Настройка регистрации входа в ИСПДн (выхода из ИСПДн) субъектов доступа
(обновлено 30.01.2013)
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
«Регистрация входа в ИСПДн
(выхода из ИСПДн) субъекта доступа является обязательной. В журнале
регистрации событий, который ведется в электронном виде ИСПДн, указываются
следующие параметры:
— дата и время входа в систему
(выхода из системы) субъекта доступа;
— идентификатор субъекта,
предъявленный при запросе доступа;
— результат попытки входа:
успешная или неуспешная (несанкционированная);
— идентификатор (адрес)
устройства (компьютера), используемого для входа в систему.»
В СТО БР ИББС-1.2-2010 это
уточняющий вопрос № 16 Приложения В, который также связан с частными
показателями М3.11 и М3.12.
Существует 2 способа выполнения данного требования:
Существует 2 способа выполнения данного требования:
Способ № 1.
Пуск->Выполнить->gpedit.msc->Конфигурация компьютера->Параметры
безопасности->Локальные политики->Политика аудита->Аудит входа
в систему. Клик правой кнопки мыши->Свойства->Параметры локальной
безопасности. В пункте «Вести аудит следующих попыток доступа» ставим «галочки»
во всех чекбоксах, как показано на рисунке:
Текущая политика определяет, будет ли операционная система пользователя,
для компьютера которого применяется данная политика аудита, выполнять
аудит каждой попытки входа пользователя в систему или выхода из нее. Также в журнале
будет фиксироваться дата и время входа/выхода, идентификатор субъекта (учетная
запись пользователя), результат попытки входа/выхода,
идентификатор компьютера.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале.
Способ № 2
1. Создать bat-файл “login.bat” со следующим содержанием и сохранить его в корневую папку диска С:
echo %username% logged into %computername% at %date% %time%
>>c:\название_файла.txt
2. Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…
2. Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…
3. В поле «Имя сценария» вписать C:\login.bat
4. ОК
5. Создать bat-файл «logout.bat» со следующим содержанием и сохранить его в корневую папку диска С:
echo %username% logged out of %computername% at %date% %time% >>c:\название_файла.txt
6. Пуск ->Выполнить ->gpedit.msc ->Конфигурация потльзователя ->Конфигурация Windows ->Сценарии ->Завершение работы ->Добавить…
7. В поле «Имя сценария» вписать C:\logout.bat
8. ОК.
Журнал событий будет расположен по адресу c:\название_файла.txt
Примечание: если авторизация доменная - скрипты прописываются в политиках безопасности домена, а логи необходимо писать не в >>c:\, а в >>\\Server\logs$\ , где "logs" - название папки.
Достоинство: ведутся только те события, которые нас интересуют и ничего лишнего.
Недостаток: не фиксируются события о пользователе "Гость".
Возможные ошибки: в журнале событий отсутствует (не записывается) имя пользователя.
Для этого в ветке реестр по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run необходимо создать строковый параметр и задать ему имя "logon" со значением "C:\login.bat" (писать с кавычками).
Таким образом мы добьемся записи в журнале имени пользователя при входе. При выходе пока решения не нашел.
Осталось только прописать в политике по информационной безопасности вашей организации, что журнал регистрации входа в ИСПДн (выхода из ИСПДн) субъекта доступа ведется в электронном виде. Там же можно перечислить и другие параметры.
P.S. если у кого-то имеются другие способы выполнения данного требования, пишите в комментарии.
Комментариев нет:
Отправить комментарий