Využitie CM na zabezpečenie vášho IT
Prostredníctvom CM môžete lepšie zaistiť vašu počítačovú sieť, prípadne zistiť informácie súvisiace s bezpečnosťou nekolidujúce s ochranou informácií. Ponúkame vám zopár tipov na využitie tohto veľmi komplexného nástroja.
Výpis s historickými údajmi za posledných 6 mesiacov, aký typ používateľa sa prihlasuje
Detekcia spusteného procesu s identitou neoprávneného administrátora
Monitorované sieťové prenosy mimo LAN s určením čísla portov a cieľovej IP adresy
Zoznam procesov s určením vlastníka, ktoré sú spustené na počítači (aktuálny stav)
Spustenie programu vyžadujúceho admin.práva u používateľa, ktorý má odopreté admin.práva
Výpis s historickými údajmi za posledných 6 mesiacov, aký typ používateľa sa prihlasuje
Otvorte si v CM CM IT monitoring -> Zóny -> Registračné info. K danému počítaču si otvorte históri a uvidíte tam, kto sa kedy prihlásil s akými oprávneniami. Okrem toho tu vidíte aj zapamätané, kto mal daný počítač v používaní podľa CM registrácie, aké bolo sieťové meno počítača v minulosti. Zaujímavé informácie, ak potrebujete sledovať pohyb počítača po firme (tieto údaje budú zoskupené v CMDB)
Detekcia spusteného procesu s identitou neoprávneného administrátora
Vyššie popísaný prípad nezachytí, ak niekto na počítači spustí proces spôsobom Run As. Na tento prípad má CM prichystanú Watches podmienku Unauthorized Admin Process. Táto podmienka sleduje každých 30sekúnd, či nie je spustený akýkoľvek proces pod používateľom s administrátorskými oprávneniami mimo dovolených administraátorov. Efektívne aj voči prelomeniu účtu lokálneho administrátora. S touto podmienkou ustrážite spočítače, aby vám na ne šikovní používatelia nepriinštalovali nebezbečné softvéry.
Ak ste s Watchmi ešte nepracovali, prečítate si Úvod do nastavenia monitoringu.
Monitorované sieťové prenosy s určením čísla portov a cieľovej IP adresy
Zaujímavé výstupy viete získať cez internet bandwith monitor. Ak máte podozrenie, že niekam systematicky unikajú údaje nedovoleným spôsobom, môžete to nájsť cez Internet Bandwith Monitor. Nájdete tu prehľady internetových prenosov z jednotlivých aplikácií, na cieľové IP adresy, rozdelenie na porty. Prehľad prostredníctvom ktorého určíte, či nejaký pracovník nerobí systematicky nekalú činnosť.
Ak by vás zaujímalo, že či niekto nepreniesol príliš veľa údajov, sú na to aj Watches podmienky (Internet IP Trafic, Internet IP Transfered Data).
(v čase písania tohto príspevku sa spúšťa testovacia prevádzka už aj na všetkých 64bit systémoch okrem WIN8/ 2012. Doteraz boli podporené len 32bit systémy, takže záber tohto monitoringu je už dosť široký.)
Zoznam procesov s určením vlastníka, ktoré sú spustené na počítači
Bez akéhokoľvek nastavovania sa na počítači tvorí automaticky krátkodobá história (niekoľko dní dozadu každých 30sekúnd) dostupná cez C-MonitorConsole v Systémových informáciách. Ak potrebujete overiť, či bol spustený nejaký proces a s akými oprávneniami, tu ho nájdete. Procesy sa dajú aj dobre filtrovať, takže viete vidieť v akom intervale bol bol daný proces spustený. (História sa dá rozšíriť zväčšením archívu, ale má svoje limity, nakoľko toto nie je nástroj určený na detailné a dlhodobé sledovanie aktivity práce pracovníkov).
Viac informácií nájdete v článku Systémové info v rámci popisu C-MonitorConsole
Spúšťanie programom s admin.oprávneniami u používateľov "user" (funkčné aj na terminálových serveroch)
Mnohí administrátori tvrdia, že je nutné používateľom priradiť administrátorské oprávnenia, ak na počítači je program, ktorý korektne nefunguje bez admin. oprávnení alebo používatelia chcú robiť operácie, ktoré admin. oprávnenia vyžadujú. S C-Monitor-om už toto neplatí, lebo dokáže korektne spustiť program v profile používateľa "user" s oprávneniami administrátora. Je to stav, ktorému by sa ľudovo povedalo : Vlk bude sýty a ovca celá.
Spustenie programu vyžadujúceho admin.práva u používateľa, ktorý má odopreté admin.práva je ilustrovaný na BLOG článku OpenVPN pre ne-admin používateľa