Служба файлов и печати

Аудит доступа к ресурсам

Файловая система NTFS позволяет осуществлять аудит доступа к файловым ресурсам, т.е. отслеживать и регистрировать события, связанные с получением или неполучением доступа к тому или иному объекту.

Для того, чтобы включить аудит, необходимо выполнить два действия:

• включить политику аудита доступа к объектам в домене или том ОП, в котором размещен файловый сервер;
• после применения политики включить аудит доступа на самом объекте — папке или файле.

Первое действие выполняется с помощью редактора групповых политик:

• откроем раздел "Параметры безопасности" в политике для соответствующего ОП, далее — "Локальные политики" и "Политика аудита";
• откроем параметр "Аудит доступа к объектам";
• включим механизм аудита для успешного доступа и отказа предоставления доступа (рис. 8.39).
  

  
  Рис. 8.39.

Второе действие выполняется на закладке " Аудит " после нажатия кнопки " Дополнительно " в параметрах безопасности объекта. Нужно добавить списки пользователей и групп, попытки доступа которых будут отслеживаться для данной папки или файла, указав при этом, какие именно виды доступа надо регистрировать. На рис. 8.40 показано, что будет регистрироваться доступ к папке Folder1 группы " Пользователи домена ", на рис. 8.41 показаны виды доступа, которые будут регистрироваться для данной папки. Для того, чтобы можно было регистрировать попытки несанкционированного доступа к файловым ресурсам, необходимо включить в процесс регистрации и удачные, и неудачные попытки доступа.

Рис. 8.40.

Рис. 8.41.

После включения механизма аудита все события доступа, перечисленные в настройках аудита, будут регистрироваться в журнале безопасности данного сервера (оснастка " Просмотр событий ", журнал " Безопасность ", категория " Доступ к объектам "). На рис. 8.42 показан пример одной из записей журнала, регистрирующей доступ к файлу в папке Folder1. В данном примере показано событие успешного доступа к файлу Text.txt пользователя Администратор:

Рис. 8.42.

В заключении данного пункта отметим, что включать аудит большого количества файловых ресурсов следует с большой осторожностью. При большом количестве пользователей и обрабатываемых ими файлов, если включить аудит доступа к файлам, в журнале безопасности будет создаваться очень много событий. В случае какого-либо инцидента, например, при несанкционированном доступе к закрытой информации, найти нужную запись будет очень трудно. Поэтому, прежде чем включить аудит доступа, его необходимо очень тщательно спланировать. Необходимо определить:

• доступ к какой информации необходимо отслеживать;
• какие виды доступа ( Чтение, Модификация, Удаление, Изменение разрешений и т.д.);
• типы событий ( успешный и неуспешный доступ);
• для каких пользователей необходимо отслеживать доступ;
• как часто будет просматриваться журнал безопасности;
• по какой схеме будут удаляться "старые" события из журнала.

8.3 Сжатие и шифрование информации. Квоты. Дефрагментация

Сжатие и шифрование информации

Сжатие информации

Для экономии дискового пространства можно какие-либо папки или файлы сделать сжатыми. Процесс сжатия выполняется драйвером файловой системы NTFS. При открытии файла в программе файловая система распаковывает файл, после внесения изменений в файл при сохранении на диск файл снова сжимается. Делается это совершенно прозрачно для пользователя и не доставляет пользователю никаких хлопот.

Для того, чтобы сделать папку или файл сжатым, необходимо открыть страницу Свойств соответствующей папки или файла, нажать кнопку " Другие " и поставить галочку у параметра " Сжимать содержимое для экономии места на диске " (рис. 8.43):

Рис. 8.43.

Сжимать целесообразно файлы, которые при сжатии сильно уменьшаются в размере (например, документы, созданные программами из пакета MS Office). Не следует сжимать данные, которые по своей природе являются сжатыми — например, файлы графических изображений в формате JPEG, видеофайлы в формате MPEG-4, файлы, упакованные программами-архиваторами (ZIP, RAR, ARJ и другие).

Ни в коем случае не рекомендуется сжимать папки с файл-серверными базами данных, т.к. такие БД содержат большое количество файлов и при их совместном использовании многими пользователями могут возникать ощутимые задержки, неизбежные при распаковке открываемых и сжатии сохраняемых файлов.

Шифрование информации

Системы семейства Windows 2000/XP/2003 и более поздние позволяют шифровать данные, хранящиеся на томе с системой NTFS. Шифрование данные осуществляется так же легко, как и их сжатие. В примере на рис. 8.43 можно вместо поля " Сжимать содержимое… " отметить галочкой поле " Шифровать содержимое для защиты данных " (заметим, что эти два параметра являются взаимоисключающими — можно в данный момент времени либо сжать данные, либо их зашифровать). Шифрование является надежным средством предотвращения несанкционированного доступа к информации, даже если будет похищен компьютер с этой информацией или жесткий диск из компьютера. Если данные зашифрованы, то доступ к ним имеет (с небольшим исключением) только тот пользователь, который выполнил шифрование, независимо от установленных разрешений NTFS. Шифрование производится компонентой " Шифрованная файловая система " (EFS, Encrypted File System), являющейся составной частью файловой системой NTFS.

Процесс шифрования производится по следующей схеме:

• при назначении файлу атрибута " Зашифрованный " драйвер системы EFS генерирует " Ключ шифрования файла " (FEK, File Encryption Key);
• блоки данных файла последовательно шифруются по симметричной схеме (одним из алгоритмов симметричного шифрования, встроенных в систему);
• ключ шифрования файла (FEK) шифруется по асимметричной схеме открытым ключом агента восстановления ( RA, Recovery Agent );
• зашифрованный ключ шифрования файла сохраняется в атрибуте файла, называемом " Поле восстановления данных " ( DRF, Data Recovery Field ).

Поле восстановления данных необходимо для защиты от потери доступа к зашифрованной информации в том случае, если будет удалена (вместе с ключом шифрования данных) учетная запись пользователя, зашифровавшего эти данные. Агент восстановления — это специальная учетная запись, для которой EFS создает т.н. " сертификат агента восстановления ", в состав которого входят открытый и закрытый ключи этого агента. особенность асимметричного шифрования заключается в том, что для шифрования и дешифрования данных используются два ключа — одним ключом данные шифруются, другим дешифруются. Открытый ключ агента восстановления доступен любому пользователю, поэтому, если пользователь шифрует данные, то в зашифрованных файлах всегда присутствует поле восстановления данных. Закрытый ключ агента восстановления доступен только учетной записи этого агента. Если войти в систему с учетной записью агента восстановления зашифрованных данных, то при открытии зашифрованного файла сначала расшифровывается закрытым ключом агента восстановления хранящийся в DRF ключ шифрования данных, а затем уже извлеченным ключом шифрования дешифруются сами данные.

По умолчанию агентом восстановления на каждом отдельно взятом компьютере является локальная учетная запись Администратор данного компьютера. В масштабах домена можно установить службу сертификатов, сгенерировать для определенных доменных учетных записей соответствующие сертификаты, назначить эти учетные записи агентами восстановления (с помощью групповых политик) и установить эти сертификаты на тех файловых серверах, на которых необходимо шифровать данные. При использовании в масштабах корпоративной сети технологии шифрования данных следует предварительно спланировать все эти действия (развертывание служб сертификатов, выдача и хранение сертификатов, назначение агентов восстановления, процедуры восстановления данных в случае удаления учетной записи, с помощью которой данные были зашифрованы).

Кроме того, во многих ситуациях необходимо также учитывать требования законодательства РФ об использовании только разрешенных на территории России алгоритмов шифрования данных. В таких случаях может потребоваться приобрести соответствующие разрешенные модули шифрования и встроить их в систему.

Следует также помнить, что данные хранятся в зашифрованном виде только на жестком диске. При передаче по сети данные передаются с сервера на ПК пользователя в открытом виде (если не включены политики IPSec).