12
Как выбрать решение для аудита изменений групповых политик White Paper

Как выбрать решение для аудита изменений групповых политик [White Paper]

Embed Size (px)

DESCRIPTION

В этом документе рассматриваются основные требования, которые IT-специалист, находящийся в поиске решения для аудита групповых политик, должен предъявлять к рассматриваемым решениям. В документе также описано, почему аудит изменений групповых политик важен.

Citation preview

Page 1: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

White Paper

Page 2: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

2

СОДЕРЖАНИЕ

1. Что такое аудит групповых политик? .......................................................................................................................... 3

2. Почему аудит групповых политик важен? .................................................................................................................. 4

2.1 Аудит групповых политик: пример из практики ................................................................................................. 4

2.2 Аудит изменений групповых политик как средство снижения риска .............................................................. 4

2.3 Аудит изменений как средство усиления безопасности ................................................................................... 5

2.4 Аудит изменений групповых политик в контексте требований нормативов по информационной

безопасности ..................................................................................................................................................................... 5

2.5 Аудит изменений групповых политик с целью повышения управляемости ................................................... 6

3. Требования, предъявляемые к программам, осуществляющим аудит изменений групповых политик ............. 7

3.1 Необходимо компенсировать то, что отсутствует в штатных инструментах аудита ....................................... 7

3.2 Автоматический сбор данных .............................................................................................................................. 8

3.3 Эффективное централизованное хранение данных .......................................................................................... 8

3.4 Масштабируемость ............................................................................................................................................... 9

3.5 Возможность формирования расширенных отчетов ......................................................................................... 9

3.6 Дополнительные требования ............................................................................................................................ 10

4. Подход NetWrix к аудиту изменений групповых политик ....................................................................................... 11

О компании NetWrix ........................................................................................................................................................... 12

Page 3: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

3

1. Что такое аудит групповых политик?

Аудит изменений групповых политик – это процедура, позволяющая избежать рисков, связанных с

изменениями настроек групповых политик, которые контролируют рабочие среды пользователей и

компьютеров и политики безопасности в организации. Ограничение несанкционированных или

нежелательных изменений настроек объектов групповых политик и разделение обязанностей контроля

– ключевые аспекты снижения рисков, связанных с отключением функций безопасности, доступа к

конфиденциальным данным и невыполнения требований внутренних и внешних нормативов в сфере

информационной безопасности. Изменения групповых политик могут создать ненормальные условия и

повлечь за собой проблемы для конечных пользователей. Правильность осуществляемого аудита

изменений можно определить через те риски, которые он позволяет минимизировать. Аудит

изменений своим результатом имеет формирование защищенных и контролируемых записей обо всех

изменениях IT-инфраструктуры. Такие записи должны вестись непрерывно. Аудит изменений – тот

инструмент, с помощью которого как IT-администраторы, так и менеджеры могут обеспечивать защиту

и стабильность работы организации.

Page 4: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

4

2. Почему аудит групповых политик важен?

2.1 Аудит групповых политик: пример из практики

Важность аудита групповых политик лучше всего продемонстрировать на примере из практики.

Рассмотрим компанию, которая использует групповые политики, чтобы установить минимальную длину

пароля в 12 символов и срок истечения действия пароля в 90 дней. Подобное использование групповых

политик было реализовано для того, чтобы выполнить определенные требования нормативов в сфере

информационной безопасности. Младший администратор, решая проблему с блокировкой учетной

записи для подразделения, в котором находились финансовый отдел и бухгалтерия, решил изменить

настройки политики паролей для него, чтобы снизить частоту обращения в службу поддержки и

упростить жизнь пользователям. Он изменил длину пароля до 3 символов и установил срок его

истечения в 360 дней. Это, несомненно, обрадовало пользователей, так как им стало ненужно

запоминать длинные пароли и придумывать новые в течение целого года.

Это изменение групповых политик для подразделения повлекло за собой возникновение рисков

нарушения безопасности и несоответствие IT-инфраструктуры требованиям нормативов. К тому же не

осуществлялся аудит изменений групповых политик, который бы позволил бы проанализировать и

архивировать подобные изменения. Четыре месяца спустя была найдена серьезная ошибка в

бухгалтерских записях. В результате исследования, IT-отдел определил, кто и когда допустил ошибку,

однако, работник, который, судя по записям, допустил эту ошибку, был в отпуске, поэтому

предположили, что другой работник получил несанкционированный доступ к компьютеру и осуществил

изменение. В итоге было выяснено, что групповая политика, использовавшаяся для защиты паролей,

была изменена. И именно это изменение стало причиной такого инцидента. Поэтому в организации

возникла острая необходимость осуществлять аудит изменений. Такая ошибка стоила организации

многих часов работы и повлекла за собой убытки.

Подобных ситуаций вполне можно избежать. Ошибки случаются, и их стоит ожидать, однако без

правильного инструмента аудита изменений групповых политик, отследить и подтвердить изменения

групповых политик, компания подвергается угрозам.

2.2 Аудит изменений групповых политик как средство снижения риска

Аудит изменений групповых политик позволяет фиксировать детальную информацию о событиях в

IT-инфраструктуре. С помощью этого минимизируется риск нарушений информационной безопасности,

так как возможность детального анализа каждого подозрительного события – мощный инструмент в

руках IT-специалиста. Ведь текущие настройки могут быть неприемлемы в будущем. Аудит изменений

групповых политик – это средство, с помощью которого изменения объектов групповых политик,

Page 5: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

5

контролирующих действия пользователей и компьютеров в IT-инфраструктуре, соотносятся с заранее

установленными рисками, что позволяет впоследствии эти риски снижать. Установление факторов

риска – один из наиболее важных шагов в защите любой IT-инфраструктуры. Регулярный пересмотр

этих факторов риска также требует их адаптации к меняющимся потребностям и условиями

деятельности организации.

После того, как факторы риска были определены, следующий этап – минимизация риска. В случае с

групповыми политиками, правила и контроль ограничивают переменные инфраструктуры и

интерактивного поведения как пользователей, так и компьютеров. Эффективное управление

взаимодействием пользователей с IT-инфраструктурой снижает риск, так как подразумевает

делегирование определенных прав для выполнения повседневных обязанностей. Порой изменения

могут повлечь за собой непредсказуемые последствия, одним из которых является случайное создание

таких условий, когда резко возрастает количество обращений в службу поддержки. Аудит изменений

групповых политик предоставляет детализированную информацию, которая может быть использована

при расследовании. Наличие такой информации (представленной, как правило, в отчетах) гарантирует,

что факторы риска управляются должным образом, и в то же время пользователям предоставляются

необходимые права для выполнения их работы.

2.3 Аудит изменений как средство усиления безопасности

Внутренние угрозы порой имеют гораздо более пугающие последствия, нежели внешние, и причина

тому – излишнее доверие. Аудит изменений позволяет осуществлять проверку всех изменений

групповых политик. Изменения в настройки безопасности обычно вносятся после того, как была

обнаружена брешь в системе. Такой реактивный подход связан с тем, что без ежедневной

деятельности по аудиту изменений отсутствует возможность спрогнозировать, как эти изменения

скажутся на IT-инфраструктуре. Те инфраструктуры, которые полагаются на мандаты доступа к системе

(tickets) или другие процессы одобрения изменений, все равно могут быть подвержены угрозам в

области безопасности, если впоследствии обнаруживается, что присланная информация была неточной

или заведомо ложной. Одним из самых простых способов усилить безопасность через групповые

политики является регулярное получение информации об их изменениях.

2.4 Аудит изменений групповых политик в контексте требований нормативов по

информационной безопасности

Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разному

объясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать о

Page 6: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

6

событиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту как

организаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить,

что организация защищает, записывает и отслеживает изменения, которые так или иначе

подразумевают доступ к конфиденциальной информации, такой как: банковская информация, номера

социального страхования и карточки больных. Вдобавок, подобные нормативы существует для того,

чтобы установить минимальный набор стандартов безопасности, так как они применяются к аспектам

взаимодействия пользователей, которые контролируются через настройки безопасности групповых

политик. Например: длина пароля, его сложность, возможность повторного использования,

разрешенное количество попыток входа в систему, установка приложений и доступ к съемным

носителям. Подтвердить выполнение требований нормативов - значит предоставить аудиторам все

необходимую информацию с необходимым уровнем ее детализации. Аудит изменений предоставляет

информацию о том, Что, Когда, Где и Кем было изменено. Именно такая информация требуется

аудиторами. Причем информацию нужно хранить в течение 7 лет, чтобы требования нормативов были

выполнены. Для групповых политик этого крайне сложно добиться с помощью встроенных

инструментов аудита, что и приводит к возникновению программ сторонних разработчиков.

2.5 Аудит изменений групповых политик с целью повышения управляемости

Осуществить изменения объектов групповых политик просто, если пользователь или администратор

обладает необходимыми правами. Однако восстановление после таких изменений может долгие часы

и даже дни. И даже если изначально использовалось тестовое оборудование, неожиданные результаты

все равно могут появиться, делая насущной потребность в управлении изменениями групповых

политик. Аудит изменений групповых политик дает возможность видеть наименования измененных

настроек со значениями “до” и “после” изменения, что позволяет оперативно отреагировать на

изменения, которые ставят под угрозу информационную безопасность организации. Запись изменений

в течение определенного времени позволяет осуществлять дальнейший анализ - для обнаружения

скрытых проблем, которые не являются очевидными при обычной работе с групповыми политиками.

Необходимость осуществлять изменения продиктована тем, что IT-инфраструктура должна

адаптироваться под те цели, которые стоят перед организацией. Однако возможность оценить то, как

эти изменения сказались на функционировании IT-инфраструктуры, позволяет добиться более

эффективной и главное подконтрольной работы.

Page 7: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

7

3. Требования, предъявляемые к программам,

осуществляющим аудит изменений

групповых политик

Аудит изменений групповых политик – это процесс сбора информации, формирования на ее

основании отчетов, анализ этой информации, принятие определенных решений и оценка. В Windows

присутствует встроенная возможность генерировать подобную информацию. Однако такая информация

хранится не централизованно, а локально на каждом контроллере домена. Функция формирования

отчетов также недоступна во встроенных инструментах, что превращает аудит изменений групповых

политик в сложный и долгий процесс. Также существует риск потери данных, если журнал событий не

настроен таким образом, чтобы справиться с объемом генерируемой информации. Часто это ведет к

тому, что свободное место на контроллерах доменов заканчивается. Данные о событиях, которые

генерируются с помощью штатных инструментов, не содержат имен настроек объектов, а также

значений до и после, даже в Windows 2008 R2. Информация, сгенерированная с помощью встроенных

инструментов, может быть полноценно проанализирована администратором, который обладает

значительным опытом работы с системными событиями и сообщениями. Интерпретация такой

информации должна привести к принятию определенного решениям (принять данное изменение или

отклонить его). Ни в коем случае это решение не должно быть компромиссным или принятым в

результате отсутствия необходимой информации. Комбинируя эти факторы можно заключить, что

встроенные инструменты аудита изменений групповых политик во многом не подходят для

удовлетворения потребностей организаций, за исключением разве что малых. Следующая информация

освещает набор тех функций, которые должны иметь решения по аудиту изменений групповых политик.

Также приведены примечания по тому, как осуществлять внедрение подобных решений.

3.1 Необходимо компенсировать то, что отсутствует в штатных инструментах аудита

Штатные инструменты Windows для осуществления аудита являются всего лишь начальной точкой.

Без них, аудит изменений, конечно, будет неполным. В то время как встроенные возможности аудита

дают слишком много информации, их недостаточно в двух случаях: имена настроек и значения “до” и

“после” изменения. Чтобы выполнить такие требования нормативов как HIPPA, SOX, PCI и FISMA,

значения “до” и “после” изменения должны фиксироваться также как и имена настроек. Подобная

информация недоступна в Windows и даже Windows 2008 R2. Полная картина действий, связанных с

изменением настроек, должна включать и имена настроек, равно как и значения “до” и “после”, чтобы

гарантировать выполнение требований нормативов. Более того, обладание такой информацией

Page 8: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

8

повышает ценность данных. Поэтому эти требования должны обязательно присутствовать в решении

для аудита изменений групповых политик.

3.2 Автоматический сбор данных

Для того чтобы эффективно осуществлять аудит изменений групповых политик, этот процесс должен

быть автоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ.

Без этого сбор информации на постоянной основе невозможен. Размер организации напрямую связан с

объемом генерируемых “сырых” данных, что в свою очередь усложняет отслеживание изменений

групповых политик. Предварительно необходимо настроить систему аудита, который по умолчанию

отключен. Более того, если сбор данных осуществляется нерегулярно, то существует риск потери

важной информации вследствие перезаписи журнала событий или проблем с исчерпанием свободного

места на сервере. Это важное требование к инструментам аудита изменений, так что без него

своевременный аудит невозможен.

3.3 Эффективное централизованное хранение данных

Автоматизация обычно требует дополнительных системных ресурсов и может негативно

сказываться на функционировании системы, что в свою очередь может привести к проблемам со

стабильностью работы. По этой причине важно, чтобы влияние применяемого метода сбора данных

было минимальным. Более того, хранение данных должно также быть рассмотрено в процессе

внедрения программного решения. Пока это является возможным, данные событий и аудита могут

храниться исключительно в локальной системе, где события произошли. Однако предпочтительный

метод – централизация этой информации в отдельном хранилище данных. Такой подход имеет свои

преимущества, так как потребность анализировать информацию и формировать на ее основании отчеты

становится частью повседневной деятельности IT-администратора.

Сбор информации также должен быть надежным. Каждый элемент системы аудита изменений

должен проверяться на периодической основе, чтобы гарантировать целостность генерируемых

данных. Наиболее совершенные методы надежного сбора такой информацией обладают

возможностью предварительного просмотра (prescreen) данных и их фильтрации с целью выделения

только важной информации. В процессе сбора данных, предпочтение должно отдаваться тем методам,

которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита,

которые отличаются от методов, требующих внедрения агентов или изменения кода системы для

извлечения данных о событии. Осуществление этого позволяет устранить любые потенциальные

проблемы, связанные со стабильностью работы системы или несовместимостью программ. Особенно

это актуально для Windows систем, в которых нельзя полагаться исключительно на данные журнала

событий, так как генерируемая информация не является полной. Чтобы полностью понять то или иное

Page 9: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

9

событие, информация из различных источников должна быть агрегирована, и последующий анализ

должен рассматривать уже агрегированную информацию. Защита такой информации для целей

краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из

привилегированных пользователей не имел доступа к ним, а тем более возможности удалить или иным

образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или вообще

запрещен.

3.4 Масштабируемость

Чтобы осуществлять аудит изменений групповых политик, программное решение для аудита

должно быть масштабируемым. Оно должно приспосабливаться к постоянно меняющейся

инфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение и

дальнейшее использование решений для аудита изменений групповых политик будет упрощено в том

случае, когда не будут требоваться дополнительное ПО или значительные изменения конфигурации,

чтобы адаптироваться к изменениям внутри организации. Решение для аудита изменений должно

принимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологии

сети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлять

постоянный контроль изменений с целью предоставления наилучшего качества обслуживания

пользователям и предоставления записей аудита IT-службам и службам поддержки.

3.5 Возможность формирования расширенных отчетов

Когда сбор данных из различных источников автоматизирован, а сами данные хранятся в

защищенном месте, тогда аудит изменений групповых политик начинает играть проактивную роль в

выполнении требований нормативов в сфере информационной безопасности, защите информации и

повышении общей стабильности работы сети. Расширенные отчеты необходимы для предоставления

IT-администраторам, менеджменту и аудиторам.

При хранении данных и формировании отчетов в Windows средах наиболее очевидным является

использование SQL и SQL Reporting Services. Возможность настраивать отчеты по запросу, а также

использовать уже предустановленные сторонними разработчиками отчеты экономит время; в то же

время эти отчеты подходят для большинства возникающих нужд. Ежедневное использование отчетов

гарантирует полную прозрачность всей IT-инфраструктуры и выполнение требований нормативов в

сфере информационной безопасности. Дополнительные возможности, такие как подписка на отчеты по

электронной почте, также оказывают влияние на общую эффективность управления системой. Таким

образом, возможность формирования расширенных отчетов является залогом успешного

осуществления аудита изменений и повседневного управления IT-инфраструктурой.

Page 10: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

10

3.6 Дополнительные требования

Предпочитаемые решения должны быть просты во внедрении и обладать возможностью

подключения дополнительных модулей для формирования целостного пакета программ, чтобы

максимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типы

систем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и

другие технологии Microsoft, такие как Exchange и SharePoint и особенно Active Directory.

Page 11: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

11

4. Подход NetWrix к аудиту изменений

групповых политик

Подход NetWrix включает в себя все необходимые функции для достижения эффективного аудита

изменений групповых политик, представленного в программном решении. NetWrix Group Policy Change

Reporter — программа, которая отслеживает изменения групповых политик во всей IT-инфраструктуре.

Программа ежедневно присылает полные отчеты по изменениям групповых политик, а именно: кто,

когда, где и что изменил, для каждого изменения, включая созданные и удаленные объекты групповых

политик, изменение связей объектов групповых политик, изменения, внесенные в политику аудита,

политику паролей, установку ПО, рабочие столы пользователей и тому подобное. Автоматический сбор

информации и формирование на ее основе отчетов не только превосходит возможности встроенных

инструментов Windows, но расширяет возможности, сокращая время и усилия, затрачиваемые на сбор

информации об изменениях объектов групповых политик, который осуществляется вручную или с

помощью сложных скриптов. Также в программе возможна архивация всех модификаций, которая

поможет выяснить подробности изменений спустя месяцы и годы. Все это позволяет распространить

аудит изменений групповых политик в SIEM системы, такие как SCOM для повышения контроля за IT

инфраструктурой.

Узнайте, как NetWrix Group Policy Change Reporter может помочь Вашей организации при

осуществлении аудита изменений и выполнении требований нормативов в сфере информационной

безопасности.

Скачайте программу – NetWrix GPCR

Page 12: Как выбрать решение для аудита изменений групповых политик [White Paper]

Как выбрать решение для аудита изменений групповых политик

12

О компании NetWrix

NetWrix Corporation – узко специализированный разработчик программных решений для аудита

изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто из

других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для

аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем

свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает

первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому

подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные

подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.

©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the U.S. Patent and

Trademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective owners.