Настройка регистрации входа в ИСПДн (выхода из ИСПДн) субъектов доступа
(обновлено 30.01.2013)
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
«Регистрация входа в ИСПДн (выхода из ИСПДн) субъекта доступа является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
— дата и время входа в систему (выхода из системы) субъекта доступа;
— идентификатор субъекта, предъявленный при запросе доступа;
— результат попытки входа: успешная или неуспешная (несанкционированная);
— идентификатор (адрес) устройства (компьютера), используемого для входа в систему.»
В СТО БР ИББС-1.2-2010 это уточняющий вопрос № 16 Приложения В, который также связан с частными показателями М3.11 и М3.12.
Существует 2 способа выполнения данного требования:
Существует 2 способа выполнения данного требования:
Способ № 1.
Пуск->Выполнить->gpedit.msc->Конфигурация компьютера->Параметры безопасности->Локальные политики->Политика аудита ->Аудит входа в систему. Клик правой кнопки мыши->Свойства->Параметры локальной безопасности. В пункте «Вести аудит следующих попыток доступа» ставим «галочки» во всех чекбоксах, как показано на рисунке:
Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выходаиз нее. Также в журнале будет фиксироваться дата и время входа/выхода, идентификатор субъекта (учетная запись пользователя), результат попытки входа/выхода, идентификатор компьютера.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале.
Способ № 2
1. Создать bat-файл “login.bat” со следующим содержанием и сохранить его в корневую папку диска С:
echo %username%logged into %computername% at %date% %time% >>c:название_файла.txt
2.Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…
2.Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…
3. В поле «Имя сценария» вписать C:login.bat
4. ОК
5. Создать bat-файл «logout.bat»со следующим содержанием и сохранить его в корневую папку диска С:
echo %username% logged out of %computername% at %date% %time% >>c:название_файла.txt
6. Пуск ->Выполнить ->gpedit.msc ->Конфигурация потльзователя ->Конфигурация Windows ->Сценарии ->Завершение работы ->Добавить…
7. В поле «Имя сценария» вписать C:logout.bat
8. ОК.
Журнал событий будет расположен по адресу c:название_файла.txt
Примечание: если авторизация доменная - скрипты прописываются в политиках безопасности домена, а логи необходимо писать не в >>c:, а в >>Serverlogs$, где "logs" - название папки.
Достоинство: ведутся только те события, которые нас интересуют и ничего лишнего.
Недостаток: не фиксируются события о пользователе "Гость".
Возможные ошибки:в журнале событий отсутствует (не записывается) имя пользователя.
Для этого в ветке реестр по адресуHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run необходимо создать строковый параметри задать ему имя "logon" со значением "C:login.bat" (писать с кавычками).
Таким образом мы добьемся записи в журнале имени пользователя при входе. При выходе пока решения не нашел.
Осталось только прописать в политикепоинформационной безопасностивашей организации, что журнал регистрации входа в ИСПДн (выхода из ИСПДн) субъекта доступа ведется в электронном виде. Там же можно перечислить и другие параметры.
P.S. если у кого-то имеются другие способы выполнения данного требования, пишите в комментарии.
