Мониторинг с целью предотвращения саботажа
 

Привет всем!

Есть потенциальная угроза саботажа сети со стороны недовольного сотрудника ИТ-отдела. Сотрудник работает в другом городе, физически его контролировать (а также его доступ к серверам и т.п.) нет возможности. Сеть территориально распределена, серверов много. Есть необходимость организовать полный контроль за изменениями конфигурации серверов (установка/удаление ПО, изменения системных фалов и реестра, особый контроль над AD, отключение средств защиты, изменения конфигурации шлюзов особо (ISA Server 2006)). В сети есть сервера как на Windows, так и на Linux. В случае инцидента желательно иметь доказательную базу для внутреннего разбирательства.

Как обычно решается такая задача? Есть ли готовые системы мониторинга безопасности или наборы утилит? Система должна быть бесплатной, т.к. купить коммерческую сейчас нет возможности. Кто что может посоветовать?

P.s.: задача возникла в связи с сильной реструктуризацией сети и штатного расписания отдела.

Наверное я слишком общий вопрос задал. Попытаюсь конкретизировать, что нужно:

1) Изменения в AD (создание/изменение/удаление пользователей, групп, объектов и т.п., изменения групповых политик).
2) Появление новых компьютеров в сети, изменения соответствия MAC/IP.
3) Вход под локальным администратором. Создание локальных пользователей.
4) Запуск процессов, не свойственных сети (предполагается, что список использующихся процессов составлен).
5) Изменения на шлюзовых машинах (ISA, Linux).
6) Использование в сети снифферов, vpn-туннелей и т.п.

Может кто частично решал подобные задачи? С какими подводными камнями столкнулись? Например, изменения в AD можно контролировать через встроенный аудит, но во-первых, как организовать уведомления о важных изменениях, а во-вторых, какие события вообще отслеживать? Я как-то включал аудит AD, там журналы ТАК росли, что не то что реагировать, просто просматривать события нереально.

- в параметрах межсетевого экрана можно запретить доступ к серверу из интернет и оставить только доступ по RDP - тогда удалённый содрудник не воспользуется другим способом подключения кроме как к рабочему столу. Через лог межсетевого екрана можна просмотреть время подключения даного сотрудника к серверу! В системе есть аудит системных событий (Администрирование - Просмотр событий)! Необходимо настроить свойства меню "Безопасносность" вкладка "Фильтр" - там можно выставить параметр отслеживания действий по имени пользователя. и т.д. - сотрудник, которого Вы подозреваете, не должен входить в группу с администраторскими привелегиями (можно просто оставить ему доступ для работы с теми программами, которые ему не обходимы), а самого сотрудника перевести в группу "Пользователи " присвоиав ему членство в группах "Пользователи домена" и "Пользователи сервера терминалов". Уведомить руководство (письменно) о возможных проблеммах с сотрудником и о ряде проведённых мероприятий!

crouler, проблема в том, что по должостным обязанностям он должен мочь ввести/вывести клиентский комп в домен, установить на него ПО, подключить принтер. Под удаленной работой понимается удаленный филлиал, в котором он сидит и соответственно имеет физический доступ к филлиальным серверам. Руководство уведомлено.
Вообще конечно я буду вводить определенные ограничения в зависимости от роли сотрудника, но поскольку это необычный сотрудник, все обрезать ему нельзя. Это касается даже не конкретно этого человека, а в принципе - удаленно могут работать люди, которых я вообще в глаза не видел, но им нужно выполнять обязанности по обслуживанию сети своего филлиала (поставить комп, ввести в домен, подключить принтер и т.п.). Для этого ему нужны повышенные привилегии. Соответвтенно можно ожидать разных действий.

выделить для филиалов отдельные поддомены

Как-то не хочется плодить домены ради 15-20 сотрудников в филлиале. Программное обслуживание серверов, ГП, клиентских станций будет производится с центра. Наверное действительно нужно уделить достаточно внимания, чтобы ограничить доступ остальным к AD как к сердцу сети и к шлюзам. Дальше можно поставить какой-нибудь nagios для мониторинга работоспособности основных служб и если возможно такое - включить повышенный аудит на всех серверах для выбранных учетных записей, а в системе мониторинга поставить детект на важные события (например, создание пользователя в AD). А для обнаружения сканеров сетей и т.п. можно поставить Snort. Только насчет него неуверен, т.к. скорее всего ресурсов он кушает много, а отдельный сервер (пусть даже это обычный комп) ставить под такую задачу как-то не хочется. Всего этого наверняка будет достаточно для эффективного контроля.
Если есть у кого опыт использования снорта, буду рад услышать мнения - стоит оно того или ну его? :)

Для контроля за суперпользователями обычно применяют средства с внешними серверами регистрации и учета:
- Cisco Security Agent (Увы снимается с производства, правда и цена для партнеров уменьшена до 10%)
- Symantec Critical System Protection


Либо при развертывании AD применяют схему с отдельно выделенными контроллерами схемы

Любой пользователь домена по умолчанию может ввести в него до 10 машин.
Не давайте ему прав администратора домена, делегируйте необходимые полномочия.
Если все администрирование производится из головного офиса, может имеет смысл поставить контроллер домена только для чтения ?
Защитить данные в сети (документы office, а так же другх RMS совместимых программ) можно при помощи AD RMS.
Наблюдать за несанкционированными действиями сотрудника вы можете (как говорилось выше), с помощью системы аудита винды, а так же программ сторонних разработчиков.

Всем спасибо! Последние два поста прямо в точку.

Nikitos, про контроллер только для чтения я думал, но не стал (пока что) ставить по двум причинам - нет опыта его использования, мало ли, какие всплывут подводные камни, а ставить нужно было в другой город. А во-вторых, он требует минимум одного DC на базе Win2008 для записи. А у меня таковой только один, который поставлен временно для поддержки GP Preferences. Рискованно завязывать ифраструктуру на один обычный ПК :) Переводить на 2008й основные контроллеры времени не было.

А вот тему делегирования я незаслуженно обошел стороной, раньше не нужна была и не знал, что у нее такие широкие возможности. А она похоже как раз для этих целей создавалась. Сейчас нашел отличную статью:

http://www.oszone.net/4435/Active_Directory

начну делать подобное.

Ответ на свой вопрос я получил полностью, спасибо :)