详述Windows Server 2008全面审核策略

在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于管理错误和意外数据泄漏所带来的影响也越来越严重。当今的社会要求组织对此类事件负责,因此组织现在担负着法律责任来保护它们所管理的信息。

这样一来,审核环境中所发生的变更也就变得至关重要。为什么呢?通过审核,可以为了解和管理当今高度分散的大型 IT 环境中的变更提供方法。本文将涵盖大多数组织所面临的常见难题、IT 组织中符合性和规定的前景、中的一些基本审核,还将说明如何借助 的功能和 Microsoft System Center Operations Manager 2007 Audit Collection Services (ACS) 来完善全面的审核策略。

瞥一眼新闻标题就会发现,现在数据泄漏已逐渐成为一种常见问题。在这些意外事件中,许多都涉及到诉讼、财务损失以及组织要承担的公共关系问题。能够解释所发生的变更或能够快速确定问题是减小数据泄漏事件影响的关键。

例如,假定您的组织负责管理给定客户群体的“个人身份信息”(PII)。尽管有多种方式来保护您所管理的系统中所包含的信息,但仍可能会出现安全问题。通过适当的审核,组织可以准确知道存在安全问题的系统和可能会丢失的数据。如果不进行审核,数据丢失所造成的影响可能会非常大,这主要是因为没有办法来估计危害程度。

那么为什么还没有 IT 组织这样做?原因在于,大多数组织没有完全了解审核的技术方面问题。而高级管理层通常只了解诸如备份和还原等概念,审核环境中所发生的变更具有内在的复杂性,这是一种很难传达的消息。因此,有关审核的问题通常只在重大意外事件发生后才会浮现出来。例如,虽然基本审核可能已启用,但如果因缺少规划而未将系统配置为审核某个特定变更,则不会收集该信息。

此外,在审核的安全事件中还有一些内在的问题需要 IT 专业人员来处理。其中一个难点是当今大型计算环境中系统的分布问题,这会给收集和聚合带来严峻的挑战,因为变更可能在任意给定时间出现在任何一个或一组系统中。进而还会产生另一个挑战 — 关联。有时需要转换单个系统和多个系统上的事件间的关系,以提供所发生事情的真正涵义。

还要注意的另外一个问题是审核通常会超越传统组织的边界。不同的组织或团队结构出于不同的原因而存在,可能不容易将其连接起来。许多组织都有目录服务团队、消息传递基础结构团队和桌面团队,但可能只有一个安全团队负责所有这些领域。而且,组织内的专门安全人员可能不会出现在所有位置。例如,分支机构通常依赖单个人或一个小团队来负责包括安全事件日志管理在内的所有任务。

最后,大量的事件也是一个挑战。审核的安全事件的事件日志记录数据量要远远多于其他类型的事件日志记录的数据量。收集的事件数使得有效保留和查看日志变得非常困难。而且,目前的规定和拟议的规定都要求保留此信息,因此并无助于减少当今计算基础结构中的这一负担。

以前,审核访问信息可能被归纳为希望知道和试图确保安全。现在,组织以及组织的高级管理人员对信息的泄漏或缺少适当的保护负有法律责任,因此 IT 管理员熟悉可能适用于其环境的各种规定就显得尤为重要。对于全球性的公司,挑战会更为严峻,因为每个国家都有自己的信息和保护规定。在图 1 中列出了一些现有的规定符合性法规示例,还列出了 IT 组织的一些期望。

2002 年的“萨班-奥西利法案”(SOX)第 404 节承认信息系统的角色并要求上市公司每年对财务报告的内部控制情况进行一次复查。

健康保险可携性与责任法案 (HIPPA)致力于有关健康数据的安全和隐私;“安全规则”涵盖该数据的管理、物理和技术方面的保护。

电子发现 (eDiscovery)定义文档保留和访问的标准,包括确定文档访问人员的范围和访问方式。

2002 年的“联邦信息安全管理法案”(FISMA)联邦要求为美国政府体系提供全面的“信息安全”(INFOSEC) 框架,与各种法律执行机构进行协调,建立对商业产品和软件功能的控制和承认机制。第 3544 节涵盖机构的职责(包括 IT 控制)。

联邦信息处理标准 (FIPS) 发布 200指定联邦信息和信息系统的最低安全要求,并概述了在 NIST Special Publication (SP) 800-53 中找到的建议用法。在 NIST SP800-53 的第 AU-2 节 (Auditable Events) 中,指定信息系统必须能够将审核记录从多个组件编译到系统范围内与时间相关的审核追踪中、能够由单个组件管理审核的事件,并能够确保组织定期复查可审核事件。

考虑到所有这些法律压力,IT 专业人员需要做些什么?IT 经理和技术人员需要构建清晰简练的情节并将其提供给组织内部和外部的人员。这包括制定正确的审核策略(需要事前评估和投资)。此处的关键概念在于,审核不能像常见的那样可以事后进行设计。

此类 IT 挑战通常可通过人员、过程和技术的组合加以解决。对审核而言,它就是过程。因此,第一步应掌握基础知识,以便能够响应组织对规定符合性的需要和要求。我们首先介绍 Windows 中有关审核的一些基础知识,然后再深入研究 Windows Server 2008 和 Windows Vista® 中的变更。

上一页12 3 4 5 6 7 下一页

(0)

相关推荐

  • 巧用Windows Server 2008的NPS策略

    单位员工大部分是移动办公一族,由于病毒库更新不及时、系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司,有数百人 ...

  • Windows Server 2008的NPS策略应用

    单位员工大部分是移动办公一族,由于病毒库更新不及时、系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司,有数百人 ...

  • Windows Server 2008中审核和符合性

    在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于 ...

  • 详述Windows Server 2008安全部署的六个方面

    出于安全性以及新的应用需求,现在越来越多的企业开始部署基于Windows Server 2008平台的服务器,甚至有些个人用户也在使用该系统。就笔者了解,面对一个相对陌生的Server系统,管理员们最 ...

  • 修改Windows server 2008 的密码策略是什么

    做法是:管理工具----组策略管理----组策略对象----Default Domain Policy----设置(或者运行gpmc.msc),找到安全设置中的 帐户策略/密码策略, 右击该选项进行编 ...

  • 用组策略保护Windows Server 2008系统安全

    尽管Windows Server 2008系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作,为此许 ...

  • Windows Server 2008域环境下组策略两例应用

    作为微软最新的服务器平台,Windows Server 2008确实强大。基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进。比如,笔者将要和大家分享的这两例应 ...

  • Windows Server 2008病毒偷改账号的安全隐患

    【IT专家网独家】许多网络病毒或木马程序攻击系统后,常常会偷偷修改系统登录账号,以便达到隐藏攻击痕迹的目的!为了有效保护系统的运行安全性,我们应该想办法及时将潜藏在系统中的各种网络病毒或木马程序“揪” ...

  • Windows Server 2008 R2常规服务器维护

    基本项 1:系统运行状况检查 1.1:事件日志检查(应用程序/安全性/系统) :每日检查 :发现有错误的日志出现需要检查出原因并排除错误 1.2:共享文件夹检查 :每日检查 :发现有未经允许的共享文件 ...