Întrebări și răspunsuri despre audit avansate de securitate (Windows)

Ce este Windows audit de securitate și de ce ar trebui să-l folosesc?

Audit de securitate - un studiu sistematic și de evaluare a acțiunilor, care pot afecta siguranța sistemului. Pe sistemele de operare Windows, audituri de securitate definite mai stricte, ca fiind caracteristici și servicii care permit unui administrator să se conecteze și să vizualizați evenimentele pentru anumite acțiuni legate de securitate.

În sistemul de operare Windows și aplicațiile care rulează pe sistemul de operare, există sute de evenimente. Monitorizarea acestor evenimente pot furniza informații valoroase pentru a ajuta administratorii de depanare și activități legate de securitatea de studiu.

Care este diferența dintre politicile de audit situate în „Politici locale \ Politica de audit“, și politicieni, aranjate în configurația politicii de audit extins?

Parametrii politicii de audit de securitate de bază, în Setări de securitate \ Policies \ Local Setările politicii de audit și setări avansate de politică de audit de securitate în Setări de securitate \ Configurare extins sistem de audit de politici de audit \ Policies par să se suprapună, dar acestea sunt înregistrate și aplicate în mod diferit. În aplicarea setărilor politicii de audit de bază de pe computerul local prin utilizarea de securitate locală Politica de completare snap-in (secpol.msc) modificați politica efectivă de audit, astfel încât modificările aduse parametrilor politicii de audit de bază, sunt afișate în același mod în care sunt configurate în Auditpol.exe.

Există o serie de diferențe suplimentare între parametrii politicii de audit de securitate în aceste două locuri.

Există nouă setări de bază politica de audit, sub Setări de securitate \ Policies locale \ configuration Politica de audit și a politicilor de audit îmbunătățite. Opțiunile disponibile în Security Settings \ Configurare extins politica de audit. rezolva aceleași probleme ca cele nouă setări de bază în conformitate cu politicile locale \ Politica de audit. dar acestea permit administratorilor să aleagă numărul și tipurile de evenimente de audit. De exemplu, politica de audit oferă un parametru de bază de intrare în cont, și a politicilor de audit îmbunătățite - patru. Includerea acestui cont echivalent un parametru de intrare de bază setarea tuturor celor patru parametri de intrare în contul extins. Pentru comparație, instalarea unei politici de audit extins singur parametru nu generează evenimente de audit pentru acțiunile pe care nu aveți nevoie pentru a ține evidența.

În plus, dacă activați auditarea pentru succes pentru setarea de bază evenimente de conectare de audit. va înregistra numai eveniment de succes pentru toate datele de conectare la contul. Pentru comparație, în funcție de nevoile organizației dumneavoastră, puteți configura un succes de audit pentru primul parametru extins logare, eșec de audit pentru al doilea parametru de intrare extins în contul și auditul de succese și eșecuri pentru al treilea parametru de intrare extins în cont sau dezactivați audit.

Care este interacțiunea dintre parametrii setărilor de bază ale politicii de audit și politica de audit consolidată?

Politica de audit incompatibilă cu parametrii de bază ai politicilor de audit extinse, care sunt aplicate utilizând Politica de grup. Atunci când se aplică o perioadă prelungită setările politicii de audit utilizând parametrii de politică de audit calculator curent GPO sunt resetate înainte de aplicarea politicii de audit care rezultă parametru îmbunătățit. După aplicarea setărilor politicii de audit extins utilizând politica de grup pentru a determina în mod fiabil politica de audit de sistem pentru un calculator este posibila numai cu ajutorul parametrilor politicii de audit extins.

Modificarea și aplicarea extinse setările de politică de audit în cadrul politicii de securitate locale pentru a schimba locale obiect de politică de grup (GPO), astfel încât modificările efectuate aici nu pot fi pe deplin reflectată în prezența politicilor Auditpol.exe din alte domenii GPO sau logon script-uri. Ambele tipuri de politici pot fi modificate și aplicate prin intermediul politicii de domeniu GPO, iar acești parametri suprascrie orice setări în conflict de politici de audit locale. Cu toate acestea, pentru că politica de bază de audit este înregistrat în politica de audit eficientă, politica de audit, acest lucru ar trebui să fie eliminate în mod explicit în cazul în care există o nevoie de schimbare, în caz contrar acesta va rămâne în politică eficientă de audit. Modificările de politică sunt aplicate folosind setările locale sau domeniu de politică de grup sunt reflectate de îndată ce se aplică noua politică.

Indiferent dacă să aplice politica avansată de audit, politica de grup sau scripturile de conectare, nu utilizați politica de audit setările de bază același timp în conformitate cu politicile locale \ Politica de audit și setările avansate în Security Settings \ Configurare extins politica de audit. Utilizarea simultană a parametrilor politicii extinse și de bază de audit poate duce la rezultate imprevizibile în rapoartele de audit.

Cum să auditeze setările comasate Politica de grup?

Setările de politică implicită în Group Policy Objects (GPO), legate de site-uri, domenii Active Directory și divizările la un nivel superior și sunt moștenite de către toate unitățile (OU) la nivelurile inferioare. Cu toate acestea, politica de moștenire poate fi înlocuită de un GPO care este legat la un nivel inferior.

De exemplu, doriți să utilizați obiect de politică de grup domeniu (GPO) pentru a atribui un grup de setări de audit din organizație, dar, în același timp, să numească un grup de parametri suplimentari la una dintre unitățile. Pentru acest lucru poate fi asociat cu acest al doilea GPO diviziune nivel inferior. În acest caz, auditul parametrizare, dat la nivel de unitate va înlocui o setare de audit de conectare în conflict definite la nivel de domeniu (în cazul în care nu ați finalizat etapele speciale pentru a aplica politici de grup circuit de procesare).

Setările configurate în diviziunea politica GPO (prioritate mai mare)

Setările efectuate în obiectul de politică de grup domeniu (prioritate mai mică)

Set rezultanta Politica de la calculatorul-țintă

Care este diferența dintre un obiect DACL și un obiect SACL?

Toate obiectele din Active Directory Domain Services (AD DS), și toate obiectele de pe un computer de securizare local sau dintr-o rețea au descriptori de securitate care pot fi folosite pentru a controla accesul la obiecte. descriptori de securitate includ informații despre cine este proprietarul obiectului, care are acces la ea și ce fel, și ce tipuri de acces sunt auditate. descriptori de securitate conține lista de control al accesului (ACL) a obiectului, care include toate permisiunile de securitate care se aplică acest obiect. descriptor de securitate obiect poate conține două tipuri de liste de control al accesului:

ACL la nivel de utilizator (DACL), care determină utilizatorii și grupurile care sunt acordate sau nu este permis accesul;

Lista de control al accesului la sistem (SACL), care controlează accesul de audit.

Modelul de control al accesului, care este utilizat pe Windows, este administrat la nivel de obiect prin determinarea diferitelor niveluri de acces, sau permisiuni, la obiecte. În cazul în care permisiunile sunt setate pentru obiect, descriptor său de securitate conține un DACL cu identificatorii de securitate (SID) pentru utilizatorii și grupurile care sunt permise sau refuzate de acces.

În cazul în care obiectul de audit este configurat, descriptorul de securitate al acestui obiect conține, de asemenea, SACL, care controlează modul în care subsistemul de securitate efectuează încercări de audit pentru a accesa un obiect. Cu toate acestea, auditul este configurat complet, dacă nu se specifică SACL pentru obiect, și să configurați și să aplice accesul adecvat cadru de politică de audit la obiectele.

De ce este politica de audit aplicată pe fiecare computer, nu pentru fiecare utilizator?

În plus, deoarece capacitățile de politică de audit poate varia între calculatoare care rulează diferite versiuni ale Windows, cel mai bun mod de a asigura aplicarea corectă a politicii de audit - este de a aplica setările la calculator, nu utilizatorul.

Cu toate acestea, în cazurile în care parametrii de audit ar trebui să fie aplicate numai anumitor grupuri de utilizatori, puteți configura SACL pentru obiectele relevante pentru a permite auditarea pentru grupul de securitate care conține doar utilizatorii specificați. De exemplu, puteți seta SACL pentru dosarul „date privind salariile“ în serverul de contabilitate 1. Astfel, va fi posibilă urmărirea tentativelor de utilizator de divizare „Salarizare“ șterge obiectele din dosar. Setarea Politica de sistem obiect de audit de acces \ dosar de audit aplicat pe serverul de contabilitate 1, dar pentru că este nevoie de o resursă corespunzător, și anume SACL, evenimentele de audit vor fi generate numai în cazul în care membrii de unități la activitățile „Salarizare“ cu un dosar „datele salariale.“

Care sunt diferențele de capacitate de audit funcționale în diferitele versiuni de Windows?

Care este diferența dintre evenimentele de succes și eșec? Ceva este greșit, în cazul în care rezultatul auditului este un eșec?

Succesul evenimentului de audit este înregistrat în cazul în care o anumită acțiune, cum ar fi accesarea unui fișier parts, reușește.

eveniment de audit eșec este conectat în cazul în care o anumită acțiune, cum ar fi datele introduse de utilizator nu este finalizat cu succes.

Apariția evenimentelor de audit eșec în jurnalul de evenimente nu indică în mod necesar prezența defectelor în sistem. De exemplu, dacă configurați intrarea eveniment de audit, eveniment eșec poate însemna pur și simplu că utilizatorul a scris greșit parola.

Cum se configurează politica de audit care afectează toate obiectele de pe un computer?

administratorii și auditorii de sistem doresc din ce în ce să verifice aplicarea politicii la toate obiectele din sistem. Acest lucru este dificil, deoarece listele de control al accesului la sistem (SACL), manageri de audit, aplicate pe obiect. Prin urmare, pentru a verifica aplicarea corectă a politicii de audit la toate obiectele trebuie să verifice fiecare obiect pentru a se asigura că nu sunt făcute modificări, chiar și o schimbare temporară exclusiv una dintre SACL.

Cum de a determina de ce un anumit utilizator are acces la resursa?

de multe ori suficient să se știe că un obiect, cum ar fi un fișier sau un dosar a fost accesat. Poate fi necesar să înțelegem de ce este capabil de a obține acces la această resursă. Aceste date studiile pot fi obținute prin configurarea lucrărilor de audit cu mânere, împreună cu parametrul sistemului de fișiere sau de audit de audit de registru.

Cum se știe când au fost făcute modificări la setările de control al accesului, care i-au făcut și ce reprezintă?

SACL cu permisiuni de scriere și proprietarul. se aplică la obiectul pe care doriți să o urmăriți.

Cum pot să se rostogolească înapoi politica de audit politica de audit de securitate cu extins înapoi la bază?

Utilizarea unei setări extinse de politică de audit înlocuiește orice parametrii relevanți ai politicii de audit de securitate de bază. Dacă modificați ulterior parametrii politicii de audit avansată neconfigurată. urmați acești pași pentru a restabili parametrii inițiali ai politicii de audit de securitate de bază:

Ștergeți toate fișierele din folderul audit.csv% SYSVOL% pe controlerul de domeniu.

Reconfigura și aplicați setările de bază politicii de audit.

Dacă nu ați finalizat toți acești pași, parametrii de bază ai politicii de audit nu va fi restabilită.

Cum pot urmări dacă modificările în setările politicii de audit?

Modificări în politica de audit de securitate sunt evenimente critice de securitate. Puteți utiliza schimbare de politică de audit de audit. pentru a determina dacă sistemul de operare generează evenimente de audit atunci când următoarele tipuri de acțiuni:

să modifice permisiunile și setările de audit pentru politica de audit obiect;

schimbare în politica de audit de sistem;

înregistrarea sau anularea înregistrării surselor de evenimente de securitate;

modificați setările de audit pentru utilizatorii individuali;

schimbarea CrashOnAuditFail de valoare;

modificați fișier de setări de audit sau cheie de registru;

schimba lista de grupuri speciale.

Cum să reducă la minimum numărul de noi evoluții?

Căutați un echilibru adecvat între acțiunile de audit suficiente în rețea și pe calculator, și audit prea puțină acțiune în rețea și pe computer poate fi o sarcină dificilă. Acest echilibru poate fi atins prin identificarea celor mai importante resurse, activități critice, și utilizatorii sau grupurile de utilizatori. Apoi, ar trebui să dezvolte o politică de audit de securitate, care vizează aceste resurse, activități și utilizatori. norme și orientări pentru dezvoltarea unei strategii eficiente de audit de securitate utile pot fi găsite în planificarea și implementarea politicilor avansate de audit de securitate.

Ce instrumente sunt cele mai bune pentru modelarea acestor politici de audit și de gestionare a politicii?

Pe un singur computer, puteți utiliza linia de comandă instrument Auditpol pentru a efectua o serie de sarcini importante de management legate de politica de audit.

În plus, există o serie de produse pentru controlul calculatorului, cum ar fi serviciul ACS în Microsoft System Center Operations produse Manager, care poate fi utilizat pentru colectarea și filtrarea acestor evenimente.

Unde pot găsi informații despre toate evenimentele posibile care ar putea apărea?

Clienții care au studiat mai întâi jurnalul de evenimente de securitate pot fi descurajați de suma stocată în evenimentele sale de audit (care pot să apară mii) și informații structurate, care se prezintă pentru fiecare eveniment de audit. Pentru mai multe informații despre aceste evenimente, precum și parametrii utilizați pentru a le crea, vă rugăm să vizitați următoarele resurse: