Какие IDS/IPS (системы обнаружения и предотвращения вторжений), а так же средства защиты от НСД использовать в Windows среде?

Question

[Алексей]

Доброго времени суток.


Есть 1000+ ПК с MS Windows борту. Есть AD и куча других Windows-серверов (терминальных, mssql, oracle, hyper-v, кластер отказоустойчивости). Есть файловое хранилище для обмена информацией, порой, конфиденциальной и составляющие служебную тайну.

Аудит всех событий доступа к файлам и подключениям нужен, причём гибкий. Посоветуйте какие-нибудь IDS/IPS решения для этого. Может кто-то использует уже, может кто-то пользовался?


з. ы. wiki, wiki, netconfig.ru/server/ids-ips


з. ы. ы. Я согласен с тем, что я не прав и путаю определения. Нужны автоматизированные средства защиты от НСД.

Answer 1

[vedburtruba]

capt_Rimmer, вы несколько путаете IPS со средствами защиты от НСД. IPS не сможет определить, имеет ли пользователь полномочия на работу с определенными файлами, она может определить что такая-то активность — аномальна и не легитимна, что такой-то трафик детектируется сигнатурами какого-либо сетевого червя или эксплоита.

Comments

[Алексей]

Хорошо, путаю. Подскажите средства защиты от НСД в таком случае?

[JDima]

Средства защиты, или аудита? Если защиты, то стандартные NTFS разрешения сгодятся. Аудит тоже можно настроить штатными средствами. Какие задачи-то?

[Алексей]

Есть ресурс для большого количества пользователей. На некоторые папки у пользователей нет доступа, на некоторые только чтения, на некоторые полные (в зависимости от группы). Права итак раздаются через NTFS, аудит на данный момент настроен только для отказа в доступе (т.к. отслеживание всех попыток доступа к объектам за полдня вырастало в сотни метров). Реально ли автоматизированно отслеживать какие пользователи и что конкретно делали с файлом после получения его с сервера (записывали на флешку, печатали, просто просматривали)? Расставить каких-нибудь агентов, или ещё что хитрее. Или пока это из области фантастики?

[Алексей]

cepera_ang, низкий Вам поклон. Напишите как ответ, а не комментарий — плюс поставлю и тему закроем :) Теперь нужно полностью перевести домен на 2008. И постепенно осваивать. Спасибо!
Если есть ещё решения, то пишите — тема всегда актуальна. Если не сюда, то в личку!

Answer 2

[Sicness]

А Вы рассматривали Kaspersky Internet Security? Если, да, то можете сказать почему нет?

Comments

[Алексей]

Не рассматривали. Для начала коим местом KIS связан с IDS/IPS? Как я буду при помощи него контролировать правомерность доступа рядового сотрудника Марии Игнатьевны к базе данных с персональными данными, к примеру?

[vedburtruba]

А каким местом IPS/IDS связаны с контролем правомерности доступа к информации?

[JDima]

Видимо, человек с HIPS попутал.

[Алексей]

vedburtruba, почитайте ссылки wiki

[JDima]

Плевать на вики. Под IDS всегда понимают железку, которая пассивно ловит копию трафика. IPS прокачивает трафик через себя, умея его попутно дропать. HIPS обитает на конечной машине. Любой, кто обзовет HIPS IPS'ом, с гарантией будет неправильно понят.

[Алексей]

Про HIDS ещё расскажите, пожалуйста.

[Алексей]

Да и ок, хоть HIPS. Каким образом при помощи KIS я ограничу сотню-другую пользователей от посещения каких-либо серверов? Поэтому и спрашиваю у тех, кто применял и знает, а не у теоретиков, готовых минусовать даже вопросы, пусть даже не на 100% грамотные.

[JDima]

См. мой комментарий ниже. Ну и любые варианты IDS/IPS не являются средством разграничения доступа. Любое срабатывание IDS/IPS — инцидент информационной безопасности.

Answer 3

[ShadowHacker]

Мм… Молитвенник :)