Аудит файлового сервера

Главная — Информационная безопасность — Защита информации — Аудит файловой системы — Аудит файлового сервера

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Файловым сервером называется приложение, предназначенное для хранения файлов с разными расширениями. Такие приложения встраиваются в серверные операционные системы либо устанавливаются дополнительно. Они обеспечивают взаимодействие сервера с пользователями системы.

Самой распространенной серверной операционной системой является Microsoft Windows Server. Поэтому рассмотрим, как и для чего проводить аудит файловых серверов, которые встраиваются в эту операционную систему.

Для чего нужно проводить аудит серверов?

Основной целью аудита доступа к файлам является обеспечение информационной безопасности, то есть сохранение информации в файлах от изменения, удаления и утечки. В рамках этой процедуры выполняются следующие задачи:

отслеживаются действия пользователей;
собираются, систематизируются и анализируются данные об активности пользователей;
формируются отчеты о выявленных угрозах, попытках несанкционированного доступа и уязвимостях системы.

Проще говоря, благодаря аудиту администратор может определить, кто и когда вносил изменения в файлы и папки. Также при правильно настроенной системе аудита можно восстанавливать случайно или намерено удаленные файлы, распределять права пользователей, получать отчеты о всех событиях в системе.

Как провести аудит: алгоритм настройки Microsoft Windows Server с записью событий в отдельную базу данных на MySQL

Аудит Microsoft Windows Server можно проводить с помощью встроенных инструментов: журналов учета, политик безопасности и т.д. Однако на практике встроенные инструменты неудобны в использовании и обладают низкой функциональностью. Поэтому их нужно дополнять другим ПО. Самый простой вариант – синхронизировать встроенные инструменты с отдельной базой данных на MySQL. Таким образом будут устранены основные недостатки встроенных инструментов:

отсутствие системы выборки;
перезапись регистров учета;
уязвимость перед пользователями с правами системных администраторов.

Благодаря записи событий в базу данных на MySQL системный администратор быстро определит, кто и когда имел доступ к файлам системы, из какой папки был удален файл, как именно восстановить данные.

Шаг 1. Настройка доступа с помощью групповых политик

На томах с NTFS настроить политику безопасности можно в консоли управления локальными политиками. Для этого следует развернуть Local Policies и выбрать из списка Audit Policy, а после этого найти Audit Object Access и выполнить настройку. Это позволит определить права разных групп пользователей на чтение, изменение и удаление папок и документов. Затем можно раздать права на использование приложений.

При необходимости можно ограничить права пользователей на чтение, изменение и удаление определенной папки или файла. Для этого нужно зайти в Свойства объекта, перейти по вкладке Security Settings и выбрать Advanced. Это откроет окно расширенных настроек безопасности, где следует определить список пользователей, которые могут вносить изменения в этот объект.

Кроме групповых политик, можно использовать расширенные политики в GPO. Для этого нужно перейти из Security Settings в Audit File System. При этом следует помнить, что аудит перегружает оборудование. Поэтому настройки нужно делать такими, чтобы они не требовали большого количества ресурсов.

Шаг 2. Отслеживание удаления данных

Чтобы настроить отслеживание удаления данных, нужно пользоваться аудитом событий удаления (Delete subfolders and files). Для этого необходимо зайти в Свойства объекта, перейти по вкладке Security Settings и найти строку Delete subfolders and files на вкладке Auditing.

Также эту операцию можно выполнить через PowerShell. Для этого следует прописать такой скрипт:

$Path = "D:\Public"
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule ('Everyone', 'Delete,DeleteSubdirectoriesAndFiles', 'none', 'none', 'Success')
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

После активации и настройки Delete subfolders and files при удалении данных будут автоматически генерироваться события (Event ID 4663) с информацией о том, кто и когда удалил данные.

Шаг 3. Создание таблицы базы данных MySQL

Чтобы создать таблицу, в строках которой будут отражаться наименования серверов, названия удаленных файлов, время удаления и информация о пользователях, необходимо ввести в MySQL такой запрос:

CREATE TABLE track_del (id INT NOT NULL AUTO_INCREMENT, server VARCHAR(100), file_name VARCHAR(255), dt_time DATETIME, user_name VARCHAR(100), PRIMARY KEY (ID));

Следующий скрипт позволяет отслеживать информацию, которая отражается в журнале событий:

$today = get-date -DisplayHint date -UFormat %Y-%m-%d
Get-WinEvent -FilterHashTable @{LogName="Security";starttime="$today";id=4663} | Foreach {
$event = [xml]$_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$File = $event.Event.EventData.Data[6]."#text"
$User = $event.Event.EventData.Data[1]."#text"
$Computer = $event.Event.System.computer
}
}

Чтобы собранные данные сохранились в базе данных MySQL, нужно воспользоваться таким скриптом:

Set-ExecutionPolicy RemoteSigned
Add-Type –Path ‘C:\Program Files (x86)\MySQL\MySQL Connector Net 6.9.8\Assemblies\v4.5\MySql.Data.dll'
$Connection = [MySql.Data.MySqlClient.MySqlConnection]@{ConnectionString='server=10.7.7.13;
uid=posh;pwd=P@ssw0rd;database=aduser'}
$Connection.Open()
$sql = New-Object MySql.Data.MySqlClient.MySqlCommand
$sql.Connection = $Connection
$today = get-date -DisplayHint date -UFormat %Y-%m-%d
Get-WinEvent -FilterHashTable @{LogName="Security";starttime="$today";id=4663} | Foreach {
$event = [xml]$_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$File = $event.Event.EventData.Data[6]."#text"
$File = $File.Replace(‘\’,’|’)
$User = $event.Event.EventData.Data[1]."#text"
$Computer = $event.Event.System.computer
$sql.CommandText = "INSERT INTO track_del (server,file_name,dt_time,user_name ) VALUES ('$Computer','$File','$Time','$User')"
$sql.ExecuteNonQuery()
}
}
$Reader.Close()
$Connection.Close()

Это один из способов провести аудит без использования стороннего ПО.

Программы для аудита событий

Далеко не все системные администраторы могут свободно пользоваться скриптами и синхронизировать запись событий с базами данных MySQL. В этом случае лучше использовать для аудита стороннее ПО с удобным интерфейсом и широким функционалом.

В качестве примера можно привести Netwrix Auditor for Windows File Servers. Эта программа позволяет:

отслеживать все события (изменение прав доступа, создание, удаление или изменение папок и хранилищ, другие события);
проводить аудит, классифицировать и анализировать собранные данные;
усилить защиту данных путем отслеживания событий и сбора информации о доступе пользователей к данным.

Для автоматизированного анализа и аудита файловой системы предприятия, поиска нарушений прав доступа и отслеживания изменений в критичных данных можно использовать «СёрчИнформ FileAuditor».

С помощью этой программы можно обеспечить информационную безопасность и сохранность важных данных без использования сложных алгоритмов.

12.10.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.