Auditing je veoma važna sigurnosna komponenta. Auditing Logovi beleže aktivnosti u našem preduzeću u Windows Security Log, koji tada možemo da nadgledamo da bi razumeli aktivnosti i da bi identifikovali probleme na koje možemo da naiđemo u toku istraživanja. Auditing može da loguje uspešne aktivnosti da bi ponudio dokumentovane promene. Takođe, auditing može da loguje i neuspešne i potencijalno maliciozne pokušaje pristupa resursima u preduzeću. Za Auditing možemo da koristimo tri upravljačke alatke: Audit Policy, Auditing Settings on objects, i Security log. U ovoj lekciji naučićete kako da konfigurišete auditing.
Audit Policy konfiguriše sistem da prati i zapisuje kategorije aktivnosti. Ako Audit Policy nije omogućena, server neće pratiti te aktivnosti. Da bi konfigurisali Auditing, administrator mora da definiše postavke u polisi. Dupli klik na bilo koju postavku polise i selektujemo Define these Policy Settings check boks. Nakon toga selektujemo da li želimo da omogućimo Auditing za uspešne događaje, neuspešne događaje ili obe kategorije događaja. Sledeća tabela predstavlja svaku Audit polisu i defoltne postavke na Windows Server 2008 domenskom kontroleru:
Audit Policy Setting |
Objašnjenje |
Defoltne postavke za Windows Server 2008 Domain Controllers |
Audit Account Logon Events |
Kreira događaj kada korisnik ili kompjuter pokuša da se autentifikuje koristeći Active Directory nalog. Na primer, kada se korisnik uloguje na bilo koji kompjuter u domenu, generiše se nalog logon događaja. |
Successful and failed account logons are audited |
Audit Logon Events |
Kreira događaj nakon lokalnog logovanja korisnika na kompjuter ili preko mreže (udaljeno). Na primer, ako su radna stanica i server konfigurisani da prate i zapisuju logon događaje, radna stanica Audituje korisničko logovanje direktno na tu radnu stanicu. |
Successful and Failed logons are audited |
Audit Account Management |
Audituje događaje, uključujući kreiranje, brisanje ili modifikaciju korisničkih, grupa ili kompjuterskih naloga i resetovanje korisničkih lozinki. |
Successful account management activities are audited |
Audit Directory Service Access |
Audituje događaje koje su specifični u system SACL, koji se može videti u properties-u Active Directory Objekta na Advanced Security Settings dijalog boksu. Kao dodatak definisanju Audit polise sa ovim postavkama, moramo da konfigurišemo i Auditing za specifični objekat ili objekte koristeći SACL jednog ili više objekata. |
Successful directory service access events are audited, but few objects SACLs specify audit settings. |
Audit Policy Change |
Audituje promene u User assignment Policies, audit policies ili trust policies |
Successful Policy changes are audited |
Audit Privilege Use |
Audituje Use of Privilege ili User right. Pogledajte tekst objašnjenja za ovu polisu u Group Policy Management Editoru (GPME) |
No auditing is performed, by default |
Audit System Events |
Audituje restartovanje sistema, gašenje sistema ili promene koje utiču na System ili Security Logove. |
Successful and Failed system events are audited |
Tabela 54.01
Kao što možete da vidite, većina glavnih događaja u aktivnom direktorijumu je auditovana na domenskim kontrolerima, pod pretpostavkom da su događaji uspešni. Iz toga razloga događaji kao što su: kreiranje korisnika, resetovanje korisnikove lozinke, logovanje u domen, i pronalaženje User Logon skripte su logovani na domenskom kontroleru.
Auditing aktivnog direktorijuma može da prikaže stare i nove iznose promenjenih atributa u audit zapisima. Auditing aktivnog direktorijuma je kritičan deo administracije i zaštite aktivnog direktorijuma. Često se legalno preporučuje održavanje Audit polise.
Windows 2000 i Windows Server 2003, imaju jednu Audit polisu, koja se naziva Audit Directory Service Access. Ova polisa kontroliše da li je Auditing for Directory Service Events omogućena. U Windows Server 2008, ova polisa je podeljena na 4 manje kategorije:
Korišćenje Group Policy Management konzole (GPMC) za omogućavanje Directory Service Auditinga će omogućiti sve ove manje kategorije.
Da bi mogli da vidimo ili da podešavamo Audit Policy Subcategories (kategorije Audit polise) moramo da koristimo Auditpol.exe alatku. Ne postoji Windows Interface alatka u Windows Server 2008 pomoću koje možemo da vidimo i podešavamo Audit Policy Subcategories.
ID događaja |
Kategorija |
Događaj |
4662 |
Directory service access |
An operation was performed on an Active Directory object |
4722 |
User account management |
A user account was enabled |
4726 |
User account management |
A user account was deleted |
4738 |
User account management |
A user account was changed |
5136 |
Directory service changes |
An Active Directory object was modified |
5137 |
Directory service changes |
A new Active Directory object was created |
5138 |
Directory service changes |
An Active Directory object was undeleted |
Tabela 54.02
Directory Service Access kategorija i dalje nudi informacije koje se odnose na sve događaje koji se događaju u direktorijumu. Omogućena je po defoltu.
Directory Service Replication i Detailed Service Replication nude informacije koje se odnose na događaje vezane za replikaciju. Ove kategorije su onemogućene po defoltu osim u slučaju da smo omogućili Global Directory Access Policy.
Directory Services Changes kategorija nudi nove funkcionalnosti. Tipovi promena koje možemo da auditujemo (pratimo) uključuju kreiranje korisnika (ili bilo kog drugog sigurnosnog subjekta), modifikovanje, pomeranje ili vraćanje objekta posle brisanja (undeleting). New Audit Policy Subcategory dodaje sledeće mogućnosti u AD DS:
Ove podkategorije su takođe onemogućene po defoltu.