1. Axborot xavfsizligiga bo‘ladigan tahdidlar. Tahdid turlari
Download 262.28 Kb.
|
Threat intelligence-fayllar.org
|
Strategik parol siyosatini yaratish va joriy etish
44. Active Directoryda himoyalangan ro‘yxat qayd qilinganlar va guruhlar. Audit siyosatini tuzish. Active Directory-ning har qanday ma'muri ertami-kechmi Active Directory-dagi o'zgarishlarni tekshirish zarurati bilan duch keladi va bu muammo yanada keskinlashishi mumkin, Active Directory tuzilmasi qanchalik katta va murakkab bo'lsa va boshqaruv huquqiga ega bo'lgan shaxslar ro'yxati shunchalik katta bo'ladi. maxsus AD sayti yoki konteyneri. Administratorning (yoki axborot xavfsizligi bo'yicha mutaxassisning) qiziqish doirasi quyidagi masalalarni o'z ichiga olishi mumkin: AD foydalanuvchisi yoki guruhini yaratgan/oʻchirib tashlagan foydalanuvchini kim yoqdi/taqiqlagan qaysi manzildan domen foydalanuvchisining paroli o'zgartirilgan/qayta tiklangan guruh siyosatini kim yaratgan/tahrirlagan va hokazo. Windows oilasi operatsion tizimlarida turli xil ob'ektlardagi o'zgarishlarni tekshirish uchun o'rnatilgan vositalar mavjud bo'lib, ular boshqa Windows sozlamalari kabi Guruh siyosati yordamida boshqarilishi mumkin. Muayyan misoldan foydalanib, foydalanuvchi sozlamalaridagi o'zgarishlarni tekshirish va Active Directory guruhlariga a'zolikni yoqish metodologiyasini tahlil qilaylik (ushbu metodologiyaga ko'ra, boshqa toifadagi hodisalarni kuzatish ham yoqilishi mumkin). Kengaytirilgan Windows audit siyosati Keling, "ADdagi o'zgarishlarni tekshirish" nomli yangi GPO (Guruh siyosati) yarataylik. Tahrirlash bo'limiga o'ting va Kompyuter konfiguratsiyasi > Qoidalar > Windows sozlamalari > Xavfsizlik sozlamalari > Kengaytirilgan audit konfiguratsiyasi bo'limini kengaytiring. Ushbu guruh siyosati bo'limi turli hodisalarni kuzatish uchun Windows operatsion tizimlari oilasida faollashtirilishi mumkin bo'lgan ilg'or audit siyosatlarini o'z ichiga oladi. Windows 7 va Windows Server 2008 R2 da tekshirilishi mumkin bo'lgan hodisalar soni 53 taga ko'paytirildi. Ushbu 53 ta audit siyosati (tanaviy audit siyosati deb ataladi) Xavfsizlik sozlamalari\Kengaytirilgan audit siyosati konfiguratsiyasi bo'limida joylashgan bo'lib, ular guruhlarga bo'lingan. 10 toifa: Hisob qaydnomasiga kirish - hisob ma'lumotlarini tekshirish, Kerberos autentifikatsiya xizmati, Kerberos chipta operatsiyalari va boshqa tizimga kirish voqealarini tekshiradi Hisobni boshqarish - foydalanuvchi va kompyuter hisoblaridagi o'zgarishlarni, shuningdek, AD guruhlari va ularga a'zolik haqidagi ma'lumotlarni kuzatib boring Batafsil kuzatuv - individual ilovalar faoliyatini tekshirish (RPC, DPAPI) DS Access - Active Directory Domain Services (AD DS) ob'ektlariga kiritilgan o'zgarishlarning kengaytirilgan auditi Tizimga kirish/chiqish - kompyuterlar va domen serverlariga interaktiv va tarmoqqa kirish urinishlarini, shuningdek hisob blokirovkalarini tekshirish Ob'ektga kirish - turli ob'ektlarga (yadro, fayl tizimi va umumiy papkalar, ro'yxatga olish kitobi, sertifikat xizmatlari va boshqalar) kirishni tekshirish. Siyosatni o'zgartirish - guruh siyosatidagi o'zgarishlarni tekshirish Imtiyozlardan foydalanish - turli toifadagi ma'lumotlarga kirish huquqlarini tekshirish Tizim - xavfsizlik nuqtai nazaridan juda muhim bo'lgan kompyuterlar sozlamalaridagi o'zgarishlar Global Object AccessAuditing - ma'murga barcha qiziqish ob'ektlari bo'yicha ro'yxatga olish kitobi va fayl tizimidagi o'zgarishlarni kuzatib boradigan o'z ACL'larini yaratishga ruxsat bering. Tabiiyki, tizimni keraksiz ishlar va keraksiz ma'lumotlar bilan jurnallarni ortiqcha yuklamaslik uchun faqat minimal talab qilinadigan tekshiriladigan parametrlar to'plamidan foydalanish tavsiya etiladi. Active Directory hisobini sozlash va guruh o'zgarishini tekshirish Bunday holda, bizni Hisob boshqaruvi toifasi qiziqtiradi, bu sizga Audit Security Group Management guruhlaridagi o'zgarishlarni tekshirish) va foydalanuvchi hisoblarini tekshirishni (Audit User Account Management siyosati) yoqish imkonini beradi. Biz faqat muvaffaqiyatli o'zgarishlarni kuzatishni sozlash orqali audit siyosati ma'lumotlarini faollashtiramiz (Muvaffaqiyat). Ushbu siyosatni domen tekshiruvi hisoblarini o'z ichiga olgan konteyner bilan bog'lash (odatda, bu OU Domain Controllers) va ushbu siyosatni qo'llash (90 daqiqa kutish yoki gpupdate / force buyrug'ini ishga tushirish orqali). Ushbu siyosatni qo'llaganingizdan so'ng, foydalanuvchi hisoblari va guruhga a'zolikdagi barcha o'zgarishlar haqidagi ma'lumotlar Xavfsizlik jurnalidagi domen kontrollerlarida qayd etiladi. Quyidagi skrinshotda foydalanuvchi Active Directory guruhlaridan olib tashlangan vaqtni aniqlaydigan voqea ko'rsatilgan (bu holda siz kim, qachon va kim guruhdan o'chirilganligini ko'rishingiz mumkin). Odatiy bo'lib, jurnal jurnalga kiritilgan barcha xavfsizlik hodisalarini ko'rsatadi. Siz izlayotgan voqeani topishni osonlashtirish uchun jurnalni ma'lum bir voqea identifikatori filtrlash mumkin. Agar bizni faqat voqealar qiziqtirsa, masalan, domenda foydalanuvchi parolini qayta o'rnatish, siz identifikator 4724 bo'yicha filtrni yoqishingiz kerak Quyida Xavfsizlik amaliyoti jurnalida hodisalarni izlash va filtrlash kerak boʻlishi mumkin boʻlgan voqea identifikatorlarining roʻyxati keltirilgan: AD guruhlaridagi o'zgarishlar kontekstida hodisa identifikatorlari: 4727 : A security-enabled global group was created. 4728 : A member was added to a security-enabled global group. 4729 : A member was removed from a security-enabled global group. 4730 : A security-enabled global group was deleted. 4731 : A security-enabled local group was created. 4732 : A member was added to a security-enabled local group. 4733 : A member was removed from a security-enabled local group. 4734 : A security-enabled local group was deleted. 4735 : A security-enabled local group was changed. 4737 : A security-enabled global group was changed. 4754 : A security-enabled universal group was created. 4755 : A security-enabled universal group was changed. 4756 : A member was added to a security-enabled universal group. 4757 : A member was removed from a security-enabled universal group. 4758 : A security-enabled universal group was deleted. 4764 : A group’s type was changed. 45. Тahdidlarni aniqlash tizimlarini o‘rganish va tahlil qilish Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy vositalar: - Monitoring - Aniqlash - axborot tizimlarida sodir bo'layotgan o'zgarishlarni tahlil qilish. Yechimlar murakkablashib, turli xil vositalarni birlashtiradi. Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu ko'p hollarda murakkab maqsadli hujumlarni o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas. Download 262.28 Kb. Do'stlaringiz bilan baham: 
|