Мониторинг Windows Server 2008 посредством OpsMgr 2007 - Объединение решений безопасности и аудита соответствия нормативным требованиям

ОГЛАВЛЕНИЕ

Объединение решений безопасности и аудита соответствия нормативным требованиям

Как вы наверняка знаете, вопросы о конфиденциальности данных привели к появлению ряда правительственных постановлений, таких как закон Сарбейнса-Оксли и Закон об отчетности в области медицинского страхования (HIPAA). Теперь приведение в соответствие корпоративных политик безопасности и оптимальных отраслевых методик является не просто хорошей идеей, а законом! Возможность сформулировать и объяснить, какие изменения произошли в системе, является делом первостепенной важности, а неспособность это сделать может обернуться штрафами в миллионы долларов.

Аудит системы безопасности в нескольких последних версиях Windows Server обеспечивался 9-ью крайне широкими категориями аудита безопасности, что зачастую приводило к информационной перегрузке. Windows Server 2008, однако, обеспечивает более 50 категорий аудита, предоставляемых новым компонентом с названием Granular Audit Policy (GAP) (Детальная политика аудита). Это позволяет выполнять аудит системы безопасности с гораздо большей степенью контроля, отфильтровывая не очень важную информацию из журнала событий без потери возможности получать обзор на уровне категорий. Например, если в конкретной системе требуется контролировать изменения, происходящие только с Active Directory, а не с локальными элементами, например реестром, можно настроить подкатегорию аудита «Служба каталогов», чтобы получать отчеты только по этим событиям. В командной строке можно активировать аудит успеха и/или неудачи этих изменений следующим образом.

Auditpol /set /subcategory:"Directory Service Changes"  /failure:enable 

Еще больше функций фильтрации и формирования отчетов по этим данным предоставляет единый интерфейс, входящий в OpsMgr, содержащий службы ACS. Эти службы автоматизируют сбор и централизованное архивирование распределенных событий безопасности Windows в едином хранилище базы данных.

Служба пересылки данных аудита (Audit Forwarding Service), загружаемая в рамках установки агента OpsMgr (но отключенная по умолчанию), отправляет события журнала безопасности на центральный сервер. Этот центральный сервер, носящий название сборщика ACS, вносит события безопасности в центральную базу данных аудита, размещенную на сервере, работающем под управлением SQL Server 2005. Эта архитектура показана на рис. 8. Пересылка событий выполняется практически в режиме реального времени, что минимизирует вероятность воздействия локальных администраторов на события журнала безопасности.


Рис. 8 Архитектура служб сбора данных аудита

После того, как события собраны, аудиторы и администраторы могут их анализировать с помощью приблизительно 20 отчетов, входящих в службы ACS (см. рис. 9). Отчеты ACS охватывают множество распространенных категорий аудита, например события управления учетными записями, предназначенные для судебных органов отчеты о действиях пользователей и отчеты, выявляющие возможные угрозы журналам событий безопасности Windows 2008 (например, попытки администраторов удалить содержимое журнала безопасности в контролируемой системе Windows).


Рис. 9 Отчеты по сбору данных аудита, входящие в Operations Manager 2007