Pentru a audita accesul la fișierele și folderele din Windows Server 2008 R2, trebuie să activați caracteristica de auditare și să specificați folderele și fișierele la care doriți să blocați accesul. După configurarea auditului, jurnalul serverului va conține informații despre acces și alte evenimente privind fișierele și folderele selectate. Este de remarcat faptul că accesul la fișiere și foldere poate fi auditat numai pe volume cu sistemul de fișiere NTFS.
Activați auditarea pentru obiectele sistemului de fișiere în Windows Server 2008 R2
Auditarea accesului la fișiere și foldere este activată și dezactivată folosind politicile de grup: politica de domeniu pentru Domeniu activ Director fie politici locale securitate pentru separat servere în picioare. Pentru a activa auditarea pe un singur server, trebuie să deschideți Consola de gestionare a politicilor locale Start ->ToatePrograme ->administrativInstrumente ->LocalSecuritatePolitică. În consola de politici locale, extindeți arborele de politici locale ( Localpolitici)și selectați elementul auditPolitică.
LA panoul din dreapta trebuie să selectați un element auditObiectAcces iar în fereastra care apare, specificați ce tipuri de evenimente de acces la fișiere și foldere trebuie înregistrate (acces reușit / nereușit):
După selecție setările necesare trebuie să apăsați BINE.
Selectarea fișierelor și folderelor, accesul la care va fi remediat
După ce auditarea accesului la fișiere și foldere este activată, trebuie să selectați obiecte specifice sistem de fișiere care va fi auditat de acces. La fel ca permisiunile NTFS, setările implicite de audit sunt moștenite pentru toate obiectele copil (dacă nu sunt configurate altfel). La fel ca atunci când se atribuie drepturi de acces la fișiere și foldere, moștenirea setărilor de audit poate fi activată atât pentru toate, cât și numai pentru obiectele selectate.
Pentru a configura auditarea pentru un anumit folder/fișier, trebuie să faceți clic pe el Click dreapta mouse-ul și selectați Proprietăți ( Proprietăți). În fereastra de proprietăți, accesați fila Securitate ( Securitate) și apăsați butonul Avansat. În fereastra de setări avansate de securitate ( AvansatSecuritateSetări) accesați fila Audit ( Auditul). Configurarea unui audit necesită, desigur, drepturi de administrator. În această etapă, fereastra de audit va afișa o listă de utilizatori și grupuri pentru care auditul este activat pentru această resursă:
Pentru a adăuga utilizatori sau grupuri al căror acces la acest obiect va fi remediat, trebuie să apăsați butonul Adăuga...și specificați numele acestor utilizatori/grupuri (sau specificați Toata lumea– pentru a audita accesul tuturor utilizatorilor):
Imediat după aplicarea acestor setări în jurnalul sistemului de securitate ( îl puteți găsi în fișierul calculatorManagement -> Events Viewer), de fiecare dată când accesați obiecte pentru care auditarea este activată, vor apărea intrările corespunzătoare.
În mod alternativ, evenimentele pot fi vizualizate și filtrate folosind cmdletul PowerShell - Get-EventLog De exemplu, pentru a afișa toate evenimentele cu eventid 4660, rulați comanda:
Securitate Get-EventLog | ?($_.eventid -eq 4660)
Sfat. Este posibil să atribuiți anumite acțiuni oricăror evenimente din jurnalul Windows, de exemplu, trimiterea e-mail sau executarea unui script. Modul în care este configurat este descris în articol:
UPD din 08.06.2012 (Mulțumesc comentatorului).
În Windows 2008/Windows 7, a fost introdus managementul auditului utilitate specială auditpol. Lista plina tipurile de obiecte care pot fi auditate pot fi văzute folosind comanda:
auditpol /listă /subcategorie:*
După cum puteți vedea, aceste obiecte sunt împărțite în 9 categorii:
- Sistem
- Conectare/Deconectare
- Acces obiect
- Utilizarea privilegiilor
- Urmărire detaliată
- schimbarea politicii
- Managementul contului
- D.S.Acces
- Conectare cont
Și fiecare dintre ele, respectiv, este împărțit în subcategorii. De exemplu, categoria de audit Object Access include o subcategorie Sistemul de fișiereși pentru a activa auditarea pentru obiectele sistemului de fișiere de pe computer, rulați comanda:
Auditpol /set /subcategory:„Sistem de fișiere” /failure:enable /success:enable
Este dezactivat de comanda:
Auditpol /set /subcategory:„Sistem de fișiere” /failure:disable /success:disable
Acestea. Dacă dezactivați auditarea subcategoriilor inutile, puteți reduce semnificativ volumul jurnalului și numărul de evenimente inutile.
După ce auditarea accesului la fișiere și foldere este activată, trebuie să specificați obiectele specifice pe care le vom controla (în proprietățile fișierelor și folderelor). Rețineți că, în mod implicit, setările de audit sunt moștenite pentru toate obiectele copil (dacă nu se specifică altfel).
Salutare tuturor!
Continuăm să publicăm cheat sheets cu privire la crearea unui audit diverse sisteme, ultima dată când am vorbit despre AD habrahabr.ru/company/netwrix/blog/140569 , astăzi vom discuta despre serverele de fișiere. Trebuie să spun că cel mai adesea efectuăm setări de auditare a serverului de fișiere în timpul instalărilor pilot la clienți. Nu este nimic complicat în această sarcină, doar trei pași simpli:
- Configurați auditarea pentru partajările de fișiere
- Configurați și aplicați politici de audit generale și detaliate
- Modificați setările jurnalului de evenimente
Configurarea auditării pe partajări de fișiere
Configurarea unei politici generale de audit
Pentru a controla schimbările în server de fișiere, trebuie să configurați o politică de audit. Înainte de a seta politica, asigurați-vă că contul dvs. este membru al grupului Administratori sau că aveți drepturi de a gestiona jurnalele de audit și evenimente în snap-in Politica de grup.
Stabilirea unei politici detaliate de audit
Configurarea jurnalelor de evenimente
Pentru a controla eficient modificările, trebuie să configurați jurnalele de evenimente, și anume, setați dimensiune maximă reviste. Dacă dimensiunea nu este suficient de mare, evenimentele pot fi suprascrise înainte de a ajunge la baza de date pe care o folosește aplicația de control al modificărilor.
În cele din urmă, am dori să vă oferim un script pe care noi înșine îl folosim atunci când setăm auditarea pe serverele de fișiere. Scriptul configurează auditul pe toate bilele pentru fiecare dintre computerele din OU dată. Astfel, nu este necesară activarea setărilor pentru fiecare resursă fișier manual.
Înainte de a rula scriptul, trebuie să editați linia 19 - introduceți valorile necesare în loc de „numele_dvs.” și „domeniul_dvs.”. Scriptul trebuie să fie rulat sub un cont care are drepturi de administrator de domeniu.
Puteți obține scriptul în baza noastră de cunoștințe sau puteți salva următorul text într-un fișier .ps1:
#import-module activedirectory #$cale = $args; # \\fileserver\share\folder $account = „Toată lumea” # $args; $flavor = "Succes,Eșec" #$args; $flags = " ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership " $inheritance = "ContainerInherit, ObjectInherit" $propagation = "Niciunul" *Computer = -Obțineți-Ferchile numele_dvs.,DC=domeniul_dvs.,DC=domeniul_dvs." | select -exp DNSHostName foreach ($comp în $comps) ( $shares = get-wmiobject -class win32_share -computername $comp -filter "tip=0 ȘI nume ca "%[^$]"" | selectează -exp nume foreach ( $share in $shares) ( $path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Acces,Audit") $ace = nou-obiect System.Security.AccessControl.FileSystemAuditRule($cont, $flags, $heritance, $propagation, $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ) )
Bună ziua, prieteni și colegi. Astăzi vom vorbi despre cum să urmăriți modificările pe serverele dvs. de fișiere, și anume, cine și ce a făcut cu fișierul; nu a șters accidental; creat dintr-un anumit motiv fisier nedorit etc. Desigur, cel puțin trei lucruri sunt strâns legate de acest subiect: o descriere documentară a partajărilor de fișiere, utilizarea filtrelor de fișiere (interdicția de anumit tip fișiere) și un sistem de limită de stocare (sistem de cote). Dar aceste lucruri vor depăși cu mult domeniul de aplicare al unui articol. Dacă subiectul este solicitat, articolele pe aceste subiecte vor apărea în viitor.
Pentru administratorii cu experiență care au făcut deja lucruri similare, nu veți găsi nimic super nou aici. Tehnologiile de audit există de foarte mult timp. Îmi voi împărtăși experiența și îmi voi da cu părerea despre unele dintre lucrurile care, în opinia mea, sunt pur și simplu necesare pe serverele de fișiere dintr-o rețea de domeniu.
În primul rând, trebuie să activăm auditarea avansată prin politica de grup și să o aplicăm serverele potrivite. O voi face la un test server Windows Server 2008 R2, am făcut totul în rețeaua mea pe 2012 R2. Principiul și interfața sunt aproximativ aceleași. În general, sistemul de audit a apărut încă din zilele Windows Server 2000 (poate chiar și în NT, dar nu contează), este folosit și folosit în mod activ de mulți administratori. Din versiunea 2008, și Auditul Avansat a început să stea în rânduri. Am folosit atât auditul vechi, cât și pe cel nou până când am observat niște inovații cu adevărat puternice. Dar, în general, noul audit este mai flexibil în management și setări. Cel mai important avantaj al acestei tehnologii este capacitatea de a efectua un audit numai asupra resursei de care avem nevoie. De aici, aproape toate evenimentele de securitate sunt afișate în jurnal în ordinea de care avem nevoie, unde nu este nimic de prisos. Prin urmare, dimensiunea bușteanului este semnificativ mai mică.
În gestionarea politicilor de grup, accesați secțiunea politici de grup și creați un nou GPO acolo:
Apelat, a făcut clic pe OK. Acum trebuie să mergem la proprietățile noului obiect. Tot ce ține de auditare și alte securități este aproape întotdeauna în limitele configurației computerului, așa că mergem imediat acolo (vezi captura de ecran):
În setările de securitate, trebuie să „ajustăm” setările jurnalului de securitate (în secțiunea „Jurnal de evenimente”) și să configuram auditul în sine (în secțiunea „Configurare avansată a politicii de audit”):
Voi explica la minim, tk. totul este pur individual. Setați dimensiunea (100-200 MB per ochi, cel mai probabil, în funcție de dimensiunea folderului de rețea și numărul de utilizatori), setați termen maxim stocarea evenimentelor (2 săptămâni sunt suficiente pentru mine), metoda de salvare „pe zi” este înlocuită automat. Cred că nu este nimic complicat aici. Acum haideți să stabilim auditul, cel mai important lucru pentru noi:
Cum să ajungi la el: cel mai bine văzut cu ochii în captură de ecran. Vă atrag atenția asupra faptului că, în ciuda faptului că vom audita partajarea fișierelor, trebuie totuși să selectăm „Audit sistem de fișiere”. Acum voi încerca să explic de ce. Faptul este că, dacă selectați „Informații de auditare despre o partajare de fișiere”, care, s-ar părea, este mai logic, atunci un audit foarte detaliat (repet - „foarte”) al TOATE folderele de rețea TOATE evenimentele, inclusiv. doar vederi, sincronizarea rețelei, atribute de lectură și multe, multe alte evenimente. Personal, jurnalul meu a crescut astfel: o oră = 50-100 MB de jurnal ziua, noaptea cu activitate zero = 30 MB. În general, nu recomand cu tărie să activați această casetă de selectare. Suntem interesați de un folder anume și de evenimente specifice (modificare / creare / ștergere), așa că selectăm sistemul de fișiere. Este acest moment (procesul de selecție a auditului) care este puțin descris pe internet, totul este indicat superficial. Nici în manualul oficial nu am găsit o explicație pentru toate nuanțele. Tipul de evenimente este „succes” (când operațiunea fișierului și folderului a reușit), deși „eșecurile” pot fi, de asemenea, auditate, de exemplu. încearcă să facă ceva în lipsa drepturilor. Vezi tu aici.
Acum să optimizăm politica. Mai întâi îl aplicăm pe server. În cazul meu, fac totul pe un controler de domeniu și, prin urmare, aplic la OU Controlere de domeniu. Servicii de fișiere lucrezi pe un controler de domeniu, ceea ce nu este bine. Dar din anumite motive s-a întâmplat. Eliminăm „autentificarea”, astfel încât politica să nu fie aplicată altor servere (trebuie altor controlere de domeniu):
Faceți clic pe „Adăugați”, specificați tipul de obiecte „Computere” și introduceți acolo numele serverului nostru:
Să lustruim politica și mai tare. Pentru a accelera aplicarea politicii, Microsoft vă recomandă să specificați întotdeauna ce configurații să aplicați și care nu. În caz contrar, există o încercare de a aplica simultan configurațiile computerului și ale utilizatorului. Politica noastră este aplicată computerului, așa că putem specifica acest lucru în starea politicii. În technet scriu că astfel descarcăm controlerul de domeniu.
Verificarea controlului politicieni. Verificarea rezultatelor: Prima parte este terminată. Acum să mergem la serverul de fișiere. Asigurați-vă că folderul este setat la rețea acces general:
Și accesați fila „Securitate” sau, mai degrabă, la secțiunea „avansat”:
Suntem interesați de fila „Audit”:
Acum este gol, deoarece nimic nu este configurat. Acum vom adăuga așa-numitele SACL (System Access Control Lists). Diferă de ACL NTFS prin faptul că este doar un audit, în esență nu acordăm niciun drept asupra folderului, așa că nu ar trebui să tratați această listă ca pe o listă. acces real la folder. Amintiți-vă că acest lucru este complet diferit. De aceea adaug grupul Toți și dau criteriile de audit dorite:
Scot caseta de selectare „Adăugați elemente de audit care sunt moștenite...”, poate fi utilă pentru viitor. La urma urmei, în viitor putem audita bilele de rețea într-o altă minge. Dacă părăsiți caseta de selectare, nu e mare lucru.
După tipul de audit, vedeți și dumneavoastră. Am nevoie de auditarea modificării fișierelor, poate fi făcută și mai flexibilă, dar ar trebui să fiți conștienți de creșterea încărcării serverului și a dimensiunii jurnalului.
Setările de audit pentru un folder pot fi aplicate pentru o perioadă de timp (apare fereastra aplicației de stare). După toate aceste acțiuni, să trecem la a treia parte - verificarea.
Aplicăm o nouă politică pe serverul de fișiere și vedem dacă a fost aplicată (comenzi gpupdate / force și gpresult / r):
Am aplicat. Acum merg la jurnalul de securitate și îl curăț:
Acum cel mai interesant. Încerc să merg în folderul din rețea de pe alt PC și să schimb ceva. În teorie, imediat după aceasta, apare un eveniment de genul „cine a făcut / ce a făcut / când etc.”:
Totul este afișat în eveniment. Dar când există o mulțime de evenimente, nu este atât de convenabil să folosiți jurnalul. Prin urmare, este recomandat să salvați autentificarea format convenabil(csv, txt, evtx, xml) și fișierul deja format pentru a chinui mai departe. Asta e tot. Folosiți auditul, colegi. Atunci când există dovezi ale vinovăției cuiva la îndemână, este foarte util și acoperă puternic un loc pentru administrator.
Actualizat: Prieteni, ar trebui să înțelegeți că auditul încarcă serverul, performanța poate scădea puțin cu el. Din experienta personala Recomand ca dupa o saptamana de functionare sa mergi pe server si sa verifici dimensiunea jurnalului, precum si tipul evenimentelor. Dintr-o dată jurnalul a crescut foarte mult și dimensiunea dvs. în GPO nu este suficientă. Sau auditul a încetat cu totul să funcționeze. În general, monitorizați cel puțin ocazional activitatea auditului.
Prieteni! Alăturați-vă noastre
Trebuie să actualizați politica locală pentru ca modificările să intre în vigoare.
Activarea auditului pentru un anumit obiect
Am activat deja capacitatea de a audita accesul la obiectul fișier. sisteme NTFS. Acum trebuie doar să specificăm ce obiecte trebuie să observăm. Pentru a face acest lucru, deschideți fereastra Proprietăți obiectul selectat și accesați fila Securitate. Apoi, trebuie să faceți clic pe butonul În plus iar în fereastra care se deschide, accesați fila Audit. Pasii urmatori poate fi descris astfel:
- Faceți clic pe butonul Adăugași adăugați utilizatorul sau grupul de utilizatori ale căror acțiuni dorim să le monitorizăm.
- Configurați sfera auditului (auditați numai folderul, auditați folderul și conținutul acestuia etc.)
- Alegem fie un audit al acțiunilor reușite, fie un audit al acțiunilor nereușite în legătură cu obiectul.
- Selectăm acele acțiuni care ar trebui documentate. De exemplu, alegerea Îndepărtarea, Veți instrui computerul să documenteze numai acele acțiuni ale utilizatorului care sunt asociate cu ștergerea obiectului. Toate acțiunile sugerate sunt permisiuni pentru fișiere sau foldere, le puteți citi.
- Salvează modificările.
Cum pot vedea rezultatele unui audit de acces la obiect?
Pentru rezultatele unui audit al sistemului de fișiere NTFS, vă rugăm să vizitați Jurnal Windows și treci prin fereastră Securitate. Acolo veți primi o listă neobișnuit de lungă cu toate acțiunile care sunt legate de securitatea computerului. Printre acestea veți găsi documentație privind încercările de a accesa obiectul dvs. Utilizând sortarea, sunt sigur că veți găsi cu ușurință documentația care vă interesează.
Cum se activează capacitatea de a audita sistemul de fișiere NTFS prin intermediul Registrului?
Acest articol, așa cum am spus, va fi de interes pentru proprietarii de Windows Starter sau Home Basic. Ei nu au acces la Editorul de politici de grup local, dar au acces la Registry. Și Registrul vă permite să faceți aceleași acțiuni ca și Editorul de politici locale. Numai că, din păcate, nu am găsit al doilea parametru, care dublează a doua politică. Vă voi prezenta primul parametru: parametru
HKLM\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
trebuie schimbat de la 0 la 1. Dacă găsiți al doilea parametru, vă rugăm să scrieți în comentarii.
După cum am spus mai devreme, merită să aveți grijă de securitatea conturilor de utilizator și de confidențialitatea informațiilor companiei dvs. în aceste zile. În articolele anterioare despre politicile locale de securitate, ați aflat despre metodele de utilizare a politicilor locale de securitate și despre politicile de cont pe care le puteți utiliza pentru a crește considerabil securitatea conturilor de utilizator. Acum că aveți politicile de securitate a contului configurate corect, va fi mult mai greu pentru atacatori să obțină acces la conturile de utilizator. Dar nu uitați că aceasta este treaba dumneavoastră să vă asigurați securitatea infrastructura retelei nu se termină. Toate încercările de intruziune și autentificarea eșuată a utilizatorilor dvs. trebuie să fie înregistrate pentru a ști dacă să luați măsuri. măsuri suplimentare pentru Securitate. Verificarea unor astfel de informații pentru a determina activitatea în întreprindere se numește audit.
Procesul de audit folosește trei controale: politica de audit, setările de audit pentru obiecte și jurnalul de audit. "Securitate", unde sunt înregistrate evenimente legate de securitate, cum ar fi autentificare/deconectare, utilizarea privilegiilor și accesul la resurse. În acest articol, vom analiza politicile de audit și analiza ulterioară a evenimentelor din jurnal. "Securitate".
Politica de audit
O politică de audit configurează un anumit utilizator și grup de pe sistem pentru a audita activitatea. Pentru a configura politicile de audit, în editorul de control politici de grup trebuie să deschideți nodul Configurare computer/Setări Windows/Setări de securitate/Politici locale/Politica de audit. Rețineți că, implicit, setarea politicii de audit pentru stațiile de lucru este setată la "Nedefinit". În total, puteți configura nouă politici de audit, care sunt prezentate în următoarea ilustrație:
Orez. 1. Nodul „Politica de audit”
La fel ca în cazul altor politici de securitate, trebuie să definiți o setare de politică pentru a configura auditarea. După apasare dubla faceți clic stânga pe oricare dintre opțiuni, bifați caseta de pe opțiune „Definiți următoarele setări de politică”și specificați dacă să auditați succesul, eșecul sau ambele tipuri de evenimente.
Orez. 2. Proprietățile politicii de audit „Acces la serviciul director de audit”
Odată ce politica de audit este configurată, evenimentele vor fi înregistrate în jurnalul de securitate. Puteți vizualiza aceste evenimente în jurnalul de securitate. Să aruncăm o privire mai atentă la fiecare politică de audit:
Audit de conectare. Politica actuală determină dacă sistemul de operare al utilizatorului al cărui computer se aplică această politică de audit auditează fiecare încercare de conectare sau deconectare a fiecărui utilizator. De exemplu, dacă un utilizator se conectează cu succes la un computer, este generat un eveniment de conectare la cont. Evenimentele de deconectare sunt generate de fiecare dată când se termină sesiunea contului de utilizator conectat. Auditarea cu succes înseamnă crearea unei intrări de audit pentru fiecare încercare de conectare reușită. Auditarea eșecului înseamnă crearea unei intrări de audit pentru fiecare încercare eșuată de conectare.
Auditul accesului la obiect. Această politică audituri de securitate încercările de acces ale utilizatorilor la obiecte care nu au legătură cu Director activ. Astfel de obiecte includ fișiere, foldere, imprimante, secțiuni registru de sistem, care sunt date propriile listeîn lista de control al accesului la sistem (SACL). Un audit este generat numai pentru obiectele pentru care sunt specificate ACL-uri, cu condiția ca tipul de acces solicitat și contul care face cererea să corespundă setărilor din ACL-uri.
Audit de acces la serviciul de director. Cu această politică de securitate, puteți determina dacă evenimentele specificate în lista de control al accesului la sistem (SACL) vor fi auditate, care pot fi editate în caseta de dialog « Opțiuni suplimentare Securitate" proprietățile unui obiect Active Directory. Un audit este creat numai pentru obiectele pentru care lista de sistem controlul accesului, cu condiția ca tipul de acces solicitat și contul care face solicitarea să corespundă setărilor din această listă. Această politică este oarecum similară cu politica „Audit accesul la obiecte”. Auditarea de succes înseamnă crearea unei înregistrări de audit de fiecare dată când un utilizator accesează cu succes a obiect Activ Director pentru care este definit tabelul SACL. Auditarea eșecului se referă la crearea unei intrări de audit de fiecare dată când un utilizator nu reușește să acceseze un obiect Active Directory care are un SACL definit.
Auditul schimbării politicii. Această politică de audit specifică dacă sistemul de operare va audita orice încercare de a modifica o politică de drepturi de utilizator, de audit, de cont sau de încredere. Auditarea de succes înseamnă crearea unei înregistrări de audit de fiecare dată când o politică de atribuire a drepturilor de utilizator, o politică de audit sau o modificare a politicii are succes. relație de încredere. Auditarea eșecului înseamnă crearea unei intrări de audit pentru fiecare încercare nereușită de a modifica politicile de atribuire a drepturilor utilizatorului, politicile de audit sau politicile de încredere.
Schimbări de privilegii de audit. Folosind această politică de securitate, puteți determina dacă utilizarea privilegiilor și a drepturilor utilizatorului va fi auditată. Auditarea de succes înseamnă crearea unei intrări de audit pentru fiecare aplicație de succes a unui drept de utilizator. Auditarea eșecului înseamnă crearea unei intrări de audit pentru fiecare utilizare nereușită a unui drept de utilizator.
Audit de urmărire a proceselor. Politica de audit actuală determină dacă sistemul de operare va audita evenimentele legate de proces, cum ar fi crearea și terminarea procesului, precum și activarea programului și accesul indirect la obiecte. Auditul de succes înseamnă crearea unei înregistrări de audit pentru fiecare eveniment de succes asociat procesului monitorizat. Auditarea eșecului înseamnă crearea unei înregistrări de audit pentru fiecare eveniment de eșec asociat procesului monitorizat.
Auditarea evenimentelor sistemului. Această politică de securitate este de o valoare deosebită, deoarece cu această politică puteți afla dacă computerul utilizatorului a fost repornit, dacă dimensiunea jurnalului de securitate a depășit pragul de avertizare, dacă a existat o pierdere a evenimentelor urmărite din cauza unui audit defecțiune a sistemului și chiar dacă s-au făcut modificări, care ar putea afecta securitatea sistemului sau a jurnalului de securitate, până la modificarea orei sistemului inclusiv. Auditarea de succes înseamnă crearea unei înregistrări de audit pentru fiecare eveniment de sistem de succes. Auditarea eșecului înseamnă crearea unei intrări de audit pentru fiecare defecțiune a unui eveniment de sistem.
Auditează evenimentele de conectare. Cu această politică de audit, puteți specifica dacă sistemul de operare efectuează un audit de fiecare dată când acest computer verifică acreditările. Când se utilizează această politică, este generat un eveniment pentru autentificarea utilizatorului local și la distanță. Membrii domeniului și computerele care nu aparțin domeniului sunt de încredere în conturile lor locale. Când un utilizator încearcă să se conecteze la folder impartit pe server, un eveniment de conectare la distanță este înregistrat în jurnalul de securitate, dar nu sunt înregistrate evenimente de deconectare. Auditarea cu succes înseamnă crearea unei intrări de audit pentru fiecare încercare de conectare reușită. Auditarea eșecului înseamnă crearea unei intrări de audit pentru fiecare încercare eșuată de conectare.
Auditul managementului conturilor. Acest ultima politică este, de asemenea, considerată foarte importantă, deoarece cu ajutorul acestuia puteți determina dacă este necesar să auditați fiecare eveniment de control al contului de pe computer. Jurnalul de securitate va înregistra activități precum crearea, mutarea și dezactivarea conturilor, precum și schimbarea parolelor și a grupurilor. Auditarea de succes înseamnă crearea unei înregistrări de audit pentru fiecare eveniment de succes de gestionare a contului. Auditarea eșecului înseamnă crearea unei înregistrări de audit pentru fiecare eveniment eșuat de gestionare a contului
După cum puteți vedea, toate politicile de audit sunt foarte asemănătoare într-o oarecare măsură, iar dacă setați un audit al tuturor politicilor pentru fiecare utilizator din organizația dvs., atunci mai devreme sau mai târziu veți fi pur și simplu confuz în ele. Prin urmare, este necesar să se determine mai întâi ce este exact necesar pentru audit. De exemplu, pentru a vă asigura că unul dintre conturile dvs. încearcă în mod constant să obțină acces neautorizat metoda de ghicire a parolei, puteți specifica un audit încercări eșuate Intrare. LA secțiunea următoare vom lua în considerare cel mai simplu exemplu utilizarea acestor politici.
Exemplu de politică de audit
Să presupunem că avem un domeniu testdomain.com care are un utilizator cu cont DImaN.Vista. în acest exemplu vom aplica politica pentru acest utilizator și vom vedea ce evenimente sunt scrise în jurnalul de securitate atunci când se încearcă accesul neautorizat la sistem. Pentru redare situație similară urmează următoarele instrucțiuni:
Concluzie
În acest articol, am continuat studiul politicilor de securitate, și anume, am examinat opțiunile de politică de audit cu care puteți investiga încercările de intruziune și autentificarea eșuată a utilizatorilor dvs. Sunt luate în considerare toate cele nouă politici de securitate responsabile de audit. De asemenea, ați învățat dintr-un exemplu cum funcționează politicile de audit folosind „Evenimente de conectare de audit”. A fost emulată situația accesului neautorizat la computerul utilizatorului, urmată de un audit jurnalul de sistem Securitate.
