Аудит сервера

Для того чтобы понять, что представляет собой аудит сервера, необходимо выяснить само понятие ИТ аудита. Итак, что такое ИТ аудит? Это работы по проведению аудита информационных систем компании, в ходе которых необходимо комплексно исследовать все области ИТ инфраструктуры. Проводятся такие работы специалистами профильной компании, которая исследует текущее состояние организации и уровень ее безопасности и соответствия задействованным или планируемым бизнес процессам.

В ходе направленных действий аудита проводятся исследования и анализ разных направлений ИТ инфраструктуры. Они включают в себя аудит производительности, информационной безопасности, пользовательских рабочих станций, локальной сети компании, программного обеспечения и аудит сервера.

Именно последний параметр объекта очень важен для компании, так как сервер является сердцем корпоративной информации. Именно здесь хранится корпоративная почта, все важные документы, база 1С и многое другое. Важность этого мероприятия неоспорима, ведь все без исключения сотрудники сталкиваются с сервером каждый день, ежеминутно и ежечасно. И если возникнет сбой сервера, то произойдет потеря всех данных, что в свою очередь полностью парализует работу компании. Стоит отметить, что потеря данных может привести к таким финансовым затратам, которые намного выше, чем приобретение нового сервера. Именно поэтому центральный узел всей системы очень важен, и его ежемесячная поддержка и даже разовая настройка поможет избежать очень больших проблем. При этом стоимость проверки 1 сервера от 1000 рублей, а срок выполнения – от 1 дня. Но итоговая сумма выполнения работы будет зависеть от направления и масштаба вашего проекта.

При проведении аудита осуществляется проверка всех аппаратных компонентов главного узла, актуальность программного обеспечения, которое установлено в компании, проверка состояния всех серверных и сетевых служб системы, проводится мониторинг основных критериев безопасности. Еще один важный пункт, который не стоит упускать из вида, – это диагностика соответствия оборудования приложениям и сервисам, работающим на базе сервера.

Важно понимать, что услуга аудита состоит из нескольких этапов:

В первую очередь устанавливается и проводится настройка системы, которая отвечает за сбор статистики, направленной на работу подсистем сервера.

Во-вторых, анализируются конфигурации программного обеспечения и различных аппаратных ресурсов.

На заключительном этапе подготавливается детальный отчет, который включает в себя различные данные и их анализ по оптимизации, отказоустойчивости и безопасности объекта.

Наша компания занимается проверками и анализом совершенно разных типов сервера, в том числе это может быть DNS, почтовый сервер, веб, баз данных.

Создание аудита сервера и спецификации аудита сервера

Чтобы понять, что представляет собой создание аудита сервера и спецификации аудита сервера, необходимо представлять, что представляет собой этот процесс. В основном для этих целей используется среда SQL Server Management Studio. Также может применяться Transact-SQL. Аудит элемента SQL Server или целой базы данных дает возможность прослеживать и протоколировать события, которые происходят в работе системы. Объект под названием Подсистема аудита SQL Server представляет собой отдельные виды действий или их групп на базе сервера, которые нуждаются в наблюдении. Спецификация аудита может быть  различной, причем на одном экземпляре могут существовать сразу несколько аудитов.

Перед тем как начать работу, необходимо выяснить ограничения и определить безопасность. Затем создается аудит и спецификации аудита сервера. После создания спецификация аудита отключается. Для создания, изменения или удаления аудита сервера участники получают разрешения ALTER ANY SERVER AUDIT. Также это может быть CONTROL SERVER. Пользователи с таким разрешением создают спецификации и привязывают их к любому аудиту. После создания спецификации ее могут просматривать другие участники.

Непосредственное создание аудита сервера

При использовании такой среды, как SQL Server Management Studio, в обозревателе необходимо открыть папку под названием Безопасность.

Далее правой кнопкой мыши выбрать Аудиты - Создание аудита. Откроется страница Общие, где можно будет выделить Имя аудита и Задержку очереди, Сбой журнала аудита, Продолжить.

SQL Server продолжает свою работу, при этом записи не сохраняются. Если причина сбоя будет устранена, то регистрация событий и работа аудита будет продолжена. Выбор пункта Продолжить может нарушать политику безопасности, поэтому его выбирают в том случае, если Компонент Database Engine по важности выше полного аудита.

Окончание работы сервера

Останавливает сервер, если экземпляр не записывает необходимые данные в цель аудита. Для этой команды необходимо разрешение SHUTDOWN. При отсутствии разрешения функция не завершается и выпадает ошибка. Выбирают этот параметр в том случае, если сбой угрожает безопасности системы.  

Ошибка операции

Когда SQL Server не выполняет запись в журнал, действия в базе данных завершаются с ошибкой. При устранении причин сбоя регистрация действий будет возобновлена. Данная операция выбирается, если полный аудит более важен.

Назначение аудита

Указывает цель, необходимую для данных аудита. Это может быть расположение двоичных файлов аудита. Журнал событий приложений или безопасности Windows. Запись в журнал невозможно сделать без дополнительных настроек Windows.

Путь к файлу

Можно увидеть расположение папки для записи данных по аудиту.

Многоточие

С его помощью открывается окно для поиска имени сервера.

Максимальное количество файлов аудита:

Максимальное количество файлов продолжения, где при максимальном заполнении старые файлы наполняются новыми данными.

Максимальное число файлов указывает на то, что любые новые действия будут заканчиваться ошибкой.

Флажок Неограниченное количество дает возможность убрать ограничения на число создаваемых файлов. Обычно флажок Неограниченное количество устанавливается по умолчанию для вышеперечисленных задач. Если флажок снят, то указывается количество файлов аудита.

Резервирование места на диске дает возможность выделить место для определенного размера файлов (при снятом неограниченном количестве).

На странице Фильтр можно ввести предикат или предложение, которое будет устанавливать дополнительные параметры, отсутствующие на странице Общие.

После того как все будет завершено, нужно будет нажать Ок.

Создание спецификации

В обозревателе объектов нужно нажать +, чтобы получить доступ к папке Безопасность.

Теперь нужно правой кнопкой нажать на Спецификации аудита сервера и выбрать Создать.

Диалоговое окно покажет несколько параметров.

Название, представляющее собой имя спецификации, формируется автоматически, но может быть изменено в любой момент.

Аудит

Название действующего аудита, которое требует введение имени или выбора из списка.

Тип действия

Показывает группы действий по серверу или для захвата.

Схема объекта

Показывает схему для конкретного имени объекта.

Имя объекта

Используется только для действий аудита. К группам не применяется.

Многоточие

С его помощью открывается выбор объектов, доступных для просмотра.

Имя участника

Представляет собой учетную запись, которая фильтрует аудит для используемого объекта.

Многоточие

Открывает Выбор объектов, который дает возможность выбирать и открывать доступные объекты.

В завершение нужно нажать Ок.

Настройка аудита файловых серверов: подробная инструкция и шпаргалка

Чаще всего выполняется настройка аудита именно файловых серверов. Для этого нужно выполнить всего 3 самых простых шага.

• Сначала настраивается аудит на файловых ресурсах.
• Затем настраивается и применяется политика аудита.
• Изменяются настройки в журналах событий.

Итак, первый шаг представляет собой такую последовательность действий:

Открываются свойства, далее Security и Advanced.

После это открывается вкладка Auditing и выбирается группа Everyone. Теперь нужно нажать Edit.

В Successfull и Failed нужно включить флажки:

Read Data;
Write Data;
Append Data;
Delete Subfolders and File;
Delete;

Write Attributes.

А также
Write Extended Attributes;
Change Permissions;
Take Ownership.

Далее в списке Apply onto обязательно выбирается значение This folder…

После этого нужно нажать Ок.

Настройка общей и детальной политики

Для контроля изменений на файловом сервере нужно настроить политику. С помощью gpedit.msc открывают Групповые политики, а затем входят через Start в Group Policy Management. Далее раскрывают Domains, нажимают на имя домена и выбирают меню Create a GPO… далее нужно написать название новой политики и нажать Ок. Теперь на новой политике нужно выбрать Edit, при этом откроется редактор. Через Computer Configuration необходимо открыть Policies и потом Audit Policy. Потом в правой части окна нужно два раза щелкнуть по Audit object access. Теперь необходимо поставить галочки, как на рисунке.

Настройка в журналах событий

Настройки в журналах событий – это установка их максимального размера. Сначала нужно открыть Start и дойти до Event Viewer. После этого нужно развернуть Windows Logs и правой кнопкой мыши нажать на Security, затем выбирают Properties, при этом флажок должен быть включен. В Maximum log size необходимо установить максимальный размер. Так, для Windows 2003 он составляет 300MB. Дальше нужно установить один из методов для очистки журнала.

Вы можете обратиться к нам в тех случаях, когда самостоятельно справиться с проблемой уже не можете. Когда взломали сервер (захватили права пользователя или root), мы выясняем степень поражения, причину взлома и проводим очистку. Если Сервер не взломан, проводим аудит безопасности, включая поиск проблем безопасности сервера. После чего предоставляем общие рекомендации.