Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7

Вид материала

Документы

Содержание Дополнительная информация Глава 6. Аудит и обнаружение вторжения

Подобный материал:

• Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
• Введение, 234.92kb.
• План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
• I. введение, 424.45kb.
• Календарно – тематическое планирование, 135.98kb.
• Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
• Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
• Конституции Российской Федерации и федеральных закон, 327.39kb.
• Личная безопасность персонала скорой медицинской помощи, 108.54kb.
• Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.

Резюме

Подавляющее большинство нарушений IT-безопасности происходят из-за эксплуатации систем, которые не полностью оснащены новейшими «патчами» безопасности. Хорошее управление «патчами» имеет принципиальное значение, если вам нужно уменьшить возможную угрозу безопасности. Относитесь серьезно к «патчам», и вам удастся значительно сократить расходы, связанные с нарушениями безопасности.

Дополнительная информация

Для более подробной информации Symantec по фундаментальным вопросам безопасности, смотрите:

esponse.symantec.com/avcenter/security/Content/security.articles/fundamentals.of.info.security.phpl

Подробная информация об утилите Hfnetchk:

icrosoft.com/default.aspx?scid=kb;EN-US;q303215

Скачать Hfnetchk:

soft.com/downloads/release.asp?releaseid=31154

Скачать mssecure.cab:

microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab

Для более подробной информации на предмет создания .zap file, для использования с групповой политикой смотрите:

icrosoft.com/default.aspx?scid=kb;EN-US;Q231747

или

osoft.com/library/default.asp?url=/library/en-us/dnexnt00/html/ewn0085.asp

Информация о Qfecheck.exe и для скачивания:

icrosoft.com/default.aspx?scid=kb;EN-US;Q282784

Информация о Hotfix.exe:

icrosoft.com/default.aspx?scid=kb;EN-US;Q184305

Информация о Qchain и для скачивания:

icrosoft.com/default.aspx?scid=kb;EN-US;q296861

Информация о Microsoft Security Rating system:

soft.com/technet/treeview/default.asp?url=/technet/security/policy/rating.asp

Для получения регулярных извещений безопасности Miscrosoft

soft.com/technet/treeview/default.asp?url=/technet/security/current.asp

Пакет безопасности Microsoft:

soft.com/technet/treeview/default.asp?url=/technet/security/tools/stkintro.asp

Microsoft Operations Framework (MOF):

soft.com/business/services/mcsmof.asp

Лучшие практики для расположения пакетов сервиса, gotfix и «патчей» безопасности:

soft.com/technet/treeview/default.asp?url=/technet/security/bestprac/bpsp.asp

Ссылки

Сайт Microsoft TechNet Security:

soft.com/technet/treeview/default.asp?url=/TechNet/itsolutions/security/bestprac/secthret.asp

Лучшие практики безопасности Microsoft:

soft.com/technet/treeview/default.asp?url=/TechNet/itsolutions/secrity/bestprac/secthret.asp

Как публиковать non-MSI Программы с .zap Files (Q231747):

icrosoft.com/default.aspx?scid=kb;EN-US;Q231747

Глава 6. Аудит и обнаружение вторжения

В любой безопасной среде следует осуществлять тщательную проверку на вторжения и взломы. Не стоит думать, что если вы установили системы безопасности, то к вам теперь не будут вторгаться,.

Есть множество оснований для того, чтобы считать очень важными аудит и обнаружение вторжений. Например:

• Любая функциональная компьютерная среда может подвергнуться нападению. Сколь бы ни был высок уровень вашей защиты, риск вторжения существует всегда.
  
• За несколькими неудачными попытками вторжения часто следует удачные. Если у вас не стоит программа отслеживания вторжений, вы не сможете засечь неудачные попытки взлома до того, как состоится удачная.
  
• Если же попытка взлома заканчивается удачно – чем раньше вы об этом узнаете, тем легче будет ограничить возможный вред.
  
• Чтобы восстановиться от повреждений после вторжения, вам нужно знать, какой вред был нанесен.
  
• Аудит и обнаружение вторжений помогут вам определить, кто несет ответственность за нападение.
  
• Сочетание аудита и обнаружения вторжений помогает соотносить информацию и идентифицировать схему вторжения.
  
• Регулярный обзор системных журналов безопасности помогает идентифицировать нерешенные вопросы конфигурации безопасности – в частности, неверные права доступа, или неопределенные настройки локаута учетной записи.
  
• После обнаружения взлома аудит может помочь определить, какие ресурсы сети были повреждены.
  

Эта глава показывает, как проводить аудит в вашей среде с большими шансами на обнаружение нападения. Здесь также затрагиваются средства мониторинга на предмет нападения – включая системы обнаружения вторжений – т.е. программное обеспечение, специально разработанное для того, чтобы обнаружить поведение, указывающее на наличие взлома.

Аудит

Общая стратегия безопасности предполагает, кроме прочего, что вы должны определить уровень аудита, подходящий вашей среде. Аудит должен идентифицировать нападение, успешное или нет, представляющее угрозу для вашей сети, и проверить ресурсы, которые вы сами определили как важную часть оценки риска.

Когда вы принимаете решение, какой объем аудита следует провести, вам нужно иметь в виду, что чем больше объем аудита, тем больше событий вы генерируете и тем труднее, соответственно, «засечь» те, что несут в себе угрозу. Если вы проводите расширенный аудит, вам нужно обратить особое внимание на дополнительные инструменты, такие, как Microsoft Operations Manager, при помощи которых вы можете отфильтровать события, имеющие наибольшую важность.

Проверяемые события можно подразделить на две категории – успешные события и ошибочные события. Успешное событие указывает на то, что пользователь успешно получил доступ к ресурсам, в то время как ошибочное событие показывает, что он пытался, получить доступ, но не сумел. Ошибочные события весьма полезны для отслеживания попыток нападения на вашу среду, а успешные события намного труднее интерпретировать. В то время как большинство успешных событий аудита просто являются показателями нормальной работы системы – злоумышленник, проникший в систему, также сгенерирует успешное событие. Часто схема событий так же важна, как и сами события. Например, серия ошибок, за которой следует успешное событие, может указывать на попытку взлома, которая, в конце концов удалась. Всегда, когда это возможно, вам следует сочетать события аудита с другой имеющейся информацией о ваших пользователях. Например, если пользователь уезжает в отпуск, вы можете на выбор – запретить его учетную запись на время его отсутствия, а после восстановления работы провести аудит.