Layunin ng gawain: Kumuha ng mga praktikal na kasanayan kapag nagtatrabaho sa pag-audit ng access sa mga mapagkukunan.
Saklaw ng trabaho:
Pag-audit ng kaganapan.
Mga opsyon sa pag-audit para sa mga bagay.
Pagpili ng mga bagay na paglalapatan ng mga elemento ng pag-audit.
Ang epekto ng mana sa pag-audit ng mga file at folder.
Tingnan ang log ng kaganapan.
Teoretikal na impormasyon. Audit: pangkalahatang-ideya
Pag-audit– pagsubaybay sa mga aksyon ng gumagamit sa pamamagitan ng pag-log ng ilang uri ng mga kaganapan sa log ng seguridad ng server o workstation.
Ang pag-audit ng mga partikular na computer, user, at mga kaganapan sa operating system ay isang kinakailangang bahagi ng pangangasiwa ng network. Ang pagtatakda ng mga parameter ng pag-audit ay posible sa window ng mga katangian para sa mga file, folder, nakabahaging folder, printer, at mga object ng serbisyo ng direktoryo ng Active Directory. Binibigyang-daan ka ng pag-audit na subaybayan at i-record ang mga kaganapan sa seguridad, tulad ng mga pagtatangka ng user na i-access ang mga protektadong file at folder. Pagkatapos mong paganahin ang pag-audit, isinusulat ang mga entry sa log ng seguridad ng Windows 2000 sa tuwing may pagtatangka na i-access ang bagay na ito. Tinutukoy nito ang paksa ng pag-audit, ang mga aktibidad na susuriin, at ang eksaktong mga uri ng mga aktibidad na susuriin. Kapag na-install na ang pag-audit, maaari mong subaybayan ang access ng user sa mga partikular na bagay at pag-aralan ang mga puwang sa seguridad. Ipinapakita ng mga talaan ng pag-audit kung sino ang nagsagawa ng anumang mga aksyon at kung sino ang nagtangkang magsagawa ng anumang mga hindi awtorisadong aksyon.
Pumili ng mga target sa pag-audit at tingnan ang mga log ng kaganapan upang subaybayan ang mga pattern ng paggamit, mga isyu sa seguridad, at mga trend ng trapiko sa network. Ngunit labanan ang tukso na kontrolin ang lahat. Kung mas maraming kaganapan ang pinagana ang pag-audit, mas malaki ang mga log. Ang pagdaan sa malalaking log ng kaganapan ay mahirap na trabaho at sa huli ay nakakasawa. Samakatuwid, mahalagang magplano ng patakaran sa pag-audit na magpoprotekta sa iyong network nang hindi naglalagay ng hindi nararapat na pasanin sa administrator. Bilang karagdagan, dapat tandaan na ang bawat kaganapan na kasama sa pag-audit ay humahantong sa isang pagtaas sa hindi produktibong pagkarga sa system.
Pag-audit ng kaganapan.
Ang bawat kaganapang kasama sa isang pag-audit ay palaging may sinasabi sa iyo, ngunit hindi ito palaging kung ano ang gusto mo. Halimbawa, ang pag-audit ng matagumpay na mga pag-log in at pag-logout ay maaaring magbunyag ng paggamit ng isang ninakaw na password, o maaari lamang itong magbigay ng walang katapusang mga pahina na nagpapakita ng wastong awtorisadong mga user na nagla-log in at lumabas sa system. Gayunpaman, ang pag-audit ng mga nabigong login ay malinaw na sulit kung sinusubukan ng isang hacker na hulaan ang password nang random.
Ang pagtatakda ng mga parameter ng audit ay posible lamang para sa mga file at folder na matatagpuan sa isang disk na gumagamit ng NTFS file system.
|
mga pangyayari |
Paglalarawan |
|
Pag-audit sa pag-login sa sistema |
Na-trigger kapag nakatanggap ang isang domain controller ng kahilingan sa pag-logon. |
|
I-access ang audit sa mga bagay |
Pinaputok kapag na-access ang isang bagay. |
|
Audit ng access sa serbisyo sa direktoryo |
Na-activate kapag na-access ang isang Active Directory object. |
|
Pagbabago ng audit mga politiko |
Na-trigger kapag may naganap na pagbabago sa patakaran na nakakaapekto sa seguridad, mga karapatan ng user, o pag-audit. |
|
gamitin mga pribilehiyo |
Na-trigger kapag ginamit ang karapatan ng user para magsagawa ng operasyon. |
|
pagsubaybay mga proseso |
Gumagana kapag nagsagawa ang application ng operasyon kung saan sinimulan ang pagsubaybay. |
|
Pag-audit ng mga kaganapan sa system |
Na-activate kapag nag-restart o nag-shut down ang computer, o may nangyaring ibang kaganapan na nakakaapekto sa seguridad ng system. |
|
I-audit ang mga kaganapan sa pag-log in |
Na-activate kapag nag-log in o lumabas ang user sa system. |
|
pamamahala accounting mga tala |
Na-activate kapag ang isang user account o grupo ay ginawa o binago. |
Ang bawat log ay nag-iipon ng isang malaking bilang ng mga kaganapan, kung saan kung minsan ay mahirap hanapin ang mga kinakailangang kaganapan. Tandaan muna na ang pag-click sa header ng anumang column sa console (snap-in) " Viewer ng Kaganapan" ay nagbibigay-daan sa iyong pag-uri-uriin ang mga kaganapan sa pamamagitan ng pababa o pataas na mga halaga ng column na ito. Para sa mas tumpak na pagpili ng mga kaganapan na iyong hinahanap, gamitin ang mga tool sa pag-filter sa " Viewer ng Kaganapan". Kung bubuksan mo ang mga katangian ng isang journal, pagkatapos ay sa panel na bubukas, maliban sa bookmark" Heneral", may bookmark din " Salain", na nagbibigay-daan sa iyong magtakda ng mga panuntunan para sa pagpili ng mga kaganapan. Tingnan nating mabuti ang tab na ito (Larawan 16.4):
kanin. 16.4.
Maaari kang magtakda ng mga panuntunan sa pagpili:
- ayon sa uri ng kaganapan - mga abiso, babala, mga error, pag-audit ng tagumpay, pag-audit ng pagkabigo;
- ayon sa pinagmulan (halimbawa, mga bahagi ng system Alerto, Browser, DCOM, DHCP, disk, eventlog, Server, Sistema atbp.);
- ayon sa kategorya (halimbawa, Disk, Shell, Mga Printer, Net, Mga serbisyo, Mga device atbp.);
- sa pamamagitan ng kilalang code ng kaganapan;
- sa pamamagitan ng username;
- sa pamamagitan ng pangalan ng computer;
- magtakda ng yugto ng panahon - mula sa anong oras hanggang sa anong punto ng oras upang pumili ng mga kaganapan.
kanin. 16.7.
Pag-audit
Ang pagtatakda ng mga patakaran sa pag-audit ay isang mahalagang salik sa pagtiyak ng seguridad at integridad ng system. Ang bawat computer system sa network ay dapat na i-configure upang mag-log ng ilang partikular na kaganapan sa seguridad. Tinutukoy ng mga patakaran sa pag-audit kung aling mga kaganapan sa seguridad ng system ang naka-log" Kaligtasan ".
Ang proseso ng pag-audit ng seguridad ay na-configure gamit ang mga patakaran ng pangkat (tandaan na ang mga patakaran ng pangkat ay maaaring tukuyin para sa isang site, domain o unit ng organisasyon, gayundin para sa isang indibidwal na workstation o server). Ang mga setting ng pag-audit ng seguridad ay matatagpuan sa " Mga Setting ng Seguridad - Mga lokal na patakaran - Mga Patakaran sa Pag-audit"kahit ano GPO.
kanin. 16.9.
Pagkatapos ilapat ang mga patakaran, iko-configure namin ang pag-audit ng access para sa mga kinakailangang bagay (halimbawa, para sa folder ng Folder1 sa server DC1) - bukas Mga Katangian ng folder na ito (dapat ilagay ang folder sa isang partisyon na may NTFS file system), pumunta sa tab na " Kaligtasan", pindutin ang pindutan " Bukod pa rito"at pumunta sa bookmark" Pag-audit". Idagdag natin ang grupo " Mga user ng domain" at itakda kung aling mga pagtatangka ang mai-log " Kaligtasan" (halimbawa, mga pagtatangka na tanggalin ang mga folder at file, matagumpay at hindi matagumpay,
Ang pinakamainam na tool ay mga patakaran ng grupo (nalalapat sa OU ng mga sinusubaybayang server). Posibleng gumamit ng mga katulad na lokal na patakaran para sa bawat server
"Computer Settings\Windows Settings\Security Settings\Advanced audit policy configuration\system audit policy\object access\audit file system" => "pag-audit ng mga kaganapan: tagumpay" ay pinagana.
Malamang na hindi mo kailangang subaybayan ang mga nabigong pagtatangka upang ma-access ang mga file. Hindi ko itinatanggi na posible. Ngunit mas madalas kailangan mong malaman kung sino ang nagtanggal (o nag-upload) ng file.
2. Pagse-set up ng pag-audit sa mga partikular na folder
Susunod, direkta sa mga server na nag-iimbak ng data, gamit ang Explorer, pagpunta sa mga katangian ng folder na gusto mong subaybayan, paganahin ang mga setting ng pag-audit para sa pangkat na gusto mong subaybayan. Halimbawa, Lahat, kung gusto naming subaybayan ang anumang mga pagbabago ng anumang posibleng mga user at serbisyo:
"Tanggalin ang mga subfolder at file - Matagumpay"
"Tanggalin - Matagumpay"
"Gumawa ng mga file / magsulat ng data - Matagumpay"
"Gumawa ng mga folder / magdagdag ng data - Matagumpay"
3. Pagsubaybay sa kaganapan
Pagkatapos nito, lalabas ang mga event sa Security Event Log ng server (kung saan naka-imbak ang mga file) kapag ang mga file at subdirectory ay ginawa at tinanggal mula sa mga folder sa itaas.
Maaari mong subaybayan ang mga partikular na kalahok sa isang operasyon gamit ang dalawang kaganapan:
ID ng Kaganapan: 4660
Paglalarawan: Isang bagay ang tinanggal.
- Ipinapaalam na ang file ay tinanggal.
- Naglalaman ng account ng taong nagsagawa ng operasyon sa pagtanggal
- Hindi naglalaman ng pangalan ng file. Tanging ang kanyang Handle ID
ID ng Kaganapan: 4663
Paglalarawan: Isang pagtatangka ay ginawa upang ma-access ang isang bagay.
- Iniuulat ang anumang pagtatangkang i-access ang file.
- Naglalaman ng account ng taong nagsagawa ng operasyon.
- Naglalaman ng ID ng Pangasiwaan at pangalan ng file (Pangalan ng Bagay)
- Access mask – access mask – tinutukoy kung anong layunin ang ginawang pagtatangkang i-access ang file
Mga uri ng access mask:
| Uri ng pag-access | Hex | Paglalarawan |
| ReadData (o ListDirectory) | 0×1 | ReadData pagbabasa ng data mula sa isang file o object ng direktoryo. ListDirectory tingnan ang mga nilalaman ng direktoryo. |
| WriteData (o AddFile) | 0×2 | WriteData pagsulat ng data sa isang file. AddFile - paglikha ng isang file sa isang direktoryo. |
| AppendData (o AddSubdirectory o CreatePipeInstance) | 0×4 | AppendData pagdaragdag ng data sa isang file. Hindi pinatungan ang umiiral na data maliban kung naglalaman din ito ng bandila ng WriteData. AddSubdirectory - paglikha ng mga subdirectory. |
| I-DELETE | 0×10000 | Pagtanggal ng isang bagay. |
Pangunahing mapagkukunan ng impormasyon - mga kaganapan 4663:
Kabanata Paksa naglalaman ng impormasyon tungkol sa account kung saan isinagawa ang mga operasyon sa bagay.
Bagay– impormasyon tungkol sa file (path, pangalan, handle)
Impormasyon sa Proseso naglalaman ng impormasyon tungkol sa kung aling proseso ang nagsagawa ng mga operasyon sa file.
Sa seksyon I-access ang Impormasyon sa Kahilingan impormasyon tungkol sa uri ng access at access mask ay nai-post.
Sa paggawa ng file sa tinukoy na folder, lumilitaw ang isang pares ng mga kaganapan na may ID sa Log ng Kaganapan ng Seguridad 4663 , ang una ay may maskara 0x2, ang pangalawa ay may maskara 0x4.
Sa pagtanggal ng file may lalabas na event na may ID 4663 at access mask 0x10000, pati na rin ang kaganapan 4660 . Matutukoy mo kung aling file ang tinanggal ng event 4660 sa pamamagitan ng paghahanap sa naunang event 4663, na may magkaparehong handle.
Upang pag-aralan ang mga log maaari mong gamitin ang tool LogParser https://www.microsoft.com/en-us/download/details.aspx?id=24659 at, halimbawa, ang kahilingang ito:
LogParser.exe -i:evt "PUMILI ng TimeGenerated, EventID, Extract_Token(Strings, 1, '|') AS User, Extract_Token(Strings, 6, '|') AS File, Extract_Token(Strings, 7, '|') AS HandleID SA 111.docx.txt MULA sa 'C:\
Kung saan ang "111.docx" ay ang string ng paghahanap, at C:\
Gaya ng sinabi ko kanina, ang seguridad ng mga user account at ang pagiging kompidensiyal ng impormasyon ng iyong negosyo ay nagkakahalaga ng pangangalaga sa mga araw na ito. Sa mga nakaraang artikulo sa mga lokal na patakaran sa seguridad, natutunan mo ang tungkol sa mga diskarte para sa paggamit ng mga lokal na patakaran sa seguridad at mga patakaran sa account na magagamit mo upang makabuluhang mapabuti ang seguridad ng iyong mga user account. Ngayon na mayroon kang mga patakaran sa seguridad ng account na na-configure nang tama, magiging mas mahirap para sa mga umaatake na makakuha ng access sa mga user account. Ngunit huwag kalimutan na ang iyong trabaho upang matiyak ang seguridad ng iyong imprastraktura ng network ay hindi nagtatapos doon. Ang lahat ng mga pagtatangka sa panghihimasok at nabigong pag-authenticate ng iyong mga user ay kailangang itala para malaman mo kung kailangang gumawa ng mga karagdagang hakbang sa seguridad. Ang pagpapatunay ng naturang impormasyon upang matukoy ang aktibidad sa negosyo ay tinatawag na isang pag-audit.
Ang proseso ng pag-audit ay gumagamit ng tatlong mga kontrol: ang patakaran sa pag-audit, ang mga setting ng pag-audit sa mga bagay, at ang log "Kaligtasan", kung saan naka-log ang mga kaganapang nauugnay sa seguridad, gaya ng pag-log in/pag-logout ng system, paggamit ng mga pribilehiyo, at pag-access sa mga mapagkukunan. Sa artikulong ito titingnan natin ang mga patakaran sa pag-audit at kasunod na pagsusuri ng mga kaganapan sa log "Kaligtasan".
Patakaran sa Pag-audit
Kino-configure ng isang patakaran sa pag-audit ang isang partikular na user at system ng grupo upang mag-audit ng aktibidad. Upang i-configure ang mga patakaran sa pag-audit, sa Group Policy Management Editor, dapat mong buksan ang node Computer Configuration/Windows Configuration/Security Settings/Local Policy/Audit Policy. Pakitandaan na bilang default, nakatakda ang setting ng patakaran sa pag-audit para sa mga workstation "Hindi natukoy". Sa kabuuan, maaari mong i-configure ang siyam na mga patakaran sa pag-audit, na ipinapakita sa sumusunod na paglalarawan:
kanin. 1. "Patakaran sa Pag-audit" na node
Tulad ng iba pang mga patakaran sa seguridad, para i-configure ang pag-audit kailangan mong tumukoy ng setting ng patakaran. Pagkatapos i-double click ang kaliwang pindutan ng mouse sa alinman sa mga opsyon, suriin ang opsyon "Tukuyin ang mga sumusunod na setting ng patakaran" at tukuyin ang mga opsyon para sa pag-audit ng tagumpay, pagkabigo, o parehong uri ng mga kaganapan.
kanin. 2. Mga katangian ng patakaran sa pag-audit "Access sa serbisyo ng direktoryo ng audit"
Kapag na-configure na ang patakaran sa pag-audit, ila-log ang mga kaganapan sa log ng seguridad. Maaari mong tingnan ang mga kaganapang ito sa log ng seguridad. Tingnan natin ang bawat patakaran sa pag-audit:
Pag-audit sa Pag-login. Tinutukoy ng kasalukuyang patakaran kung a-audit ng operating system ng isang user kung kaninong computer ang patakaran sa pag-audit na ito ay mag-a-audit sa bawat pagtatangkang mag-logon o mag-logout ng user. Halimbawa, kapag matagumpay na nag-log in ang isang user sa isang computer, nabuo ang isang kaganapan sa pag-log in sa account. Nabubuo ang mga kaganapan sa pag-logout sa tuwing matatapos ang isang naka-log-in na user account. Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat matagumpay na pagtatangka sa pag-log in. Ang pagkabigong pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat nabigong pagtatangka sa pag-login.
Pag-audit sa pag-access sa bagay. Sinusuri ng patakarang ito sa seguridad ang mga pagsubok sa pag-access ng user sa mga bagay na hindi nauugnay sa Active Directory. Kasama sa mga naturang object ang mga file, folder, printer, at system registry key, na tinukoy ng sarili nilang mga listahan sa system access control list (SACL). Ang isang pag-audit ay nabuo lamang para sa mga bagay na may tinukoy na mga listahan ng kontrol sa pag-access, sa kondisyon na ang hiniling na uri ng pag-access at ang account na gumagawa ng kahilingan ay tumutugma sa mga setting sa mga listahang iyon.
Audit ng access sa serbisyo sa direktoryo. Gamit ang patakarang pangseguridad na ito, matutukoy mo kung ang mga kaganapang tinukoy sa system access control list (SACL), na maaari mong i-edit sa dialog box, ay i-audit. "Mga Advanced na Opsyon sa Seguridad" Mga katangian ng object ng Active Directory. Ang isang pag-audit ay ginawa lamang para sa mga bagay kung saan tinukoy ang isang listahan ng kontrol sa pag-access ng system, sa kondisyon na ang hiniling na uri ng pag-access at ang account na gumagawa ng kahilingan ay tumutugma sa mga parameter sa listahang iyon. Ang patakarang ito ay medyo katulad ng patakaran "Audit sa pag-access sa bagay". Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit sa tuwing matagumpay na naa-access ng isang user ang isang object ng Active Directory kung saan tinukoy ang isang SACL. Ang ibig sabihin ng pagkabigong pag-audit ay paggawa ng talaan ng pag-audit sa tuwing mabibigo ang isang user na ma-access ang isang object ng Active Directory na may tinukoy na SACL.
Pag-audit sa Pagbabago ng Patakaran. Tinutukoy ng patakaran sa pag-audit na ito kung ina-audit ng operating system ang bawat pagtatangka na baguhin ang pagtatalaga ng mga karapatan ng user, pag-audit, account, o patakaran sa tiwala. Ang mga tagumpay sa pag-audit ay nangangahulugan ng paggawa ng talaan ng pag-audit sa tuwing matagumpay na nabago ang isang patakaran sa pagtatalaga ng mga karapatan ng user, patakaran sa pag-audit, o patakaran sa tiwala. Ang ibig sabihin ng pagkabigong pag-audit ay paggawa ng talaan ng pag-audit sa tuwing mabibigo ang pagtatangkang baguhin ang mga patakaran sa pagtatalaga ng mga karapatan ng user, mga patakaran sa pag-audit, o mga patakaran sa tiwala.
Mga Pagbabago sa Pribilehiyo ng Audit. Gamit ang patakarang panseguridad na ito, matutukoy mo kung susuriin ang paggamit ng mga pribilehiyo at karapatan ng user. Ang mga tagumpay sa pag-audit ay nangangahulugan ng paglikha ng talaan ng pag-audit para sa bawat matagumpay na paggamit ng karapatan ng isang user. Ang pagkabigong pag-audit ay nangangahulugan ng paglikha ng talaan ng pag-audit para sa bawat hindi matagumpay na paggamit ng karapatan ng isang user.
Pag-audit sa pagsubaybay sa proseso. Tinutukoy ng kasalukuyang patakaran sa pag-audit kung ina-audit ng operating system ang mga kaganapang nauugnay sa proseso, gaya ng paggawa at pagwawakas ng proseso, pag-activate ng programa, at hindi direktang pag-access sa bagay. Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat matagumpay na kaganapan na nauugnay sa isang sinusubaybayang proseso. Ang ibig sabihin ng pagkabigong pag-audit ay paggawa ng talaan ng pag-audit para sa bawat nabigong kaganapang nauugnay sa sinusubaybayang proseso.
Pag-audit ng mga kaganapan sa system. Ang patakaran sa seguridad na ito ay lalong mahalaga dahil sa patakarang ito malalaman mo kung nag-overload ang computer ng user, kung ang laki ng log ng seguridad ay lumampas sa limitasyon ng babala, kung ang mga sinusubaybayang kaganapan ay nawala dahil sa isang pagkabigo sa pag-audit, at kahit na may mga pagbabagong ginawa na maaaring makaapekto sa seguridad ng system o sa pag-log up ng seguridad at kasama ang pagbabago ng oras ng system. Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat matagumpay na kaganapan sa system. Ang ibig sabihin ng pagkabigong pag-audit ay paggawa ng talaan ng pag-audit para sa bawat kaganapan ng system na nabigo.
I-audit ang mga kaganapan sa pag-log in. Sa patakarang ito sa pag-audit, maaari mong tukuyin kung magsasagawa ng pag-audit ang operating system sa tuwing magsusuri ang computer na ito para sa mga kredensyal. Kapag ginamit ang patakarang ito, bubuo ng kaganapan para sa mga lokal at malayuang pag-login ng user. Ang mga miyembro ng domain at mga hindi domain na computer ay pinagkakatiwalaan ng kanilang mga lokal na account. Kapag sinubukan ng isang user na kumonekta sa isang nakabahaging folder sa server, ang isang malayuang kaganapan sa pag-logon ay isusulat sa log ng seguridad, ngunit ang mga kaganapan sa pag-logoff ay hindi naitala. Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat matagumpay na pagtatangka sa pag-log in. Ang pagkabigong pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat nabigong pagtatangka sa pag-login.
Audit sa Pamamahala ng Account. Ang huling patakarang ito ay itinuturing din na napakahalaga dahil ito ay kung paano mo matutukoy kung ang bawat kaganapan sa Account Control sa isang computer ay kailangang i-audit. Ang log ng seguridad ay magtatala ng mga aktibidad tulad ng paglikha, paglipat, at hindi pagpapagana ng mga account, pati na rin ang pagpapalit ng mga password at grupo. Ang matagumpay na pag-audit ay nangangahulugan ng paglikha ng isang talaan ng pag-audit para sa bawat matagumpay na kaganapan sa pamamahala ng account. Ang ibig sabihin ng pagkabigo sa pag-audit ay paggawa ng talaan ng pag-audit para sa bawat kaganapan sa pamamahala ng account na nabigo.
Gaya ng nakikita mo, lahat ng mga patakaran sa pag-audit ay halos magkapareho, at kung itatakda mo ang pag-audit ng lahat ng mga patakaran para sa bawat user sa iyong organisasyon, sa kalaunan ay malito ka lang sa mga ito. Samakatuwid, kinakailangan munang matukoy kung ano ang eksaktong kailangan para sa pag-audit. Halimbawa, upang matiyak na ang isa sa iyong mga account ay patuloy na ina-access sa pamamagitan ng paghula ng password, maaari mong tukuyin ang isang pag-audit ng mga nabigong pagtatangka sa pag-log in. Sa susunod na seksyon ay titingnan natin ang isang simpleng halimbawa ng paggamit ng mga patakarang ito.
Halimbawa ng paggamit ng patakaran sa pag-audit
Sabihin nating mayroon kaming domain na testdomain.com, kung saan mayroong isang user na may DImaN.Vista account. Sa halimbawang ito, maglalapat kami ng patakaran sa user na ito at tingnan kung anong mga kaganapan ang nakasulat sa log ng seguridad kapag sinubukan ng isang hindi awtorisadong tao na i-access ang system. Upang kopyahin ang sitwasyong ito, sundin ang mga hakbang na ito:
Konklusyon
Sa artikulong ito, ipinagpatuloy namin ang aming pag-aaral ng mga patakaran sa seguridad, ibig sabihin, tiningnan namin ang mga setting ng patakaran sa pag-audit kung saan maaari mong siyasatin ang mga pagtatangka sa panghihimasok at nabigong pagpapatotoo ng iyong mga user. Lahat ng siyam na patakaran sa seguridad na responsable para sa pag-audit ay isinasaalang-alang. Gayundin, gamit ang halimbawa, natutunan mo kung paano gumagana ang mga patakaran sa pag-audit gamit ang patakaran "Pag-audit ng mga kaganapan sa pag-log in". Ang sitwasyon ng hindi awtorisadong pagpasok sa computer ng isang user ay tinularan, na sinundan ng pag-audit ng log ng seguridad ng system.
Hi sa lahat!
Patuloy kaming nag-publish ng mga cheat sheet sa pag-set up ng mga pag-audit ng iba't ibang mga system, noong huling pagkakataon na napag-usapan namin ang tungkol sa AD habrahabr.ru/company/netwrix/blog/140569, ngayon ay tatalakayin namin ang mga file server. Dapat sabihin na kadalasan ay nagsasagawa kami ng mga setting ng pag-audit para sa mga file server - sa panahon ng mga pag-install ng pilot sa mga customer. Walang kumplikado sa gawaing ito, tatlong simpleng hakbang lamang:
- I-set up ang pag-audit sa mga pagbabahagi ng file
- I-configure at ilapat ang pangkalahatan at detalyadong mga patakaran sa pag-audit
- Baguhin ang mga setting ng log ng kaganapan
Pag-set up ng pag-audit sa mga mapagkukunan ng file
Pag-set up ng pangkalahatang patakaran sa pag-audit
Upang masubaybayan ang mga pagbabago sa file server, kailangan mong i-configure ang isang patakaran sa pag-audit. Bago mag-set up ng patakaran, tiyaking miyembro ng Administrators group ang iyong account o may karapatan kang pamahalaan ang pag-audit at mga log ng kaganapan sa snap-in ng Group Policy.
Pag-set up ng isang detalyadong patakaran sa pag-audit
Pagse-set up ng mga log ng kaganapan
Upang epektibong makontrol ang mga pagbabago, kinakailangan na i-configure ang mga log ng kaganapan, ibig sabihin, itakda ang maximum na laki ng log. Kung hindi sapat ang laki, maaaring ma-overwrite ang mga kaganapan bago maabot ang database na ginagamit ng iyong application sa pagkontrol sa pagbabago.
Sa wakas, gusto naming mag-alok sa iyo ng script na kami mismo ang gumagamit kapag nagse-set up ng pag-audit sa mga file server. Kino-configure ng script ang pag-audit sa lahat ng share para sa bawat computer sa isang partikular na OU. Sa ganitong paraan, hindi mo kailangang manual na paganahin ang mga setting sa bawat file share.
Bago patakbuhin ang script, kailangan mong i-edit ang linya 19 - ilagay ang mga kinakailangang halaga sa halip na "your_you_name" at "your_domain". Ang script ay dapat na isagawa sa ilalim ng isang account na may mga karapatan ng administrator ng domain.
Makukuha mo ang script sa aming knowledge base o i-save ang sumusunod na text sa .ps1 file:
#import-module activedirectory #$path = $args; # \\fileserver\share\folder $account = "Lahat" # $args; $flavor = "Tagumpay, Pagkabigo" #$args; $flags = " ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership " $inheritance = "ContainerInherit, ObjectInherit" $propagation = "None" $comps = "Get-ADComputer -USearch=" your_you_name,DC=your_domain,DC=your_domain" | piliin ang -exp DNSHostName foreach ($comp sa $comps) ( $shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 AT pangalan tulad ng "%[^$]"" | piliin ang -exp name foreach ( $share sa $shares) ( $path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Access,Audit") $ace = new-object System.Security.AccessControl.FileSystemAuditRule($account, $flags, $inheritance, $propagation, $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ) )
