Сваки администратор активног директорија пре или касније се суочи са потребом за ревизијом промена у Ацтиве Дирецтори-у, а ово питање може постати оштрије што је већа и сложенија структура активног директорија и већа листа људи којима су управљачка права делегирана у одређеној веб локацији или АД контејнеру. Администратор (или стручњак за информациону сигурност) могу бити заинтересовани за питања попут:
- ко је креирао / избрисао корисника или групу АД
- ко је омогућио / блокирао корисника
- са које адресе је промењена / ресетована лозинка корисника домене
- ко је креирао / уређивао групну политику итд..
У Виндовс породици оперативних система постоје уграђена средства за ревизију промена у различитим објектима, која, као и многе друге Виндовс поставке, могу да се контролишу коришћењем групних смерница.
Напомена. Већ смо се дотакли теме Виндовс ревизије у чланку: „Ревизија приступа датотекама и мапама у Виндовс 2008“Погледајмо конкретан пример методологије за омогућавање ревизије промена у подешавањима корисника и чланства у Ацтиве Дирецтори групама (према овој техници можете омогућити праћење других категорија догађаја).
Садржај:
- Виндовс Напредне политике ревизије
- Конфигуришите промене ревизије у Ацтиве Дирецтори налозима и групама
- Главни недостаци интегрисаног система Виндовс ревизије
Виндовс Напредне политике ревизије
Креирајте нови ГПО (Гроуп Полици) под називом Ревизије промене у АД-у. Идите на одјељак за уређивање и проширите грану Конфигурација рачунара> Политике> Подешавања оперативног система Виндовс> Подешавања сигурности> Напредна конфигурација ревизије. Ова грана смерница групе садржи напредне смернице ревизије које се могу активирати у Виндовс породици ОС за праћење различитих догађаја. У оперативним системима Виндовс 7 и Виндовс Сервер 2008 Р2 број догађаја за које можете да извршите ревизију је повећан на 53. Ове 53 политике ревизије (тзв. Детаљне смернице за ревизију) су у грани Безбедносна подешавања \ Напредна конфигурација политике ревизије груписане у 10 категорија:
- Пријава на рачун - ревизија вјеродостојности, услуга провјере аутентичности Керберос, пословање Керберос улазница и други догађаји за пријаву
- Управљање рачуном - праћење промена на корисничким и рачунарским рачунима, као и информације о АД групама и њиховом чланству
- Детаљно праћење - ревизија активности појединих апликација (РПЦ, ДПАПИ)
- ДС Аццесс - Напредна ревизија измена у објектима Ацтиве Дирецтори Домаин Сервицес (АД ДС)
- Пријава / одјава - ревизија интерактивних и мрежних покушаја пријављивања на рачунаре и сервере домена, као и закључавање рачуна
- Приступ објекту - ревизија приступа разним објектима (кернел, датотечни систем и заједничке мапе, регистар, услуге цертификације итд.)
- Промјена политике - ревизије промјена у групним политикама
- Коришћење привилегија - ревизија права приступа разним категоријама података
- Систем - промене у подешавањима рачунара који су са безбедносног становишта потенцијално критични
- Глобал Објецт АццессАудитинг - допусти администратору да креира властите АЦЛ-ове који прате промјене у регистру и датотечном систему о свим објектима од интереса
Наравно, да се систем не би преоптеретио непотребним радом и записима са непотребним информацијама, препоручује се употреба само минимално потребног скупа ревидираних параметара.
Подешавање провера ревизија на рачунима и групама Ацтиве Дирецтори
У овом случају нас занима категорија Управљање рачуном, омогућавајући ревизију промена у групама управљања групом за контролу ревизије) и ревизију корисничких налога (полиса) Ревизија управљања корисничким рачунима) Подаци ревизијске политике активирамо постављањем праћења само успешних промена (Успех).
Остаје да повежете ову политику са спремником који садржи рачуне контролера домена (подразумевано је то ОУ контролер домена) и примените ову смерницу (након 90 минута чекања или покретањем наредбе гпупдате / форце).
Након примене ове смернице, информације о свим променама на корисничким налозима и чланству у групи биће евидентиране на контролерима домена у Безбедносном дневнику. Снимак екрана приказује догађај и поправља тренутка када је корисник избрисан из група Ацтиве Дирецтори (у случају да можете видети ко је, када и кога уклонио из групе).
Подразумевано, дневник приказује све безбедносне догађаје који су забележени. Да бисте поједноставили потрагу за жељеним догађајем, дневник се може филтрирати помоћу одређеног ИД-а догађаја. У случају да нас занимају само догађаји, на пример, померање ресетовања корисничке лозинке у домену, морате да омогућите филтер помоћу ид 4724.
Следи листа неких ИД-ова догађаја који ће можда требати да бисте тражили и филтрирали догађаје у дневнику праксе безбедности:
ИД догађаји у контексту групних промена АД:
4727: Створена је глобална група која омогућава безбедност.
4728: Члан је додат у безбедносну глобалну групу.
4729: Члан је уклоњен из глобалне групе омогућене за сигурност.
4730: Избрисана је глобална група која омогућава безбедност.
4731: Створена је локална група са безбедношћу.
4732: Члан је додат у безбедносну локалну групу.
4733: Члан је уклоњен из локалне групе са безбедношћу.
4734: Избрисана је локална група са омогућеном сигурношћу.
4735: Промењена је локална група која омогућава безбедност.
4737: Промењена је глобална група која омогућава безбедност.
4754: Створена је сигурносна универзална група.
4755: Промењена је универзална група омогућена безбедношћу.
4756: Члан је додат у безбедносну универзалну групу.
4757: Члан је уклоњен из универзалне групе са безбедношћу.
4758: Избрисана је сигурносна универзална група.
4764: Тип групе је промењен.
ИД догађаји у контексту промена корисничких налога у АД:
4720: Отворен је кориснички налог.
4722: Омогућен је кориснички налог.
4723: Покушај промене лозинке налога.
4724: Покушај ресетовања лозинке налога.
4725: Кориснички налог је онемогућен.
4726: Избрисан је кориснички налог.
4738: Измењен је кориснички налог.
4740: Кориснички налог је закључан.
4765: Историја СИД-а је додата на рачун.
4766: Покушај додавања СИД историје на налог није успео.
4767: Кориснички налог је откључан.
4780: АЦЛ је постављен на рачуне који су чланови група администратора.
4781: Име налога је промењено:
4794: Почињен је покушај постављања режима обнављања директорија услуга.
5376: Сигурносне копије повериоца менаџера су резервне копије.
5377: Акредитиви повериоца менаџера су враћени из резервне копије.
Главни недостаци интегрисаног система Виндовс ревизије
Међутим, стандардна средства за преглед и анализу дневника у Виндовс-у имају одређене недостатке..
Наравно, конзола Евент Виевер пружа само основне могућности за гледање и тражење информација о одређеним догађајима у систему и не подразумева могућност сложене обраде, груписања и обједињавања информација. У ствари, овај задатак у потпуности зависи од способности и нивоа обуке администратора система или инжењера за заштиту информација који помоћу различитих скрипти (на пример, поверхелл или вбс) или уредских алата може развити сопствени систем за увоз и претраживање записа.
Такође, не заборавите да је помоћу уграђених Виндовс алата тешко комбиновати записе са различитих контролера домена (наравно, можете да искористите и могућност преусмеравања дневника на Виндовс, али овај алат такође није флексибилан), тако да ћете морати да потражите жељени догађај на свим контролерима домена (у велике мреже, веома је скупо).
Поред тога, приликом организовања система за ревизију промена у АД-у користећи редовне Виндовс алате, морате имати на уму да се огроман број догађаја (често непотребних) записује у системски дневник и то доводи до његовог брзог попуњавања и преписивања. Да бисте могли да радите са архивом догађаја, потребно је повећати максималну величину дневника и забранити преписивање, као и развити стратегију увоза и чишћења трупаца.
Из тих разлога је пожељно користити софтверске пакете независних произвођача за ревизију промена АД у великим и дистрибуираним системима. Недавно, на пример, производи као што су Извештач о промени НетВрик Ацтиве Дирецтори-а или ЦхангеАудитор за Ацтиве Дирецтори.