Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

Для всех разделов необходимо разрешить наследование прав аудита доступа вложенным разделам.
Для контроля функций управления групповыми политиками доменов дополнительно необходимо настроить аудит доступа на файлы шаблонов групповых политик (по умолчанию, расположены на контроллерах домена, в каталоге C:\Windows\SYSVOL).
Аудит доступа к файлам шаблонов групповых политик необходимо настроить следующим образом:
– создание файлов/запись данных (create files/write data) – успех, отказ;
– создание папок/дозапись данных (create folders/append data) – успех, отказ;
– удаление подпапок и файлов (delete subfolders and files) – успех, отказ;
– удаление (delete) – успех, отказ;
– смена разрешений (change permissions) – успех, отказ;
– смена владельца (take ownership) – успех, отказ.
Указанные настройки аудита следует разрешить наследовать вложенным подкаталогам и файлам.
Если регистрация событий вследствие настройки политики аудита вызывает значительное потребление ресурсов или быстрое переполнение файлов журнала, то нужно уменьшить состав регистрируемых событий за счет отказа от регистрации наиболее часто повторяющихся событий.
4.3.4. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД «Аккорд»
Программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win32»,
«Аккорд-Win64» предназначен для применения на АРМ «закрытого» контура с ОС Windows для защиты информационных ресурсов от НСД при многопользовательском режиме эксплуатации [35].
СЗИ от НСД под управлением операционной системы и программного обеспечения ПЭВМ обеспечивает:
– защиту от несанкционированного доступа к ПЭВМ путем идентификации пользователей по не копируемым уникальным TM- идентификаторам DS 1992-1996 («Touch memory» - «Память касания») и их аутентификации по индивидуальному паролю, вводимому с клавиатуры. При этом обеспечивается защита от раскрытия индивидуального пароля пользователя;
– блокировку загрузки с отчуждаемых носителей (FDD, CD-ROM, ZIP
Drive и др.) и прерывания контрольных процедур с клавиатуры;
– доверенную загрузку ОС и защиту от несанкционированных модификаций программ и данных;
– создание и поддержку изолированной программной среды, возможность реализации функционально замкнутых информационных систем на базе ПЭВМ;

– контроль целостности системных областей жестких дисков, программ и данных, а также конфигурации технических средств ПЭВМ до загрузки
ОС;
– защиту от внедрения разрушающих программных воздействий: вирусов, закладок и т. д.;
– разграничение доступа пользователей к ресурсам ПЭВМ в соответствии с уровнем их полномочий;
– управление потоками информации на основе принципов дискреционного и мандатного доступа;
– регистрацию контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, размещенном в энергонезависимой памяти контроллера комплекса. Доступ к журналу обеспечивается только АИБ;
– возможность подключения криптографических средств защиты информации.
СЗИ «Аккорд» сохраняет журналы ШПРС в виде файлов двоичного формата. Каталог, в котором сохраняются файлы, определяется настройками
СЗИ
«Аккорд» и хранится в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Acrun, параметре LogsFolder. По умолчанию это каталог C:\ACCORD.NT или
C:\ACCORD.X64, соответственно, для 32-х или 64-х разрядной версии ОС.
Имя файла в каталоге имеет вид ГГГГДДММЧЧММСС.LOW, где
ГГГГДДММЧЧММСС – дата и время первой записи в данном файле. В одном файле журнала хранится информация об одном сеансе работы пользователя. Файл журнала имеет двоичный формат и состоит из заголовка и последовательности записей.
СЗИ «Аккорд» позволяет регистрировать события, представленные в табл. 4.5.
Таблица 4.5
Список событий журнала ШПРС СЗИ «Аккорд»
Мнемоническое
описание
Числовой
код
Описание
Событий класса «Реестр»
LecoRegOpenKey
0
Открытие ключа реестра
LecoRegCloseKey
1
Закрытие ключа реестра
LecoRegCreateKey
2
Создание ключа реестра
LecoRegDeleteKey
3
Удаление ключа реестра
LecoRegEnumKey
4
Просмотр списка ключей реестра
LecoRegSetValue
5
Присвоение полю значение
LecoRegQueryValue
6
Просмотр значения поля
LecoRegDeleteValue
7
Удаление поля
LecoRegCreateValue
8
Создание поля
LecoRegEnumValue
9
Просмотр списка полей
События класса «Хранитель экрана»
LecoSSOnAtTimeout
0
ScreenSaver включен по времени

LecoSSOnAtHotKey
1
ScreenSaver включен по горячим клавишам
LecoSSOnAtRemoute 2
ScreenSaver включен c АРМ АБИ
LecoSSOffAtTM
3
ScreenSaver выключен c помощью TM
LecoSSOffAtRemoute 4
ScreenSaver выключен c АРМ АБИ
LecoSSOffAtAdmin
5
ScreenSaver выключен c помощью TM администратора
АРМ АБИ
LecoSSTimeDisable
6
Выключен временной контроль ScreenSaver-а
LecoSSTimeEnable
7
Включен временной контроль ScreenSaver-а
LecoSSOffBadTM
8
Попытка разблокировать не тем TM
События класса «Контроль файлов»
LecoHStartCheck
1
Начало проверки списка файлов
LecoHEndCheck
2
Конец проверки списка файлов
LecoHStartUpdate
3
Начало обновления списка файлов
LecoHEndUpdate
4
Конец обновления списка файлов
LecoHTotalHash
5
Хэш списка файлов
LecoHTotalEDS
6
Подпись списка файлов
LecoHGetPrivateKey
7
Получение секретного ключа
LecoHFileCheck
8
Проверка файла
События «Отладочные сообщения СЗИ»
LecoDebugString
0
Отладочное сообщение СЗИ
События для класса «Файловые операции»
Leco21Terminate00 0
Прерывание программы
Leco21SetDate
0x2b
Установка даты
Leco21SetTime
0x2d
Установка времени
Leco21MakeDir
0x39
Создание каталога
Leco21RemakeDir
0x3a
Повторное создание каталога
Leco21ChangeDir
0x3b
Изменение каталога
Leco21CreateFile
0x3c
Создание файла
Leco21OpenFile
0x3d
Открытие файла
Leco21CloseFile
0x3e
Закрытие файла
Leco21DeleteFile
0x41
Удаление файла
Leco21GetSetFileAttr 0x43
Получение/установка атрибутов файла
Leco21Exec
0x4b
Запуск программы
Leco21Terminate
0x4c
Завершение программы
Leco21FindFirst
0x4e
Поиск файлов по маске (первый файл)
Leco21FindNext
0x4f
Поиск файлов по маске (последующие файлы)
Leco21RenameDir
0x50
Переименование каталога
Leco21RenameFile
0x56
Переименование файла
Leco21Traverse
0x6d
Не установлено
Требования к настройкам штатной подсистемы регистрации событий
СЗИ от НСД «Аккорд».
1. Для каждого пользователя администратор может установить уровень детальности журнала ШПРС – низкая, средняя, высокая.
2. Для любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения правил разграничения доступа, изменения правил разграничения доступа (в частности, изменение паролей).

3. Для среднего уровня детальности в журнале отражаются дополнительно все попытки доступа к защищаемым дискам, каталогам и отдельным файлам, а также попытки изменения некоторых системных параметров – даты, времени и др.
4. Для высокого уровня детальности в журнале отражаются дополнительно все попытки доступа к содержимому защищаемых каталогов.
5. Для целей системы достаточно среднего уровня детальности журнала.
Если установка среднего уровня детальности журнала СЗИ от НСД «Аккорд» создает значительную нагрузку на системные ресурсы подконтрольного объекта, то допускается установка минимального уровня детальности журнала.
6. При установке прав доступа к журналам СЗИ от НСД «Аккорд» должны соблюдаться следующие правила:
– к файлам журнала должен быть доступ на чтение для всех учетных записей пользователей ОС;
– к каталогу, хранящему файлы журнала, должен быть доступ на просмотр содержимого.
7. При необходимости допускается изменить в настройках СЗИ каталог, в котором сохраняются файлы журналов. В этом случае следует выбрать каталог, доступный для чтения пользователю ОС Local System и не защищаемый СЗИ «Аккорд».
8. Поскольку система обладает собственными средствами регистрации событий, позволяющими выполнять мониторинг обращений к реестру и файловой системе, достаточно анализировать журнал ШПРС СЗИ от НСД
«Аккорд» на предмет событий классов «Контроль файлов», «Хранитель экрана» и «Отладочные сообщения СЗИ».
4.3.5. Организационно-технические решения по настройке данных
журнала аудита СЗИ от НСД Secret Net
Secret Net версий 6.x, 7.x – программный комплекс, сочетающий в себе большой набор функциональных возможностей по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия внутренних злоумышленников и возможность мониторинга безопасности, защищаемой
ИС [36]. СЗИ от НСД Secret Net может поставляться как в сетевом варианте исполнения, так и в автономном.
В сетевом варианте Secret Net события ИБ фиксируют и клиенты, и сервер безопасности. При этом события сохраняются:
– в локальном журнале Secret Net;
– в централизованной БД сервера безопасности, функционирующей с использованием СУБД Oracle (для версий СЗИ от НСД Secret Net 6.x, 7.x).
Для версии СЗИ от НСД Secret Net, начиная со сборки 7.2, БД сервера безопасности может функционировать с использованием СУБД Microsoft
SQL Server.
К достоинствам эксплуатации сетевого варианта Secret Net относится:

– обеспечение централизованного управления настройками политики безопасности;
– интеграция с ОС Windows, расширяющая, дополняющая и усиливающая стандартные механизмы защиты;
– осуществление мониторинга и аудита политики безопасности в режиме реального времени;
– оперативное реагирование на события НСД;
– поддержка терминального режима работы пользователей с рабочей станцией;
– аппаратная идентификация пользователей;
– контроль целостности файлов;
– разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т. д.).
В журнале аудита Secret Net используется такой же формат данных и состав полей записей, что и в журналах ШПРС ОС Windows. Загрузка записей для просмотра осуществляется только в программе просмотра журналов, поставляемой в составе Secret Net [36].
1.Настройка параметров аудита сетевого варианта Secret Net.
1. 1. Сервер безопасности имеет возможность централизованного сбора журналов ШПРС Secret Net с клиентских компьютеров в централизованную
БД. Периодичность сбора устанавливается с помощью штатной утилиты
Secret Net «Консоль управления» для каждого клиентского компьютера.
1.2. Параметры накопления аудита на клиентских компьютерах конфигурируются через групповую политику домен Secret Net. Для перехода к редактированию данных параметров необходимо на контроллере домена, перейти по главному меню Программы → Администрирование → Политика безопасности домена. Параметр «Максимальный размер журнала системы защиты» устанавливается в значение 50496 кбайт. Параметр «Политика перезаписи событий» устанавливается в значение «Затирать события по мере необходимости».
1.3. Для включения событий на регистрацию необходимо использовать ветку «Регистрация событий» редактирования групповой политики домена
Secret Net. Минимальный набор событий, необходимый для регистрации средствами Secret Net:
– Вход/Выход (все события категории);
– Замкнутая программная среда (ЗПС): Запрет запуска программы;
– Замкнутая программная среда: Запрет загрузки библиотеки;
– Контроль целостности: Удаление учетной записи из задания ЗПС;
– Контроль целостности: Завершение обработки задания на контроль целостности;
– Централизованное управление КЦ-ЗПС: Добавление субъекта;
– Централизованное управление КЦ-ЗПС: Изменение субъекта;
– Централизованное управление КЦ-ЗПС: Удаление субъекта;
– Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации;

– Разграничение доступа к устройствам: Подключение устройства;
– Разграничение доступа к устройствам: Отключение устройства;
– Разграничение доступа к устройствам: Запрет доступа к устройству.
Система имеет возможность также контроля работы механизмов защиты
(шифрование файлов, полномочное управление, замкнутая программная среда и др.), а также пересылки журналов Secret Net с локальных компьютеров на сервер безопасности.
2. Настройка параметров аудита локального варианта Secret Net
2.1. Необходимо выполнить аналогичные описанным выше настройки в локальной оснастке на каждом компьютере с установленной СЗИ от НСД
Secret Net. Для автоматизированного получения событий из локальной БД
Secret Net, администратору СЗИ от НСД необходимо выполнить экспорт событий из защищенной базы Secret Net в файл БД формата Microsoft Access на каждом компьютере с установленным Secret Net.
2.2. Для выполнения экспорта, необходимо с полномочиями локального администратора ОС запустить штатную утилиту Secret Net Журналы и затем на левой панели утилиты следует выбрать журнал Secret Net, и далее пункт меню Secret Net → Экспорт. В появившемся диалогов окне следует задать параметры файла для сохранения результатов экспорта.
2.3. Для чтения данных файл *.mdb, полученный в результате экспорта, должен быть перемещен на компьютер функционирования агента. Для доступа к файлу экспорта необходимо создать ODBC-псевдоним (с использованием 32-х разрядной версии редактора ODBC-псевдонимов и драйвера Microsoft Access) и связать его с полученным файлом.
СЗИ SecretNet регистрирует настроенные события сразу после своей установки. Система регистрации событий СЗИ SecretNet не может быть отключена. Ее можно только расширить, доведя уровень детализации аудита до максимального (как локальных событий, так и сетевых). Максимальный уровень детализации подразумевает регистрацию таких событий, как операции открытия файлов на чтение, на запись, запись в файлы и так далее.
Кроме того, могут регистрироваться отдельные операции с выбранными файлами.
В качестве контролируемых объектов могут выделяется следующие группы ПО, расположенного на клиентском месте:
– состояние системы защиты SecretNet - по умолчанию контролируется целостность файлов СЗИ, доступ к этим файлам;
– исполняемые файлы АРМ (EXE, COM, DLL и так далее) - протоколируется операции открытия на чтение/запись этих файлов и запуск исполняемых файлов. Протоколируется загрузка DLL-модулей прикладными задачами. Может дополнительно контролироваться целостность файлов;
– конфигурационные файлы прикладного программного обеспечения и специально выбранные файлы - может контролироваться целостность конфигурационных файлов и протоколироваться операции по чтению/записи этих файлов;

– сетевые события - протоколируются регистрация пользователя в корпоративной сети, операции отображения сетевых устройств, доступ к сетевым файлам.
4.3.6. Организационно-технические решения по настройке данных
журнала
аудита
аппаратно-программный
комплекс
шифрования
«Континент»
Основным назначением аппаратно-программного комплекса шифрования(АПКШ) «Континент» является защита информации, в корпоративных сетях, использующих для передачи данных протоколы семейства TCP/IP v. 4, а также защита сегментов VPN от проникновения извне [37]. В состав АПКШ «Континент» входят следующие компоненты:
– криптографический шлюз (КШ) «Континент»;
– центр управления сетью (ЦУС) КШ;
– программу управления сетью КШ.
АПКШ «Континент» обеспечивает:
– шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищаемыми сегментами сети;
– защиту внутренних сегментов сети от несанкционированного доступа извне;
– скрытие внутренней структуры защищаемых сегментов сети;
– централизованное управление защитой сети.
События аудита регистрируются в журналах аудита в виде отдельных записей [38]. На АПКШ с установленным ЦУС формируются как журналы
КШ, так и журналы ЦУС. События, происходящие на КШ, регистрируются в локальных журналах КШ. Для централизованного доступа к записям содержимое локальных журналов перемещается через ЦУС на хранение в БД на сервер БД АПКШ «Континент». В системном журнале регистрируются события, связанные с работой подсистем КШ и ЦУС, а также события, регистрируемые другими СЗИ (например, ПАК «Соболь»). Для каждого зарегистрированного события сохраняются время регистрации, описание события, категория и ряд дополнительных параметров.
В журнале НСД хранятся записи о зарегистрированных событиях, свидетельствующих о возможных угрозах безопасности. Каждая запись содержит информацию о количестве зарегистрированных событий в течение одной минуты, а также ряде дополнительных параметров. В журнал НСД также осуществляется запись событий, связанных с IP-пакетами, отброшенными пакетным фильтром или не соответствующих ни одному правилу фильтрации.
Требования к настройке подсистемы регистрации событий АПКШ
«Континент» приводятся ниже.
1.Для обеспечения сохранности записей журналов и их своевременного получения администратор АПКШ «Континент» 3.6 может централизованно настраивать следующие параметры:
– параметры локальных журналов КШ;

– параметры передачи журналов ЦУС;
– расписание передачи журналов в БД;
– параметры очистки БД от устаревших записей журналов.
При настройке параметров локальных журналов КШ должен быть указан максимальный размер журналов и выполнен выбор регистрируемых IP- пакетов.
2. В программе управления ЦУС необходимо вызвать контекстное меню нужного КШ и активировать команду «Свойства», в появившемся диалоговом окне «Свойства криптошлюза» перейти на вкладку «Журналы».
3. В группе полей «Максимальные размеры журналов» для каждого журнала необходимо указать размер пространства на жестком диске КШ, которое отводится для хранения записей. Размер пространства указывается в килобайтах.
4. Размер системного журнала и журнала НСД необходимо установить в значение 10240 Кб, а размер журнала сетевого трафика установить в значение
12288 Кб. Таким образом, суммарный размер пространства, отводящегося для хранения журналов, не превышает границу в 32 Мб, которая введена в силу конструктивных ограничений [38].
5. При настройке расписания передачи журналов из буфера ЦУС в централизованную
БД, необходимо руководствоваться принципом минимизации потерь данных журналов вследствие превышения заданного размера. Рекомендуется настроить агента ЦУС и СД на получение журналов из буфера ЦУС на ежечасный интервал, что позволит снизить вероятность потерь из-за переполнения.
6. Для обеспечения высокой скорости доступа к централизованной БД рекомендуется хранить в БД записи за последние 7 дней. Таким образом, в параметрах для агента ЦУС рекомендуется установить срок устаревания записей для всех журналов 7 дней и время очистки записей в БД установить на понедельник 8 часов 55 минут утра.
7. Для обеспечения возможности чтения данных средствами системы, необходимо периодически выполнять экспорт событий из журналов в текстовые файлы. Исходя из приведенных выше настроек времени хранения событий, следует проводить сохранение записей журналов в файл еженедельно в понедельник в 9 часов утра, после момента времени, когда
ЦУС удалит из БД записи старее последних 7 дней.
4.3.7. Организационно-технические решения по настройке данных
журнала аудита комплекса антивирусной защитой Dr.Web Enterprise Suite
Server
Антивирус Dr.Web 10 Enterprise Suite Server (ESS) предназначен для организации и управления надежной комплексной антивирусной защитой компьютеров локальной сети организации [30]. Dr.Web ESS решает следующие задачи:
– централизованная (без необходимости непосредственного доступа персонала) установка антивирусных пакетов на защищаемые компьютеры;

– централизованная настройка параметров антивирусных пакетов;
– централизованное обновление вирусных баз и программного обеспечения на защищаемых компьютерах;
– мониторинг вирусных событий, а также состояния антивирусных пакетов и ОС на всех защищаемых компьютерах.
Программный комплекс Dr.Web ESS имеет архитектуру клиент-сервер.
Его компоненты устанавливаются на компьютеры пользователей, администраторов и на компьютер, выполняющий функции антивирусного сервера, и обмениваются информацией, используя сетевые протоколы
TCP/IP.
Dr.Web ESS позволяет сохранить за пользователем защищаемых компьютеров права на настройку и управление антивирусными пакетами данных компьютеров, а также гибко ограничить их, вплоть до полного запрета.
Требования к настройкам штатной подсистемы регистрации событий комплекса антивирусной защитой Dr.Web Enterprise Suite Server:
– выполнить интерактивный вход в центр управления антивирусной защитой комплекса Dr.Web ESS с использованием учетной записи, имеющей административные полномочия на сервере Dr.Web ESS;
– выбрать в верхней части экрана раздел «Администрирование», далее в левой части экрана выбрать пункт «Конфигурация Dr.Web Enterprise Server»;
– в правой части экрана необходимо открыть раздел конфигурирования
«Статистические данные» и выбрать опции «Инфекции в БД», «Ошибки сканирования в БД»;
– перейти на вкладку «Безопасность» и установить опции «Аудит операций», «Аудит внутренних операций», «Аудит операций Web API».
Сохранить настройки.
4.3.8. Организационно-технические решения по настройке данных
журнала аудита продуктов антивирусной защиты Лаборатории
Касперского
Основным назначением продуктов Лаборатории Касперского является антивирусная защита [40]. Продукты также обеспечивают защиту от спама, хакерских атак, программ-шпионов. Программные продукты Антивируса
Касперского для Windows поставляются в вариантах для серверов и рабочих станций. Антивирус может применяться как на автономных компьютерах пользователей, так и в корпоративной сети предприятия. Продукты имеют возможность для централизованного конфигурирования, управления, мониторинга ИБ через дополнительное ПО – Kaspersky Security Center.
В
функции Сервера администрирования входит:
– хранение структуры логической сети (сетевой конфигурации);
– хранение копии конфигурационной информации компьютеров логической сети;

– организация хранилищ дистрибутивов приложений «Лаборатории
Касперского»;
– удаленная установка и деинсталляция приложений на компьютеры;
– обновление антивирусных баз и программных модулей;
– управление политиками и задачами на компьютерах логической сети;
– хранение информации о событиях, происходивших на компьютерах логической сети;
– формирование отчетов о работе приложений в логической сети;
– распространение лицензионных ключей на компьютеры логической сети, хранении информации о лицензионных ключах;
– отправка событий от функционирующих на компьютерах логической сети задач. Такие события могут сообщать, например, об обнаружении на компьютере вирусов.
Подключение клиентского компьютера к Серверу администрирования осуществляет Агент администрирования, установленный на клиентском компьютере. При подключении клиентского компьютера к Серверу администрирования выполняются следующие операции:
– автоматическая синхронизация данных:
– синхронизация списка программ, установленных на клиентском компьютере;
– синхронизация политик, параметров программ, задач и параметров задач;
– получение Сервером администрирования текущей информации о состоянии программ, выполнении задач и статистики работы программ;
– доставка на Сервер информации о событиях, которые требуется обработать.
Автоматическая синхронизация данных производится периодически, в соответствии с параметрами Агента администрирования (например, один раз в 15 минут). Имеется возможность вручную задать интервал между соединениями. Информация о событии доставляется на Сервер администрирования сразу после того, как событие произошло.
Регистрация событий. В процессе работы Антивирус Касперского фиксирует различного рода события в свой журнал. Они могут быть информационного характера, а также нести важную информацию. Например, событие может уведомлять об успешно выполненном обновлении приложения, фиксировать ошибку в работе некоторого компонента, обнаружение вируса. В Антивирусе Касперского имеется возможность воспользоваться сервисом уведомлений для доставки информации до эксплуатирующего персонала различными способами.
Перед инсталляцией сервера администрирования инсталлируется СУБД.
По умолчанию при инсталляции Kaspersky Security Center выполняется установка Microsoft SQL Express 2005 или Microsoft SQL Express 2008 (в зависимости от версии устанавливаемого продукта).
В ходе последующей инсталляции сервера администрирования создается
БД Kaspersky antivirus (KAV) для накопления событий антивируса.

Имеется возможность включить генерацию событий антивирусом, работающим без централизованного администрирования, а также антивирусом, использующим централизованный сбор событий. При централизованной схеме сбора событий в Антивирусе Касперского имеется возможность записи событий в БД KAV и дублирования их в системный журнал ОС (Event Log) на сервере администрирования. Экспериментально установлено, что информация о произошедших событиях, фиксируемая в БД
KAV более полная, чем информация из журнала ОС.
При необходимости получения событий непосредственно на компьютере с установленным Антивирусом Касперского, нужно конфигурировать список событий для регистрации на каждом таком компьютере.
Требования к настройкам штатной подсистемы регистрации событий.
1.Если Антивирус Касперского работает без централизованного администрирования, имеется возможность включить генерацию событий антивирусом и указать способ регистрации событий. При невозможности воспользоваться централизованным сбором событий при помощи сервера администрирования Антивируса Касперского, необходимо настраивать локальный сбор событий на каждом компьютере. При этом необходимо сохранять регистрируемые события в журнале Event Log ОС Windows.
1.1. Для Kaspersky Endpoint Security 10 настройка выполняется следующим образом.
Необходимо открыть главное окно программы, выбрать вкладку
Настройка, выбрать группу параметров Интерфейс, в параметрах
Уведомления нажать кнопку Настройка….
1.2.В окне Уведомления для типов событий и отдельных событий антивируса указывается, каким образом уведомления будут доведены до пользователя (сохранять в локальном журнале, сохранять в журнале событий
Windows, уведомлять на экране, уведомлять по почте). Для целей ЕСМИБ ТУ для регистрируемых событий установить Сохранять в журнале событий
Windows.
2. Для настройки
Антивируса
Касперского, использующего централизованный сбор событий, необходимо создать политики централизованного управления клиентскими антивирусами, сервером администрирования, агентом администрирования.
Настройка централизованного управления с помощью Kaspersky Security Center
выполняется следующим образом.
2.1. Для сервера администрирования и клиентских компьютеров необходимо создать или настроить существующую политику защиты и общих параметров программ. Для запуска мастера создания/редактирования политики необходимо запустить оснастку централизованного администрирования Kaspersky Security Center, затем в левой панели в дереве выбрать узел Сервер администрирования <имя сервера> → Управляемые
компьютеры.
При необходимости выбрать группу управляемых компьютеров. Открыть вкладку Политики.

2.2. Для создания политику управления клиентскими компьютерами для группы администрирования выбрать ссылку Создать политику Kaspersky
Endpoint Security и следовать указаниям мастера создания политики. При выполнении шагов настройки политики руководствоваться документами, принятыми в эксплуатирующем подразделении.
2.3. На шаге Интерфейс в группе Уведомления нажать кнопку
Настройка…. В окне Уведомления для типов событий и отдельных событий антивируса указывается, каким образом уведомления будут доведены до пользователя (сохранять в локальном журнале, сохранять в журнале событий
Windows, уведомлять на экране, уведомлять по почте).
Созданная политика применится на всех компьютерах под управлением
ОС Windows, входящих в группу администрирования, для которой создавалась политика.
2.4. При создании политики для сервера администрирования на вкладке
Политики выбрать ссылку Создать политику, указать имя политики, выбрать программу для создания групповой политики
Сервер
администрирования Kaspersky Security Center и следовать указаниям мастера создания политики. В последующих диалогах мастера необходимо набрать имя политики и выбрать Kaspersky Security Center как ПО, для которого настраивается политика. Необходимо выбрать количество событий, хранящихся в БД KAV сервера администрирования, исходя из аппаратной конфигурации компьютера, используемого для сервера администрирования.
Рекомендуется указать значение 400000.
2.5. Для настройки уведомлений существующей политики необходимо выбрать политику для группы администрирования, в правой части окна выбрать ссылку Настроить уведомления. В окне Свойства <название
политики> выбрать группу параметров События, в правой части окна выбрать одно или несколько событий, нажать кнопку Свойства и открывшемся окне задать способ регистрации событий и способ уведомления о событиях.
Рекомендуется для всех событий установить опцию На Сервере
администрирования в течение (дней). Не рекомендуется устанавливать значение меньше 30 дней, так как это может привести к потере событий для анализа.
В заключение отметим, что применение рекомендованных штатных настроек оборудования и рекомендованных организационно-технических мер по защите информации только частично реализуют требования ПОЛИТИКА.
Для построения СИБ ИС требуемого класса защищенности следует также провести дополнительный анализ и выбор сертифицированных программно- аппаратных СЗИ.
Более того, несмотря на то, что создание СИБ сводит к минимуму ущерб
организации, надо всегда помнить, что основным фактором обеспечения
информационной безопасности в ИС остается «человеческий» фактор.
Поэтому в процессе эксплуатации СОИБ особое внимание надо уделять

постоянному обучению персонала с принципами политики информационной
безопасности и использованию средств защиты информации в ИС.
Контрольные вопросы по гл.4
1. Какие общие организационно-технические решения применяются для защиты компьютерных ресурсов серверов и АРМ?
2. Какие технические решения по защите от НСД компьютерных ресурсов применяются на уровне ОС HP-UX?
3. Какие технические решения по защите от НСД компьютерных ресурсов применяются на уровне сервера СУБД Oracle?
4. Какие организационно-технические решения по защите от НСД компьютерных ресурсов применяются на уровне сервера БД?
5. Какие технические решения по защите от НСД компьютерных ресурсов применяются на уровне АРМ пользователей ИС?
6. Какие общие технические решения по защите от НСД компьютерных ресурсов применяются на уровне корпоративной сети?
7. Какие технические решения для защиты корпоративной МСС на базе сканеров безопасности?
8. Какие технические решения для защиты корпоративной МСС на базе систем обнаружения вторжений?
9. Какие организационно-технические решения применяются для защиты сетевого оборудования?
10. Какие организационно-технические решения применяются для организации защиты межсетевого взаимодействия?
11. Какие протоколы формирования защищенного туннеля применяются на канальном уровне? Какие их основные функциональные достоинства и недостатки?
12. Какие протоколы образуют архитектуру защиты межсетевого уровня IPsec?
13. Какие работает протокол обмена ключевой информацией IKE?
14. Какие основные отличия работы протокола аутентифицирующего заголовка АН в транспортном и туннельном режиме?
15. Какие основные отличия работы протокола инкапсулирующей защиты содержимого ESP в транспортном и туннельном режиме?
16. Какие протоколы VPN применяются на сеансовом уровне модели
OSI?
17. Как осуществляется распределение криптографических ключей и согласование параметров защищенных туннелей?
18. Какие организационно-технические решения применяются для организации защиты межсетевого взаимодействия с применением межсетевых экранов?
19. Какие общие организационно-технические решения по настройке штатных журналов аудита применяются на объектах мониторинга ИС?
20. Какие организационно-технические решения по настройке и сбору данных журнала аудита применяются для ОС HP-UX?

21. Какие организационно-технические решения по настройке и сбору данных журнала аудита применяются для СУБД Oracle?
22. Какие организационно-технические решения по настройке и сбору данных журнала аудита применяются для ОС Windows?
23. Какие организационно-технические решения по настройке данных журнала аудита применяются для СЗИ от НСД «Аккорд»?
24. Какие организационно-технические решения по настройке данных журнала аудита применяются для СЗИ от НСД SecretNet?
25. Какие организационно-технические решения по настройке данных журнала аудита применяются для аппаратно-программного комплекса шифрования «Континент»?
26. Какие организационно-технические решения по настройке данных журнала аудита комплекса антивирусной защитой Dr.Web Enterprise Suite
Server?
27. Какие организационно-технические решения по настройке данных журнала аудита применяются для продуктов антивирусной защиты
Лаборатории Касперского?