Локальна політика безпеки. Частина 3: Політика аудиту, Windows, Операційні системи, статті

Введення


Як я говорив раніше, у наш час варто дбати про безпеку для користувача облікових записів і конфіденційності інформації вашого підприємства. З попередніх статей по локальних політикам безпеки ви дізналися про методи використання локальних політик безпеки і про політиків облікових записів, за допомогою яких ви змогли значно підвищити безпеку облікових записів користувачів. Тепер, після того як політики безпеки облікових записів у вас правильно налаштовані, зловмисникам буде набагато складніше отримати доступ до призначених для користувача облікових записів. Але не варто забувати про те, що на цьому ваша робота щодо забезпечення безпеки мережевої інфраструктури не закінчується. Всі спроби вторгнення і невдалу аутентифікацію ваших користувачів необхідно фіксувати для того щоб знати, треба Чи вживати додаткових заходів щодо забезпечення безпеки. Перевірка такої інформації з метою визначення активності на підприємстві називається аудитом.


В процесі аудиту використовуються три засоби управління: політика аудиту, параметри аудиту в об’єктах, а також журнал “Безпека”, Куди заносяться події, пов’язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. У цій статті ми розглянемо саме політики аудиту і наступний аналіз подій в журналі “Безпека”.



Політика аудиту


Політика аудиту налаштовує в системі певного користувача і групи аудит активності. Для того щоб отконфигурировать політики аудиту, в редакторі управління груповими політиками ви повинні відкрити вузол Конфігурація комп’ютера / Конфігурація Windows / Параметри безпеки / Локальні політики / Політика аудиту. Необхідно пам’ятати, що за замовчуванням параметр політики аудиту, для робочих станцій встановлений на “Не визначено”. У загальній складності, ви можете налаштовувати дев’ять політик аудиту, які зображені на наступній ілюстрації:



Рис. 1. Вузол “Політика аудиту”


Так само, як і з іншими політиками безпеки, для налаштування аудиту вам потрібно визначити параметр політики. Після подвійного натискання лівою кнопкою миші на будь-якому з параметрів, встановіть прапорець на опції “Визначити наступні параметри політики” і вкажіть параметри ведення аудиту успіху, відмови або обох типів подій.


*


Рис. 2. Властивості політики аудиту “Аудит доступу до служби каталогів”


Після настройки політики аудиту події будуть заноситися в журнал безпеки. Переглянути ці події можна в журналі безпеки. Розглянемо детальніше кожну політику аудиту:


Аудит входу в систему. Поточна політика визначає, чи буде операційна система користувача, для комп’ютера якого застосовується дана політика аудиту, виконувати аудит кожної спроби входу користувача в систему або виходу з неї. Наприклад, при вдалому вході користувача на комп’ютер генерується подія входу облікового запису. Події виходу із системи створюються кожен раз, коли завершується сеанс увійшла в систему облікової записи користувача. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу в систему.


Аудит доступу до об’єктів. Дана політика безпеки виконує аудит спроб доступу користувачів до об’єктів, які не мають відношення до Active Directory. До таких об’єктів можна віднести файли, папки, принтери, розділи системного реєстру, які задаються власними списками в системному списку управління доступом (SACL). Аудит створюється тільки для об’єктів, для яких зазначені списки управління доступом, за умови, що запитуваний тип доступу та обліковий запис, що виконує запит, відповідають параметрам в даних списках.


Аудит доступу до служби каталогів. За допомогою цієї політики безпеки ви можете визначити, чи буде виконуватися аудит подій, зазначених в системному списку контролю доступу (SACL), який можна редагувати в діалоговому вікні “Додаткові параметри безпеки” властивостей об’єкта Active Directory. Аудит створюється тільки для об’єктів, для яких вказаний системний список управління доступом, за умови, що запитуваний тип доступу та обліковий запис, що виконує запит, відповідають параметрам у цьому переліку. Дана політика в якійсь мірі схожа на політику “Аудит доступу до об’єктів”. Аудит успіхів означає створення запису аудиту при кожному успішному доступі користувача до об’єкта Active Directory, для якого визначена таблиця SACL. Аудит відмов означає створення запису аудиту при кожній невдалій спробі доступу користувача до об’єкта Active Directory, для якого визначена таблиця SACL.


Аудит зміни політики. Ця політика аудиту вказує, чи буде операційна система виконувати аудит кожної спроби зміни політики призначення прав користувачам, аудиту, облікового запису або довіри. Аудит успіхів означає створення запису аудиту при кожному успішному зміну політик призначення прав користувачів, політик аудиту чи політик довірчих відносин. Аудит відмов означає створення запису аудиту при кожній невдалій спробі зміни політик призначення прав користувачів, політик аудиту чи політик довірчих відносин.


Аудит зміни привілеїв. Використовуючи цю політику безпеки, ви можете визначити, чи буде виконуватися аудит використання привілеїв та прав користувачів. Аудит успіхів означає створення запису аудиту для кожного успішного застосування права користувача. Аудит відмов означає створення запису аудиту для кожного невдалого застосування права користувача.


Аудит відстеження процесів. Поточна політика аудиту визначає, чи буде операційна система виконувати аудит подій, пов’язаних з процесами, такими як створення і завершення процесів, а також активація програм і непрямий доступ до об’єктів. Аудит успіхів означає створення запису аудиту для кожного успішного події, пов’язаної з відслідковується процесом. Аудит відмов означає створення запису аудиту для кожного невдалого події, пов’язаного з відслідковується процесом.


Аудит системних подій. Дана політика безпеки має особливу цінність, оскільки саме за допомогою цієї політики ви можете дізнатися, перевантажувався чи у користувача комп’ютер, чи перевищив розмір журналу безпеки порогове значення попереджень, чи була втрата відстежені подій через збій системи аудиту і навіть вносилися зміни, які могли вплинути на безпеку системи або журналу безпеки аж до зміни системного часу. Аудит успіхів означає створення запису аудиту для кожного успішного системного події. Аудит відмов означає створення запису аудиту для кожного невдалого завершення системного події.


Аудит подій входу в систему. За допомогою цієї політики аудита ви можете вказати, чи буде операційна система виконувати аудит кожного разу при перевірці даними комп’ютером облікових даних. При використанні цієї політики створюється подія для локального та віддаленого входу користувача в систему. Члени домену та комп’ютери, що не входять в домен, є довіреними для своїх локальних облікових записів. Коли користувач намагається підключитися до спільної папки на сервері, в журнал безпеки записується подія віддаленого входу, причому події виходу з системи не записуються. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу в систему.


Аудит управління обліковими записами. Ця остання політика теж вважається дуже важливою, оскільки саме за допомогою неї ви можете визначити, чи необхідно виконувати аудит кожної події управління обліковими записами на комп’ютері. В журнал безпеки будуть записуватися такі дії як створення, переміщення і відключення облікових записів, а також зміна паролів і груп. Аудит успіхів означає створення запису аудиту для кожного успішного події управління обліковими записами. Аудит відмов означає створення запису аудиту для кожного невдалого події управління обліковими записами


Як бачите, всі політики аудита в якійсь мірі дуже схожі і якщо ви для кожного користувача свій організації встановіть аудит всіх політик, то рано чи пізно ви просто заплутаєтеся в них. Тому необхідно спочатку визначити, що саме необхідно для аудиту. Наприклад, щоб упевнитися в тому, що до однієї з ваших облікових записів постійно намагаються отримати несанкціонований доступ методом підбору пароля, ви можете вказати аудит невдалих спроб входу. У наступному розділі ми розглянемо найпростіший приклад використання цих політик.



Приклад використання політики аудиту


Припустимо, у нас є домен testdomain.com, в якому є користувач з обліковим записом DImaN.Vista. в даному прикладі ми застосуємо для цього користувача політику “Аудит подій входу в систему” і побачимо, які події записуються в журнал безпеки при спробі несанкціонованого доступу в систему. Для відтворення подібної ситуації виконайте наступні дії:



  1. На контролері домену створіть для користувача обліковий запис і помістіть її в групу безпеки “Vista”, яка розташована в підрозділі “Групи”;
  2. Відкрийте консоль “Управління груповою політикою”, Де виберіть контейнер “Об’єкти групової політики” і натисніть на цьому контейнері правою кнопкою миші для відображення контекстного меню;
  3. У контекстному меню виберіть команду “Створити” і в відобразиться діалогове вікні “Новий об’єкт групової політики” введіть “Політика аудиту”, Після чого натисніть кнопку “ОК”;

    *


    Рис. 3. Створення нового об’єкта групової політики


  4. Виберіть даний об’єкт групової політики і з контекстного меню виберіть команду “Змінити”;
  5. У вікні “Редактор управління груповими політиками” розгорніть вузол Конфігурація комп’ютера / Політика / Конфігурація Windows / Параметри безпеки / Локальні політики / Політика аудиту і відкрийте параметр політики “Аудит подій входу в систему”;
  6. Встановіть прапорці біля опцій “Визначити наступні параметри політики” і “Відмова”, Як показано на наступній ілюстрації та натисніть на “ОК”;

    *


    Рис. 4. Зміна політики аудиту


  7. Закрийте редактор управління груповими політиками;
  8. Зв’яжіть об’єкт “Політики аудиту” з підрозділом “Групи”. Для цього клацніть правою кнопкою миші на підрозділ “Групи” і з контекстного меню виберіть команду “Зв’язати існуючий об’єкт групової політики”;

    *


    Рис. 5. Зв’язка об’єкта групової політики з підрозділом


  9. У діалоговому вікні “Вибір об’єкта групової політики” виберіть об’єкт “Політика аудиту” і натисніть на кнопку “ОК”;
  10. Розгорніть підрозділ “Групи” і в області “Фільтри безпеки” видаліть фільтр “Минулі перевірку”. Після цього натисніть на кнопку “Додати” і виберіть групу “Vista”, Яку ми створювали раніше;

    *


    Рис. 6. Установка фільтра безпеки


  11. Перейдіть на клієнтську машину і обновіть групові політики за допомогою команди gpupdate;
  12. Заблокуйте комп’ютер і спробуйте увійти в систему, використовуючи завідомо неправильний пароль;
  13. На контролері домену відкрийте оснастку “Перегляд подій” і перейдіть в журнал “Безпека”;


    Рис. 7. Перегляд журналу безпеки


  14. Як бачите на попередній ілюстрації, згенерувати повідомлення аудиту відмови, відповідно, згенерували EventID 4771.


Висновок


У даній статті ми продовжили вивчення політик безпеки, а саме, розглянули параметри політик аудиту, за допомогою яких ви можете досліджувати спроби вторгнення і невдалу аутентифікацію ваших користувачів. Розглянуто всі дев’ять політик безпеки, що відповідають за ведення аудиту. Також на прикладі ви дізналися, як працюють політики аудиту за допомогою політики “Аудит подій входу в систему”. Була емулювати ситуація несанкціонованого проникнення на комп’ютер користувача з наступним аудитом системного журналу безпеки.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*