Come ho detto prima, oggigiorno vale la pena preoccuparsi della sicurezza degli account utente e della riservatezza delle informazioni aziendali. Negli articoli precedenti sui criteri di sicurezza locali sono stati illustrati i metodi per l'utilizzo dei criteri di sicurezza locali e i criteri degli account che è possibile utilizzare per migliorare in modo significativo la sicurezza degli account utente. Ora che hai configurato correttamente i criteri di sicurezza dell'account, sarà molto più difficile per gli aggressori accedere agli account utente. Tieni presente, tuttavia, che il tuo lavoro di protezione della tua infrastruttura di rete non finisce qui. Tutti i tentativi di intrusione e l'autenticazione fallita dei tuoi utenti devono essere registrati per sapere se è necessario adottare misure di sicurezza aggiuntive. Il controllo di queste informazioni per determinare l'attività nell'impresa è chiamato audit.
Il processo di controllo utilizza tre controlli: criteri di controllo, impostazioni di controllo sugli oggetti e un registro. "Sicurezza" dove vengono registrati gli eventi di sicurezza come l'accesso/disconnessione, l'uso dei privilegi e l'accesso alle risorse. In questo articolo, esamineremo specificamente i criteri di controllo e la successiva analisi degli eventi nel registro. "Sicurezza".
Politica di controllo
Un criterio di controllo configura un controllo attività per un utente e un gruppo specifici sul sistema. Per configurare i criteri di controllo, nell'editor Gestione criteri di gruppo, è necessario aprire il nodo Configurazione del computer/Configurazione di Windows/Impostazioni di sicurezza/Criteri locali/Criteri di controllo... Va ricordato che per impostazione predefinita l'impostazione dei criteri di controllo per le workstation è impostata su "Non definito"... In totale, puoi configurare nove criteri di controllo, come mostrato nella seguente illustrazione:
Riso. 1. Nodo "Politica di controllo"
Come con altri criteri di sicurezza, è necessario definire un'impostazione dei criteri per configurare il controllo. Dopo aver fatto doppio clic con il tasto sinistro del mouse su una qualsiasi delle opzioni, seleziona la casella sull'opzione "Definisci le seguenti impostazioni dei criteri" e specificare i parametri per l'audit di successo, fallimento o entrambi.
Riso. 2. Proprietà del criterio di controllo "Controlla l'accesso al servizio di directory"
Una volta configurata la politica di controllo, gli eventi verranno registrati nel registro di sicurezza. È possibile visualizzare questi eventi nel registro di sicurezza. Diamo un'occhiata più da vicino a ciascuna policy di audit:
Controllo di accesso... Il criterio corrente determina se il sistema operativo dell'utente al cui computer si applica questo criterio di controllo controlla ogni tentativo di accesso o disconnessione dell'utente. Ad esempio, quando un utente accede correttamente al computer, viene generato un evento di accesso all'account. Gli eventi di logout vengono generati ogni volta che termina la sessione dell'account utente connesso. Verifica riuscita significa creare un record di verifica per ogni tentativo di accesso riuscito. Controllo fallito significa creare un record di controllo per ogni tentativo di accesso fallito.
Controllo dell'accesso agli oggetti... Questa politica di sicurezza controlla i tentativi degli utenti di accedere a oggetti non correlati ad Active Directory. Questi oggetti includono file, cartelle, stampanti, chiavi di registro di sistema, che sono specificati dai propri elenchi nell'elenco di controllo di accesso al sistema (SACL). Viene generato un controllo solo per gli oggetti per i quali sono specificati gli ACL, a condizione che il tipo di accesso richiesto e l'account che effettua la richiesta corrispondano ai parametri in questi elenchi.
Controllo dell'accesso al servizio directory... Con questa politica di sicurezza, è possibile determinare se gli eventi specificati nell'elenco di controllo di accesso al sistema (SACL), che è possibile modificare nella finestra di dialogo, verranno controllati. "Opzioni di sicurezza avanzate" proprietà dell'oggetto Active Directory. Viene generato un controllo solo per gli oggetti per i quali è specificato un SACL, a condizione che il tipo di accesso richiesto e l'account che effettua la richiesta corrispondano ai parametri in questo elenco. Questa politica è in qualche modo simile alla politica "Audit di accesso agli oggetti"... Verifica riuscita significa creare un record di verifica ogni volta che un utente accede con successo a un oggetto Active Directory per il quale è definita una tabella SACL. Il controllo degli errori significa la creazione di un record di controllo per ogni tentativo dell'utente non riuscito di accedere a un oggetto di Active Directory per il quale è definita una tabella SACL.
Revisione delle modifiche alla politica... Questo criterio di controllo specifica se il sistema operativo controllerà ogni tentativo di modificare i diritti utente, il controllo, l'account o il criterio di attendibilità. Controllo di successo significa creare un record di controllo per ogni modifica riuscita ai criteri di assegnazione dei diritti utente, ai criteri di controllo o ai criteri di attendibilità. Il controllo degli errori significa creare un record di controllo per ogni tentativo non riuscito di modificare i criteri di assegnazione dei diritti utente, i criteri di controllo o i criteri di attendibilità.
Modifiche ai privilegi di controllo... Utilizzando questa politica di sicurezza, è possibile determinare se l'utilizzo dei privilegi e dei diritti utente verrà verificato. Verifica riuscita significa creare un record di verifica per ogni applicazione riuscita di un diritto utente. Il controllo degli errori significa la creazione di un record di controllo per ogni applicazione non riuscita di un diritto utente.
Audit di monitoraggio del processo... Il criterio di controllo corrente determina se il sistema operativo controllerà gli eventi relativi al processo, come la creazione e la chiusura dei processi, nonché l'attivazione del programma e l'accesso indiretto agli oggetti. Audit di successo significa creare un record di audit per ogni evento di successo associato a un processo monitorato. Auditing di errore significa creare un record di audit per ogni evento non riuscito associato a un processo monitorato.
Controllo degli eventi del sistema... Questo criterio di sicurezza è particolarmente prezioso, perché è con questo criterio che puoi scoprire se il computer dell'utente è stato sovraccarico, se la dimensione del registro di sicurezza ha superato la soglia di avviso, se c'è stata una perdita di eventi monitorati a causa di un guasto del sistema di auditing, e anche se sono state apportate modifiche che potrebbero influire sulla sicurezza del sistema o del registro di sicurezza fino alla modifica dell'ora del sistema. Audit di successo significa creare un record di audit per ogni evento di sistema riuscito. Il controllo degli errori significa creare un record di controllo per ogni evento di sistema non riuscito.
Controllo degli eventi di accesso... Con questo criterio di controllo è possibile specificare se il sistema operativo esegue un controllo ogni volta che questo computer convalida le credenziali. Questo criterio genera un evento per l'accesso utente locale e remoto. I membri del dominio e i computer esterni al dominio sono considerati attendibili per i loro account locali. Quando un utente tenta di connettersi a una cartella condivisa su un server, viene registrato un evento di accesso remoto nel registro di sicurezza, ma gli eventi di disconnessione non vengono registrati. Verifica riuscita significa creare un record di verifica per ogni tentativo di accesso riuscito. Controllo fallito significa creare un record di controllo per ogni tentativo di accesso fallito.
Controllo della gestione dell'account... Anche quest'ultimo criterio è considerato molto importante perché è attraverso di esso che è possibile determinare se controllare ogni evento UAC sul computer. Il registro di sicurezza registrerà azioni come la creazione, lo spostamento e la disattivazione di account e la modifica di password e gruppi. Audit di successo significa creare un record di audit per ogni evento di gestione dell'account riuscito. Auditing fallito significa creare un record di audit per ogni evento di gestione dell'account fallito
Come puoi vedere, tutti i criteri di controllo sono in una certa misura molto simili e se imposti un controllo di tutti i criteri per ciascun utente della tua organizzazione, prima o poi ti confonderai semplicemente in essi. Pertanto, è necessario prima determinare cosa è esattamente necessario per l'audit. Ad esempio, per assicurarti che uno dei tuoi account sia costantemente accessibile da attacchi di forza bruta, puoi controllare i tentativi di accesso non riusciti. Nella prossima sezione, esamineremo l'esempio più semplice di utilizzo di queste politiche.
Un esempio di utilizzo della policy di audit
Supponiamo di avere un dominio testdomain.com che ha un utente con l'account DImaN.Vista. in questo esempio, applicheremo la policy a questo utente e vedremo quali eventi vengono scritti nel registro di sicurezza quando viene effettuato un tentativo di accesso non autorizzato al sistema. Per riprodurre questa situazione, attenersi alla seguente procedura:
Conclusione
In questo articolo, abbiamo continuato il nostro studio delle politiche di sicurezza, vale a dire, abbiamo esaminato le impostazioni delle politiche di controllo, con le quali puoi indagare sui tentativi di intrusione e sull'autenticazione fallita dei tuoi utenti. Tutti e nove i criteri di sicurezza responsabili del controllo sono stati rivisti. Inoltre, utilizzando un esempio, hai appreso come funzionano le politiche di audit utilizzando una politica "Controllo degli eventi di accesso"... È stata emulata la situazione di ingresso non autorizzato nel computer dell'utente, seguita da un controllo del registro di sicurezza.
Per controllare l'accesso a file e cartelle in Windows Server 2008 R2, è necessario abilitare la funzione di controllo e specificare le cartelle ei file a cui si desidera registrare l'accesso. Dopo aver configurato l'audit, il registro del server conterrà informazioni sull'accesso e altri eventi per i file e le cartelle selezionati. Va notato che il controllo dell'accesso a file e cartelle può essere eseguito solo su volumi con file system NTFS.
Come abilitare il controllo per gli oggetti del file system in Windows Server 2008 R2
Il controllo dell'accesso a file e cartelle viene abilitato e disabilitato utilizzando criteri di gruppo: criteri di dominio per il dominio Active Directory o criteri di sicurezza locali per server autonomi. Per abilitare il controllo su un server separato, è necessario aprire la Console di gestione dei criteri locali Inizio ->TuttoProgrammi ->AmministrativoStrumenti ->LocaleSicurezzaPolitica... Nella console della politica locale, espandere l'albero della politica locale ( LocalePolitiche) e seleziona l'elemento AuditPolitica.
Nel riquadro di destra, seleziona l'elemento AuditOggettoAccesso e nella finestra che appare, specificare quali tipi di eventi di accesso a file e cartelle devono essere registrati (accesso riuscito/non riuscito):
Dopo aver selezionato l'impostazione desiderata, è necessario fare clic su OK.
Selezione di file e cartelle il cui accesso verrà registrato
Dopo l'attivazione della verifica dell'accesso a file e cartelle, è necessario selezionare oggetti specifici del file system, il cui accesso verrà verificato. Proprio come le autorizzazioni NTFS, le impostazioni di controllo vengono ereditate per impostazione predefinita su tutti gli oggetti figlio (se non diversamente configurato). Analogamente all'assegnazione delle autorizzazioni a file e cartelle, l'ereditarietà delle impostazioni di controllo può essere abilitata per tutti o solo per gli oggetti selezionati.
Per configurare il controllo per una cartella/file specifico, è necessario fare clic con il tasto destro su di esso e selezionare Proprietà ( Proprietà). Nella finestra delle proprietà, vai alla scheda Sicurezza ( Sicurezza) e premere il pulsante Avanzate... Nella finestra delle impostazioni di sicurezza avanzate ( AvanzateSicurezzaImpostazioni) vai alla scheda Audit ( auditing). L'impostazione del controllo richiede naturalmente i diritti di amministratore. In questa fase, la finestra di controllo visualizzerà un elenco di utenti e gruppi per i quali è abilitato il controllo su questa risorsa:
Per aggiungere utenti o gruppi il cui accesso a questo oggetto verrà registrato, è necessario fare clic sul pulsante Aggiungere ... e specificare i nomi di questi utenti/gruppi (o specificare Tutti- per controllare l'accesso di tutti gli utenti):
Immediatamente dopo aver applicato queste impostazioni nel registro di sistema di sicurezza (puoi trovarlo nello snap-in ComputerGestione -> Visualizzatore eventi), ogni volta che si accede a oggetti per i quali è abilitato il controllo, verranno visualizzate le voci corrispondenti.
In alternativa, gli eventi possono essere visualizzati e filtrati utilizzando il cmdlet di PowerShell - Get-EventLog Ad esempio, per visualizzare tutti gli eventi da eventid 4660, eseguire il comando:
Sicurezza Get-EventLog | ? ($ _. eventid -eq 4660)
Consigli... È possibile assegnare azioni specifiche a qualsiasi evento nel registro di Windows, come l'invio di un'e-mail o l'esecuzione di uno script. Come è configurato è descritto nell'articolo:
UPD dal 06/08/2012 (Grazie al commentatore).
In Windows 2008 / Windows 7 è stata aggiunta un'utilità speciale per gestire l'audit auditpol... L'elenco completo dei tipi di oggetti per i quali è possibile abilitare il controllo può essere visualizzato utilizzando il comando:
Auditpol/lista/sottocategoria: *
Come puoi vedere, questi oggetti sono suddivisi in 9 categorie:
- Sistema
- Accesso / Disconnessione
- Accesso agli oggetti
- Uso dei privilegi
- Monitoraggio dettagliato
- Modifica della politica
- Gestione contabile
- Accesso DS
- Accesso all'account
E ciascuno di essi, rispettivamente, è diviso in sottocategorie. Ad esempio, la categoria di controllo dell'accesso agli oggetti include la sottocategoria File System e per abilitare il controllo per gli oggetti del file system sul computer, eseguire il comando:
Auditpol / set / sottocategoria: "File System" / errore: abilita / successo: abilita
Si spegne, rispettivamente, con il comando:
Auditpol / set / sottocategoria: "File System" / errore: disabilitato / successo: disabilitato
Quelli. Se si disattiva il controllo delle sottocategorie non necessarie, è possibile ridurre notevolmente le dimensioni del registro e il numero di eventi non necessari.
Dopo aver attivato l'audit di accesso a file e cartelle, è necessario specificare gli oggetti specifici che controlleremo (nelle proprietà di file e cartelle). Tieni presente che per impostazione predefinita, le impostazioni di controllo vengono ereditate tra tutti gli oggetti figlio (se non diversamente specificato).
Ciao a tutti!
Continuiamo a pubblicare cheat sheet sull'impostazione dell'auditing di vari sistemi, l'ultima volta che abbiamo parlato di AD habrahabr.ru/company/netwrix/blog/140569, oggi parleremo dei file server. Devo dire che molto spesso eseguiamo le impostazioni di controllo del file server - durante le installazioni pilota con i clienti. Non c'è niente di difficile in questo compito, solo tre semplici passaggi:
- Configura il controllo sulle condivisioni di file
- Configurare e applicare criteri di audit generali e dettagliati
- Modifica le impostazioni del registro eventi
Configurazione del controllo sulle condivisioni di file
Impostazione di una politica di audit generale
Per controllare le modifiche sul file server, è necessario impostare un criterio di controllo. Prima di configurare il criterio, assicurati che il tuo account sia membro del gruppo Administrators o di disporre dei diritti per gestire il controllo e i registri eventi nello snap-in Criteri di gruppo.
Impostazione di una politica di audit dettagliata
Configurazione dei registri eventi
Per controllare efficacemente le modifiche, è necessario configurare i registri eventi, ovvero impostare la dimensione massima dei registri. Se la dimensione non è sufficientemente grande, gli eventi potrebbero essere sovrascritti prima che raggiungano il database utilizzato dall'applicazione per monitorare le modifiche.
Infine, vorremmo offrirti uno script che usiamo noi stessi durante l'impostazione dell'auditing sui file server. Lo script configura l'auditing su tutte le palle per ciascuno dei computer nella data unità organizzativa... Pertanto, non è necessario abilitare manualmente le impostazioni su ciascuna condivisione di file.
Prima di avviare lo script, devi modificare la riga 19: inserisci i valori richiesti invece di "tuo_nome" e "tuo_dominio". Lo script deve essere eseguito con un account con diritti di amministratore di dominio.
Puoi ottenere lo script dalla nostra knowledge base o salvare il testo seguente nel file .ps1:
# directory attiva del modulo di importazione # $ percorso = $ args; # \\ fileserver \ share \ folder $ account = "Tutti" # $ args; $ sapore = "Successo, Fallimento" # $ args; $ flags = "ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership" $ ereditarietà = "ContainerInherit, ObjectInherit" $ propagation = "Nessuno" $ comps = Get-ADComputer -Filter * -Search = your_ou_name, DC = tuo_dominio, DC = tuo_dominio "| select -exp DNSHostName foreach ($ comp in $ comps) ($ share = get-wmiobject -class win32_share -computername $ comp -filter "type = 0 AND name like"% [^ $] "" | select -exp name foreach ( $ share in $ share) ($ path = "\\" + $ comp + "\" + $ share $ path $ acl = (Get-Item $ path) .GetAccessControl ("Accesso, Audit") $ ace = new- oggetto System.Security.AccessControl.FileSystemAuditRule ($ account, $ flag, $ ereditarietà, $ propagazione, $ sapore) $ acl.AddAuditRule ($ ace) set-acl -path $ percorso -AclObject $ acl))
I PO richiesti del reparto vendite possono essere molto diversi dai PO del reparto finanziario.
Snap-in Criteri di gruppo Consente di impostare le impostazioni di sicurezza direttamente nell'archivio di Active Directory. Cartella Impostazioni di sicurezza è nel nodo Configurazione computer e nodo Configurazione utente
il proprietario). Le impostazioni di sicurezza consentono agli amministratori di Criteri di gruppo di impostare criteri che limitano l'accesso degli utenti a file e cartelle, determinano il numero di password non valide che un utente può immettere prima che gli venga negato l'accesso, controllano i diritti utente, ad esempio gli utenti che possono accedere al server di dominio.
8.5. Controllo in Microsoft Windows
8.5.1. Panoramica sul controllo di Windows
Il controllo in Windows è il processo di monitoraggio delle azioni dell'utente e delle azioni di Windows (chiamate eventi). Durante il controllo, Windows scrive le informazioni sugli eventi nel registro di sicurezza come indicato. Questo registro registra i tentativi di accesso al sistema con password corrette e errate, nonché eventi relativi alla creazione, apertura, distruzione di file o altri oggetti.
Ogni voce del registro di sicurezza contiene:
informazioni sull'azione eseguita;
informazioni sull'utente che ha eseguito questa azione;
informazioni sull'evento che si è verificato durante questo, nonché se ha avuto successo.
8.5.1.1. Utilizzo della politica di controllo
I criteri di controllo determinano i tipi di eventi che Windows deve scrivere nel registro di sicurezza su ciascun computer. Questo registro ti consente di tenere traccia degli eventi specificati.
Windows scrive le informazioni sull'evento nel registro di sicurezza del computer su cui si è verificato l'evento
luogo. Ad esempio, è possibile configurare il controllo in modo che ogni volta che qualcuno tenta di accedere a un dominio con un account di dominio senza successo, quell'evento viene registrato nel registro di sicurezza sul controller di dominio.
Questo evento viene registrato nel controller di dominio e non nel computer in cui è stato effettuato il tentativo di accesso perché è stato il controller di dominio che ha tentato e non è riuscito ad autenticare l'accesso.
È possibile configurare un criterio di controllo su un computer per:
tenere traccia del successo/fallimento di eventi come un tentativo di accesso, un utente specifico che cerca di leggere un file specificato, modifiche a un account utente o appartenenza a un gruppo e modifiche alle impostazioni di sicurezza;
eliminazione o minimizzazione del rischio di utilizzo non autorizzato delle risorse.
È possibile utilizzare lo snap-in per visualizzare gli eventi scritti da Windows nel registro di sicurezza. Visualizzatore eventi... Puoi anche archiviare i log per te
Fenomeni di tendenza a lungo termine, ad esempio per determinare l'intensità dell'accesso a stampanti o file o per controllare i tentativi di accesso non autorizzato alle risorse.
8.5.2 Pianificazione della politica di audit
L'amministratore deve decidere su quali computer controllare. Il controllo è disabilitato per impostazione predefinita.
Quando si definiscono i computer da controllare, l'amministratore deve anche pianificare cosa monitorare su ciascun computer. Windows registra gli eventi che controlla separatamente su ciascun computer.
Puoi controllare:
accesso a file e cartelle;
accesso e disconnessione da un determinato utente
spegni e riavvia il tuo computer Windows
modifiche agli account utente e di gruppo;
tenta di modificare gli oggetti di Active Directory.
Dopo aver determinato quali eventi testare, è necessario decidere se tenere traccia del loro successo e/o fallimento. Il monitoraggio degli eventi di successo indica la frequenza con cui gli utenti di Windows o dei suoi servizi accedono a determinati file, stampanti e altri oggetti. Questo è utile quando si pianifica l'utilizzo delle risorse. Il monitoraggio degli eventi non riusciti può avvisarti di potenziali violazioni della sicurezza. Ad esempio, più tentativi falliti di accedere con un account specifico, soprattutto se si verificano al di fuori del normale orario lavorativo, potrebbero significare che qualcuno senza diritti di accesso sta tentando di violare il sistema.
Nel determinare la politica di audit, è consigliabile essere guidati dai seguenti principi:
decidere se si desidera tenere traccia delle tendenze nell'utilizzo delle risorse di sistema. In questo caso, pianificare il backup dei registri eventi. Ciò ti consentirà di vedere i cambiamenti nell'uso delle risorse di sistema e di aumentarli in anticipo;
rivedere frequentemente il registro di sicurezza. Pianificare e rivedere regolarmente questo registro poiché l'impostazione del solo controllo non ti avviserà di violazioni della sicurezza;
rendere la policy di audit utile e facile da gestire. Controlla sempre i dati sensibili e riservati. Seleziona solo tali eventi per ottenere informazioni significative sulla situazione della rete. Ciò riduce al minimo l'uso delle risorse del server e rende più facile trovare le informazioni che stai cercando. Il controllo di troppi eventi rallenterà Windows;
controllare l'accesso alle risorse degli utenti non di gruppoUtenti, e gli utenti del gruppo Everyone. Ciò garantisce la possibilità di tenere traccia di chiunque si connetta alla rete, non solo di coloro per i quali è stato creato l'account.
8.5.3 Attuazione della politica di audit
È necessario riflettere sui requisiti di audit e configurare la sua politica. Configurando un criterio di controllo su un computer, è possibile controllare file, cartelle, stampanti e oggetti di Active Directory.
8.5.3.1. Configurazione dell'audit
È possibile applicare criteri di controllo in base al ruolo di questo computer nella rete Windows. Il controllo è configurato in modo diverso per i seguenti tipi di computer Windows:
Per un server membro in un dominio, un server autonomo o workstation Windows, il criterio di controllo è configurato separatamente per ogni macchina;
I controller di dominio hanno un criterio di controllo per l'intero dominio; Per controllare gli eventi sui controller di dominio, ad esempio le modifiche agli oggetti di Active Directory, è necessario configurare Criteri di gruppo per il dominio che verrà applicato a tutti i controller.
Requisiti per eseguire un audit
La configurazione e l'amministrazione del controllo richiedono che siano soddisfatte le seguenti condizioni:
Devi avere il permesso Gestire il registro di controllo e sicurezza per
il computer su cui si desidera configurare i criteri di controllo o visualizzare il registro di controllo. Per impostazione predefinita, Windows concede tali diritti al gruppo Amministratori
i file e le cartelle da controllare devono essere su unità NTFS.
Configurazione dell'audit
Devi configurare:
una politica di controllo che includa una modalità di controllo ma non controlli per oggetti specifici;
audit per risorse specifiche, ad es. specificare eventi monitorati specifici per file, cartelle, stampanti e
Oggetti di Active Directory. Windows monitorerà e registrerà questi eventi.
8.5.3.2. Configurazione della politica di controllo
V il primo passo è selezionare i tipi di eventi da monitorare. I parametri sono impostati per ogni evento
impostazioni che mostrano quali tentativi di tracciare: riusciti o non riusciti. È possibile configurare i criteri di controllo tramite lo snap-in Politica di gruppo
I tipi di eventi che possono essere controllati in Windows sono mostrati nella Tabella 8.1.
Tabella 8.1
Tipi di eventi che possono essere controllati in Windows
Descrizione |
||
Eventi di accesso | Il controller di dominio ha ricevuto una richiesta di verifica |
|
sistema con | account utente corretto |
|
noah record | ||
Controllo | Amministratore creato, modificato o eliminato |
|
conto o gruppo. Account |
||
l'utente è stato modificato, abilitato o |
||
digitato o la password è stata impostata o modificata |
||
Accesso al servizio | L'utente ha effettuato l'accesso all'oggetto attivo |
|
cataloghi | Elenco. Devi specificare nello specifico |
|
Oggetti di Active Directory per tenere traccia di questo |
||
tipo di evento |
||
Eventi di accesso | Utente connesso e disconnesso |
|
o connesso/impossibile connettersi alla rete |
||
a questo computer |
||
Accesso all'oggetto | L'utente ha accesso a file e cartelle |
|
o una stampante. Devi specificare file, cartelle |
||
o stampanti da controllare. Modalità di controllo |
||
l'accesso al servizio di directory controlla l'accesso |
||
utente a uno specifico oggetto attivo |
||
Elenco. Verifiche della modalità di accesso agli oggetti |
||
accesso utente a file, cartelle o |
||
stampanti |
||
La variazione | Sono state apportate modifiche alla personalizzazione |
|
impostazioni di sicurezza, diritti utente |
||
o politiche di controllo |
||
utilizzo | L'utente ha applicato i diritti, ad esempio, a causa di |
|
privilegi | modificare l'ora del sistema. (Questo non include |
|
diritti associati all'accesso e |
||
uscire da esso) |
||
monitoraggio | L'utente ha eseguito un'azione. Questa informazione |
|
processi | Questo è utile per i programmatori che vogliono monitorare |
|
fornire dettagli sull'esecuzione del programma |
||
Sistemico | L'utente ha riavviato o spento il com- |
|
peltro, o si è verificato un evento che colpisce |
||
Sicurezza di Windows o per registro di sicurezza |
||
nosti. (Ad esempio, l'audit trail è pieno e |
||
Windows non è stato in grado di scrivere nuove informazioni |
||
Anche la produzione più moderna, un piccolo ufficio o una grande azienda si trovano ad affrontare il problema del banale errore umano. Contabilità, economia, manager, qualsiasi altro dipendente: molti possono avere accesso a determinati file. Pertanto, è molto importante utilizzare il controllo di Windows per tenere traccia dell'attività dell'utente. Può capitare che qualcuno dello staff abbia cancellato un file o dati molto importanti che si trovano nelle cartelle pubbliche del file server. Di conseguenza, i frutti del lavoro di un'intera organizzazione possono essere cancellati o distorti e l'amministratore di sistema dovrà combattere da solo questo problema. Ma non solo se ordini il servizio di audit di Windows.
Vale la pena notare che il sistema operativo ha un sistema di audit, in cui è possibile tenere traccia e registrare i dati su quando, dove e in quali circostanze, e con l'aiuto di quale programma, si sono verificati determinati eventi che hanno portato alla cancellazione della cartella o ti ha permesso di cancellare o modificare un file importante. Ma per impostazione predefinita, Audit non funziona, poiché è importante utilizzare una certa capacità del sistema. E il carico può essere troppo alto, quindi i politici dell'Audit tengono un registro selettivo di quegli eventi che sono veramente importanti.
Il controllo è integrato in qualsiasi sistema operativo Windows, ma l'autoconfigurazione può essere piuttosto difficile, quindi è meglio ordinare un controllo dell'accesso ai file su un server Windows.
Quindi, per condurre un audit, è necessario abilitare la sua funzione e specificare ogni file e cartella a cui si dovrà registrare l'accessibilità. Windows controlla l'accesso ai file solo su volumi NTFS.
Abilitazione del controllo sugli oggetti del file system in Windows Server 2008 R2
È possibile abilitare o disabilitare il controllo dell'accesso agli oggetti utilizzando Criteri di gruppo. Può trattarsi di un'opzione di dominio per Active Directory o di un'opzione di sicurezza locale progettata per singoli server.
L'abilitazione del controllo su un server separato è la seguente. Aprire la console di gestione per le opzioni locali Start ->… -> Criteri di sicurezza locali. Quindi espandere l'albero dei criteri locali e selezionare Criterio di controllo. Sul lato destro, seleziona Controlla l'accesso agli oggetti, quindi seleziona gli eventi di accessibilità per ogni file e cartella che devono essere registrati.
Selezione di file e cartelle il cui accesso verrà registrato
Dopo che Audit è stato attivato sul file server, selezionare determinati oggetti rispetto ai quali verrà verificato l'accesso. Per fare ciò, fare clic con il pulsante destro del mouse e selezionare Proprietà. Quindi vai al menu Sicurezza e quindi fai clic su Avanzate. Le impostazioni di sicurezza avanzate aprono la scheda Audit. Per la configurazione sono necessari i diritti di amministratore. Per impostare i diritti di utilizzo, è importante aggiungere una voce a Aggiungi e specificare il nome utente. Le impostazioni esatte vengono specificate in seguito, incluso il login, la creazione/modifica o, quando si elimina un file, altre operazioni.
Successivamente, verrà visualizzata una voce corrispondente nel registro di sicurezza (Gestione computer -> Visualizzatore eventi) con ciascuna voce. Le attività possono essere filtrate da PowerShell - Get-Event Log. Quindi, sulle operazioni con eventid 4660 dovrai eseguire Get-EventLog security | ? ($ _. eventid -eq 4660.
Abilitazione del controllo avanzato di file e cartelle sui file server
È meglio controllare Windows Server 2008 R2 su un host di prova. Il controllo dell'accesso dell'host ai file richiede la gestione delle cartelle di gruppo. La verifica implica la creazione di un nuovo oggetto Criteri di gruppo. Attraverso Configurazione computer, devi andare su Impostazioni di sicurezza. Lì dovrai regolare i parametri del Journal e configurare l'audit stesso. Le operazioni personalizzate vengono generalmente eseguite individualmente. Di solito sono sufficienti 200 MB, il tempo massimo di archiviazione è fino a 2 settimane, impostare il salvataggio automatico di giorno.
Per configurare il controllo per un centro database di file serving, sarà necessario utilizzare il controllo del file system. Se selezioni l'opzione "Informazioni su una condivisione di file", la registrazione verrà conservata il più dettagliata possibile e tutte le informazioni verranno registrate. Per ottimizzare il criterio, è importante applicarlo al dispositivo hardware principale. È meglio farlo su un controller di dominio. Fare clic su "Aggiungi" e indicare "Computer" come oggetti. Quindi conducono un controllo della politica, controllano i risultati e si recano al centro servizi principale del file. È importante assicurarsi che la cartella sia presentata con l'accesso ai file.
Ora puoi andare alla scheda Sicurezza nella sezione "Avanzate". Quindi viene aggiunto il SACL. Per quanto riguarda il tipo, può essere Controllo dell'accesso ai file, Controllo dell'eliminazione dei file, Controllo delle modifiche ai file: ogni meccanismo di azione dipende dai compiti assegnati all'utente. È importante capire che per ogni singola impresa, tali compiti possono essere diversi sia nel contenuto che nell'ambito.
Controllo dell'accesso ai file su un server Windows
Quando si elimina un file, vengono creati gli stessi eventi con ID = 4663. Inoltre, nel corpo di BodyL compare un record di dati o una cancellazione del file DELETE. Quando si rinomina, non viene visualizzato un record ID = 4663, ma due contemporaneamente. Nel primo caso avviene la cancellazione, nel secondo i dati vengono scritti. Non è possibile ignorare la versione del messaggio 4660, che contiene il nome utente e altri dati di servizio, incluso il codice descrittore.
Quando un file viene eliminato, tali eventi vengono generati simultaneamente, ma la loro sequenza è sempre 4663 prima di tutto e solo dopo 4660. Inoltre, il numero ordinale differisce di 1. E il numero ordinale di 4660 è maggiore di 1, che è 4663 E con questa proprietà devi cercare le attività richieste ...
Di conseguenza, vengono presi gli eventi che si verificano dal 4660. Hanno due proprietà: il tempo (Tempo) di creazione e il numero di sequenza. Successivamente nella variabile $ PrevEvent inserire il numero dell'operazione, che contiene i dati sul file remoto. I tempi per la ricerca devono essere determinati e devono essere ridotti a 2 s (con un intervallo di + - 1 s). Molto probabilmente, questo tempo aggiuntivo (Tempo) sarà necessario per creare separatamente ciascuna attività completata.
Di conseguenza, il controllo di un file server di Windows Server 2008 R2 non registra i dock temporanei che vengono eliminati (. * Tmp). Blocchi (. * Lock) e documenti temporanei (. * ~ $ *) non vengono scritti. Allo stesso modo, vengono selezionati i campi per la variabile $ BodyL e, dopo aver trovato le attività, $ BodyL viene scritto nel registro del file di testo.
Il log per l'accesso Audit ai documenti richiede il seguente schema: 1 file al mese con il nome (Nome), che contiene il mese e l'anno. Il fatto è che ci sono molti meno elementi eliminati rispetto ai dock per i quali vengono eseguiti i controlli di accesso. Ecco perché, invece di controllare ogni registro, viene aperto un file di registro in qualsiasi tabella e vengono visualizzati i dati sull'utente o il contenuto del documento stesso.
Configurazione del controllo del file server: istruzioni dettagliate e cheat sheet (.pdf)
Il controllo di una cartella di Windows Server 2008 è facile. Devi aprire Start → Esegui → eventvwr.msc, quindi il registro di sicurezza Security. Poiché contiene vari eventi completamente non necessari, dovrai fare clic su Visualizza → Filtra e filtra gli eventi
Tipi di eventi: verifica del successo;
così come Categoria: Accesso agli oggetti;
Origine evento: sicurezza.
Non c'è bisogno di fraintendere le cancellazioni. È solo che tale funzione nell'operazione Audit di Windows XP è applicabile al normale funzionamento dei programmi. Inclusa la maggior parte delle applicazioni all'avvio, prima formano un file temporaneo, quindi quello principale e quello temporaneo viene eliminato all'uscita del programma. Succede anche che un file e intere cartelle (a volte - database) vengano eliminate con intenti dannosi. Ad esempio, un dipendente licenziato ha deciso di danneggiare l'azienda e cancellare tutte le informazioni. Ma il ripristino delle cartelle non sarà difficile nemmeno per un normale amministratore di sistema. È tutta un'altra cosa quando puoi dire quando e chi ha fatto una cosa del genere.
Il controllo di una cartella di rete o il controllo delle cartelle di rete (a seconda di quale sia più conveniente per te) inizia con la configurazione. Per fare ciò, vai alle Proprietà delle palle, vai alla scheda Sicurezza e seleziona "Avanzate", quindi la scheda Audit, dove (dove) devi selezionare il gruppo di utenti Tutti. Quindi è necessario selezionare Modifica e solo dopo fare clic sulle caselle di controllo presenti come nello screenshot:
In questo caso, l'elenco "Applica a" deve contenere il valore "Questa cartella, sottocartelle ...". E poi, una volta completata l'impostazione, dovresti fare clic su OK.
Il controllo di Windows Server 2008 implica l'impostazione di un criterio generale. Prima di configurare, assicurati che l'account sia nel gruppo Administrators. Controllo di una cartella di rete di Windows Server 2008 R2Standardparagonabile alle versioni precedenti. Ma allo stesso tempo, gli stessi sviluppatori consigliano di utilizzare funzionalità avanzate e non cartelle o elementi (oggetti), sebbene poco sia cambiato dal 2003. Pertanto, non vale la pena cercare dati rilevanti. Ci vuole solo un po' di tempo per personalizzare l'audit di Server 2008 per attività specifiche e in conformità con i requisiti presentati per gli obiettivi aziendali specifici dell'azienda
- Accedi o registrati per lasciare commenti
