Per controllare l'accesso a file e cartelle in Windows Server 2008 R2, è necessario abilitare la funzione di controllo e specificare le cartelle ei file a cui si desidera registrare l'accesso. Dopo aver configurato l'audit, il registro del server conterrà informazioni sull'accesso e altri eventi per i file e le cartelle selezionati. Va notato che il controllo dell'accesso a file e cartelle può essere eseguito solo su volumi con file system NTFS.
Come abilitare il controllo per gli oggetti del file system in Windows Server 2008 R2
Il controllo dell'accesso a file e cartelle viene abilitato e disabilitato utilizzando criteri di gruppo: criteri di dominio per il dominio Active Directory o criteri di sicurezza locali per server autonomi. Per abilitare il controllo su un server separato, è necessario aprire la Console di gestione dei criteri locali Inizio ->TuttoProgrammi ->AmministrativoStrumenti ->LocaleSicurezzaPolitica... Nella console della politica locale, espandere l'albero della politica locale ( LocalePolitiche) e seleziona l'elemento AuditPolitica.
Nel riquadro di destra, seleziona l'elemento AuditOggettoAccesso e nella finestra che appare, specificare quali tipi di eventi di accesso a file e cartelle devono essere registrati (accesso riuscito/non riuscito):
Dopo aver selezionato l'impostazione desiderata, è necessario fare clic su OK.
Selezione di file e cartelle il cui accesso verrà registrato
Dopo l'attivazione della verifica dell'accesso a file e cartelle, è necessario selezionare oggetti specifici del file system, il cui accesso verrà verificato. Proprio come le autorizzazioni NTFS, le impostazioni di controllo vengono ereditate per impostazione predefinita su tutti gli oggetti figlio (se non diversamente configurato). Analogamente all'assegnazione delle autorizzazioni a file e cartelle, l'ereditarietà delle impostazioni di controllo può essere abilitata per tutti o solo per gli oggetti selezionati.
Per configurare il controllo per una cartella/file specifico, è necessario fare clic con il tasto destro su di esso e selezionare Proprietà ( Proprietà). Nella finestra delle proprietà, vai alla scheda Sicurezza ( Sicurezza) e premere il pulsante Avanzate... Nella finestra delle impostazioni di sicurezza avanzate ( AvanzateSicurezzaImpostazioni) vai alla scheda Audit ( auditing). L'impostazione del controllo richiede naturalmente i diritti di amministratore. In questa fase, la finestra di audit visualizzerà un elenco di utenti e gruppi per i quali è abilitato l'audit su questa risorsa:
Per aggiungere utenti o gruppi il cui accesso a questo oggetto verrà registrato, è necessario fare clic sul pulsante Aggiungere ... e specificare i nomi di questi utenti/gruppi (o specificare Tutti- per controllare l'accesso di tutti gli utenti):
Immediatamente dopo aver applicato queste impostazioni nel registro di sistema di sicurezza (puoi trovarlo nello snap-in ComputerGestione -> Visualizzatore eventi), ogni volta che si accede a oggetti per i quali è abilitato il controllo, verranno visualizzate le voci corrispondenti.
In alternativa, gli eventi possono essere visualizzati e filtrati utilizzando il cmdlet di PowerShell - Get-EventLog Ad esempio, per visualizzare tutti gli eventi da eventid 4660, eseguire il comando:
Sicurezza Get-EventLog | ? ($ _. eventid -eq 4660)
Consigli... È possibile assegnare azioni specifiche a qualsiasi evento nel registro di Windows, come l'invio di un'e-mail o l'esecuzione di uno script. Come è configurato è descritto nell'articolo:
UPD dal 06/08/2012 (Grazie al commentatore).
In Windows 2008 / Windows 7 è stata aggiunta un'utilità speciale per gestire l'audit auditpol... L'elenco completo dei tipi di oggetti per i quali è possibile abilitare il controllo può essere visualizzato utilizzando il comando:
Auditpol/lista/sottocategoria: *
Come puoi vedere, questi oggetti sono suddivisi in 9 categorie:
- Sistema
- Accesso / Disconnessione
- Accesso agli oggetti
- Uso dei privilegi
- Monitoraggio dettagliato
- Modifica della politica
- Gestione contabile
- Accesso DS
- Accesso all'account
E ciascuno di essi, rispettivamente, è diviso in sottocategorie. Ad esempio, la categoria di controllo dell'accesso agli oggetti include la sottocategoria File System e per abilitare il controllo per gli oggetti del file system sul computer, eseguire il comando:
Auditpol / set / sottocategoria: "File System" / errore: abilitazione / successo: abilitazione
Si spegne, rispettivamente, con il comando:
Auditpol / set / sottocategoria: "File System" / errore: disabilitato / successo: disabilitato
Quelli. Se si disattiva il controllo delle sottocategorie non necessarie, è possibile ridurre notevolmente le dimensioni del registro e il numero di eventi non necessari.
Dopo aver attivato l'audit di accesso a file e cartelle, è necessario specificare gli oggetti specifici che controlleremo (nelle proprietà di file e cartelle). Tieni presente che per impostazione predefinita, le impostazioni di controllo vengono ereditate tra tutti gli oggetti figlio (se non diversamente specificato).
Ciao a tutti!
Continuiamo a pubblicare cheat sheet sull'impostazione dell'auditing di vari sistemi, l'ultima volta che abbiamo parlato di AD habrahabr.ru/company/netwrix/blog/140569, oggi parleremo dei file server. Devo dire che molto spesso eseguiamo le impostazioni di controllo del file server - durante le installazioni pilota con i clienti. Non c'è niente di difficile in questo compito, solo tre semplici passaggi:
- Configura il controllo sulle condivisioni di file
- Configurare e applicare criteri di audit generali e dettagliati
- Modifica le impostazioni del registro eventi
Configurazione del controllo sulle condivisioni di file
Impostazione di una politica di audit generale
Per controllare le modifiche sul file server, è necessario impostare un criterio di controllo. Prima di configurare il criterio, assicurati che il tuo account sia membro del gruppo Administrators o di disporre dei diritti per gestire il controllo e i registri eventi nello snap-in Criteri di gruppo.
Impostazione di una politica di audit dettagliata
Configurazione dei registri eventi
Per controllare efficacemente le modifiche, è necessario configurare i registri eventi, ovvero impostare la dimensione massima dei registri. Se la dimensione non è sufficientemente grande, gli eventi potrebbero essere sovrascritti prima che raggiungano il database utilizzato dall'applicazione per monitorare le modifiche.
Infine, vorremmo offrirti uno script che usiamo noi stessi durante l'impostazione dell'auditing sui file server. Lo script configura l'auditing su tutte le palle per ciascuno dei computer nella data unità organizzativa... Pertanto, non è necessario abilitare manualmente le impostazioni su ciascuna condivisione di file.
Prima di avviare lo script, devi modificare la riga 19: inserisci i valori richiesti invece di "tuo_nome" e "tuo_dominio". Lo script deve essere eseguito con un account con diritti di amministratore di dominio.
Puoi ottenere lo script dalla nostra knowledge base o salvare il testo seguente nel file .ps1:
# directory attiva del modulo di importazione # $ percorso = $ args; # \\ fileserver \ share \ folder $ account = "Tutti" # $ args; $ sapore = "Successo, Fallimento" # $ args; $ flags = "ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership" $ ereditarietà = "ContainerInherit, ObjectInherit" $ propagation = "Nessuno" $ comps = Get-ADComputer -Filter * -Search = your_ou_name, DC = tuo_dominio, DC = tuo_dominio "| select -exp DNSHostName foreach ($ comp in $ comps) ($ share = get-wmiobject -class win32_share -computername $ comp -filter "type = 0 AND name like"% [^ $] "" | select -exp name foreach ( $ share in $ share) ($ path = "\\" + $ comp + "\" + $ share $ path $ acl = (Get-Item $ path) .GetAccessControl ("Accesso, Audit") $ ace = new- oggetto System.Security.AccessControl.FileSystemAuditRule ($ account, $ flag, $ ereditarietà, $ propagazione, $ sapore) $ acl.AddAuditRule ($ ace) set-acl -path $ percorso -AclObject $ acl))
Buon pomeriggio, amici e colleghi. Oggi parleremo di come, dopo tutto, tenere traccia delle modifiche sui file server, ovvero chi e cosa ha fatto con il file; se l'hai cancellato per sbaglio; ha creato un file non necessario per qualche motivo, ecc. Naturalmente, almeno tre cose sono strettamente legate a questo argomento: documentare il file ball, l'uso di filtri di file (che vietano un certo tipo di file) e un sistema per limitare la dimensione dello spazio di archiviazione (sistema delle quote). Ma queste cose andranno ben oltre i limiti di un articolo. Se l'argomento è richiesto, in futuro appariranno articoli su questi argomenti.
Per gli amministratori esperti che hanno già fatto cose simili, non troverai nulla di nuovo qui. Le tecnologie di auditing esistono da molto tempo. Condividerò solo la mia esperienza e darò la mia opinione su alcune delle cose che, secondo me, sono semplicemente necessarie sui file server nella rete del dominio.
Innanzitutto, è necessario abilitare il controllo avanzato tramite Criteri di gruppo e applicarlo ai server richiesti. Lo farò su un server di prova Windows Server 2008 R2, ho fatto tutto sulla mia rete su 2012 R2. Il principio e l'interfaccia sono più o meno gli stessi. In generale, il sistema di audit è apparso dai tempi di Windows Server 2000 (forse anche in NT, ma non è importante), è attivamente utilizzato e applicato da molti amministratori. Con la versione 2008 è entrato in servizio anche l'Audit avanzato. Ho usato sia il vecchio audit che quello nuovo fino a quando non ho notato forti innovazioni dirette. Ma in generale, il nuovo audit è più flessibile nella gestione e nelle impostazioni. Il vantaggio principale di questa tecnologia è la capacità di eseguire audit solo sulla risorsa di cui abbiamo bisogno. Da qui, quasi tutti gli eventi di sicurezza vengono visualizzati nel registro nell'ordine di cui abbiamo bisogno, dove non c'è nulla di superfluo. Quindi, la dimensione del giornale è significativamente più piccola.
Nella gestione delle policy di gruppo, vai alla sezione delle policy di gruppo e crea lì un nuovo GPO:
Mi hanno chiamato, hanno fatto clic su OK. Ora dobbiamo andare alle proprietà del nuovo oggetto. Tutto ciò che riguarda l'auditing e altra sicurezza è quasi sempre entro i limiti della configurazione del computer, quindi è qui che andiamo subito (vedi screenshot):
Nelle impostazioni di sicurezza, dobbiamo "modificare" le impostazioni del registro di sicurezza (nella sezione "Registro eventi") e configurare l'audit stesso (nella sezione "Configurazione avanzata dei criteri di controllo"):
Spiegherò al minimo, perché tutto è puramente individuale. Impostiamo la dimensione (100-200 MB per gli occhi, molto probabilmente, a seconda delle dimensioni della cartella di rete e del numero di utenti), impostiamo il periodo di archiviazione massimo per gli eventi (2 settimane sono sufficienti per me), il metodo di il salvataggio "per giorno" viene automaticamente sostituito. Penso che non ci sia nulla di complicato qui. Ora impostiamo un audit, la cosa più importante per noi:
Come arrivarci: si vede meglio con gli occhi nello screenshot. Tieni presente che, nonostante il fatto che controlleremo una condivisione di file, dobbiamo comunque selezionare "Controllo del file system". Ora proverò a spiegare perché. Il fatto è che se selezioni "Controlla le informazioni su una risorsa file condivisa", che sembrerebbe più logico, allora un controllo molto (ripeto - "molto") dettagliato di TUTTE le cartelle di rete di TUTTI gli eventi, incl. solo visualizzazioni, sincronizzazioni di rete, lettura di attributi e molti, molti altri eventi. Personalmente, il mio log è cresciuto così: un'ora = 50-100 MB di log durante il giorno, notte con zero attività = 30 MB. In generale, sconsiglio vivamente di abilitare questa casella di controllo. Siamo interessati a una cartella specifica e a eventi specifici (cambia / crea / elimina), quindi selezioniamo il file system. Questo stesso momento (il processo di scelta di un audit) è poco descritto su Internet, tutto è indicato superficialmente. Anche nel tutorial ufficiale, non ho trovato una spiegazione di tutte le sfumature. Il tipo di evento è "successo" (quando l'operazione con il file e la cartella è andata a buon fine), sebbene sia possibile anche controllare i "fallimenti", ad es. tenta di fare qualcosa in assenza di diritti. Qui già vedere di persona.
Ora ottimizziamo la politica. Innanzitutto, lo applichiamo al server. Nel mio caso, sto facendo tutto su un controller di dominio e quindi mi rivolgo all'unità organizzativa dei controller di dominio. I servizi di file sono in esecuzione su un controller di dominio, il che non è una buona cosa. Ma per qualche ragione è successo così. Rimuoviamo quelli "autenticati" in modo che la policy non venga applicata ad altri server (devo ad altri controller di dominio):
Fare clic su "Aggiungi", specificare il tipo di oggetti "Computer" e scrivere lì il nome del nostro server:
Lucidiamo ancora meglio la politica. Per accelerare l'applicazione dei criteri, Microsoft consiglia di specificare sempre quali configurazioni applicare e quali non applicare. In caso contrario, si tenta di applicare le configurazioni sia del computer che dell'utente. La nostra politica viene applicata al computer, quindi possiamo indicarlo nello stato della politica. In technete scrivono che in questo modo scarichiamo il controller di dominio.
Controllo della politica. Controllo dei risultati: la prima parte è terminata. Ora andiamo al file server. Assicurati che la cartella sia configurata per la condivisione in rete:
E vai alla scheda "Sicurezza", o meglio alla sezione "aggiuntiva":
Siamo interessati alla scheda "Audit":
Ora è vuoto perché non è configurato nulla. Aggiungeremo ora ciò che chiamiamo SACL (System Access Control Lists). Si differenzia dall'ACL NTFS in quanto è solo un controllo, infatti non diamo alcun diritto alla cartella, quindi non dovresti trattare questo elenco come un elenco di accesso reale alla cartella. Ricorda, questo è completamente diverso. Pertanto, aggiungo il gruppo Tutti e fornisco i criteri di verifica richiesti:
Deseleziona la casella di controllo "Aggiungi elementi di controllo ereditati ...", potrebbe tornare utile per il futuro. Dopotutto, in futuro possiamo condurre un controllo delle condivisioni di rete in un'altra palla. Se lasci la casella di controllo, va bene.
Guarda tu stesso dal tipo di audit. Ho bisogno di un controllo sulle modifiche ai file, puoi renderlo ancora più flessibile, ma devi ricordare l'aumento del carico del server e la dimensione del registro.
Le impostazioni di controllo per una cartella possono essere applicate per un po' di tempo (viene visualizzata la finestra di stato dell'applicazione). Dopo tutte queste azioni, passiamo alla terza parte: la verifica.
Applichiamo la nuova policy sul file server e vediamo se è stata applicata (comandi gpupdate/force e gpresult/r):
Ha funzionato per me. Ora vado al registro di sicurezza e lo pulisco:
Ora arriva la parte divertente. Provo ad accedere alla cartella in rete da un altro PC e cambio qualcosa. In teoria, subito dopo, compare un evento come “chi ha fatto / cosa ha fatto / quando, ecc.”:
Tutto viene visualizzato nell'evento. Ma quando ci sono molti eventi, l'uso del registro non è così conveniente. Pertanto, si consiglia di salvare il registro in un formato conveniente (csv, txt, evtx, xml) e torturare ulteriormente il file già formato. È tutto. Usate un controllo, colleghi. Quando ci sono prove della colpevolezza di qualcuno a portata di mano, è molto utile e copre fortemente un posto per l'amministratore.
Aggiornato: amici, dovreste capire che l'audit carica il server, con esso le prestazioni potrebbero diminuire leggermente. Per esperienza personale, consiglio che dopo una settimana di funzionamento si rechi sul server e si controlli la dimensione del log, oltre che il tipo di eventi. Improvvisamente il diario è cresciuto molto e la tua dimensione nel GPO non è sufficiente. Oppure l'audit ha smesso di funzionare del tutto. In generale, monitorare il lavoro di audit almeno occasionalmente.
Gli amici! Unisciti al nostro
Affinché le modifiche abbiano effetto, è necessario aggiornare la politica locale.
Abilitazione del controllo per un oggetto specifico
Abbiamo già attivato la possibilità di controllare l'accesso a un oggetto nel file system NTFS. Ora non ci resta che indicare quali oggetti devono essere monitorati. Per fare ciò, apri una finestra Proprietà dell'oggetto selezionato e vai alla scheda Sicurezza... Successivamente, è necessario fare clic sul pulsante Inoltre e nella finestra che si apre, vai alla scheda Audit... Ulteriori azioni possono essere descritte dal seguente piano:
- premi il bottone Aggiungere e aggiungi un utente o un gruppo di utenti di cui vogliamo monitorare le attività.
- Configurazione dell'ambito di controllo (controllo delle sole cartelle, controllo di una cartella e dei suoi contenuti, ecc.)
- Scegliamo la verifica delle azioni riuscite o la verifica delle azioni non riuscite in relazione all'oggetto.
- Selezioniamo quelle azioni che dovrebbero essere documentate. Ad esempio, selezionando la voce Eliminazione, indicherai al computer di documentare solo le azioni dell'utente associate all'eliminazione dell'oggetto. Tutte le azioni suggerite sono diritti di accesso a file o cartelle, puoi familiarizzare con loro.
- Salvare le modifiche.
Come faccio a visualizzare i risultati di un controllo di accesso a un oggetto?
Per i risultati dell'audit del file system NTFS, visitare Windows Journal ed esci dalla finestra Sicurezza... Lì riceverai un elenco insolitamente lungo di tutte le azioni relative alla sicurezza del tuo computer. È tra questi che troverai la documentazione sui tentativi di accesso al tuo oggetto. Usando l'ordinamento, sono sicuro che puoi trovare facilmente la documentazione che ti interessa.
Come attivare la possibilità di controllare il file system NTFS tramite il Registro?
Questo elemento, come ho detto, interesserà i possessori di Windows Starter o Home Basic. Non hanno accesso all'Editor Criteri di gruppo locali, ma hanno accesso al Registro di sistema. E il registro ti consente di eseguire le stesse azioni dell'editor dei criteri locali. Solo, purtroppo, non ho trovato un secondo parametro che duplichi il secondo criterio. Ti presento il primo parametro: parametro
HKLM \ System \ CurrentControlSet \ Control \ Lsa \ SCENoApplyLegacyAuditPolicy
deve essere cambiato da 0 a 1. Se trovi il secondo parametro, scrivilo nei commenti.
Come ho detto prima, oggigiorno vale la pena preoccuparsi della sicurezza degli account utente e della riservatezza delle informazioni aziendali. Negli articoli precedenti sui criteri di sicurezza locali sono stati illustrati i metodi per l'utilizzo dei criteri di sicurezza locali e i criteri degli account che è possibile utilizzare per migliorare in modo significativo la sicurezza degli account utente. Ora che hai configurato correttamente i criteri di sicurezza dell'account, sarà molto più difficile per gli aggressori accedere agli account utente. Tieni presente, tuttavia, che il tuo lavoro di protezione della tua infrastruttura di rete non finisce qui. Tutti i tentativi di intrusione e l'autenticazione fallita dei tuoi utenti devono essere registrati per sapere se è necessario adottare misure di sicurezza aggiuntive. Il controllo di queste informazioni per determinare l'attività nell'impresa è chiamato audit.
Il processo di controllo utilizza tre controlli: criteri di controllo, impostazioni di controllo sugli oggetti e un registro. "Sicurezza" dove vengono registrati gli eventi di sicurezza come l'accesso/disconnessione, l'uso dei privilegi e l'accesso alle risorse. In questo articolo, esamineremo specificamente i criteri di controllo e la successiva analisi degli eventi nel registro. "Sicurezza".
Politica di controllo
Un criterio di controllo configura un controllo attività per un utente e un gruppo specifici sul sistema. Per configurare i criteri di controllo, nell'editor Gestione criteri di gruppo, è necessario aprire il nodo Configurazione del computer/Configurazione di Windows/Impostazioni di sicurezza/Criteri locali/Criteri di controllo... Va ricordato che per impostazione predefinita l'impostazione dei criteri di controllo per le workstation è impostata su "Non definito"... In totale, puoi configurare nove criteri di controllo, come mostrato nella seguente illustrazione:
Riso. 1. Nodo "Politica di controllo"
Come con altri criteri di sicurezza, è necessario definire un'impostazione dei criteri per configurare il controllo. Dopo aver fatto doppio clic con il tasto sinistro del mouse su una qualsiasi delle opzioni, seleziona la casella sull'opzione "Definisci le seguenti impostazioni dei criteri" e specificare i parametri per l'audit di successo, fallimento o entrambi.
Riso. 2. Proprietà del criterio di controllo "Controlla l'accesso al servizio di directory"
Una volta configurata la politica di controllo, gli eventi verranno registrati nel registro di sicurezza. È possibile visualizzare questi eventi nel registro di sicurezza. Diamo un'occhiata più da vicino a ciascuna policy di audit:
Controllo di accesso... Il criterio corrente determina se il sistema operativo dell'utente al cui computer si applica questo criterio di controllo controlla ogni tentativo di accesso o disconnessione dell'utente. Ad esempio, quando un utente accede correttamente al computer, viene generato un evento di accesso all'account. Gli eventi di logout vengono generati ogni volta che termina la sessione dell'account utente connesso. Verifica riuscita significa creare un record di verifica per ogni tentativo di accesso riuscito. Controllo fallito significa creare un record di controllo per ogni tentativo di accesso fallito.
Controllo dell'accesso agli oggetti... Questa politica di sicurezza controlla i tentativi degli utenti di accedere a oggetti non correlati ad Active Directory. Questi oggetti includono file, cartelle, stampanti, chiavi di registro di sistema, che sono specificati dai propri elenchi nell'elenco di controllo di accesso al sistema (SACL). Viene generato un controllo solo per gli oggetti per i quali sono specificati gli ACL, a condizione che il tipo di accesso richiesto e l'account che effettua la richiesta corrispondano ai parametri in questi elenchi.
Controllo dell'accesso al servizio directory... Con questa politica di sicurezza, è possibile determinare se gli eventi specificati nell'elenco di controllo di accesso al sistema (SACL), che è possibile modificare nella finestra di dialogo, verranno controllati. "Opzioni di sicurezza avanzate" proprietà dell'oggetto Active Directory. Viene generato un controllo solo per gli oggetti per i quali è specificato un SACL, a condizione che il tipo di accesso richiesto e l'account che effettua la richiesta corrispondano ai parametri in questo elenco. Questa politica è in qualche modo simile alla politica "Audit di accesso agli oggetti"... Verifica riuscita significa creare un record di verifica ogni volta che un utente accede con successo a un oggetto Active Directory per il quale è definita una tabella SACL. Il controllo degli errori significa la creazione di un record di controllo per ogni tentativo dell'utente non riuscito di accedere a un oggetto di Active Directory per il quale è definita una tabella SACL.
Revisione delle modifiche alla politica... Questo criterio di controllo specifica se il sistema operativo controllerà ogni tentativo di modificare i diritti utente, il controllo, l'account o il criterio di attendibilità. Controllo di successo significa creare un record di controllo per ogni modifica riuscita ai criteri di assegnazione dei diritti utente, ai criteri di controllo o ai criteri di attendibilità. Il controllo degli errori significa la creazione di un record di controllo per ogni tentativo non riuscito di modificare i criteri di assegnazione dei diritti utente, i criteri di controllo o i criteri di attendibilità.
Modifiche ai privilegi di controllo... Utilizzando questa politica di sicurezza, è possibile determinare se l'utilizzo dei privilegi e dei diritti utente verrà verificato. Verifica riuscita significa creare un record di verifica per ogni applicazione riuscita di un diritto utente. Il controllo degli errori significa la creazione di un record di controllo per ogni applicazione non riuscita di un diritto utente.
Audit di monitoraggio del processo... Il criterio di controllo corrente determina se il sistema operativo controllerà gli eventi relativi al processo, come la creazione e la chiusura dei processi, nonché l'attivazione del programma e l'accesso indiretto agli oggetti. Audit di successo significa creare un record di audit per ogni evento di successo associato a un processo monitorato. Auditing di errore significa creare un record di audit per ogni evento non riuscito associato a un processo monitorato.
Controllo degli eventi del sistema... Questa politica di sicurezza è di particolare valore, perché è con questa politica che è possibile scoprire se il computer dell'utente è stato sovraccaricato, se la dimensione del registro di sicurezza ha superato la soglia di avviso, se si è verificata una perdita di eventi rilevati a causa di un guasto del sistema di auditing, e anche se sono state apportate modifiche che potrebbero influire sulla sicurezza del sistema o del registro di sicurezza fino alla modifica dell'ora del sistema. Audit di successo significa creare un record di audit per ogni evento di sistema riuscito. Il controllo degli errori significa la creazione di un record di controllo per ogni evento di sistema non riuscito.
Controllo degli eventi di accesso... Con questo criterio di controllo è possibile specificare se il sistema operativo esegue un controllo ogni volta che questo computer convalida le credenziali. Questo criterio genera un evento per l'accesso utente locale e remoto. I membri del dominio e i computer esterni al dominio sono considerati attendibili per i loro account locali. Quando un utente tenta di connettersi a una cartella condivisa su un server, viene registrato un evento di accesso remoto nel registro di sicurezza, ma gli eventi di disconnessione non vengono registrati. Verifica riuscita significa creare un record di verifica per ogni tentativo di accesso riuscito. Controllo fallito significa creare un record di controllo per ogni tentativo di accesso fallito.
Controllo della gestione dell'account... Anche quest'ultimo criterio è considerato molto importante perché è attraverso di esso che è possibile determinare se controllare ogni evento UAC sul computer. Il registro di sicurezza registrerà azioni come la creazione, lo spostamento e la disattivazione di account e la modifica di password e gruppi. Audit di successo significa creare un record di audit per ogni evento di gestione dell'account riuscito. Auditing fallito significa creare un record di audit per ogni evento di gestione dell'account fallito
Come puoi vedere, tutti i criteri di controllo sono in una certa misura molto simili e se imposti un controllo di tutti i criteri per ciascun utente della tua organizzazione, prima o poi ti confonderai semplicemente in essi. Pertanto, è necessario prima determinare cosa è esattamente necessario per l'audit. Ad esempio, per assicurarti che uno dei tuoi account sia costantemente accessibile da attacchi di forza bruta, puoi controllare i tentativi di accesso non riusciti. Nella prossima sezione, esamineremo l'esempio più semplice di utilizzo di queste politiche.
Un esempio di utilizzo della policy di audit
Supponiamo di avere un dominio testdomain.com che ha un utente con l'account DImaN.Vista. in questo esempio, applicheremo la policy a questo utente e vedremo quali eventi vengono scritti nel registro di sicurezza quando viene effettuato un tentativo di accesso non autorizzato al sistema. Per riprodurre questa situazione, attenersi alla seguente procedura:
Conclusione
In questo articolo, abbiamo continuato il nostro studio delle politiche di sicurezza, vale a dire, abbiamo esaminato le impostazioni delle politiche di controllo, con le quali puoi indagare sui tentativi di intrusione e sull'autenticazione fallita dei tuoi utenti. Tutti e nove i criteri di sicurezza responsabili del controllo sono stati rivisti. Inoltre, utilizzando un esempio, hai appreso come funzionano i criteri di audit utilizzando un criterio "Controllo degli eventi di accesso"... La situazione di ingresso non autorizzato nel computer dell'utente è stata emulata, seguita da un controllo del registro di sicurezza.
