ممیزی دسترسی به سیستم فایل حسابرسی اکتیو دایرکتوری با استفاده از ابزارهای سیستم عامل

برای بررسی دسترسی به فایل ها و پوشه ها در ویندوز سرور 2008 R2، باید تابع audit را فعال کنید و همچنین پوشه ها و فایل هایی را که دسترسی به آنها باید ثبت شود را مشخص کنید. پس از تنظیم ممیزی، گزارش سرور حاوی اطلاعاتی در مورد دسترسی و سایر رویدادها در فایل‌ها و پوشه‌های انتخاب شده خواهد بود. شایان ذکر است که ممیزی دسترسی به فایل ها و پوشه ها فقط بر روی حجم ها با سیستم فایل NTFS قابل انجام است.

ممیزی اشیاء سیستم فایل را در Windows Server 2008 R2 فعال کنید

حسابرسی دسترسی برای فایل‌ها و پوشه‌ها با استفاده از خط‌مشی‌های گروه فعال و غیرفعال می‌شود: خط‌مشی دامنه برای دامنه فعالدایرکتوری یا سیاست های محلیامنیت برای جداگانه سرورهای ایستاده. برای فعال کردن حسابرسی در یک سرور جداگانه، باید کنسول مدیریت سیاست محلی را باز کنید شروع ->همهبرنامه ها ->اداریابزار ->محلیامنیتخط مشی. در کنسول سیاست محلی، باید درخت سیاست محلی را گسترش دهید ( محلیسیاست های)و یک عنصر را انتخاب کنید حسابرسیخط مشی.

که در پنل سمت راستشما باید یک عنصر را انتخاب کنید حسابرسیهدف - شیدسترسی داشته باشیدو در پنجره ای که ظاهر می شود، مشخص کنید که چه نوع رویدادهای دسترسی به فایل ها و پوشه ها باید ضبط شوند (دسترسی موفق/ ناموفق):

پس از انتخاب تنظیمات لازمنیاز به فشار دادن خوب.

انتخاب فایل ها و پوشه هایی که دسترسی به آنها ثبت می شود

پس از فعال شدن دسترسی ممیزی به فایل ها و پوشه ها، باید انتخاب کنید اشیاء خاصسیستم فایل که دسترسی به آن ممیزی خواهد شد. درست مانند مجوزهای NTFS، تنظیمات ممیزی به طور پیش‌فرض به همه اشیاء فرزند به ارث می‌رسد (مگر اینکه پیکربندی دیگری انجام شده باشد). درست مانند هنگام تخصیص حقوق دسترسی به فایل ها و پوشه ها، ارث بری تنظیمات ممیزی را می توان برای همه یا فقط اشیاء انتخاب شده فعال کرد.

برای تنظیم ممیزی برای یک پوشه/فایل خاص، باید روی آن کلیک کنید کلیک راستماوس را انتخاب کنید و Properties را انتخاب کنید ( خواص). در پنجره خصوصیات، به تب Security بروید ( امنیت) و دکمه را فشار دهید پیشرفته. در پنجره تنظیمات امنیتی پیشرفته ( پیشرفتهامنیتتنظیمات) به تب حسابرسی بروید ( حسابرسی). البته تنظیم حسابرسی مستلزم حقوق مدیر است. در این مرحله، پنجره ممیزی لیستی از کاربران و گروه هایی را که ممیزی برای این منبع فعال است نمایش می دهد:

برای افزودن کاربران یا گروه هایی که دسترسی به این شیرفع خواهد شد، باید دکمه را فشار دهید اضافه کردن…و نام این کاربران/گروه ها را مشخص کنید (یا مشخص کنید هر کس- برای بررسی دسترسی همه کاربران):

بلافاصله پس از اعمال این تنظیمات در گزارش سیستم امنیتی (شما می توانید آن را در کامپیوترمدیریت ->نمایشگر رویدادها)، هر بار که به اشیایی که ممیزی برای آنها فعال است دسترسی پیدا می کنید، ورودی های مربوطه ظاهر می شوند.

همچنین، رویدادها را می توان با استفاده از PowerShell cmdlet − مشاهده و فیلتر کرد Get-EventLogبه عنوان مثال، برای نمایش همه رویدادها با eventid 4660، دستور را اجرا کنید:

امنیت Get-EventLog | ?($_.eventid -eq 4660)

مشاوره. این امکان وجود دارد که اقدامات خاصی را به هر رویدادی در گزارش ویندوز اختصاص دهید، مانند ارسال پست الکترونیکیا اجرای اسکریپت نحوه پیکربندی این در مقاله توضیح داده شده است:

UPD از 06.08.2012 (با تشکر از مفسر).

در ویندوز 2008/ویندوز 7 مدیریت حسابرسی معرفی شد ابزار ویژه auditpol. لیست کاملانواع اشیایی که ممیزی را می توان برای آنها فعال کرد را می توان با استفاده از دستور مشاهده کرد:

Auditpol /list /subcategory:*

همانطور که می بینید، این اشیا به 9 دسته تقسیم می شوند:

• سیستم
• ورود/خروج
• دسترسی به شی
• استفاده از امتیاز
• ردیابی دقیق
• تغییر سیاست
• مدیریت حساب
• DS Access
• ورود به حساب کاربری

و هر یک از آنها، بر این اساس، به زیر شاخه ها تقسیم می شوند. به عنوان مثال، دسته حسابرسی Object Access شامل یک زیر شاخه است سیستم فایلو برای فعال کردن ممیزی برای اشیاء سیستم فایل در رایانه، دستور زیر را اجرا کنید:

Auditpol /set /subcategory:"File System" /failure:enable /success:enable

بر این اساس با دستور غیرفعال می شود:

Auditpol /set /subcategory:"File System" /failure:disable /success:disable

آن ها اگر ممیزی زیرمجموعه های غیر ضروری را غیرفعال کنید، می توانید حجم گزارش و تعداد رویدادهای غیرضروری را به میزان قابل توجهی کاهش دهید.

پس از فعال شدن دسترسی ممیزی به فایل ها و پوشه ها، باید اشیاء خاصی را که ما نظارت خواهیم کرد (در ویژگی های فایل ها و پوشه ها) مشخص کنید. به خاطر داشته باشید که به طور پیش‌فرض، تنظیمات ممیزی به همه شی‌های فرزند به ارث می‌رسد (مگر اینکه خلاف آن مشخص شده باشد).

سلام به همه!

ما همچنان به انتشار برگه های تقلب در راه اندازی حسابرسی ادامه می دهیم سیستم های مختلف، آخرین بار در مورد AD habrahabr.ru/company/netwrix/blog/140569 صحبت کردیم، امروز به بحث سرورهای فایل می پردازیم. باید گفت که اغلب ما تنظیمات ممیزی را برای سرورهای فایل انجام می دهیم - در هنگام نصب آزمایشی با مشتریان. هیچ چیز پیچیده ای در این کار وجود ندارد، فقط سه مرحله ساده:

• ممیزی را روی اشتراک‌گذاری فایل تنظیم کنید
• سیاست های حسابرسی کلی و جزئی را پیکربندی و اعمال کنید
• تنظیمات گزارش رویداد را تغییر دهید

اگر تو داری تعداد زیادی ازاشتراک‌گذاری‌های فایل، دسترسی به آن اغلب توسط کارمندان مورد نیاز است - توصیه می‌کنیم فقط تغییرات در اشیاء حسابرسی را نظارت کنید. ردیابی همه رویدادها می تواند منجر به حجم زیادی از داده های اضافی در گزارش ها شود که اهمیت خاصی ندارند.

تنظیم حسابرسی در منابع فایل

تنظیم خط مشی حسابرسی کلی

به منظور کنترل تغییرات در سرور فایل، باید یک خط مشی حسابرسی را پیکربندی کنید. قبل از تنظیم یک خط‌مشی، مطمئن شوید که حساب شما عضوی از گروه Administrators است یا اینکه حق مدیریت حسابرسی و گزارش‌های رویداد را در قسمت Snap-in Group Policy دارید.

تنظیم یک خط مشی حسابرسی دقیق

تنظیم گزارش رویداد

به منظور کنترل موثر تغییرات، لازم است که گزارش رویدادها، یعنی مجموعه، پیکربندی شود حداکثر اندازهمجلات اگر اندازه کافی نیست، رویدادها ممکن است قبل از رسیدن به پایگاه داده مورد استفاده توسط برنامه کنترل تغییر شما بازنویسی شوند.

در نهایت، می‌خواهیم اسکریپتی را به شما پیشنهاد کنیم که خودمان هنگام تنظیم ممیزی در سرورهای فایل از آن استفاده می‌کنیم. اسکریپت ممیزی روی همه اشتراک‌ها را برای هر رایانه در یک OU مشخص پیکربندی می‌کند. به این ترتیب شما مجبور نیستید تنظیمات را در هر کدام فعال کنید منبع فایلبه صورت دستی

قبل از اجرای اسکریپت، باید خط 19 را ویرایش کنید - مقادیر مورد نیاز را به جای "your_ou_name" و "your_domain" وارد کنید. اسکریپت باید تحت یک حساب کاربری که دارای حقوق سرپرست دامنه است اجرا شود.

می‌توانید اسکریپت را در پایگاه دانش ما دریافت کنید یا متن زیر را در فایل ps1 ذخیره کنید:

#import-module activedirectory #$path = $args; # \\fileserver\share\folder $account = "همه" # $args; $flavor = "موفقیت، شکست" #$args; $ flags = "readdata ، writedata ، appenddata ، writextendedattributes ، deletesubdirectoriesandfiles ، writeattributes ، chankpermissions ، takeprmissions" $ وراثت = "containerinherit" objectInherit "$ spropation =" none "$ comps = get -adompomputer * your_ou_name,DC=your_domain,DC=your_domain" | select -exp DNSHostName foreach ($comp در $comps) ($shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 و نامی مانند "%[^$]" | انتخاب -exp name foreach ( $share در $shares) ($path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Access,Audit") $ace = new-object System.Security.AccessControl.FileSystemAuditRule($account، $flags، $inheritance، $propagation، $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ))

ظهر بخیر دوستان و همکاران امروز ما در مورد نحوه ردیابی تغییرات در سرورهای فایل خود صحبت خواهیم کرد، یعنی چه کسی با فایل چه کاری انجام داده است. تصادفی حذفش کردی؟ به دلایلی ایجاد شده است فایل غیر ضروریو غیره. البته حداقل سه مورد ارتباط نزدیکی با این موضوع دارد: شرح مستند به اشتراک گذاری فایل ها، استفاده از فیلترهای فایل (ممنوعیت نوع خاصیفایل ها) و سیستمی برای محدود کردن اندازه ذخیره سازی (سیستم سهمیه). اما این موارد بسیار فراتر از محدوده یک مقاله خواهد بود. اگر موضوع مورد تقاضا باشد، مقالاتی در مورد این موضوعات در آینده ظاهر خواهند شد.

برای ادمین‌های با تجربه که قبلاً کارهای مشابهی انجام داده‌اند، چیز جدیدی در اینجا پیدا نخواهید کرد. فن آوری های حسابرسی مدت ها پیش ظاهر شد. من به سادگی تجربه خود را به اشتراک می گذارم و نظر خود را در مورد مواردی که به نظر من در سرورهای فایل در یک شبکه دامنه به سادگی ضروری هستند، بیان می کنم.

ابتدا باید حسابرسی پیشرفته را از طریق Group Policy فعال کرده و آن را اعمال کنیم سرورهای مناسب. من آن را در آزمون انجام خواهم داد سرور ویندوزسرور 2008 R2، همه چیز در شبکه من در R2 2012 انجام شد. اصل و رابط تقریباً یکسان است. به طور کلی، سیستم حسابرسی از روزهای ویندوز سرور 2000 ظاهر شده است (شاید حتی در NT، اما این مهم نیست)، به طور فعال توسط بسیاری از مدیران استفاده و استفاده می شود. با نسخه 2008، حسابرسی پیشرفته نیز در دسترس قرار گرفت. من از ممیزی قدیمی و جدید استفاده کردم تا اینکه متوجه نوآوری های قوی شدم. اما به طور کلی، حسابرسی جدید در مدیریت و تنظیمات انعطاف پذیرتر است. مهمترین مزیت این فناوری امکان انجام ممیزی فقط بر روی منبع مورد نیاز ما است. از اینجا، تقریباً تمام رویدادهای امنیتی به ترتیبی که ما نیاز داریم در گزارش نمایش داده می شوند، جایی که هیچ چیز اضافی وجود ندارد. از این رو اندازه مجله به طور قابل توجهی کوچکتر است.

در مدیریت خط مشی گروه، به بخش Group Policy بروید و یک GPO جدید در آنجا ایجاد کنید:

تماس گرفت، روی OK کلیک کرد. حال باید به سراغ ویژگی های شی جدید بروید. همه چیز مربوط به ممیزی و سایر امنیت تقریباً همیشه در پیکربندی رایانه است، بنابراین ما بلافاصله به اینجا می رویم (نگاه کنید به اسکرین شات):

در تنظیمات امنیتی، ما باید پارامترهای گزارش امنیتی را "تنظیم" کنیم (در بخش "گزارش رویداد") و در واقع خود ممیزی را پیکربندی کنیم (در بخش "پیکربندی خط مشی حسابرسی پیشرفته"):

من به حداقل توضیح خواهم داد، زیرا ... همه چیز کاملا فردی است ما اندازه را تنظیم می کنیم (به احتمال زیاد 100-200 مگابایت، بسته به اندازه پوشه شبکه و تعداد کاربران)، مجموعه حداکثر مدتذخیره رویدادها (2 هفته برای من کافی است)، روش ذخیره "روز به روز" به طور خودکار جایگزین می شود. من فکر می کنم هیچ چیز پیچیده ای در اینجا وجود ندارد. حالا بیایید حسابرسی را تنظیم کنیم، مهمترین چیز برای ما:

نحوه رسیدن به آن: بهترین حالت با چشمان شما در اسکرین شات دیده می شود. لطفاً توجه داشته باشید که علیرغم اینکه ما اشتراک فایل را ممیزی خواهیم کرد، هنوز باید "ممیزی سیستم فایل" را انتخاب کنیم. اکنون سعی می کنم دلیل آن را توضیح دهم. واقعیت این است که اگر "اطلاعات حسابرسی در مورد یک منبع فایل مشترک" را انتخاب کنید، که منطقی تر به نظر می رسد، سپس یک حسابرسی بسیار (تکرار می کنم، "بسیار") از ALL پوشه های شبکههمه رویدادها، از جمله فقط دیدگاه ها، همگام سازی شبکه، خواندن صفات و بسیاری از رویدادهای دیگر. شخصا لاگ من چیزی شبیه به این رشد کرد: یک ساعت = 50-100 مگابایت لاگ در روز، شب با فعالیت صفر = 30 مگابایت. به طور کلی، من قویاً فعال کردن این چک باکس را توصیه نمی کنم. ما به یک پوشه خاص و رویدادهای خاص (تغییر/ایجاد/حذف) علاقه مندیم، بنابراین سیستم فایل را انتخاب می کنیم. این لحظه (فرایند انتخاب ممیزی) است که در اینترنت ضعیف توصیف شده است؛ همه چیز به صورت سطحی نشان داده شده است. حتی در کتاب درسی رسمی من توضیحی در مورد تمام تفاوت های ظریف پیدا نکردم. نوع رویدادها "موفقیت" است (زمانی که عملیات با یک فایل و پوشه موفقیت آمیز بود)، اگرچه امکان بررسی "شکست ها" وجود دارد، یعنی. تلاش برای انجام کاری در غیاب حقوق خودتون اینجا رو ببینید

حالا بیایید سیاست را بهینه کنیم. ابتدا آن را روی سرور اعمال می کنیم. در مورد من، من همه چیز را در کنترل کننده دامنه انجام می دهم و بنابراین برای Domain Controllers OU اعمال می کنم. خدمات فایلروی یک کنترل کننده دامنه کار کنید که خوب نیست. اما بنا به دلایلی این اتفاق افتاد.ما "تأیید شده" را حذف می کنیم تا این خط مشی برای سرورهای دیگر اعمال نشود (من کنترل کننده های دامنه دیگری دارم):

روی "افزودن" کلیک کنید، نوع شی "رایانه ها" را مشخص کنید و نام سرور ما را در آنجا وارد کنید:

بیایید سیاست را حتی بهتر صیقل دهیم. برای سرعت بخشیدن به اجرای خط مشی، مایکروسافت توصیه می کند که همیشه مشخص کنید که کدام پیکربندی اعمال شود و کدام یک اعمال نشود. در غیر این صورت، سعی می شود تنظیمات رایانه و کاربر به طور همزمان اعمال شود. خط مشی ما روی رایانه اعمال می شود، بنابراین می توانیم این را در وضعیت خط مشی نشان دهیم. در technet می نویسند که به این ترتیب کنترل کننده دامنه را تخلیه می کنیم.

بررسی کنترلسیاستمداران بررسی نتایج: قسمت اول تکمیل شد. حالا بریم سراغ فایل سرور. بیایید مطمئن شویم که پوشه روی شبکه تنظیم شده است دسترسی عمومی:

و به تب "امنیت" یا بهتر است به بخش "پیشرفته" بروید:

ما به برگه "حسابرسی" علاقه مندیم:

اکنون خالی است زیرا هیچ چیز پیکربندی نشده است. حالا ما چیزی را اضافه می کنیم که SACL (سیستم لیست های کنترل دسترسی) نامیده می شود. تفاوت آن با NTFS ACL در این است که فقط یک ممیزی است، ما اساساً هیچ حقوقی به پوشه نمی دهیم، بنابراین شما نباید این لیست را به عنوان یک لیست در نظر بگیرید. دسترسی واقعیبه پوشه به یاد داشته باشید که این کاملا متفاوت است. به همین دلیل است که گروه Everyone را اضافه می کنم و معیار حسابرسی لازم را ارائه می کنم:

علامت کادر انتخاب «افزودن عناصر حسابرسی، به ارث رسیده...» را برداریم؛ ممکن است در آینده مفید باشد. به هر حال، در آینده می‌توانیم سهام شبکه را در یک سهم دیگر حسابرسی کنیم. اگر چک باکس را ترک کنید، مشکلی نیست.

همچنین نوع ممیزی را خودتان نگاه کنید. من به بررسی تغییرات فایل نیاز دارم، می توان آن را حتی انعطاف پذیرتر کرد، اما باید به خاطر داشته باشید که بار روی سرور و اندازه گزارش را افزایش دهید.

تنظیمات ممیزی برای پوشه ممکن است برای مدتی اعمال شود (پنجره برنامه وضعیت ظاهر می شود). پس از تمام این اقدامات، بیایید به قسمت سوم - تأیید صحت حرکت کنیم.

ما خط مشی جدید را در سرور فایل اعمال می کنیم و می بینیم که آیا اعمال می شود (دستورهای gpupdate /force و gpresult /r):

برای من کار کرد. اکنون به گزارش امنیتی می روم و آن را پاک می کنم:

الان قسمت خوبش شروع میشود. من سعی می کنم از طریق یک رایانه شخصی دیگر به پوشه از طریق شبکه دسترسی پیدا کنم و چیزی را تغییر دهم. در تئوری، بلافاصله پس از این رویدادی مانند "چه کسی انجام داد / چه کرد / چه زمانی و غیره" ظاهر می شود:

همه چیز در رویداد نمایش داده می شود. اما وقتی رویدادهای زیادی وجود دارد، استفاده از مجله چندان راحت نیست. بنابراین توصیه می شود لاگین را ذخیره کنید فرمت مناسب(csv، txt، evtx، xml) و فایل از قبل تشکیل شده را بیشتر شکنجه کنید. همین. از حسابرسی استفاده کنید، همکاران. وقتی مدرکی دال بر گناهکاری کسی دارید، بسیار مفید است و یک مکان را تا حد زیادی برای ادمین پوشش می دهد.

به روز شده: دوستان، باید بدانید که ممیزی سرور را بارگذاری می کند و ممکن است عملکرد کمی کاهش یابد. از جانب تجربه شخصیتوصیه می کنم بعد از یک هفته کار به سرور بروید و اندازه لاگ و همچنین نوع رویدادها را بررسی کنید. ناگهان مجله بسیار رشد کرده است و اندازه شما در GPO کافی نیست. یا حسابرسی کلاً از کار افتاد. به طور کلی، حداقل گاهی اوقات بر کار حسابرسی نظارت کنید.

دوستان! به ما بپیوندید

برای اعمال تغییرات، باید خط مشی محلی خود را به روز کنید.

فعال کردن ممیزی یک شی خاص

ما قبلاً قابلیت بررسی دسترسی به یک شی فایل را فعال کرده ایم سیستم های NTFS. اکنون تنها کاری که باید انجام دهیم این است که مشخص کنیم کدام اجسام باید مشاهده شوند. برای انجام این کار، یک پنجره را باز کنید خواصشی انتخاب شده و به تب بروید ایمنی. بعد باید روی دکمه کلیک کنید علاوه بر اینو در پنجره باز شده به تب بروید حسابرسی. اقدامات بعدیرا می توان به صورت زیر توصیف کرد:

1. دکمه را فشار دهید اضافه کردنو یک کاربر یا گروهی از کاربران را اضافه کنید که می خواهیم اقدامات آنها را نظارت کنیم.
2. ما دامنه ممیزی را پیکربندی می کنیم (فقط پوشه را بازرسی کنید، پوشه و محتویات آن را بررسی کنید و غیره)
3. ما یا ممیزی اقدامات موفق یا ممیزی اقدامات ناموفق در رابطه با شی را انتخاب می کنیم.
4. ما آن دسته از اقداماتی را انتخاب می کنیم که باید مستند شوند. مثلا با انتخاب حذفشما به رایانه دستور می دهید که فقط آن دسته از اقدامات کاربر را که شامل حذف یک شی است، مستند کند. همه اقدامات پیشنهادی حقوق دسترسی به یک فایل یا پوشه هستند، می توانید با آنها آشنا شوید.
5. ذخیره تغییرات.

چگونه می توانم نتایج یک ممیزی دسترسی به شی را مشاهده کنم؟

برای دریافت نتایج ممیزی سیستم فایل NTFS، لطفاً مراجعه کنید لاگ ویندوز و از پنجره عبور کن ایمنی. در آنجا یک لیست طولانی غیرمعمول از تمام اقدامات مرتبط با امنیت رایانه دریافت خواهید کرد. در میان آنهاست که اسنادی در مورد تلاش برای دسترسی به شی خود پیدا خواهید کرد. با استفاده از مرتب سازی، مطمئن هستم که اسناد مورد نظر خود را به راحتی پیدا خواهید کرد.

چگونه قابلیت ممیزی فایل سیستم NTFS را از طریق رجیستری فعال کنیم؟

این مورد، همانطور که قبلاً گفتم، برای دارندگان Windows Starter یا Home Basic مورد توجه خواهد بود. آنها به ویرایشگر خط مشی گروه محلی دسترسی ندارند، اما به رجیستری دسترسی دارند. و رجیستری به شما امکان می دهد همان اقداماتی را که ویرایشگر سیاست محلی انجام می دهد انجام دهید. فقط متأسفانه پارامتر دوم را پیدا نکردم که سیاست دوم را کپی می کند. من شما را با پارامتر اول آشنا می کنم: پارامتر

HKLM\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy

باید از 0 به 1 تغییر کند. اگر پارامتر دوم را پیدا کردید، لطفاً در نظرات بنویسید.

همانطور که قبلاً گفتم، امنیت حساب های کاربری و محرمانه بودن اطلاعات کسب و کار شما این روزها ارزش مراقبت دارد. در مقاله‌های قبلی در مورد سیاست‌های امنیتی محلی، با تکنیک‌هایی برای استفاده از سیاست‌های امنیتی محلی و خط‌مشی‌های حساب آشنا شدید که می‌توانید از آنها برای بهبود چشمگیر امنیت حساب‌های کاربری خود استفاده کنید. اکنون که سیاست های امنیتی حساب را به درستی پیکربندی کرده اید، دسترسی مهاجمان به حساب های کاربری بسیار دشوارتر خواهد بود. اما فراموش نکنید که این وظیفه شما تضمین امنیت است. زیرساخت شبکهتمام نمی شود تمام تلاش های نفوذ و احراز هویت ناموفق کاربران شما باید ثبت شود تا بدانیم آیا باید اقدامی انجام دهیم یا خیر. اقدامات اضافیبرای اطمینان از ایمنی تأیید چنین اطلاعاتی به منظور تعیین فعالیت در شرکت، حسابرسی نامیده می شود.

فرآیند ممیزی از سه کنترل استفاده می کند: خط مشی حسابرسی، تنظیمات حسابرسی روی اشیاء و گزارش "ایمنی"، جایی که رویدادهای مرتبط با امنیت ثبت می شوند، مانند ورود/خروج سیستم، استفاده از امتیازات و دسترسی به منابع. در این مقاله به سیاست های حسابرسی و تجزیه و تحلیل بعدی رویدادها در گزارش می پردازیم "ایمنی".

سیاست حسابرسی

یک خط مشی حسابرسی، سیستم کاربر و گروه خاصی را برای ممیزی فعالیت پیکربندی می کند. برای پیکربندی سیاست های حسابرسی، در ویرایشگر کنترل سیاست های گروهشما باید گره را باز کنید پیکربندی کامپیوتر/پیکربندی ویندوز/تنظیمات امنیتی/خط‌مشی‌های محلی/خط‌مشی حسابرسی. لطفاً به یاد داشته باشید که به طور پیش فرض تنظیم خط مشی حسابرسی برای ایستگاه های کاری روی تنظیم شده است "تعریف نشده". در مجموع، می توانید نه سیاست حسابرسی را پیکربندی کنید که در تصویر زیر نشان داده شده است:

برنج. 1. گره "سیاست حسابرسی"

درست مانند سایر سیاست های امنیتی، برای پیکربندی حسابرسی باید یک تنظیم خط مشی تعریف کنید. بعد از دوبار کلیک کنیدروی هر یک از گزینه ها کلیک چپ کنید، گزینه را علامت بزنید "تنظیمات خط مشی زیر را تعریف کنید"و گزینه هایی را برای حسابرسی موفقیت، شکست یا هر دو نوع رویداد مشخص کنید.

برنج. 2. ویژگی های خط مشی حسابرسی "دسترسی به خدمات دایرکتوری حسابرسی"

پس از پیکربندی خط مشی حسابرسی، رویدادها در گزارش امنیتی ثبت خواهند شد. شما می توانید این رویدادها را در گزارش امنیتی مشاهده کنید. بیایید نگاهی دقیق تر به هر خط مشی حسابرسی بیندازیم:

حسابرسی ورود. خط‌مشی فعلی تعیین می‌کند که آیا سیستم‌عامل کاربری که این خط‌مشی ممیزی برای رایانه‌اش اعمال می‌شود، هر تلاش برای ورود یا خروج کاربر را بررسی می‌کند یا خیر. به عنوان مثال، هنگامی که یک کاربر با موفقیت وارد رایانه می شود، یک رویداد ورود به حساب ایجاد می شود. رویدادهای خروج هر زمان که یک حساب کاربری وارد شده به سیستم پایان می یابد ایجاد می شود. ممیزی موفقیت آمیز به معنای ایجاد یک رکورد حسابرسی برای هر تلاش موفق برای ورود به سیستم است. حسابرسی شکست به معنای ایجاد یک پرونده حسابرسی برای هر تلاش ناموفق برای ورود به سیستم است.

ممیزی دسترسی به اشیا. این سیاستممیزی امنیتی تلاش برای دسترسی کاربر به اشیایی که به آنها مرتبط نیستند اکتیو دایرکتوری. چنین اشیایی شامل فایل ها، پوشه ها، چاپگرها، پارتیشن ها می شود رجیستری سیستم، که داده می شود لیست های خوددر لیست کنترل دسترسی سیستم (SACL). ممیزی فقط برای اشیایی ایجاد می‌شود که فهرست‌های کنترل دسترسی مشخص شده دارند، مشروط بر اینکه نوع دسترسی درخواستی و حسابی که درخواست را انجام می‌دهد با تنظیمات موجود در آن لیست‌ها مطابقت داشته باشد.

ممیزی دسترسی به سرویس دایرکتوری. با استفاده از این خط مشی امنیتی، می توانید تعیین کنید که آیا رویدادهای مشخص شده در لیست کنترل دسترسی سیستم (SACL) که می توانید در کادر محاوره ای ویرایش کنید، ممیزی شوند یا خیر. « گزینه های اضافیامنیت"ویژگی های شی اکتیو دایرکتوری حسابرسی فقط برای اشیایی ایجاد می شود که برای آنها لیست سیستمکنترل دسترسی، مشروط بر اینکه نوع دسترسی درخواستی و حساب درخواست کننده با پارامترهای موجود مطابقت داشته باشد این لیست. این سیاست تا حدودی شبیه به سیاست است "ممیزی دسترسی به شی". ممیزی موفقیت به معنای ایجاد یک رکورد حسابرسی هر زمان که کاربر با موفقیت به آن دسترسی پیدا کرد به شیء فعالدایرکتوری که جدول SACL برای آن تعریف شده است. ممیزی شکست به معنای ایجاد یک رکورد ممیزی زمانی است که کاربر نتواند به یک شی اکتیو دایرکتوری که دارای SACL تعریف شده است دسترسی پیدا کند.

حسابرسی تغییر خط مشی. این خط مشی حسابرسی مشخص می کند که آیا سیستم عامل هر تلاشی برای تغییر انتساب حقوق کاربر، حسابرسی، حساب یا خط مشی اعتماد را بررسی می کند یا خیر. موفقیت های حسابرسی به معنای ایجاد سابقه حسابرسی هر زمان که خط مشی های انتساب حقوق کاربر، خط مشی های حسابرسی یا خط مشی ها با موفقیت تغییر کرد. روابط اعتماد. ممیزی شکست به معنای ایجاد یک پرونده حسابرسی هر زمان که تلاش برای تغییر خط‌مشی‌های انتساب حقوق کاربر، خط‌مشی‌های حسابرسی یا خط‌مشی‌های اعتماد با شکست مواجه شد.

تغییرات امتیاز حسابرسی. با استفاده از این خط مشی امنیتی، می توانید تعیین کنید که آیا استفاده از امتیازات و حقوق کاربر مورد بررسی قرار می گیرد یا خیر. موفقیت های حسابرسی به معنای ایجاد سابقه حسابرسی برای هر استفاده موفق از حق کاربر است. حسابرسی شکست به معنای ایجاد یک پرونده حسابرسی برای هر استفاده ناموفق از حق کاربر است.

ممیزی ردیابی فرآیند. خط مشی ممیزی فعلی تعیین می کند که آیا سیستم عامل رویدادهای مرتبط با فرآیند، مانند ایجاد و خاتمه فرآیند، فعال سازی برنامه و دسترسی غیرمستقیم به شی را بررسی می کند یا خیر. حسابرسی موفقیت به معنای ایجاد یک رکورد حسابرسی برای هر رویداد موفق مرتبط با یک فرآیند نظارت شده است. حسابرسی شکست به معنای ایجاد یک رکورد حسابرسی برای هر رویداد ناموفق مرتبط با فرآیند نظارت شده است.

ممیزی رویدادهای سیستم. این خط‌مشی امنیتی بسیار ارزشمند است زیرا با این خط‌مشی است که می‌توانید متوجه شوید که آیا رایانه کاربر بیش از حد بارگذاری شده است، آیا اندازه گزارش امنیتی از آستانه هشدار فراتر رفته است یا خیر، آیا رویدادهای ردیابی شده به دلیل نقص حسابرسی از بین رفته‌اند یا خیر، و حتی تغییراتی ایجاد شده است که می تواند بر امنیت سیستم یا ثبت نام امنیتی و از جمله تغییر زمان سیستم تأثیر بگذارد. حسابرسی موفقیت به معنای ایجاد یک رکورد حسابرسی برای هر رویداد موفق سیستم است. حسابرسی شکست به معنای ایجاد یک رکورد حسابرسی برای هر رویداد سیستمی است که با شکست مواجه می شود.

رویدادهای ورود به سیستم حسابرسی. با این خط مشی حسابرسی، می توانید مشخص کنید که آیا سیستم عامل هر بار که این رایانه اعتبارنامه ها را بررسی می کند، ممیزی انجام دهد یا خیر. وقتی از این خط‌مشی استفاده می‌شود، رویدادی برای ورود کاربران محلی و راه دور ایجاد می‌شود. اعضای دامنه و رایانه های غیر دامنه توسط حساب های محلی خود مورد اعتماد هستند. زمانی که کاربر سعی می کند به پوشه به اشتراک گذاشته شدهدر سرور، رویداد ورود از راه دور در گزارش امنیتی ثبت می شود، اما رویدادهای خروج از سیستم ثبت نمی شوند. ممیزی موفقیت آمیز به معنای ایجاد یک رکورد حسابرسی برای هر تلاش موفق برای ورود به سیستم است. حسابرسی شکست به معنای ایجاد یک پرونده حسابرسی برای هر تلاش ناموفق برای ورود به سیستم است.

حسابرسی مدیریت حساب. این آخرین سیاستهمچنین بسیار مهم در نظر گرفته می شود زیرا می تواند به شما کمک کند تعیین کنید که آیا باید هر رویداد کنترل حساب را در رایانه خود ممیزی کنید یا خیر. گزارش امنیتی فعالیت هایی مانند ایجاد، انتقال و غیرفعال کردن حساب ها و همچنین تغییر گذرواژه ها و گروه ها را ثبت می کند. حسابرسی موفقیت به معنای ایجاد سابقه حسابرسی برای هر رویداد مدیریت حساب موفق است. حسابرسی شکست به معنای ایجاد سابقه حسابرسی برای هر رویداد مدیریت حساب است که با شکست مواجه می شود.

همانطور که می بینید، همه سیاست های حسابرسی تا حدی بسیار شبیه به هم هستند و اگر حسابرسی همه سیاست ها را برای هر کاربر در سازمان خود تنظیم کنید، دیر یا زود به سادگی در آنها گیج خواهید شد. بنابراین لازم است ابتدا مشخص شود که دقیقاً چه چیزی برای حسابرسی مورد نیاز است. به عنوان مثال، برای اطمینان از اینکه یکی از حساب های شما دائما در حال دسترسی است دسترسی غیرمجازبا روش حدس زدن رمز عبور، می توانید یک ممیزی را مشخص کنید تلاش های ناموفقورود. که در بخش بعدیدر نظر خواهیم گرفت ساده ترین مثالاستفاده از این سیاست ها

نمونه ای از استفاده از خط مشی حسابرسی

فرض کنید یک دامنه testdomain.com داریم که کاربری با آن دارد حساب DImaN.Vista. V در این مثالما این خط مشی را برای این کاربر اعمال می کنیم و می بینیم که در صورت تلاش برای دسترسی غیرمجاز به سیستم، چه رویدادهایی در گزارش امنیتی ثبت می شود. برای بازی کردن وضعیت مشابهاین مراحل را دنبال کنید:

نتیجه

در این مقاله، مطالعه خود را در مورد سیاست های امنیتی ادامه دادیم، یعنی به تنظیمات خط مشی حسابرسی نگاه کردیم که با آن می توانید تلاش های نفوذ و احراز هویت ناموفق کاربران خود را بررسی کنید. تمام نه سیاست امنیتی مسئول حسابرسی در نظر گرفته شده است. همچنین، با استفاده از مثال، نحوه عملکرد سیاست های حسابرسی را با استفاده از خط مشی یاد گرفتید "ممیزی رویدادهای ورود به سیستم". وضعیت ورود غیرمجاز به رایانه کاربر شبیه سازی شد و پس از آن ممیزی انجام شد syslogامنیت.