Вступ
Як я говорив раніше, в наш час варто дбати про безпеку для користувача облікових записів і конфіденційності інформації вашого підприємства. З попередніх статей по локальним політикам безпеки ви дізналися про методи використання локальних політик безпеки і про політиків облікових записів, за допомогою яких ви змогли значно підвищити безпеку облікових записів користувачів. Тепер, після того як політики безпеки облікових записів у вас правильно налаштовані, зловмисникам буде набагато складніше отримати доступ до призначених для користувача облікових записів. Але не варто забувати про те, що на цьому ваша робота по забезпеченню безпеки мережевої інфраструктури не закінчується. Всі спроби вторгнення і невдалу аутентифікацію ваших користувачів необхідно фіксувати для того щоб знати, чи потрібно вживати додаткових заходів щодо забезпечення безпеки. Перевірка такої інформації з метою визначення активності на підприємстві називається аудитом.
В процесі аудиту використовуються три засоби управління: політика аудиту, параметри аудиту в об'єктах, а також журнал «Безпека», куди заносяться події, пов'язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. У цій статті ми розглянемо саме політики аудиту і наступний аналіз подій в журналі «Безпека».
політика аудиту
Політика аудиту налаштовує в системі певного користувача і групи аудит активності. Для того щоб отконфигурировать політики аудиту, в редакторі управління груповими політиками ви повинні відкрити вузол Конфігурація комп'ютера / Конфігурація Windows / Параметри безпеки / Локальні політики / Політика аудиту. Необхідно пам'ятати, що за замовчуванням параметр політики аудиту, для робочих станцій встановлено на «Не визначено». В цілому, ви можете налаштовувати дев'ять політик аудиту, які зображені на наступній ілюстрації:
Мал. 1. Вузол «Політика аудиту»
Так само, як і з іншими політиками безпеки, для налаштування аудиту вам потрібно визначити параметр політики. Після подвійного натискання лівою кнопкою миші на будь-якому з параметрів, встановіть прапорець на опції «Визначити наступні параметри політики» і вкажіть параметри ведення аудиту успіху, відмови або обох типів подій.
Мал. 2. Властивості політики аудиту «Аудит доступу до служби каталогів»
Після настройки політики аудиту події будуть заноситися в журнал безпеки. Переглянути ці події можна в журналі безпеки. Розглянемо детальніше кожну політику аудиту:
Аудит входу в систему. Поточна політика визначає, чи буде операційна система користувача, для комп'ютера якого застосовується дана політика аудиту, виконувати аудит кожної спроби входу користувача в систему або виходу з неї. Наприклад, при вдалому вході користувача на комп'ютер генерується подія входу облікового запису. Події виходу з системи створюються кожен раз, коли завершується сеанс увійшла в систему облікового запису користувача. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу в систему.
Аудит доступу до об'єктів. Дана політика безпеки виконує аудит спроб доступу користувачів до об'єктів, які не мають відношення до Active Directory. До таких об'єктів можна віднести файли, папки, принтери, розділи системного реєстру, які задаються власними списками в системному списку управління доступом (SACL). Аудит створюється тільки для об'єктів, для яких вказані списки управління доступом, за умови, що запитуваний тип доступу та обліковий запис, що виконує запит, відповідають параметрам в даних списках.
Аудит доступу до служби каталогів. За допомогою цієї політики безпеки ви можете визначити, чи буде виконуватися аудит подій, зазначених в системному списку контролю доступу (SACL), який можна редагувати в діалоговому вікні «Додаткові параметри безпеки» властивостей об'єкта Active Directory. Аудит створюється тільки для об'єктів, для яких вказано системний список управління доступом, за умови, що запитуваний тип доступу та обліковий запис, що виконує запит, відповідають параметрам в даному списку. Дана політика в якійсь мірі схожа на політику «Аудит доступу до об'єктів». Аудит успіхів означає створення запису аудиту при кожному успішному доступі користувача до об'єкта Active Directory, для якого визначена таблиця SACL. Аудит відмов означає створення запису аудиту при кожній невдалій спробі доступу користувача до об'єкта Active Directory, для якого визначена таблиця SACL.
Аудит зміни політики. Ця політика аудиту вказує, чи буде операційна система виконувати аудит кожної спроби зміни політики призначення прав користувачам, аудиту, облікового запису або довіри. Аудит успіхів означає створення запису аудиту при кожному успішному зміні політик призначення прав користувачів, політик аудиту або політик довірчих відносин. Аудит відмов означає створення запису аудиту при кожній невдалій спробі зміни політик призначення прав користувачів, політик аудиту або політик довірчих відносин.
Аудит зміни привілеїв. Використовуючи цю політику безпеки, ви можете визначити, чи буде виконуватися аудит використання привілеїв і прав користувачів. Аудит успіхів означає створення запису аудиту для кожного успішного застосування права користувача. Аудит відмов означає створення запису аудиту для кожного невдалого застосування права користувача.
Аудит відстеження процесів. Поточна політика аудиту визначає, чи буде операційна система виконувати аудит подій, пов'язаних з процесами, такими як створення і завершення процесів, а також активація програм і непрямий доступ до об'єктів. Аудит успіхів означає створення запису аудиту для кожного успішного події, пов'язаного з відслідковується процесом. Аудит відмов означає створення запису аудиту для кожного невдалого події, пов'язаного з відслідковується процесом.
Аудит системних подій. Дана політика безпеки має особливу цінність, так як саме за допомогою цієї політики ви можете дізнатися, перевантажувався у користувача комп'ютер, чи перевищив розмір журналу безпеки порогове значення попереджень, чи була втрата відстежених подій через збій системи аудиту і навіть вносилися зміни, які могли вплинути на безпеку системи або журналу безпеки аж до зміни системного часу. Аудит успіхів означає створення запису аудиту для кожного успішного системного події. Аудит відмов означає створення запису аудиту для кожного невдалого завершення системного події.
Аудит подій входу в систему. За допомогою цієї політики аудиту ви можете вказати, чи буде операційна система виконувати аудит кожного разу при перевірці комп'ютером облікових даних. При використанні цієї політики створюється подія для локального і віддаленого входу користувача в систему. Члени домену та комп'ютери, які не входять в домен, є довіреними для своїх локальних облікових записів. Коли користувач намагається підключитися до спільної папки на сервері, в журнал безпеки записується подія віддаленого входу, причому події виходу з системи не записуються. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу в систему.
Аудит управління обліковими записами. Ця остання політика теж вважається дуже важливою, так як саме за допомогою неї ви можете визначити, чи потрібно виконувати аудит кожної події управління обліковими записами на комп'ютері. У журнал безпеки будуть записуватися такі дії як створення, переміщення і відключення облікових записів, а також зміна паролів і груп. Аудит успіхів означає створення запису аудиту для кожного успішного події управління обліковими записами. Аудит відмов означає створення запису аудиту для кожного невдалого події управління обліковими записами
Як бачите, всі політики аудиту в якійсь мірі дуже схожі і якщо ви для кожного користувача свій організації встановіть аудит всіх політик, то рано чи пізно ви просто заплутаєтеся в них. Тому необхідно спочатку визначити, що саме необхідно для аудиту. Наприклад, щоб упевнитися в тому, що до однієї з ваших облікових записів постійно намагаються отримати несанкціонований доступ методом підбору пароля, ви можете вказати аудит невдалих спроб входу. У наступному розділі ми розглянемо найпростіший приклад використання даних політик.
Приклад використання політики аудиту
Припустимо, у нас є домен testdomain.com, в якому є користувач з обліковим записом DImaN.Vista. в даному прикладі ми застосуємо для цього користувача політику «Аудит подій входу в систему» і побачимо, які події записуються в журнал безпеки при спробі несанкціонованого доступу в систему. Для відтворення подібної ситуації виконайте наступні дії:
- На контролері домену створіть призначену для користувача обліковий запис і помістіть її в групу безпеки «Vista», яка розташована в підрозділі «Групи»;
- Відкрийте консоль «Управління груповою політикою», де виберіть контейнер «Об'єкти групової політики» і натисніть на цьому контейнері правою кнопкою миші для відображення контекстного меню;
- У контекстному меню виберіть команду «Створити» і в діалоговому вікні, що «Новий об'єкт групової політики» введіть «Політика аудиту», після чого натисніть кнопку «ОК»;
Мал. 3. Створення нового об'єкта групової політики
- Виберіть даний об'єкт групової політики і з контекстного меню виберіть команду «Змінити»;
- У вікні «Редактор управління груповими політиками» розгорніть вузол Конфігурація комп'ютера / Політика / Конфігурація Windows / Параметри безпеки / Локальні політики / Політика аудиту і відкрийте параметр політики «Аудит подій входу в систему»;
- Встановіть прапорці біля опцій «Визначити наступні параметри політики» і «відмова», як показано на наступній ілюстрації та натисніть на «ОК»;
Мал. 4. Зміна політики аудиту
- Закрийте редактор управління груповими політиками;
- Зв'яжіть об'єкт «Політики аудиту» з підрозділом «Групи». Для цього клацніть правою кнопкою миші на підрозділ «Групи» та з контекстного меню виберіть команду «Зв'язати існуючий об'єкт групової політики»;
Мал. 5. Зв'язка об'єкта групової політики з підрозділом
- У діалоговому вікні «Вибір об'єкта групової політики» виберіть об'єкт «Політика аудиту» і натисніть на кнопку «ОК»;
- Розгорніть підрозділ «Групи» та в області «Фільтри безпеки» видаліть фільтр «Минулі перевірку». Після цього натисніть на кнопку «Додати» і виберіть групу «Vista», яку ми створювали раніше;
Мал. 6. Установка фільтра безпеки
- Перейдіть на клієнтську машину і обновіть групові політики за допомогою команди gpupdate;
- Заблокуйте комп'ютер і спробуйте увійти в систему, використовуючи завідомо неправильний пароль;
- На контролері домену відкрийте оснащення «Перегляд подій» і перейдіть в журнал «Безпека»;
Мал. 7. Перегляд журналу безпеки - Як бачите на попередній ілюстрації, згенерованого повідомлення аудиту відмови, відповідно, згенерованого EventID 4771.
висновок
У даній статті ми продовжили вивчення політик безпеки, а саме, розглянули параметри політик аудиту, за допомогою яких ви можете досліджувати спроби вторгнення і невдалу аутентифікацію ваших користувачів. Розглянуто всі дев'ять політик безпеки, що відповідають за ведення аудиту. Також на прикладі ви дізналися, як працюють політики аудиту за допомогою політики «Аудит подій входу в систему». Була емулюватися ситуація несанкціонованого проникнення на комп'ютер користувача з подальшим аудитом системного журналу безпеки.