Windows Server 2008 中的審核和符合性
在信息技術世界里,變更是永恒的。如果您的 IT 組織與大多數其他 IT 組織并無二致,那么了解在您的環境中所發生的變更就會成為您不得不面對的壓力,而且這種壓力與日俱增。IT 環境的復雜性和規模不斷變大。
由于管理錯誤和意外數據泄漏所帶來的影響也越來越嚴重。當今的社會要求組織對此類事件負責,因此組織現在擔負著法律責任來保護它們所管理的信息。
這樣一來,審核環境中所發生的變更也就變得至關重要。為什么呢?通過審核,可以為了解和管理當今高度分散的大型 IT 環境中的變更提供方法。本文將涵蓋大多數組織所面臨的常見難題、IT 組織中符合性和規定的前景、Windows? 中的一些基本審核,還將說明如何借助 Windows Server? 2008 的功能和 Microsoft? System Center Operations Manager 2007 Audit Collection Services (ACS) 來完善全面的審核策略。
審核挑戰
瞥一眼新聞標題就會發現,現在數據泄漏已逐漸成為一種常見問題。在這些意外事件中,許多都涉及到訴訟、財務損失以及組織要承擔的公共關系問題。能夠解釋所發生的變更或能夠快速確定問題是減小數據泄漏事件影響的關鍵。例如,假定您的組織負責管理給定客戶群體的“個人身份信息”(PII)。盡管有多種方式來保護您所管理的系統中所包含的信息,但仍可能會出現安全問題。通過適當的審核,組織可以準確知道存在安全問題的系統和可能會丟失的數據。如果不進行審核,數據丟失所造成的影響可能會非常大,這主要是因為沒有辦法來估計危害程度。那么為什么還沒有 IT 組織這樣做?原因在于,大多數組織沒有完全了解審核的技術方面問題。而高級管理層通常只了解諸如備份和還原等概念,審核環境中所發生的變更具有內在的復雜性,這是一種很難傳達的消息。因此,有關審核的問題通常只在重大意外事件發生后才會浮現出來。例如,雖然基本審核可能已啟用,但如果因缺少規劃而未將系統配置為審核某個特定變更,則不會收集該信息。此外,在審核的安全事件中還有一些內在的問題需要 IT 專業人員來處理。其中一個難點是當今大型計算環境中系統的分布問題,這會給收集和聚合帶來嚴峻的挑戰,因為變更可能在任意給定時間出現在任何一個或一組系統中。進而還會產生另一個挑戰 — 關聯。有時需要轉換單個系統和多個系統上的事件間的關系,以提供所發生事情的真正涵義。還要注意的另外一個問題是審核通常會超越傳統組織的邊界。不同的組織或團隊結構出于不同的原因而存在,可能不容易將其連接起來。許多組織都有目錄服務團隊、消息傳遞基礎結構團隊和桌面團隊,但可能只有一個安全團隊負責所有這些領域。而且,組織內的專門安全人員可能不會出現在所有位置。例如,分支機構通常依賴單個人或一個小團隊來負責包括安全事件日志管理在內的所有任務。
最后,大量的事件也是一個挑戰。審核的安全事件的事件日志記錄數據量要遠遠多于其他類型的事件日志記錄的數據量。收集的事件數使得有效保留和查看日志變得非常困難。而且,目前的規定和擬議的規定都要求保留此信息,因此并無助于減少當今計算基礎結構中的這一負擔。以前,審核訪問信息可能被歸納為希望知道和試圖確保安全。現在,組織以及組織的高級管理人員對信息的泄漏或缺少適當的保護負有法律責任,因此 IT 管理員熟悉可能適用于其環境的各種規定就顯得尤為重要。對于全球性的公司,挑戰會更為嚴峻,因為每個國家都有自己的信息和保護規定。在圖 1 中列出了一些現有的規定符合性法規示例,還列出了 IT 組織的一些期望。
#p#
Figure1法規以及它們對 IT 專業人員意味著什么
法規期望
2002 年的“薩班-奧西利法案”(SOX)第 404 節承認信息系統的角色并要求上市公司每年對財務報告的內部控制情況進行一次復查。健康保險可攜性與責任法案 (HIPPA)致力于有關健康數據的安全和隱私;“安全規則”涵蓋該數據的管理、物理和技術方面的保護。
電子發現 (eDiscovery)定義文檔保留和訪問的標準,包括確定文檔訪問人員的范圍和訪問方式。
2002 年的“聯邦信息安全管理法案”(FISMA)聯邦要求為美國政府體系提供全面的“信息安全”(INFOSEC) 框架,與各種法律執行機構進行協調,建立對商業產品和軟件功能的控制和承認機制。第 3544 節涵蓋機構的職責(包括 IT 控制)。聯邦信息處理標準 (FIPS) 發布 200指定聯邦信息和信息系統的最低安全要求,并概述了在 NIST Special Publication (SP) 800-53 中找到的建議用法。在 NIST SP800-53 的第 AU-2 節 (Auditable Events) 中,指定信息系統必須能夠將審核記錄從多個組件編譯到系統范圍內與時間相關的審核追蹤中、能夠由單個組件管理審核的事件,并能夠確保組織定期復查可審核事件。考慮到所有這些法律壓力,IT 專業人員需要做些什么?IT 經理和技術人員需要構建清晰簡練的情節并將其提供給組織內部和外部的人員。這包括制定正確的審核策略(需要事前評估和投資)。此處的關鍵概念在于,審核不能像常見的那樣可以事后進行設計。此類 IT 挑戰通常可通過人員、過程和技術的組合加以解決。對審核而言,它就是過程。因此,第一步應掌握基礎知識,以便能夠響應組織對規定符合性的需要和要求。我們首先介紹 Windows 中有關審核的一些基礎知識,然后再深入研究 Windows Server 2008 和 Windows Vista? 中的變更。
審核安全事件
所有審核事件都記錄在 Windows 安全事件日志中。這些事件通常都是無法立即對其采取操作的,實際上它們一般都屬于信息性內容。對所發生的每個特定類型的訪問,每個事件都記錄一個簡單的“審核成功”或“審核失敗”。這不同于那些應用程序或系統事件日志,它們可通過彩色編碼來識別問題(提示:可通過查找紅色事件來追蹤問題。安全事件日志與此完全不同,因為審核的事件通常被其數量所掩蓋,并且如前所述,安全數據的關聯可能會帶來重大的挑戰。即使是單一系統上的簡單數據破壞也會成為問題。此時可能需要對安全事件日志加以分析,以確定哪個帳戶被用來訪問該數據,這就需要管理員回溯查看整個日志以嘗試找到該帳戶。遺憾的是,當今一些較為復雜的攻擊通常是協調、分散的,這使得受害者在進行此類分析時非常困難。也就是說,了解使信息能夠記錄在 Windows 的安全事件日志中的以下關鍵要素非常重要:“審核策略”和“系統訪問控制列表”(SACL)。對于本地計算機而言,“審核策略”是可以通過“組策略”或“本地安全策略”進行配置的設置,可定義特定訪問類型的成功和失敗事件集合。以下主要“審核策略”類別在 Windows 中已存在多年(稍后在 Windows Server 2008 的新“Granular Audit Policy”中還會介紹更多策略):
審核帳戶登錄事件
審核帳戶管理
審核目錄服務訪問
審核登錄事件
審核對象訪問
審核策略變更
審核權限使用
審核過程跟蹤
審核系統事件
通常大多數 IT 組織都非常了解定義“審核策略”的需求以及這些相關的類別,但是“審核策略”只代表其中一部分解決方案。SACL 在實現全面審核計劃方面也扮演著一個重要角色。兩個特定的“審核策略”類別(審核目錄服務訪問和審核對象訪問)完全取決于 SACL 在安全事件日志中返回的信息。那么 SACL 究竟是什么?每個對象(文件、注冊表或目錄服務)都有一個“訪問控制列表”(ACL),其中包含一個或多個被分為以下兩種類型的“訪問控制項”(ACE):“隨機訪問控制列表”(DACL) 和 SACL(后者定義的設置會記錄試圖對安全對象進行的訪問)。SACL 中的每個 ACE 都指定了應記錄在安全事件日志中的特定托管人的訪問嘗試類型。ACE 用來定義對指定對象的成功和/或失敗的訪問嘗試記錄。圖 2 顯示的是對某個對象使用 SACL 以生成特定訪問類型的事件。
圖 2對某個對象使用 SACL
了解“審核策略”與 SACL 之間的關系至關重要,因為在涉及環境中的變更時,需要通過配置來捕捉“正確”的審核事件。如前所述,“審核目錄服務訪問”和“審核對象訪問審核策略”只允許在安全事件日志中針對那些特定類別生成審核,如果某個對象在其 SACL 中配置了審核 ACE,則只生成事件。當這些條目準備就緒后,安全事件將由 Windows 本地安全機構 (LSA) 生成并被寫入安全事件日志。
事件由兩個截然不同的區域組成:標頭 - 它是靜態的,預先為每個事件標識符(事件 ID)都做了定義;正文 - 它是動態的,不同的事件包含不同的詳細信息。圖 3 顯示了 Windows Server 2008 安全事件示例中的這兩個元素。了解這些事件的組成對任意審核項目的分析階段而言都非常重要,并且對于了解在各種工具(如 ACS)中如何返回信息也具有特殊意義。
【編輯推薦】
