Аудит доступа к объектам

•Используется системный список контроля доступа SACL, содержимое которого формируется администратором системы.

•Элементы ACE списка SACL имеют один и тот же тип и содержат заголовок ACE, маску регистрируемых в журнале аудита прав доступа и SID пользователя или группы, чьи попытки доступа к объекту должны регистрироваться (если в ACE не указан SID, то регистрируются попытки доступа к объекту всех пользователей).

Расширенная политика

аудита (Windows 7 и старше)

Пример. Изменение аудита использования прав:

•Использование прав, не затрагивающее конфиденциальные данные.

•Использование прав, затрагивающее конфиденциальные данные.

•Аудит других событий использования прав.

аудита (Windows 7 и

старше)

Пример. Изменение аудита доступа к объектам:

•Файловой системы.

•Общих папок.

•Объектов ядра.

•Реестра.

•Диспетчера учетных записей безопасности.

•Других событий доступа к объектам.

•И другие параметры.

Администраторы и

аудиторы

• Для обеспечения безопасности информации в КС целесообразно разделить полномочия администраторов КС и аудиторов (пользователей с правами доступа к файлу аудита). Если этого не сделать, то возникнет ситуация, при которой установка параметров политики безопасности и проверка ее соблюдения сосредоточатся в одних руках.

Администраторы и

аудиторы

• В ОС Windows можно сделать так, что просматривать и очищать журнал аудита, а также управлять списками SACL объектов доступа смогут только члены группы аудиторов компьютерной системы (право «Управление аудитом и журналом безопасности»).

• Но полномочия на изменение значений параметров политики аудита при этом сохранятся у членов группы администраторов компьютерной системы.

Аудит событий безопасности в

ОС Unix

Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:

•acct – регистрация команд, выполненных пользователем;

•loginlog – регистрация неудачных попыток входа;

•sulog – регистрация использования команды su;

•wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;

•security – сообщения подсистемы безопасности;

•vold.log – регистрация ошибок внешних устройств и др.

Аудит событий безопасности в

ОС Unix

•Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.

•В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.

•Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).

Сообщение аудита в ОС

Unix

• имя программы, при выполнении которой было сгенерировано сообщение;

• источник сообщения (модуль операционной системы);

• приоритет (важность) сообщения;

• содержание сообщения.

Параметры аудита в ОС Unix

Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:

•селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);

•описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).

Расширение аудита в ОС

Linux

В ОС Linux, начиная с версии ядра 2.6, существует возможность аудита попыток доступа к файлам и выполнения системных вызовов (демон auditd). Основные дополнительные возможности этой службы:

•Ротация файла аудита (его перезапись при переполнении).

•Задание максимального размера файла аудита.

•Аудит попыток доступа к файлам.

•Утилиты для определения параметров аудита, фильтрации записей аудита, формирования отчетов на основе журналов аудита.