Питання і відповіді по розширеному аудиту безпеки (windows)
Що таке аудит безпеки Windows, і чому мені його слід використовувати?
Аудит безпеки - це систематичне вивчення і оцінка дій, які можуть вплинути на безпеку системи. В операційних системах Windows аудит безпеки вужче визначається як функціональні можливості і служби, які дозволяють адміністратору реєструвати і переглядати події для певних дій, пов'язаних з безпекою.
В операційній системі Windows і додатках, що працюють в цій операційній системі, виникають сотні подій. Контроль цих подій може надати цінні відомості, які допоможуть адміністраторам усувати неполадки і вивчати дії, пов'язані з безпекою.
У чому різниця між політиками аудиту, розташованими в розділі «Локальні політики \ політика аудиту», і політиками, розташованими в конфігурації розширеної політики аудиту?
Параметри базової політики аудиту безпеки в розділі Параметри безпеки \ Локальні політики \ Політика аудиту і параметри розширеної політики аудиту безпеки в розділі Параметри безпеки \ Конфігурація розширеної політики аудиту \ Політики аудиту системи здаються перекриваються, проте вони записуються і застосовуються по-різному. При застосуванні параметрів базової політики аудиту на локальному комп'ютері за допомогою оснастки локальної політики безпеки (secpol.msc) ви змінюєте ефективну політику аудиту, тому зміни, внесені в параметри базової політики аудиту, відображаються точно так же, як вони налаштовані в Auditpol.exe.
Є ряд додаткових відмінностей між параметрами політики аудиту безпеки в цих двох місцях.
Існують дев'ять параметрів базової політики аудиту в розділах Параметри безпеки \ Локальні політики \ Політика аудиту та Конфігурація розширеної політики аудиту. Параметри, доступні в розділі Параметри безпеки \ Конфігурація розширеної політики аудиту. вирішують ті ж завдання, що і дев'ять базових параметрів в розділі Локальні політики \ Політика аудиту. проте вони дозволяють адміністраторам вибирати кількість і типи подій для аудиту. Наприклад, базова політика аудиту надає один параметр входу в обліковий запис, а розширена політика аудиту - чотири. Включення цього одного базового параметра входу в обліковий запис еквівалентно установці всіх чотирьох додаткових параметрів входу в обліковий запис. Для порівняння, установка одного параметра розширеної політики аудиту не створює подій аудиту для тих дій, які вам не потрібно відстежувати.
Крім того, якщо ви дозволите аудит успіхів для базового параметра Аудит подій входу в систему. реєструватимуться лише успішні події для всіх спроб входу в обліковий запис. Для порівняння, в залежності від потреб вашої організації ви можете налаштувати аудит успіхів для першого розширеного параметра входу в обліковий запис, аудит відмов для другого розширеного параметра входу в обліковий запис і аудит успіхів і відмов для третього розширеного параметра входу в обліковий запис або ж взагалі відключити аудит.
У чому полягає взаємодія між параметрами базової політики аудиту і параметрами розширеної політики аудиту?
Параметри базової політики аудиту несумісні з параметрами розширеної політики аудиту, які застосовуються за допомогою групової політики. При застосуванні параметрів розширеної політики аудиту з використанням групової політики поточні параметри політики аудиту комп'ютера скидаються до застосування результуючих параметрів розширеної політики аудиту. Після застосування параметрів розширеної політики аудиту за допомогою групової політики надійно визначити політику аудиту системи для комп'ютера можна тільки за допомогою параметрів розширеної політики аудиту.
Зміна і застосування параметрів розширеної політики аудиту в локальній політиці безпеки змінює локальний об'єкт групової політики (GPO), тому внесені тут зміни можуть не відбиватися повністю в Auditpol.exe при наявності політик з інших GPO домену або сценаріїв входу. Обидва типи політики можуть бути змінені і застосовані за допомогою об'єктів групової політики домену, і ці параметри скасовують всі конфліктуючі параметри локальної політики аудиту. Однак оскільки базова політика аудиту реєструється в ефективній політиці аудиту, ця політика аудиту повинна бути явним чином видалена, якщо виникли потреби в змінах, інакше вона залишиться в ефективній політиці аудиту. Зміни політики, які застосовуються за допомогою параметрів локальної або доменної групової політики, відображаються, як тільки застосовується нова політика.
Незалежно від того, чи застосовуєте ви розширені політики аудиту за допомогою групової політики або сценаріїв входу, не використовуйте одночасно параметри базової політики аудиту в розділі Локальні політики \ Політика аудиту і розширені параметри в розділі Параметри безпеки \ Конфігурація розширеної політики аудиту. Одночасне використання параметрів розширеної і базової політики аудиту може привести до непередбачуваних результатів в звітності по аудиту.
Як параметри аудиту об'єднуються груповою політикою?
За умовчанням параметри політики, задані в об'єктах групової політики (GPO), прив'язані до сайтів, доменів і підрозділам Active Directory більш високого рівня і успадковуються всіма підрозділами (OU) на більш низьких рівнях. Однак політика спадкування може бути перевизначена об'єктом групової політики, який прив'язаний до більш низького рівня.
Наприклад, ви хочете використовувати об'єкт групової політики домену (GPO) для призначення групи параметрів аудиту всієї організації, але при цьому призначити групу додаткових параметрів одному з підрозділів. Для цього можна зв'язати другий GPO з цим підрозділом нижчого рівня. У цьому випадку параметр аудиту входу, заданий на рівні підрозділу, перевизначити конфліктує параметр аудиту входу, заданий на рівні домену (якщо ви не виконали спеціальні кроки для застосування обробки замикання групової політики).
Параметр, налаштований в об'єкті групової політики підрозділу (вищий пріоритет)
Параметр, налаштований в об'єкті групової політики домену (нижчий пріоритет)
Результуюча політика для цільового комп'ютера
У чому різниця між об'єктом DACL і об'єктом SACL?
Всі об'єкти в доменних службах Active Directory (AD DS) і все що захищаються об'єкти на локальному комп'ютері або в мережі мають дескриптори безпеки, за допомогою яких можна управляти доступом до об'єктів. Дескриптори безпеки включають відомості про те, хто володіє об'єктом, хто має до нього доступ і якого роду, а також які типи доступу підлягають аудиту. Дескриптори безпеки містять список управління доступом (ACL) об'єкта, який включає всі дозволи безпеки, які застосовуються до цього об'єкта. Дескриптор безпеки об'єкта може містити два типи списків управління доступом:
список управління доступом на рівні користувачів (DACL), що визначає користувачів і групи, яким надається або не надається доступ;
системний список управління доступом (SACL), який управляє аудитом доступу.
Модель управління доступом, яка використовується в Windows, адмініструється на рівні об'єкта шляхом визначення різних рівнів доступу, або дозволів, для об'єктів. Якщо дозволу для об'єкта налаштовані, його дескриптор безпеки містить DACL з ідентифікаторами безпеки (SID) для користувачів і груп, яким доступ дозволений або заборонений.
Якщо аудит для об'єкта налаштований, дескриптор безпеки цього об'єкта також містить SACL, який керує тим, як підсистема безпеки виконує аудит спроб доступу до об'єкта. Однак аудит налаштований повністю, тільки якщо заданий SACL для об'єкта і налаштований і застосований відповідний параметр політики аудиту Доступ до об'єктів.
Чому політики аудиту застосовуються до кожного комп'ютера, а не до кожного користувача?
Крім того, так як можливості політики аудиту можуть відрізнятися між комп'ютерами, що працюють під управлінням різних версій Windows, найкращий спосіб забезпечити правильність застосування політики аудиту - це застосовувати параметри до комп'ютера, а не до користувача.
Однак у випадках, коли параметри аудиту необхідно застосовувати тільки до певних груп користувачів, можна налаштувати списки SACL для відповідних об'єктів, щоб включити аудит для групи безпеки, що містить тільки зазначених користувачів. Наприклад, можна задати список SACL для папки «Дані по зарплаті» на сервері бухобліку 1. Таким чином можна буде відстежувати спроби користувачів з підрозділу «Розрахунок заробітної плати» видалити об'єкти з цієї папки. Параметр політики аудиту Доступ до об'єктів \ Аудит файлової системи застосовується до сервера бухобліку 1, але оскільки він вимагає відповідного ресурсу SACL, події аудиту будуть генеруватися тільки при виконанні членами підрозділу «Розрахунок заробітної плати» дій з папкою «Дані по зарплаті».
У чому відмінності функціональних можливостей аудиту в різних версіях Windows?
У чому відмінності між подіями успіху і відмови? Щось не так, якщо результатом аудиту є відмова?
Подія аудиту успіхів реєструється, якщо певним чином впливати, наприклад доступ до спільного файлового ресурсу, завершується успішно.
Подія аудиту відмов реєструється, якщо певним чином впливати, наприклад вхід користувача, який не завершується успішно.
Поява подій аудиту відмов в журналі подій необов'язково свідчить про наявність неполадок в системі. Наприклад, якщо налаштувати події аудиту входу, подія відмови може просто означати, що користувач неправильно набрав свій пароль.
Як налаштувати політику аудиту, яка впливає на всі об'єкти на комп'ютері?
Системні адміністратори та аудитори все частіше хочуть перевіряти застосування політики до всіх об'єктів в системі. Цього важко досягти, так як системні списки керування доступом (SACL), керуючі аудитом, застосовуються пооб'єктно. Тому для перевірки правильності застосування політики аудиту до всіх об'єктів необхідно перевірити кожен об'єкт, щоб переконатися в тому, що ніякі зміни не внесені, навіть тимчасові зміни всього одного списку SACL.
Як визначити, чому той чи інший користувач отримав доступ до ресурсу?
Часто недостатньо знати, що до об'єкта, наприклад файлу або папці, був отриманий доступ. Може знадобитися зрозуміти, чому використовувати зміг отримати доступ до цього ресурсу. Ці судові дані можна отримати, налаштувавши параметр Аудит роботи з дескрипторами разом з параметром Аудит файлової системи або Аудит реєстру.
Як дізнатися, коли були внесені зміни в параметри управління доступом, хто їх вніс і що вони собою представляли?
Список SACL з дозволами Запис і Зміна власника. застосуєте до об'єкта, який потрібно відстежувати.
Як можна відкотити політики аудиту безпеки з розширеною політики аудиту розмістити на базі?
Застосування параметрів розширеної політики аудиту замінює будь-які відповідні параметри базової політики аудиту безпеки. Якщо ви згодом змініть параметр розширеної політики аудиту на Чи не налаштоване. необхідно виконати наступні дії, щоб відновити вихідні параметри базової політики аудиту безпеки:
Видаліть всі файли audit.csv з папки% SYSVOL% на контролері домену.
Перенастройте і застосуєте параметри базової політики аудиту.
Якщо ви не виконали всі ці дії, параметри базової політики аудиту не будуть відновлені.
Як можна відстежити, чи були внесені зміни в параметри політики аудиту?
Зміни політик аудиту безпеки є критично важливими подіями безпеки. Ви можете використовувати параметр Аудит зміни політики аудиту. щоб визначити, чи створює операційна система події аудиту при виникненні наступних типів дій:
зміна дозволів і параметрів аудиту для об'єкта політики аудиту;
зміна політики аудиту системи;
реєстрація або скасування реєстрації джерел подій безпеки;
зміна параметрів аудиту для окремих користувачів;
зміна значення CrashOnAuditFail;
зміна параметрів аудиту файлу або розділу реєстру;
зміна списку спеціальних груп.
Як звести до мінімуму кількість створюваних подій?
Пошук належного рівноваги між аудитом достатнього обсягу дій в мережі та на комп'ютері і аудитом занадто невеликої кількості дій в мережі та на комп'ютері може стати важким завданням. Цього рівноваги можна досягти, визначивши найважливіші ресурси, критично важливі дії, а також осіб чи груп. Потім слід розробити політику аудиту безпеки, яка спрямована на ці ресурси, дії і користувачів. Корисні правила і рекомендації щодо розробки ефективної стратегії аудиту безпеки можна знайти в розділі Планування та розгортання розширених політик аудиту безпеки.
Які засоби є оптимальними для моделювання політик аудиту та управління цими політиками?
На окремому комп'ютері можна використовувати засіб командного рядка Auditpol для виконання ряду важливих завдань управління, пов'язаних з політикою аудиту.
Крім того, є ряд продуктів з управління комп'ютером, наприклад служби ACS в продуктах Microsoft System Center Operations Manager, які можна використовувати для збору і фільтрації даних подій.
Де знайти відомості про всі можливі події, які можуть виникнути?
Користувачі, які вперше вивчають журнал подій безпеки, можуть бути збентежені кількістю збережених в ньому подій аудиту (які можуть виникати тисячами), а також структурованою інформацією, яка представлена для кожної події аудиту. Додаткові відомості про ці події, а також параметри, які використовуються для їх створення, можна отримати на наступних ресурсах: