Развертывание параметров аудита и создание отчетов о том, что настроено

Опубликовано: 12 Апреля, 2023


Настройки аудита


Существует множество параметров аудита, которые необходимо учитывать при настройке как настольных компьютеров, так и серверов в среде. Вам нужно учитывать не только индивидуальные настройки, но и то, хотите ли вы отслеживать успешный или неудачный доступ. Это относительно простое решение, если вы хотите отслеживать, когда кто-то успешно выполняет задачу, установите успешное отслеживание аудита. Неудачный доступ — это когда они пытаются выполнить задачу или получить доступ к ресурсу, но не имеют на это разрешения.


Настройки, которые вы должны учитывать, включают следующее:


Аудит событий входа в учетную запись — это будет проверять каждый раз, когда пользователь входит или выходит из системы с другого компьютера, на котором компьютер, выполняющий аудит, используется для проверки учетной записи.


Аудит управления учетной записью — это будет проверять каждое событие, связанное с пользователем, управляющим учетной записью (пользователем, группой или компьютером) в базе данных пользователей на компьютере, где настроен аудит. Примеры таких событий включают:



  • Создание учетной записи пользователя
  • Добавление пользователя в группу
  • Переименование учетной записи пользователя
  • Изменение пароля для учетной записи пользователя

Аудит доступа к службе каталогов — будет проводиться аудит каждого события, связанного с доступом пользователя к объекту Active Directory, настроенному для отслеживания доступа пользователей через системный список управления доступом (SACL) объекта.


SACL объекта Active Directory определяет три вещи:



  • Учетная запись (обычно пользователь или группа), которая будет отслеживаться
  • Тип доступа, который будет отслеживаться, например чтение, создание, изменение и т. д.
  • Успешный или неудачный доступ к объекту

Аудит событий входа в систему — будет проводиться аудит каждого события, связанного с входом пользователя в систему, выходом из нее или установлением сетевого подключения к компьютеру, настроенному для аудита событий входа в систему.


Аудит доступа к объекту — это будет проверять каждое событие, когда пользователь получает доступ к объекту. К объектам относятся файлы, папки, принтеры, ключи реестра и объекты Active Directory. На самом деле любой объект, имеющий список SACL, будет включен в эту форму аудита. Как и в случае аудита доступа к каталогам, каждый объект имеет свой уникальный список SACL, что позволяет проводить целенаправленный аудит отдельных объектов.


Аудит изменения политики. При этом будет проверяться каждое событие, связанное с изменением одной из трех областей «политики» на компьютере. Эти области политики включают:



  • Назначение прав пользователя
  • Политики аудита
  • Доверительные отношения

Аудит использования привилегий — будет проверяться каждое событие, связанное с выполнением пользователем задачи, контролируемой правами пользователя.


Отслеживание процессов аудита — это будет проверять каждое событие, связанное с процессами на компьютере.


Аудит системных событий — будет проверяться каждое событие, связанное с перезагрузкой или выключением компьютера. События, связанные с безопасностью системы и журналом безопасности, также будут отслеживаться, если этот аудит включен.


Развертывание настроек аудита


Существует два метода развертывания параметров аудита на настольных компьютерах и серверах. Первый, ручной, действительно для компьютеров, которые не присоединены к домену. Этот метод очень трудоемок и малоэффективен. При ручной установке настроек на нескольких компьютерах также больше шансов, что настройки будут неправильными. Чтобы установить параметры аудита вручную, необходимо получить доступ к локальному объекту групповой политики (GPO). Это делается путем ввода gpedit.msc из команды «Выполнить» в меню «Пуск». Оказавшись в локальном GPO, вы перейдете к следующему узлу: Computer Configuration|Security Settings|Local Policies|Audit Policy, как показано на рисунке 1.



Изображение 25782
Рисунок 1. Локальный объект групповой политики предоставляет доступ к ручному редактированию настроек аудита


Для тех предприятий и небольших компаний, в которых установлена Windows Active Directory, вы не захотите использовать ручной метод. Вместо этого вы захотите развернуть параметры аудита с помощью объектов групповой политики из Active Directory. Конфигурация внутри объекта групповой политики будет такой же, изменится только объект групповой политики. В идеале вы поместите соответствующие учетные записи целевых компьютеров в организационное подразделение (OU), а затем свяжете объект групповой политики с этим подразделением. Наконец, настройте параметры аудита в GPO, и он автоматически настроит все учетные записи компьютеров в OU.


Проверка настроек аудита


После того как параметры аудита развернуты с помощью Active Directory и объектов групповой политики, как вы можете быть уверены, что они правильно настроены на целевом компьютере? Необходимость проверки настроек входит в обязанности как ИТ-персонала, так и аудитора безопасности. Независимо от причины проверки настроек, действия по их проверке одинаковы.


Первый вариант проверки настроек — запустить инструмент Resultant Set of Policies (RSoP) на целевом компьютере. Самый простой способ сделать это — запустить rsop.msc с помощью команды «Выполнить» в меню «Пуск». Это отобразит все параметры, настроенные с помощью групповой политики, а также укажет, какой параметр GPO был получен. С точки зрения проверки правильности настройки объектов групповой политики на целевом компьютере, это, безусловно, один из самых мощных и эффективных методов проверки правильности настроек.


Следующий вариант проверки настроек — доступ к локальной политике безопасности на целевом компьютере. Это делается путем доступа к панели управления. В Панели управления выберите Администрирование. Там вы найдете локальную политику безопасности. Этот инструмент показывает фактические конфигурации на компьютере.


Существует также множество инструментов, которые можно использовать для оценки того, какие настройки аудита установлены. В верхней части этого списка инструментов находится DumpSec, бесплатный и стабильный инструмент для сбора информации, такой как настройки аудита. DumpSec хорошо справляется со сбором безопасности с компьютера и отображает ее в логичном и простом формате. Затем результаты можно распечатать или сохранить в файл для последующего анализа. DumpSec можно получить на сайте www.somarsoft.com.


Вывод


Параметры аудита важны для любой компании, чтобы гарантировать, что пользователи не выполняют задачи на настольных компьютерах и серверах, которые они не должны выполнять. Аудит также позволяет ИТ-администраторам проверять любые вредоносные действия на любом компьютере со стороны внутреннего пользователя или внешнего злоумышленника. Получение настроек на целевом компьютере может осуществляться вручную или автоматически с помощью групповой политики в Active Directory. После установки параметров на целевом компьютере важно периодически проверять их правильность. Существует множество вариантов проверки этих настроек, включая встроенные инструменты и бесплатные сторонние инструменты.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023