Scenario: File Access Auditing
A Auditoria de Segurança é uma das ferramentas mais avançadas para ajudar a manter a segurança de uma empresa. Uma das metas principais das auditorias de segurança é a conformidade regulatória. Os padrões do setor, como Sarbanes Oxley, lei americana HIPAA (Health Insurance Portability Accountability Act) e Payment Card Industry (PCI), exigem que as empresas sigam um conjunto restrito de regras relacionadas à segurança e privacidade de dados. Auditorias de segurança ajudam a estabelecer a presença dessas políticas e comprovar a conformidade com essas normas. Além disso, elas ajudam a detectar comportamentos anormais, identificar e eliminar lacunas em políticas de segurança e impedir comportamentos irresponsáveis por meio da criação de um registro de atividades do usuário, que pode ser usado para análises periciais.
Os requisitos de política de auditoria são normalmente direcionados aos seguintes níveis:
Segurança das informações. As trilhas de auditoria de acesso ao arquivo são frequentemente usadas na análise forense e detecção de intrusão. Ser capaz de obter eventos específicos sobre o acesso às informações de alto valor permite que as organizações melhorem consideravelmente seu tempo de resposta e sua precisão de investigação.
Política organizacional. Por exemplo, as organizações regulamentadas por normas PCI poderiam ter uma política central para monitorar o acesso a todos os arquivos marcados como contendo informações de cartão de crédito e informações de identificação pessoal (PII).
Política departamental. Por exemplo, o departamento financeiro pode exigir que a capacidade de modificar determinados documentos financeiros (como um relatório de ganhos trimestrais) esteja restrita ao departamento financeiro e, assim, o departamento poderia monitorar todas as outras tentativas de alterar esses documentos.
Política de negócios. Por exemplo, os proprietários de empresas podem monitorar todas as tentativas não autorizadas de exibir os dados que pertencem a seus projetos.
Além disso, o departamento de conformidade pode monitorar todas as alterações nas políticas de autorização central e construtores de política, como usuário, computador e atributos de recursos.
Uma das maiores considerações das auditorias de segurança é o custo de coleta, armazenamento e análise de eventos de auditoria. Se as políticas de auditoria forem muito amplas, o volume de eventos de auditoria coletado será maior, e isso aumentará os custos. Se as políticas de auditoria forem muito limitadas, você poderá perder eventos importantes.
Com o Windows Server 2012, você pode criar políticas de auditoria usando declarações e propriedades de recurso. Isso leva a políticas de auditoria mais elaboradas, direcionadas e fáceis de gerenciar. Isso possibilita cenários cuja execução era impossível ou muito difícil até agora. Estes são exemplos de políticas de auditoria que os administradores podem criar:
Realizar auditoria de todos que não têm autorização de segurança elevada e tentam acessar um documento HBI. Por exemplo, Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.
Realizar auditoria de todos os fornecedores quando tentam acessar documentos relacionados a projetos em que não estão trabalhando. Por exemplo, Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.
Essas políticas ajudam a regular o volume de eventos de auditoria e a limitá-los para apenas os dados ou usuários mais relevantes.
Depois que os administradores criam e aplicam as políticas de auditoria, a próxima questão que eles devem considerar é a coleta de informações significativas dos eventos de auditoria coletados. Os eventos de auditoria com base em expressões ajudam a reduzir o volume de auditorias. Porém, os usuários precisam ter uma forma de consultar informações significativas nesses eventos e fazer perguntas como "Quem está acessando meus dados HBI?" ou "Houve uma tentativa não autorizada de acessar dados confidenciais?"
O Windows Server 2012 aprimora os eventos de acesso a dados existentes com declarações de usuário, computador e recurso. Esses eventos são gerados por servidor. Para fornecer uma exibição completa dos eventos em toda a organização, a Microsoft está trabalhando com parceiros para fornecer ferramentas de coleta e análise de eventos, como os Serviços de Coleta de Auditoria no System Center Operation Manager.
A Figura 4 mostra uma visão geral de uma política de auditoria central.
Figura 4 Experiências de auditoria centrais
A configuração e o consumo de auditorias de segurança normalmente envolvem as seguintes etapas gerais:
Identificar o conjunto correto de dados e usuários a ser monitorado
Criar e aplicar as políticas de auditoria apropriadas
Coletar e analisar os eventos de auditoria
Gerenciar e monitorar as políticas que foram criadas
Neste cenário
Os seguintes tópicos fornecem orientação adicional para este cenário:
Funções e recursos incluídos neste cenário
A tabela a seguir lista as funções e os recursos que fazem parte deste cenário e descreve como dar suporte a ele.
Função/recurso | Como este cenário tem suporte |
---|---|
Função dos Serviços de Domínio Active Directory | O AD DS do Windows Server 2012 apresenta uma plataforma de autorização baseada em declarações que permite a criação de declarações de usuário e de dispositivo, identidades compostas, (declarações de usuário e dispositivo), novas CAP (políticas de acesso central) e o uso do modelo de informações de classificação do arquivo em decisões de autorização. |
Função dos Serviços de Arquivo e Armazenamento | Os servidores de arquivos do Windows Server 2012 fornecem uma interface do usuário em que os administradores podem ver as permissões efetivas dos usuários em um arquivo ou uma pasta, solucionar problemas de acesso e permitir o acesso, conforme necessário. |