Аудит пользователей и групп с помощью журнала безопасности Windows

Опубликовано: 13 Апреля, 2023

Если вам нужен еще совет от Рэндалла Ф. Смита, посмотрите его семинар ниже:



Посетите единственный двухдневный семинар, посвященный журналу безопасности Windows


Новые учетные записи пользователей важно проверять, чтобы убедиться, что они соответствуют законному сотруднику, подрядчику или приложению. Внешние злоумышленники часто создают новые учетные записи пользователей, чтобы обеспечить постоянный доступ к системе, в которую проникли. Некоторые изменения в учетных записях пользователей важны для аудита, поскольку они могут указывать на скомпрометированные учетные записи. Например, как внутренние, так и внешние компьютерные преступники часто получают доступ к системе путем социальной инженерии службы поддержки с паролем пользователя. Или повторное включение ранее отключенной учетной записи может быть подозрительным в зависимости от истории и типа учетной записи. Групповые изменения, особенно изменения членства в группе, очень полезно отслеживать, поскольку группы используются для управления доступом к ресурсам, связывания политик безопасности и управления беспроводным и удаленным доступом по всей сети Windows. Изменения на вкладке «Безопасность» организационного подразделения обычно соответствуют делегированию административных полномочий в отношении этого подразделения, но также происходят при изменении обычного доступа пользователей к объектам каталога. Примеры включают делегирование полномочий на сброс пароля или создание учетной записи пользователя в подразделении NYC. Любое изменение объекта групповой политики или изменений на вкладке групповой политики подразделения может привести к широкомасштабным изменениям политик безопасности, применяемых к компьютерам в этом подразделении, или к изменениям ограничений рабочего стола для учетных записей пользователей в этом подразделении. В этой статье я сосредоточусь на аудите изменений пользователей и групп.


Чтобы отслеживать изменения пользователей и групп, вы должны включить «Аудит управления учетными записями» на ваших контроллерах домена. Лучший способ сделать это — включить эту политику аудита в объекте групповой политики «Контроллеры домена по умолчанию», который связан с вашим подразделением контроллеров домена, как показано на рисунке 1. «Аудит событий управления учетной записью» предоставляет определенные идентификаторы событий для важных операций, которые могут быть выполняется на пользователях и группах.


Аудит учетных записей пользователей


Основные операции создания, изменения и удаления учетных записей пользователей в AD отслеживаются с идентификаторами событий 624, 642 и 630 соответственно. Каждый из этих идентификаторов событий предоставляет имя пользователя, выполнившего операцию, и имя затронутой учетной записи пользователя, как вы можете видеть ниже в примере с идентификатором события 642, который был взят из контроллера домена Windows 2000:


Учетная запись пользователя изменена:




Имя целевой учетной записи:alicej
Целевой домен:ELMW2
Идентификатор целевой учетной записи: ELMW2alicej
Имя пользователя вызывающего абонента: Администратор
Домен вызывающего абонента: ELMW2
Идентификатор входа вызывающего абонента: (0x0,0x1469C1)
Привилегии:-


Обратите внимание, что событие с идентификатором 624 (создание учетной записи пользователя) заменяет «Цель» на «Новый» в приведенном выше примере. Для измененных учетных записей пользователей Window 2000 иногда документирует тип изменения, внесенного в учетную запись, в первой строке после «Учетная запись пользователя изменена». В Windows Server 2003 Microsoft добавила несколько новых полей в описание события с идентификатором 642, как показано ниже.


Учетная запись пользователя изменена:




Имя целевой учетной записи:alicej
Целевой домен:ELMW2
Идентификатор целевой учетной записи: ELMW2alicej
Имя пользователя вызывающего абонента: Администратор
Домен вызывающего абонента: ELMW2
Идентификатор входа вызывающего абонента: (0x0,0x1469C1)
Привилегии:-
Изменены атрибуты:
Имя учетной записи Сэма: -
Показать имя:-
Основное имя пользователя: -
Домашний каталог:-
Домашний привод:-
Путь сценария: -
Путь к профилю: -
Пользовательские рабочие станции: -
Последний набор пароля: -
Срок действия учетной записи истекает: 07.09.2004, 00:00:00
Идентификатор основной группы: -
Алловедтоделегатето: -
Старое значение UAC: -
Новое значение UAC: -
Контроль учетных записей пользователей: -
Параметры пользователя: -
История Сида: -
Часы входа: -


В приведенном выше примере вы можете видеть, что администратор установил срок действия учетной записи Алисы на 07.09.2004. Эти новые поля являются настоящим достижением, поскольку Windows 2000 довольно непоследовательно относилась к тому, какие изменения свойств учетных записей она документировала, а какие оставляла пустыми в описании события. Иногда все, что вы знали, это то, что учетная запись была изменена, но не то, что изменилось. Большинство полей говорят сами за себя, но «Старое значение UAC» и «Новое значение UAC» требуют некоторого обсуждения. UAC означает контроль учетной записи пользователя и представляет собой 4-байтовое поле, биты которого соответствуют флажкам учетной записи пользователя, показанной на рисунке 2. Сначала я подумал, что необходимо изолировать отдельные флажки от значения UAC. Однако в этом нет необходимости, потому что в следующем поле «Контроль учетных записей» любезно перечислено на простом английском языке, какие параметры были отмечены или не отмечены. Например, в случае включенной учетной записи пользователя функция контроля учетных записей указывает «Учетная запись включена».


В Windows Server 2003 и, в меньшей степени, в Windows 2000 также имеется ряд идентификаторов событий, посвященных конкретным операциям обслуживания учетных записей пользователей. Когда пользователь меняет свой пароль, Windows Server 2003 регистрирует событие с идентификатором 627, «Попытка смены пароля», как показано ниже.


Попытка изменить пароль:



Имя целевой учетной записи: bob
Целевой домен:ELMW2
Идентификатор целевой учетной записи: ELMW2ob
Имя пользователя вызывающего абонента: боб
Домен вызывающего абонента: ELMW2
Идентификатор входа вызывающего абонента: (0x0,0x130650)
Привилегии:-


Когда администратор сбрасывает пароль другого пользователя, например, в случае обращений в службу поддержки по забытому паролю, Windows Server 2003 регистрирует событие с идентификатором 628.


Установленный пароль учетной записи пользователя:



Имя целевой учетной записи: Гарольд
Целевой домен:ELM
Идентификатор целевой учетной записи: ELMharold
Имя пользователя вызывающего абонента: timg
Домен вызывающего абонента: ELM
Идентификатор входа вызывающего абонента: (0x0,0x158EB7)


Обратите внимание, что поля «вызывающий» идентифицируют пользователя, timg, который сбросил «целевую» учетную запись пользователя, harold. Windows 2000 действует немного иначе. Несмотря на документацию MS, Windows 2000 регистрирует событие с идентификатором 627 как для сброса пароля, так и для изменения пароля одним и тем же пользователем. Чтобы отличить смену пароля от сброса, сравните имя пользователя вызывающего абонента с именем целевого пользователя. Если они совпадают, вы знаете, что пользователь меняет свой пароль.


Когда Windows блокирует учетную запись пользователя после повторяющихся неудачных попыток входа, вы увидите событие с кодом 644 в журнале безопасности контроллера домена, на котором произошли ошибки входа.


Учетная запись пользователя заблокирована:



Имя целевой учетной записи:alicej
Идентификатор целевой учетной записи: ELMW2alicej
Имя машины вызывающего абонента: W3DC
Имя пользователя вызывающего абонента: W2DC$
Домен вызывающего абонента: ELMW2
Идентификатор входа в систему вызывающего абонента: (0x0,0x3E7)


Когда пользователь обращается в службу поддержки или к администратору для сброса своего пароля, Windows Server 2003 регистрирует событие с идентификатором 671 «Учетная запись пользователя разблокирована». Windows 2000 не регистрирует это событие.


Групповой аудит


Аудит изменений в группах очень прост. Windows предоставляет разные идентификаторы событий для каждой комбинации типа группы, области действия группы и операции. В AD у вас есть 2 типа групп. Группам рассылки нельзя назначать права или разрешения. Группы рассылки зарезервированы исключительно для списков рассылки в Exchange 2000. В журнале безопасности группы рассылки называются группами с отключенной безопасностью. Группы безопасности — это более знакомый тип группы и единственный тип группы, которому можно назначать разрешения и права. Группы безопасности в журнале безопасности называются группами с включенной безопасностью. Группы также имеют 1 или 3 области действия: универсальную, глобальную и локальную. На приведенной ниже диаграмме показана разница между тремя прицелами.




















Сфера


Может иметь в качестве членов


Может быть предоставлен
разрешения


Универсальный


Пользователи и глобальные или универсальные группы из любого домена в лесу


В любом месте в лесу


Глобальный


Пользователи и другие глобальные группы из того же домена


В любом месте в лесу


Локальный домен


Пользователи и глобальные или универсальные группы из любого домена в лесу и локальные группы домена из того же домена


Только в пределах одного домена


Windows регистрирует 5 различных идентификаторов событий для каждого сочетания типа группы и области действия. 5 событий соответствуют 5 операциям аудита Windows для каждой группы: создание, изменение, удаление, добавление участника и удаление участника.


























































Тип


Сфера


Созданный


Измененный


Удалено


Член


Добавлен


Удаленный


Безопасность


Местный


635


641


638


636


637


Глобальный


631


639


634


632


633


Универсальный


658


659


662


660


661


Распределение


Местный


648


649


652


650


651


Глобальный


653


654


657


655


656


Универсальный


663


664


667


665


666


С точки зрения аудита контроля доступа наиболее важный столбец должен быть добавлен, поскольку эта операция обычно соответствует предоставлению пользователю нового доступа.


Как видите, «Аудит управления учетными записями» предоставляет массу информации для отслеживания изменений ваших пользователей и групп в Active Directory. Помните, однако, что вы должны отслеживать и/или собирать эти события с каждого контроллера домена в вашем домене, поскольку единственными контроллерами домена, которые регистрируют событие управления учетной записью, является тот, на котором изменение было фактически выполнено. Хотя изменение пользователя или группы реплицируется на все остальные контроллеры домена, репликация не вызывает никаких событий в журнале безопасности. Для эффективного использования журнала безопасности вам необходимо каким-то образом собирать события в единую базу данных для целей мониторинга и отчетности с использованием некоторых собственных сценариев или инструмента управления журналом событий, такого как LanGuard SELM от GFI.


Максимальная безопасность Windows: информация


Ultimate Windows Security — это 5-дневный практический технический курс, посвященный каждой области безопасности Windows. Курс посвящен Windows Server 2003, но Рэнди рассматривает каждый пункт, относящийся к Windows 2000, XP и даже NT. Ultimate Windows Security охватывает основы безопасности Windows, такие как политика учетных записей, разрешения, аудит и управление исправлениями с первого дня. Во второй день вы сосредоточитесь на безопасности Active Directory и групповой политики. День 3 познакомит вас со службами сертификации, службами маршрутизации и удаленного доступа и службами проверки подлинности в Интернете. На 4-й день вы узнаете, как объединить эти 3 технологии для решения реальных задач в области безопасности, таких как двухфакторная безопасность VPN, безопасность Wi-Fi с помощью 802.1x и WPA, надежное и безопасное внедрение шифрованной файловой системы и использование IPSec для работы с различными сетями. проблемы с безопасностью. Пятый день погрузит вас в таинственный мир журнала безопасности Windows. Рэнди раскроет эту прискорбно недокументированную область Windows и покажет вам, как отслеживать аутентификацию, изменения политик, активность администратора, фальсификацию, попытки вторжения и многое другое. Вы можете посетить Ultimate Windows Security публично в учебных центрах по всей Америке или провести курс самостоятельно, запланировав мероприятие в офисе или на месте. Чтобы зарегистрироваться или узнать больше, перейдите на сайт UltimateWindowsSecurity.com.


Биография автора:
Рэнди Франклин Смит, президент Monterey Technology Group, Inc. и сертифицированный специалист по системной безопасности, специализируется на безопасности Windows. Рэнди является создателем и эксклюзивным инструктором семинара Ultimate Windows Security и нового курса Security Log Secrets.


Вы можете связаться с Рэнди по адресу [email protected]