Сетевые принтеры
Задание аудита объекта ( пример)
Задание аудита файлов, каталогов и принтеров
Задание глобальных настроек аудита
Назначение аудита
Аудит
Аудит - это отслеживание событий, происходящих в системе, с сохранением сведений о них в журнале Security.
Всего существует несколько специальных журналов, в которые система записывает сообщения:
· System события самой операционной системы
· Security события, определенные администратором в политике аудита
· Aplications события, записываемые прикладными программами при их работе( задаются программистами этих программ)
· Directory Service сообщения , касающиеся Active Directory
· File Replication Service сообщения службы репликации
и.др журналы, которые могут устанавливаться различными службами системы ( например, DNS)
Для просмотра и работы с журналами используется программа Event Viewer. Просмотр журналов должен выполняться администратором регулярно. Так, просмотр журнала System покажет проблемы при загрузке системы или в процессе работы системы. При неверной конфигурации драйвера или службы в этот журнал при запуске системы будет записано соответствующее сообщение, изучение которого покажет проблемные места.
Итак:
· администратором задается политика аудита – отбор событий для записи в журнал Security
· Аудит задается в групповых политиках на разных уровнях структуры домена и делать это может только администратор
· Для объектов (файлов, принтеров, папок и самих групповых политик) аудит задается кроме глобальной настройки в групповой политике – еще и в свойствах самого объекта:
Properties – Security – Advanced – Audit .
· Аудит файлов и каталогов можно задавать только на томах NTFS
· Система аудита записывает сообщения о всех событиях в журнал Security, который просматривается программой Event Viewer
Включение глобальных настроек аудита для разных GPO(объектов групповой политики – домена, сайта, локального компьютера...) задается в редактировании групповой политики соответствующего GPO:
Computer Configur – Windows Settings – Security Settings – Local policy –Audit Policy
| Account Logon Events | запись событий по получению контроллером домена запросов на вход в систему. Например, попытка входа для гостей. |
| Account managment | запись всех событий по корректировке базы учетных записей пользователей и групп. Например, создание или удаление пользователя или группы. |
| Directory service access | Доступ к объектам Active Directory. Например, доступ к OU |
| Logon Events | запись событий по входу пользователей. Например, вошел пользователь. |
| Object Access | запись событий по доступу к каталогам, файлам и принтерам для которых заданы события аудита. Для каждого объекта они задаются отдельно и дополнительно. |
| Privilege Use | запись всех событий, которые соответствуют использованию своих прав пользователями (из списка прав в User Rights). Например, право изменять системное время |
| Process Tracking | отслеживание работы процессов, для которых запущено отслеживание. |
| System Events | запись событий запуска и завершения работы системы и всевозможные действия по нарушению безопасности системы |
· В каждом из этих типов можно задать аудит либо успешных событий( его удалось сделать) – success, неуспешных – failure или обеих сразу.
· Внимание! при большом количестве событий аудита журнал может быстро переполниться и события перестанут в него записываться. Включайте только самые важные для безопасности системы события. В случае заполнения журнала есть 3 варианта его сохранения с очисткой:
- сохранение сразу как только заполнился журнал с его очисткой
- сохранение через заданное число дней
- не сохранять и перестать записывать в журнал до ручной очистки его администратором
Все эти варианты сохранения журнала есть в свойствах каждого журнала
Аудит файлов и каталогов задается помимо задания в GPO еще и в окне свойств соответствующего файла или каталога: Security –Advanced - Auditing
В окне аудита файла или каталога задаются события ( тоже успешные или нет) :
| Первичное разрешение | действие для папок | действие для файлов |
| Travers Folder / Execute File | Прохождение через папки т.е. можно переходить в эту папку и через нее в подпапки. | Выполнение файла т.е. запуск исполняемых файлов. |
| List Folder / Read Data | Просмотр содержимого папки | просмотр содержимого файла |
| Read Attributes | Просмотр атрибутов папки | Просмотр атрибутов файла |
| Read Extended Attributes | Просмотр дополнительных атрибутов папки | Просмотр дополнительных атрибутов файла |
| Create Files/Write Data | Создание файлов и их изменение | изменение файлов |
| Create Folders /Append Data | Добавление в каталог файлов и папок, | Добавление данных в файл |
| Write Attributes | Изменение атрибутов папки | Изменение атрибутов файла |
| Write Extended Attributes | Изменение дополнит атрибутов папки | Изменение доп/ атрибутов файла |
| Delete Subfolders and Files | Удаление подпапок и файлов | Удаление |
| Delete | Удаление самой папки | Удаление самого файла |
| Read Permission | Просмотр разрешений папки | Просмотр разрешений файла |
| Change Permission | Изменение разрешений папки | Изменение разрешений файла |
| Take Ownership | Сделать себя владельцем папки | Сделать себя владельцем файла |
Действие их зависит от флага применения доступа «Apply onto» аналогично тому, как он действует для назначения разрешений доступа.
В окне аудита принтера задаются события:
Print печать на принтере
Manage Printersуправление принтером
Manage documents события по управлению документами в очереди принтера
Read permissionчтение разрешений
Change permissionизменение разрешений
Take ownershipизменение владельца
Допустим, что нужно отследить все успешные и неуспешные попытки доступа к папке Рока. Для этого нужно выполнить следующие действия:
· Включить аудит Object Access для всех пользователей в политике домена для обеих типов событий ( успешных и нет)
· В свойствах папки Рока: security – advanced – Audit включить аудит чтения папки для всех
После этого периодически нужно просматривать журнал Security – и находить в нем события по категории Object Access по чтению папки Рока с помощью фильтра или поиска. Рассмотрим как это делается.
Просмотр событий аудита
Для просмотра событий используется программа Event Viewer. Для просмотра нужного журнала достаточно просто выбрать его в левом окне и в правом окне появится его содержимое. При двойном щелчке на каждом событии раскроется окно с подробным описанием этого события.
В МенюActionпри выбранном журналеможно выполнить :
Save as - запись архива журнала
Open- открытие архива журнала
Clear All Events - очистка журнала
Select computer - выбор компьютера, для которого просмотреть журналы
Properties:
Maximum log size максимальный размер журнала.
Overwrite Events as Needed стирание и начало новой записи журнала при его переполнении автоматически
Overwrite Events Older ..days перезапись журнала через ... дней. Если до этого он будет заполнен, то просто перестанет заполняться.
Do not overwrite... перезапись журнала администратором вручную
флаг Low speed Connection - обязательно должен быть включен, если журналы просматриваются на компьютере, доступ к которому через модем ( медленное соединение)
В Меню View: важны 2 пункта:
| filter find | фильтрация событий поиск событий |
В обеих окнах этих пунктов можно задать:
from и To даты для начала фильтра (или поиска) событий и конца.
Event Types тип события: для System(информ, предупр, ошибки) и для Security (успешн и неуспешн)
Sourse источник: программа, драйвер или политика аудита, вызвавшие событие. Для аудита выбрать Security
Category категория события согласно политике аудита системы (Account Logon Events...)
Event ID код события согласно кодировке в системе ( если вам известен)
User имя пользователя, с которым связано событие
Computer имя компьютера, с которым связано событие
Самостоятельная работа на закрепление:
- Назначение системы аудита, какие по смыслу события можно отслеживать с помощью аудита?
- Какие есть системные журналы для записей системных событий и какой программой можно их просмотреть. Какое из этих журналов используется системой аудита?