 |
Специальная часть. Настройка аудита доменных служб Active Directory в Windows Server 2008 R2
|
|
|
|
В Windows Server 2008 по сравнению с предыдущей Windows Server 2003 обновлены возможности подсистемы аудита, настраиваемые через политики безопасности, а количество отслеживаемых параметров увеличено на 53. В Windows Server 2003 существовала только политика Аудит доступа к службе каталогов, контролировавшая включение и отключение аудита событий службы каталогов. Теперь управлять аудитом можно на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории, в каждой из которых настраиваются специфические параметры:
Directory Service Access (доступ к службе каталогов);
Directory Service Changes (изменения службы каталогов);
Directory Service Replication (репликация службы каталогов);
- Detailed Directory Service Replication (подробная репликация службы каталогов).
При включении глобальной политики аудита Аудит доступа к службе каталогов автоматически активируются все подкатегории политики служб каталогов.
Система аудита в Windows Server 2008 отслеживает все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя, выполнившего операцию. Но если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся.
В Windows Server 2008 R2 аудит внедряется при помощи:
глобальной политики аудита (Global Audit Policy, GAP);
списка управления доступом (System access control list, SACL) - определяет операции, для которых будет производиться аудит;
схемы - используется для окончательного формирования списка событий.
По умолчанию для клиентских систем аудит отключен, для серверных активна подкатегория Доступ к службе каталогов Active Directory, остальные отключены. Для включения глобальной политики “Аудит доступа к службе каталогов” (Audit directory service access) необходимо вызвать Редактор управления групповыми политиками перейти в ветку Параметры безопасности/Локальные политики/Политика аудита, где активировать политику и установить контролируемые события (успех, отказ).
|
|
|
Рисунок 1.6 - Включение политики аудита Directory Service Access
Второй путь - использовать для настройки утилиту командной строки auditpol, получить полный список GAP с установленными параметрами. При помощи auditpol достаточно ввести команду:
Рисунок 1.7 - Получаем список установок при помощи auditpol
Активируем политику “directory service access”:
> auditpol /set /subcategory:"directory service changes" /success:enable
Рисунок 1.8 - Просмотр событий при помощи Event Viewer
В качестве альтернативного варианта просмотра событий можно использовать командлет Get-EventLog оболочки PowerShell. Например:
PS> Get-EventLog security |?{$_.eventid -eq 4662}
Рисунок 1.9 - Получаем список событий при помощи Get-EventLog
Кроме этого, регистрируется ряд других событий 5136 (изменение атрибута), 5137 (создание атрибута), 5138 (отмена удаления атрибута) и 5139 (перемещение атрибута).
Для удобства отбора определенных событий в консоли Просмотр событий используют фильтры и настраиваемые представления, а также подписку, позволяющую собирать данные журналов и с других серверов.
В ветке Политика аудита также активируются и другие возможности (см.рис.1): аудит входа/выхода в систему, аудит управления учетными записями, доступ к объектам, изменения политик и так далее. Например, настроим аудит доступа к объектам на примере папки с общим доступом. Для этого активируем, как рассказано выше, политику Audit object access, затем выбираем папку и вызываем меню Свойства папки, в котором переходим в подпункт Безопасность и нажимаем кнопку Дополнительно. Теперь в открывшемся окне “Дополнительные параметры безопасности для …” переходим во вкладку Аудит и нажимаем кнопку Изменить и затем Добавить и указываем учетную запись или группу, для которой будет осуществляться аудит. Далее отмечаем отслеживаемые события (выполнение, чтение, создание файлов и др.) и результат (успех или отказ). При помощи списка “Применять” указываем область применения политики аудита. Подтверждаем изменения.
|
|
|
Рисунок 1.10 - Настраиваем аудит папки с общим доступом
Теперь все указанные операции будут отображаться в журнале безопасности.
Чтобы упростить настройку аудита при большом количестве объектов, следует активировать флажокНаследование параметров от родительского объекта. При этом в поле Унаследовано от будет показан родительский объект, от которого взяты настройки.
Больший контроль событий, записываемых в журнал, достигается применением политики детализированного аудита (Granular Audit Policy), которая настраивается в Параметры безопасности/Локальные политики/Advanced Audit Policy Configuration. Здесь 10 подпунктов:
Вход учетной записи - аудит проверки учетных данных, службы проверки подлинности Kerberos, операции с билетами службы Kerberos, другие события входа;
Управление учетными записями - аудит управления группами приложений, учетными записями компьютеров и пользователей, группами безопасности и распространения;
Подробное отслеживание - событий RPC и DPAPI, создания и завершения процессов;
Доступ к службе каталогов DS - аудит доступа, изменений, репликации и подробной репликации службы каталогов;
Вход/выход - аудит блокировки учетных записей, входа и выхода в систему, использования IPSec, сервера политики сети;
Доступ к объектам - аудит объектов ядра, работы с дескрипторами, событий создаваемых приложениями, служб сертификации, файловой системы, общих папок, платформой фильтрации;
Изменение политики - изменения политики аудита, проверки подлинности, авторизации, платформы фильтрации, правил службы защиты MPSSVC и другие;
Использование прав - аудит прав доступа к различным категориям данных;
Система - аудит целостности системы, изменения и расширения состояния безопасности, драйвера IPSec и других событий;
Аудит доступа к глобальным объектам - аудит файловой системы и реестра.
|
|
|
Рисунок 1.11 - Доступные настройки Advanced Audit Policy Configuration
Активация аудита управления учетными записями пользователей позволит отслеживать: создание, изменение, удаление, блокировку, включение и прочие настройки учетных записей, в том числе пароль и разрешения. Посмотрим, как она работает на практике - выбираем подкатегорию User Account Management и активируем. Команда для auditpol выглядит так:
> auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable > gpudate
Система аудита в консоли Просмотр события сразу покажет событие с номером 4719 Изменение параметров аудита, в котором показаны название политики и новые значения.
Рисунок 1.12 - Фиксация изменения политики системой аудита
Чтобы создать событие, откроем консоль Active Directory - пользователи и компьютеры и изменим один из параметров любой учетной записи - например, добавим пользователя в группу безопасности. В консоли Просмотра события сразу будут сгенерировано несколько событий: события с номером 4732 и 4735, показывающие изменение состава группы безопасности, и добавление учетной записи новой группы безопасности (на рис.8 выделены фиолетовым).
Создадим новую учетную запись - система генерирует несколько событий: 4720 (создание новой учетной записи), 4724 (попытка сброса пароля учетной записи), несколько событий с кодом 4738 (изменение учетной записи) и, наконец, 4722 (включение новой учетной записи). По данным аудита администратор может отследить старое и новое значение атрибута - например, при создании учетной записи меняется значение UAC.
Рисунок 1.13 - При создании новой учетной записи система аудита Windows Server 2008 генерирует несколько событий
|
|
|
