 |
Аудит для объектов файловой системы
|
|
|
|
В системе можно указать перечень регистрируемых событий и для конкретного объекта файловой системы (диска, папки, файла). Это можно сделать двумя разными способами: используя оболочку администратора СЗИ НСД Dallas Lock 8.0 или, вызвав контекстное меню файла нажатием правой кнопкой мыши по его значку.
В оболочке администратора выполняется следующая последовательность:
1. На одной из основных вкладок «Контроль доступа» необходимо выбрать категорию «Аудит».
2. На панели кнопок «Действия» нажать «Добавить» (рис. 117).
Рис. 117. Добавление аудита для объекта
3. В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать» (рис. 118).
Рис. 118. Выбор ресурса для назначения аудита
Далее откроется типовое окно назначения аудита на ресурс файловой системы, в котором необходимо отметить события «Успех» или «Отказ» по выбранным операциям.
Также назначение аудита отдельным файлам или папкам возможно, не используя оболочку администратора системы защиты, а с помощью контекстного меню. Для того чтобы указать перечень регистрируемых событий для конкретного объекта файловой системы (диска, папки, файла) таким способом, нужно:
1. Правым щелчком мыши на значке объекта, для которого нужно указать персональный перечень регистрируемых событий, вызвать контекстное меню и выбрать из него пункт «DL:8.0 Права доступа» (рис. 119).
Рис. 119. Контекстное меню объекта ФС
2. В появившемся окне открыть закладку «Аудит доступа».
3. Отметить флажком поле «Аудит включен».
4. И в зависимости от того, успешное или неудачное событие нужно зарегистрировать, необходимо выставить флажки в полях «Успех» или «Отказ», расположенных справа от операций.
|
|
|
Объекты файловой системы, для которых назначен аудит любым из способов, автоматически появляются в списке объектов выбранной категории «Аудит» на вкладке «Контроль целостности».
Журналы
В системе защиты Dallas Lock 8.0 регистрация и запись событий ведется в различных типах журналов. Для удобства выделены следующие 6 журналов:
1. Журнал входов.
2. Журнал управления учетными записями.
3. Журнал доступа к ресурсам.
4. Журнал печати.
5. Журнал управления политиками.
6. Журнал процессов.
Для просмотра событий определенного журнала в оболочке администратора на одной из основных вкладок «Журналы» необходимо выбрать категорию, соответствующую одному из 6-ти типов журналов (рис. 120). Щелчок мыши на выбранном журнале открывает его и позволяет просмотреть его содержимое.
Рис. 120. Вкладка Журналы
В каждом журнале фиксируются дата, время, имя пользователя, операция, результат и прочие параметры. Возможно упорядочивание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала.
Двойной щелчок мышки на любой записи любого журнала открывает форму, содержащую всю информацию, относящуюся к этой записи (рис. 121).
Рис. 121. Отдельная форма записи журнала событий
Нажимая на кнопки «вверх» и «вниз» можно листать журнал, просматривая предыдущие или следующие записи.
Панель кнопок «Действия», общая для всех журналов, позволяет произвести над открытым журналом действия по обновлению журнала (кнопка «Обновить»), по архивации всего журнала (кнопка «Архивировать»), по экспорту всего журнала или отфильтрованных записей в файл (кнопка «Экспорт»), для этого откроется последовательность элементарных форм. Также эти действия возможно выбрать из контекстного меню.
После выбора архивации журнала, его записи сохраняются в файл в системной папке C:\DLLOCK80\Logs, в окне журнала записи очищаются, и он начинает вестись заново. Так же, в случае, когда журнал переполняется (максимальный размер – 10 000 записей), он архивируется в файл со специальным расширением *.lg8 и помещается в папку C:\DLLOCK80\Logs. При этом текущий журнал в оболочке администратора очищается и начинает вестись заново. В имени архивного файла с журналом закодирован его тип, дата и время создания файла.
|
|
|
Каждый текущий журнал формируется в папке C:\DLLOCK80\Jrn и имеет фиксированный максимальный размер – 10 000 записей.
Если необходимо удалить журнал окончательно, нужно зайти в папку C:\DLLOCK80\Logs и удалить соответствующий файл.
Категория «Журнал из файла» на вкладке «Журналы» позволяет открыть журнал из файла, отфильтровать его значения и экспортировать в файл.
Журналы в СЗИ НСД Dallas Lock 8.0 имеют следующую структуру:
1. Журнал входов. Фиксируются все входы (или попытки входов – с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе, терминальные входы и события разблокировки. А также события входа при активном модуль доверенной загрузки (включение ПК, вход с пин-кодом, начало загрузки ОС). Журнал содержит следующие элементы списков:
в графе «Время» фиксируется дата и время события;
в графе «Пользователь» фиксируется имя пользователя;
в графе «Источник» фиксируется тип события: загрузка ПК, вход в ОС, выход из ОС;
в графе «Доступ» указывается мандатный уровень, под которым осуществлен вход (только для Dallas Lock 8.0 редакции «С»);
в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;
в графе «Неверный пароль» фиксируются неверно введенные пароли при попытке загрузки ПК или входе в ОС.
| Примечание. При сетевом входе в графе «источник» к типу события добавляется имя компьютера, с которого произведен вход, и его IP-адрес. |
2. В Журнале управления учетными записями ведется учет всех действий по созданию, удалению или изменению прав пользователей и события смены пароля учетной записи. Журнал содержит следующие элементы списков:
в графе «Время» фиксируется дата и время действий, производимых над правами пользователей;
в графе «Пользователь» фиксируется имя пользователя, осуществившего вышеперечисленные операции администрирования;
|
|
|
в графе «Компьютер» фиксируется имя компьютера, с которого производилось администрирование;
в графе «Имя» фиксируется имя пользователя, изменения прав которого было произведено;
в графе «Результат» отображается результат выполнения операции («OK» – операция выполнена удачно или «доступ запрещен»);
в графе «Операция» отображается наименование произведенной операции (создать пользователя, удалить пользователя, сменить пароль, изменить параметры и др.).
3. Журнал доступа к ресурсам позволяет проследить обращения к объектам файловой системы, для которых назначен аудит, и события по настройке дескрипторов ФС. Журнал содержат следующие элементы списков:
в графе «Время» фиксируется дата и время события;
в графе «Пользователь» фиксируется имя пользователя, осуществившего действие;
в графе «Компьютер» фиксируется имя компьютера, с которого осуществлялся доступ;
в графе «Файл» фиксируется путь к объекту доступа;
в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;
в графе «Операция» фиксируются все действия, которые производились с объектом;
в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ к ресурсу (только для Dallas Lock 8.0 редакции «С»);
в графе «Права» фиксируются права, с которыми был осуществлен доступ:
| Для папок | Для файлов | ||||
| R | – | открытие на чтение | D | – | удаление |
| W | – | открытие на запись | L | – | просмотр содержимого |
| A | – | открытие для добавления | AF | – | создание файла |
| D | – | удаление | AD | – | создание каталога |
| E | – | запуск | DF | – | удаление файла |
| RA | – | чтение атрибутов | RA | – | чтение атрибутов |
| WA | – | изменение атрибутов | WA | – | изменение атрибутов |
| MAX | – | открытие файла с максимально разрешенными параметрами |
в графе «Процесс» фиксируется программа, из которой производилась операция по доступу.
4. В журнал печати заносятся все события, связанные с распечаткой документов на локальных или удаленных принтерах. Журнал содержит следующие элементы списков:
|
|
|
в графе «Время» фиксируется дата и время начала печати;
в графе «Пользователь» фиксируется имя пользователя, запустившего процесс печати;
в графе «Принтер» фиксируется имя принтера, на котором производилась печать;
в графе «Порт» фиксируется название порта, к которому подключено устройство;
в графе «Документ» фиксируется название документа и программа, из которой производилась печать;
в графе «Страниц» фиксируется количество распечатанных страниц документа;
в графе «Копий» - количество копий;
в графе «Процесс» фиксируется процесс, который запущен программой печати;
в графе «Доступ» фиксируется уровень мандатного доступа, под которым работает пользователь, производящий печать.
Записи в журнал печати заносятся при условии включенного аудита печати (вкладка «Параметры безопасности» => «Аудит»). Процесс печати сопровождается двумя записями: начала и окончания печати.
5. Журнал управления политиками безопасности дает возможность просмотреть все действия, изменяющие настройку параметров системы защиты. Журнал содержит следующие элементы списков:
в графе «Время» фиксируется дата и время события;
в графе «Пользователь» фиксируется имя пользователя, производящего изменения;
в графе «Компьютер» фиксируется имя компьютера;
в графе «Параметр» фиксируется название процесса по настройке параметров;
в графе «Результат» фиксируется результат редактирования.
6. Журнал процессов. В этот журнал заносятся события запуска и завершения процессов. Журнал содержит следующие элементы списков:
в графе «Время» фиксируется дата и время события;
в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;
в графе «Процесс» фиксируется путь к файлу процесса и его имя;
в графе «PID» фиксируется уникальный идентификатор запускаемого процесса;
в графе «Операция» фиксируется тип события – запуск или завершение;
в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ (только для Dallas Lock 8.0 редакции «С»);
в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.
Фильтры журналов
Панель кнопок «Фильтр», общая для всех журналов, используется для задания параметров отбора событий, отображаемых в текущем или экспортированном журнале.
Использование фильтров дает возможность отсеять ненужные данные в журнале так, что они становятся невидимы при просмотре. В то же время никакая информация при использовании фильтров из журналов не удаляется.
|
|
|
Чтобы произвести настройки, необходимо нажать кнопку «Настроить фильтр» и выбрать необходимые параметры фильтра в открывшемся окне, нажать «OK» (рис. 122). После настройки необходимо нажать кнопку «Применить фильтр», после чего записи журнала будут отсортированы. Повторное нажатие «Применить фильтр» вернет полное содержание журнала.
Рис. 122. Окно настройки фильтра журнала входов
Каждый фильтр имеет параметры настройки, которые соответствуют основным элементам списков выбранного журнала. Например, журнал входов можно отфильтровать по времени, в которое была осуществлена попытка входа на ПК, по логину пользователя, по результату процесса (удачный/не удачный), по источнику процесса (удаленный вход, терминальный вход, смена пароля и т.д.).
Отфильтрованные записи журнала можно сохранить, воспользовавшись кнопкой «Экспорт», в выбранную папку в выбранном типе файла (таблица, список). Экспортированные журналы служат для того, чтобы администратор мог рассмотреть записи в более удобном виде.
Умный фильтр журналов
Для удобства просмотра записей в системе реализован «Умный фильтр».
При включении «Умного фильтра» полностью совпадающие записи (за исключением времени) группируются в одну запись. Если время самой ранней из них отличается от времени самой поздней, в колонке «Время» параметров журнала указывается диапазон. В этой же колонке в скобках указывается количество сгруппированных записей.
При двойном клике на такую запись в названии появившегося окна данной записи указывается, сколько записей объединено, перечисляются моменты времени с пометкой, какие выведены в журнал и остальные общие параметры.
Применяется данный фильтр ко всему текущему журналу нажатием кнопки «Применить умный фильтр».
|
|
|
