Какие IDS/IPS (системы обнаружения и предотвращения вторжений), а так же средства защиты от НСД использовать в Windows среде?

Question

Алексей @capt_Rimmer

Администратор-программист

Какие IDS/IPS (системы обнаружения и предотвращения вторжений), а так же средства защиты от НСД использовать в Windows среде?

Доброго времени суток.

Есть 1000+ ПК с MS Windows борту. Есть AD и куча других Windows-серверов (терминальных, mssql, oracle, hyper-v, кластер отказоустойчивости). Есть файловое хранилище для обмена информацией, порой, конфиденциальной и составляющие служебную тайну.

Аудит всех событий доступа к файлам и подключениям нужен, причём гибкий. Посоветуйте какие-нибудь IDS/IPS решения для этого. Может кто-то использует уже, может кто-то пользовался?

з. ы. wiki, wiki, netconfig.ru/server/ids-ips

з. ы. ы. Я согласен с тем, что я не прав и путаю определения. Нужны автоматизированные средства защиты от НСД.

Вопрос задан более трёх лет назад
6223 просмотра

Комментировать

Подписаться 4 Оценить Комментировать

Решения вопроса 1

4 комментария

Алексей @capt_Rimmer Автор вопроса

Хорошо, путаю. Подскажите средства защиты от НСД в таком случае?

Написано более трёх лет назад
JDima @JDima

Средства защиты, или аудита? Если защиты, то стандартные NTFS разрешения сгодятся. Аудит тоже можно настроить штатными средствами. Какие задачи-то?

Написано более трёх лет назад
Алексей @capt_Rimmer Автор вопроса

Есть ресурс для большого количества пользователей. На некоторые папки у пользователей нет доступа, на некоторые только чтения, на некоторые полные (в зависимости от группы). Права итак раздаются через NTFS, аудит на данный момент настроен только для отказа в доступе (т.к. отслеживание всех попыток доступа к объектам за полдня вырастало в сотни метров). Реально ли автоматизированно отслеживать какие пользователи и что конкретно делали с файлом после получения его с сервера (записывали на флешку, печатали, просто просматривали)? Расставить каких-нибудь агентов, или ещё что хитрее. Или пока это из области фантастики?

Написано более трёх лет назад
Алексей @capt_Rimmer Автор вопроса

cepera_ang, низкий Вам поклон. Напишите как ответ, а не комментарий — плюс поставлю и тему закроем :) Теперь нужно полностью перевести домен на 2008. И постепенно осваивать. Спасибо!
Если есть ещё решения, то пишите — тема всегда актуальна. Если не сюда, то в личку!

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

8 комментариев

Алексей @capt_Rimmer Автор вопроса

Не рассматривали. Для начала коим местом KIS связан с IDS/IPS? Как я буду при помощи него контролировать правомерность доступа рядового сотрудника Марии Игнатьевны к базе данных с персональными данными, к примеру?

Написано более трёх лет назад
vedburtruba @vedburtruba

А каким местом IPS/IDS связаны с контролем правомерности доступа к информации?

Написано более трёх лет назад
JDima @JDima

Видимо, человек с HIPS попутал.

Написано более трёх лет назад
Алексей @capt_Rimmer Автор вопроса

vedburtruba, почитайте ссылки wiki

Написано более трёх лет назад
JDima @JDima

Плевать на вики. Под IDS всегда понимают железку, которая пассивно ловит копию трафика. IPS прокачивает трафик через себя, умея его попутно дропать. HIPS обитает на конечной машине. Любой, кто обзовет HIPS IPS'ом, с гарантией будет неправильно понят.

Написано более трёх лет назад
Алексей @capt_Rimmer Автор вопроса

Про HIDS ещё расскажите, пожалуйста.

Написано более трёх лет назад
Алексей @capt_Rimmer Автор вопроса

Да и ок, хоть HIPS. Каким образом при помощи KIS я ограничу сотню-другую пользователей от посещения каких-либо серверов? Поэтому и спрашиваю у тех, кто применял и знает, а не у теоретиков, готовых минусовать даже вопросы, пусть даже не на 100% грамотные.

Написано более трёх лет назад
JDima @JDima

См. мой комментарий ниже. Ну и любые варианты IDS/IPS не являются средством разграничения доступа. Любое срабатывание IDS/IPS — инцидент информационной безопасности.

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Вредоносное ПО

+1 ещё

Простой
Как обнаружить руткит?
- 1 подписчик
- 11 апр.
- 123 просмотра
2

ответа
Искусственный интеллект

+1 ещё

Простой
Как сгенерировать SEO описание и теги товара по картинке с помощью ии?
- 3 подписчика
- 20 февр.
- 797 просмотров
2

ответа
Python

+2 ещё

Средний
Почему при работе с Polars в сочетании с OpenPyXL исчезает часть данных?
- 3 подписчика
- 18 янв.
- 124 просмотра
0

ответов
Браузеры

+4 ещё

Средний
Как или почему загружаются и скачиваются свойства файла?
- 1 подписчик
- 28 нояб. 2023
- 143 просмотра
2

ответа
Программирование

+2 ещё

Простой
Как создать программу с готовыми шаблонами для формирования отчётов?
- 1 подписчик
- 18 окт. 2023
- 153 просмотра
3

ответа
Компьютеры

+4 ещё

Сложный
Бьются файлы на ПК, какая может быть причина? Как исправить?
- 2 подписчика
- 05 сент. 2023
- 286 просмотров
1

ответ
Эмуляторы

+1 ещё

Простой
Как обойти обнаружение, что приложение запущено через эмулятор?
- 1 подписчик
- 06 июл. 2023
- 366 просмотров
1

ответ
Системы обнаружения вторжений

Простой
В IDS Suricata есть возможность обнаружения статистических аномалий?
- 1 подписчик
- более года назад
- 28 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
Какие виды сетевых атак можно выявлять при помощи эвристических методов?
- 1 подписчик
- более года назад
- 51 просмотр
2

ответа
PHP

+2 ещё

Средний
Как соединить массивы в цикле один к другому, если самые вложенные ключи более ранних соответствуют самым внешним ключам следующих?
- 1 подписчик
- более года назад
- 56 просмотров
0

ответов
Показать ещё Загружается…

Аналитик данных

Bogoda Digital Pro • Сан-Хосе

от 999 до 999 ₸

Разработчик баз данных PostgreSQL

Объединенные системы управления транспортом • Москва

До 220 000 ₽

DBA / Администратор баз данных PostgreSQL

СберТех • Москва

от 320 000 ₽

Доработка андроид приложения на kotlin

24 апр. 2024, в 23:13

130000 руб./за проект

Внести правки в Телеграм-бота с помощью кода(PHP-разработчик)

24 апр. 2024, в 22:44

11000 руб./за проект

HFT (high frequency trading) разработка торгового бота c#/c++

24 апр. 2024, в 22:30

200000 руб./за проект

Answer 1 · 2012-06-29 15:39:31

capt_Rimmer, вы несколько путаете IPS со средствами защиты от НСД. IPS не сможет определить, имеет ли пользователь полномочия на работу с определенными файлами, она может определить что такая-то активность — аномальна и не легитимна, что такой-то трафик детектируется сигнатурами какого-либо сетевого червя или эксплоита.