зарегистрированных событий в течение одной минуты, а также ряде дополнительных параметров. В журнал НСД также осуществляется запись событий, связанных с IP-пакетами, отброшенными пакетным фильтром или не соответствующих ни одному правилу фильтрации.
Требования к настройке подсистемы регистрации событий АПКШ
«Континент» приводятся ниже.
1.Для обеспечения сохранности записей журналов и их своевременного получения администратор АПКШ «Континент» 3.6 может централизованно настраивать следующие параметры:
– параметры локальных журналов КШ;
Описание
HKLM\System\CurrentControlSet\Control\Lsa
Определяет дополнительные настройки штатной подсистемы аудита, настройки протокола сетевой аутентификации NTLM, параметры регистрации пользователей и сетевого доступа
HKLM\System\CurrentControlSet\Control\Print\
Providers\LanMan Print Services\Servers
Определяет настройки подключения принтеров
HKLM\System\CurrentControlSet\Control\
SecurePipeServers\Winreg
Определяет настройки удаленного доступа к реестру
ОС
HKLM\System\CurrentControlSet\Control\Session
Manager
Определяет настройки диспетчера сеансов
HKLM\System\CurrentControlSet\Services\
LanmanWorkstation
Определяет настройки клиента сети Microsoft
HKLM\System\CurrentControlSet\Services\LanManServer Определяет настройки сервера сети Microsoft
HKLM\System\CurrentControlSet\Services\Netlogon
Определяет настройки сетевого доступа в домене
HKLM\System\CurrentControlSet\Services\LDAP
Определяет настройки клиента
LDAP
HKLM\System\CurrentControlSet\Services\NTDS
Определяет настройки сервера
LDAP
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon
Определяет настройки интерактивного входа в систему
HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Setup\RecoveryConsole
Определяет настройки консоли восстановления
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies
Определяет множество параметров групповых политик для компьютера
HKLM\Software\Microsoft\Driver Signing
Определяет параметры проверки цифровой подписи драйверов устройств
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies
Определяет множество параметров групповых политик для пользователя
Аудит доступа к данным разделам реестра необходимо настроить следующим образом:
– задание значения (set value) – успех, отказ;
– создание подраздела (create subkey) – успех, отказ;
– удаление (delete) – успех, отказ.
Для всех разделов необходимо разрешить наследование прав аудита доступа вложенным разделам.
Для контроля функций управления групповыми политиками доменов дополнительно необходимо настроить аудит доступа на файлы шаблонов групповых политик (по умолчанию, расположены на контроллерах домена, в каталоге C:\Windows\SYSVOL).
Аудит доступа к файлам шаблонов групповых политик необходимо настроить следующим образом:
– создание файлов/запись данных (create files/write data) – успех, отказ;
– создание папок/дозапись данных (create folders/append data) – успех, отказ;
– удаление подпапок и файлов (delete subfolders and files) – успех, отказ;
– удаление (delete) – успех, отказ;
– смена разрешений (change permissions) – успех, отказ;
– смена владельца (take ownership) – успех, отказ.
Указанные настройки аудита следует разрешить наследовать вложенным подкаталогам и файлам.
Если регистрация событий вследствие настройки политики аудита вызывает значительное потребление ресурсов или быстрое переполнение файлов журнала, то нужно уменьшить состав регистрируемых событий за счет отказа от регистрации наиболее часто повторяющихся событий.
4.3.4. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД «Аккорд»
Программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win32»,
«Аккорд-Win64» предназначен для применения на АРМ «закрытого» контура с ОС Windows для защиты информационных ресурсов от НСД при многопользовательском режиме эксплуатации [35].
СЗИ от НСД под управлением операционной системы и программного обеспечения ПЭВМ обеспечивает:
– защиту от несанкционированного доступа к ПЭВМ путем идентификации пользователей по не копируемым уникальным TM- идентификаторам DS 1992-1996 («Touch memory» - «Память касания») и их аутентификации по индивидуальному паролю, вводимому с клавиатуры. При этом обеспечивается защита от раскрытия индивидуального пароля пользователя;
– блокировку загрузки с отчуждаемых носителей (FDD, CD-ROM, ZIP
Drive и др.) и прерывания контрольных процедур с клавиатуры;
– доверенную загрузку ОС и защиту от несанкционированных модификаций программ и данных;
– создание и поддержку изолированной программной среды, возможность реализации функционально замкнутых информационных систем на базе ПЭВМ;
– контроль целостности системных областей жестких дисков, программ и данных, а также конфигурации технических средств ПЭВМ до загрузки
ОС;
– защиту от внедрения разрушающих программных воздействий: вирусов, закладок и т. д.;
– разграничение доступа пользователей к ресурсам ПЭВМ в соответствии с уровнем их полномочий;
– управление потоками информации на основе принципов дискреционного и мандатного доступа;
– регистрацию контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, размещенном в энергонезависимой памяти контроллера комплекса. Доступ к журналу обеспечивается только АИБ;
– возможность подключения криптографических средств защиты информации.
СЗИ «Аккорд» сохраняет журналы ШПРС в виде файлов двоичного формата. Каталог, в котором сохраняются файлы, определяется настройками
СЗИ
«Аккорд» и хранится в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Acrun, параметре LogsFolder. По умолчанию это каталог C:\ACCORD.NT или
C:\ACCORD.X64, соответственно, для 32-х или 64-х разрядной версии ОС.
Имя файла в каталоге имеет вид ГГГГДДММЧЧММСС.LOW, где
ГГГГДДММЧЧММСС – дата и время первой записи в данном файле. В одном файле журнала хранится информация об одном сеансе работы пользователя. Файл журнала имеет двоичный формат и состоит из заголовка и последовательности записей.
СЗИ «Аккорд» позволяет регистрировать события, представленные в табл. 4.5.
Таблица 4.5
Список событий журнала ШПРС СЗИ «Аккорд»
Мнемоническое
описание
Числовой
код
Описание
Событий класса «Реестр»
LecoRegOpenKey
0
Открытие ключа реестра
LecoRegCloseKey
1
Закрытие ключа реестра
LecoRegCreateKey
2
Создание ключа реестра
LecoRegDeleteKey
3
Удаление ключа реестра
LecoRegEnumKey
4
Просмотр списка ключей реестра
LecoRegSetValue
5
Присвоение полю значение
LecoRegQueryValue
6
Просмотр значения поля
LecoRegDeleteValue
7
Удаление поля
LecoRegCreateValue
8
Создание поля
LecoRegEnumValue
9
Просмотр списка полей
События класса «Хранитель экрана»
LecoSSOnAtTimeout
0
ScreenSaver включен по времени
LecoSSOnAtHotKey
1
ScreenSaver включен по горячим клавишам
LecoSSOnAtRemoute 2
ScreenSaver включен c АРМ АБИ
LecoSSOffAtTM
3
ScreenSaver выключен c помощью TM
LecoSSOffAtRemoute 4
ScreenSaver выключен c АРМ АБИ
LecoSSOffAtAdmin
5
ScreenSaver выключен c помощью TM администратора
АРМ АБИ
LecoSSTimeDisable
6
Выключен временной контроль ScreenSaver-а
LecoSSTimeEnable
7
Включен временной контроль ScreenSaver-а
LecoSSOffBadTM
8
Попытка разблокировать не тем TM
События класса «Контроль файлов»
LecoHStartCheck
1
Начало проверки списка файлов
LecoHEndCheck
2
Конец проверки списка файлов
LecoHStartUpdate
3
Начало обновления списка файлов
LecoHEndUpdate
4
Конец обновления списка файлов
LecoHTotalHash
5
Хэш списка файлов
LecoHTotalEDS
6
Подпись списка файлов
LecoHGetPrivateKey
7
Получение секретного ключа
LecoHFileCheck
8
Проверка файла
События «Отладочные сообщения СЗИ»
LecoDebugString
0
Отладочное сообщение СЗИ
События для класса «Файловые операции»
Leco21Terminate00 0
Прерывание программы
Leco21SetDate
0x2b
Установка даты
Leco21SetTime
0x2d
Установка времени
Leco21MakeDir
0x39
Создание каталога
Leco21RemakeDir
0x3a
Повторное создание каталога
Leco21ChangeDir
0x3b
Изменение каталога
Leco21CreateFile
0x3c
Создание файла
Leco21OpenFile
0x3d
Открытие файла
Leco21CloseFile
0x3e
Закрытие файла
Leco21DeleteFile
0x41
Удаление файла
Leco21GetSetFileAttr 0x43
Получение/установка атрибутов файла
Leco21Exec
0x4b
Запуск программы
Leco21Terminate
0x4c
Завершение программы
Leco21FindFirst
0x4e
Поиск файлов по маске (первый файл)
Leco21FindNext
0x4f
Поиск файлов по маске (последующие файлы)
Leco21RenameDir
0x50
Переименование каталога
Leco21RenameFile
0x56
Переименование файла
Leco21Traverse
0x6d
Не установлено
Требования к настройкам штатной подсистемы регистрации событий
СЗИ от НСД «Аккорд».
1. Для каждого пользователя администратор может установить уровень детальности журнала ШПРС – низкая, средняя, высокая.
2. Для любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения правил разграничения доступа, изменения правил разграничения доступа (в частности, изменение паролей).
3. Для среднего уровня детальности в журнале отражаются дополнительно все попытки доступа к защищаемым дискам, каталогам и отдельным файлам, а также попытки изменения некоторых системных параметров – даты, времени и др.
4. Для высокого уровня детальности в журнале отражаются дополнительно все попытки доступа к содержимому защищаемых каталогов.
5. Для целей системы достаточно среднего уровня детальности журнала.
Если установка среднего уровня детальности журнала СЗИ от НСД «Аккорд» создает значительную нагрузку на системные ресурсы подконтрольного объекта, то допускается установка минимального уровня детальности журнала.
6. При установке прав доступа к журналам СЗИ от НСД «Аккорд» должны соблюдаться следующие правила:
– к файлам журнала должен быть доступ на чтение для всех учетных записей пользователей ОС;
– к каталогу, хранящему файлы журнала, должен быть доступ на просмотр содержимого.
7. При необходимости допускается изменить в настройках СЗИ каталог, в котором сохраняются файлы журналов. В этом случае следует выбрать каталог, доступный для чтения пользователю ОС Local System и не защищаемый СЗИ «Аккорд».
8. Поскольку система обладает собственными средствами регистрации событий, позволяющими выполнять мониторинг обращений к реестру и файловой системе, достаточно анализировать журнал ШПРС СЗИ от НСД
«Аккорд» на предмет событий классов «Контроль файлов», «Хранитель экрана» и «Отладочные сообщения СЗИ».
4.3.5. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД Secret Net
Secret Net версий 6.x, 7.x – программный комплекс, сочетающий в себе большой набор функциональных возможностей по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия внутренних злоумышленников и возможность мониторинга безопасности, защищаемой
ИС [36]. СЗИ от НСД Secret Net может поставляться как в сетевом варианте исполнения, так и в автономном.
В сетевом варианте Secret Net события ИБ фиксируют и клиенты, и сервер безопасности. При этом события сохраняются:
– в локальном журнале Secret Net;
– в централизованной БД сервера безопасности, функционирующей с использованием СУБД Oracle (для версий СЗИ от НСД Secret Net 6.x, 7.x).
Для версии СЗИ от НСД Secret Net, начиная со сборки 7.2, БД сервера безопасности может функционировать с использованием СУБД Microsoft
SQL Server.
К достоинствам эксплуатации сетевого варианта Secret Net относится:
– обеспечение централизованного управления настройками политики безопасности;
– интеграция с ОС Windows, расширяющая, дополняющая и усиливающая стандартные механизмы защиты;
– осуществление мониторинга и аудита политики безопасности в режиме реального времени;
– оперативное реагирование на события НСД;
– поддержка терминального режима работы пользователей с рабочей станцией;
– аппаратная идентификация пользователей;
– контроль целостности файлов;
– разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т. д.).
В журнале аудита Secret Net используется такой же формат данных и состав полей записей, что и в журналах ШПРС ОС Windows. Загрузка записей для просмотра осуществляется только в программе просмотра журналов, поставляемой в составе Secret Net [36].
1.Настройка параметров аудита сетевого варианта Secret Net.
1. 1. Сервер безопасности имеет возможность централизованного сбора журналов ШПРС Secret Net с клиентских компьютеров в централизованную
БД. Периодичность сбора устанавливается с помощью штатной утилиты
Secret Net «Консоль управления» для каждого клиентского компьютера.
1.2. Параметры накопления аудита на клиентских компьютерах конфигурируются через групповую политику домен Secret Net. Для перехода к редактированию данных параметров необходимо на контроллере домена, перейти по главному меню Программы → Администрирование → Политика безопасности домена. Параметр «Максимальный размер журнала системы защиты» устанавливается в значение 50496 кбайт. Параметр «Политика перезаписи событий» устанавливается в значение «Затирать события по мере необходимости».
1.3. Для включения событий на регистрацию необходимо использовать ветку «Регистрация событий» редактирования групповой политики домена
Secret Net. Минимальный набор событий, необходимый для регистрации средствами Secret Net:
– Вход/Выход (все события категории);
– Замкнутая программная среда (ЗПС): Запрет запуска программы;
– Замкнутая программная среда: Запрет загрузки библиотеки;
– Контроль целостности: Удаление учетной записи из задания ЗПС;
– Контроль целостности: Завершение обработки задания на контроль целостности;
– Централизованное управление КЦ-ЗПС: Добавление субъекта;
– Централизованное управление КЦ-ЗПС: Изменение субъекта;
– Централизованное управление КЦ-ЗПС: Удаление субъекта;
– Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации;
– Разграничение доступа к устройствам: Подключение устройства;
– Разграничение доступа к устройствам: Отключение устройства;
– Разграничение доступа к устройствам: Запрет доступа к устройству.
Система имеет возможность также контроля работы механизмов защиты
(шифрование файлов, полномочное управление, замкнутая программная среда и др.), а также пересылки журналов Secret Net с локальных компьютеров на сервер безопасности.
2. Настройка параметров аудита локального варианта Secret Net
2.1. Необходимо выполнить аналогичные описанным выше настройки в локальной оснастке на каждом компьютере с установленной СЗИ от НСД
Secret Net. Для автоматизированного получения событий из локальной БД
Secret Net, администратору СЗИ от НСД необходимо выполнить экспорт событий из защищенной базы Secret Net в файл БД формата Microsoft Access на каждом компьютере с установленным Secret Net.
2.2. Для выполнения экспорта, необходимо с полномочиями локального администратора ОС запустить штатную утилиту Secret Net Журналы и затем на левой панели утилиты следует выбрать журнал Secret Net, и далее пункт меню Secret Net → Экспорт. В появившемся диалогов окне следует задать параметры файла для сохранения результатов экспорта.
2.3. Для чтения данных файл *.mdb, полученный в результате экспорта, должен быть перемещен на компьютер функционирования агента. Для доступа к файлу экспорта необходимо создать ODBC-псевдоним (с использованием 32-х разрядной версии редактора ODBC-псевдонимов и драйвера Microsoft Access) и связать его с полученным файлом.
СЗИ SecretNet регистрирует настроенные события сразу после своей установки. Система регистрации событий СЗИ SecretNet не может быть отключена. Ее можно только расширить, доведя уровень детализации аудита до максимального (как локальных событий, так и сетевых). Максимальный уровень детализации подразумевает регистрацию таких событий, как операции открытия файлов на чтение, на запись, запись в файлы и так далее.
Кроме того, могут регистрироваться отдельные операции с выбранными файлами.
В качестве контролируемых объектов могут выделяется следующие группы ПО, расположенного на клиентском месте:
– состояние системы защиты SecretNet - по умолчанию контролируется целостность файлов СЗИ, доступ к этим файлам;
– исполняемые файлы АРМ (EXE, COM, DLL и так далее) - протоколируется операции открытия на чтение/запись этих файлов и запуск исполняемых файлов. Протоколируется загрузка DLL-модулей прикладными задачами. Может дополнительно контролироваться целостность файлов;
– конфигурационные файлы прикладного программного обеспечения и специально выбранные файлы - может контролироваться целостность конфигурационных файлов и протоколироваться операции по чтению/записи этих файлов;
– сетевые события - протоколируются регистрация пользователя в корпоративной сети, операции отображения сетевых устройств, доступ к сетевым файлам.
4.3.6. Организационно-технические решения по настройке данных
журнала
аудита
аппаратно-программный
комплекс
шифрования
«Континент»
Основным назначением аппаратно-программного комплекса шифрования(АПКШ) «Континент» является защита информации, в корпоративных сетях, использующих для передачи данных протоколы семейства TCP/IP v. 4, а также защита сегментов VPN от проникновения извне [37]. В состав АПКШ «Континент» входят следующие компоненты:
– криптографический шлюз (КШ) «Континент»;
– центр управления сетью (ЦУС) КШ;
– программу управления сетью КШ.
АПКШ «Континент» обеспечивает:
– шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищаемыми сегментами сети;
– защиту внутренних сегментов сети от несанкционированного доступа извне;
– скрытие внутренней структуры защищаемых сегментов сети;
– централизованное управление защитой сети.
События аудита регистрируются в журналах аудита в виде отдельных записей [38]. На АПКШ с установленным ЦУС формируются как журналы
КШ, так и журналы ЦУС. События, происходящие на КШ, регистрируются в локальных журналах КШ. Для централизованного доступа к записям содержимое локальных журналов перемещается через ЦУС на хранение в БД на сервер БД АПКШ «Континент». В системном журнале регистрируются события, связанные с работой подсистем КШ и ЦУС, а также события, регистрируемые другими СЗИ (например, ПАК «Соболь»). Для каждого зарегистрированного события сохраняются время регистрации, описание события, категория и ряд дополнительных параметров.
В журнале НСД хранятся записи о зарегистрированных событиях, свидетельствующих о возможных угрозах безопасности. Каждая запись содержит информацию о количестве зарегистрированных событий в течение одной минуты, а также ряде дополнительных параметров. В журнал НСД также осуществляется запись событий, связанных с IP-пакетами, отброшенными пакетным фильтром или не соответствующих ни одному правилу фильтрации.
Требования к настройке подсистемы регистрации событий АПКШ
«Континент» приводятся ниже.
1.Для обеспечения сохранности записей журналов и их своевременного получения администратор АПКШ «Континент» 3.6 может централизованно настраивать следующие параметры:
– параметры локальных журналов КШ;