Контроль пользователей на устройствах

Kaspersky Industrial CyberSecurity for Networks может контролировать учетные записи пользователей на устройствах, известных программе. При контроле пользователей программа автоматически получает сведения об учетных записях, зарегистрированных в операционных системах устройств. По полученным сведениям программа формирует таблицы пользователей.

При получении сведений об учетных записях программа контролирует по этим сведениям все учетные записи пользователей на устройствах, за исключением некоторых локальных системных учетных записей, которые могут использовать только системные службы операционной системы. Например, программа не контролирует учетные записи LocalSystem и NetworkService, используемые на устройствах под управлением операционных систем семейства Windows.

Для использования функциональности контроля пользователей должны быть включены методы контроля активов для обнаружения активности устройств и обнаружения сведений об устройствах. Эти методы должны быть включены на всех узлах с установленными компонентами программы, от которых поступают сведения.

Контроль пользователей выполняется на основании данных, поступающих от источников следующих типов:

1. OVAL-сканирование – программные компоненты, с помощью которых выполняются сканирования устройств по встроенным OVAL-правилам (EPP-приложения, отправляющие расширенные данные об устройствах по запросам Kaspersky Industrial CyberSecurity for Networks, или узлы с установленными компонентами программы, с которых выполняются удаленные подключения к устройствам при сканировании устройств в рамках заданий контроля конфигураций).
2. Телеметрия (Endpoint Agent) – EPP-приложения, отправляющие в Kaspersky Industrial CyberSecurity for Networks основные данные об устройствах и о выполняемых процессах (данные телеметрии).
3. Трафик – точки мониторинга, на которых выполняется анализ поступающего трафика по правилам определения сведений об устройствах и протоколов взаимодействия устройств.
4. Внешний источник – приложения, использующие Kaspersky Industrial CyberSecurity for Networks API и отправляющие в Kaspersky Industrial CyberSecurity for Networks сведения о пользователях.

Источники перечислены в порядке уменьшения приоритета данных, поступающих от этих источников. Программа обрабатывает сведения о пользователях в соответствии с приоритетом поступивших данных. Сведения о пользователях, полученные от более приоритетного источника, могут заместить собой сведения от других источников. Также программа автоматически удаляет из таблиц учетные записи пользователей, сведения о которых ранее были получены от источников OVAL-сканирование и Внешний источник, но в новых поступивших данных от этих источников такие пользователи отсутствуют.

При необходимости пользователи с ролью Администратор могут удалять учетные записи пользователей вручную.

Вы можете просматривать сведения о пользователях в разделе Активы на вкладке Пользователи. При просмотре таблицы пользователей вы можете использовать функции настройки, фильтрации, поиска и сортировки, а также переходить к связанным элементам.

Для таблицы всех пользователей действует ограничение по количеству элементов – не более 200 000.

Программа отображает следующие сведения о пользователях устройств в таблице и области деталей выбранного пользователя:

• ID пользователя – идентификатор пользователя, присвоенный в Kaspersky Industrial CyberSecurity for Networks.
• Имя пользователя – имя учетной записи пользователя без указания домена или сетевого имени устройства.
• Полное имя – имя учетной записи пользователя с указанным именем домена или сетевым именем устройства.
• Группы – имена групп пользователей, в которые добавлена учетная запись пользователя.
• Устройство – имя и адрес устройства.
• Источник – тип источника данных о пользователе.
• SID – идентификатор безопасности пользователя.
• Статус учетной записи – статус, соответствующий полученному значению параметра для включения и выключения использования учетной записи.
• Блокировка – статус, соответствующий полученному значению параметра блокировки учетной записи.
• Смена пароля при следующем входе – признак включенного или выключенного состояния параметра, определяющего необходимость смены пользователем его пароля при следующем входе в систему.
• Запрет смены пароля пользователем – признак включенного или выключенного состояния параметра, определяющего запрет смены пользователем его пароля.
• Срок действия пароля – статус, соответствующий полученному значению параметра для включения и выключения ограничения на срок действия пароля пользователя.
• Данные получены – дата и время последнего получения сведений об учетной записи.
• Описание – описание, заданное для учетной записи.

При контроле пользователей программа регистрирует события по технологии Контроль активов. Для регистрации используется системный тип события, которому присвоен код 4000005600. События регистрируются, если на устройствах автоматически добавлены, изменены или удалены учетные записи пользователей.

Вы можете настроить доступные параметры для типов событий в разделе Параметры → Типы событий.

Сведения о зарегистрированных событиях вы можете просмотреть при подключении к Серверу через веб-интерфейс.

В начало