Въпроси и отговори за напреднали одит на сигурността (Windows)

Какво е одит на сигурността на Windows и защо трябва да го използвам?

Одит на сигурността - систематично проучване и оценка на действията, които могат да повлияят на безопасността на системата. На операционни системи Windows, одити за сигурност по-тясно определени като функции и услуги, които дават възможност на администратор, за да влезете и да видите събитията за определени действия, свързани със сигурността.

В операционната система Windows и работи на операционната система, приложенията, има стотици събития. Мониторинг на тези събития може да предостави ценна информация, която да помогне на администраторите да отстранят и проучване дейности, свързани със сигурността.

Каква е разликата между одитните политики, намиращи се в "местни политики \ политика одит", както и политици, подредени в конфигурацията на разширена политика одит?

Параметри основен одит политика на сигурност, под Настройки за сигурност \ Local Policies \ настройки за одит политика и политика на разширени настройки за одит на сигурността в областта на сигурността Settings \ Configuration разширени политика \ Policies одит одит система изглежда да се припокриват, но те се записва и прилага по различен начин. При прилагането на настройките на основните политически одит на локалния компютър посредством Местния политиката на сигурност, закопчалки за (secpol.msc) промените ефективна политика за одит, така че промените, направени в параметрите на основния политиката за одит, се показват по същия начин, тъй като те са конфигурирани в Auditpol.exe.

Има редица допълнителни разлики между параметрите на политиката за одит на сигурността в тези две места.

Има девет настройки основни политически одит под Настройки за сигурност \ Local Policies \ Configuration политика одит и подобрени политики за одит. Наличните опции под Security Settings \ Configuration разширени политика одит. решаване на същите проблеми като деветте основни настройки по местни политики \ политика одит. но те позволяват на администраторите да избират от броя и вида на събития, за да проверяват. Така например, политиката на одит предоставя основен входен параметър по сметката, както и подобрени политики за одит - четири. Включването на тази база входен параметър еквивалент определяне четирите входни параметри по време на удължения акаунт сметка. За сравнение, инсталирането на политиката удължен одит на един параметър не генерира одит събития за действията, които не са ви нужни, за да следите.

В допълнение, ако разрешите одит за успех за основна настройка Одит влизане събития. ще регистрира само успешно събитие за всички влизане в профила ви. За сравнение, в зависимост от нуждите на вашата организация, можете да конфигурирате одит успех за първи разширен параметър влизане в системата, повреда одит за втори разширен входната величина в сметката и одит на успехи и неуспехи за трети разширен входната величина в профила си или да деактивирате одит.

Какво е взаимодействието между параметрите на настройките на основните политически одит и засилена политика за одит?

Политиката на Одитния несъвместими с основните параметри на разширените одиторски политики, които се прилагат с помощта на груповите правила. Когато прилагане на настройките продължителни политически одит използване GPO текущите параметри на политиката компютър одит се нулират преди прилагането на политическия ефект засилено параметър одит. След прилагане на разширени настройки за одит политика чрез използване на групови правила да определи надеждно политика на система за одит за компютър е възможно само с помощта на параметрите на разширена политика одит.

Модификация и прилагане на настройките за разширени одит политика в местната политика за сигурност, за да промените местен обект политика Group (GPO), така че промените да направите тук не могат да бъдат отразени напълно в присъствието на политики Auditpol.exe от други домейн GPO или скриптове при влизане. И двата типа политики могат да бъдат променени и да се прилагат чрез политика GPO домейн и тези параметри имат приоритет пред всички противоречащи на настройките на местната политика одит. Въпреки това, тъй като основната политика на одита е регистриран на ефективен одит политика, политиката за одит, това трябва да бъде изрично премахнати, ако има нужда от промяна, в противен случай той ще остане в сила на политиката на одит. Промените в политиката се прилагат с помощта на местни или домейни настройки на групови правила са отразени веднага след като се прилага новата политика.

Независимо от това дали да се прилага усъвършенствана система за одит, който използвате Group Policy или скриптове при влизане, не използвайте политиката одит базови настройки същото време при местни политики \ политика одит и разширените настройки по сигурност Settings \ Configuration удължен политика одит. Едновременното използване на параметрите на продължителен и основна политика на проверка може да доведе до непредсказуеми резултати в одитните доклади.

Как да се извърши одит на настройките обединени от Group Policy?

настройки за правила по подразбиране в обектите на групови правила (GPO), свързани с обекти, Directory домейни Активни и разделяния на по-високо ниво и се наследяват от всички единици (OU) при по-ниски нива. Въпреки това политиката на наследството може да се замени с GPO, че е свързана с по-ниско ниво.

Например, искате да използвате домейн Group Policy обект (GPO) да възложи на група от настройки за одит в рамките на организацията, но в същото време да назначи група от допълнителни параметри на един от блоковете. Към това може да се свързва с тази втора дивизия по-ниско ниво GPO. В този случай, одита на влизане параметър, предвид на ниво единица ще замени настройката на несъвместим влизане одит дефинирана на ниво домейн (ако не сте завършили специалните мерки, за да се прилагат групови правила за обработка на веригата).

Настройките конфигурирани в дивизия политика GPO (висок приоритет)

Направените настройки в домейн политика Група обект (по-нисък приоритет)

Получено Комплект политика за целта компютър

Каква е разликата между обект DACL и обект Sacl?

Всички обекти в областта на услугите Active Directory (AD DS), както и всички ограничаеми обекти на локален компютър или в мрежата имат описания за сигурност, които могат да се използват за контролиране на достъпа до обекти. описания за сигурност включват информация за това кой е собственик на обекта, който има достъп до него и какви, и какви видове достъп, са одитирани. описания за сигурност съдържат списък за контрол на достъпа (ACL) на обекта, което включва всички разрешения за сигурност, които се прилагат за този обект. дескриптор за защита на обекта може да съдържа два вида списъци за контрол на достъпа:

ACL на ниво потребител (DACL), което определя потребителите и групите, които не се издават или не предоставя достъп;

списък система за контрол на достъпа (Sacl), която контролира одит достъп.

Моделът на контрол на достъпа, която се използва за Windows, се прилага на ниво обект чрез определяне на различни нива на достъп, или разрешения, за обекти. Ако разрешения са определени за обекта, неговото дескриптор за защита съдържа DACL с идентификатори за сигурност (SID) за потребителите и групите, които са разрешени или отказан достъп.

Ако обектът на одита е конфигурирана, дескриптора на сигурността на този обект съдържа и Sacl, която контролира по какъв начин подсистемата за сигурност извършва одити опити за достъп до обекта. Въпреки това, одит е конфигуриран напълно, освен ако не е посочено Sacl за обекта и да конфигурирате и прилага подходяща политика за одит, в който достъпът до обектите.

Защо е политика одит прилага към всеки компютър, а не на всеки потребител?

В допълнение, тъй като възможностите за одит политика може да варира между компютри с различни версии на Windows, най-добрият начин да се гарантира правилното прилагане на одитната политика - е да приложите настройките на компютъра, а не на потребителя.

Въпреки това, в случаите, когато параметрите на одита следва да се прилагат само за определени групи потребители, можете да конфигурирате Sacl за съответните предмети, за да се даде възможност на одита за групата на сигурност, който съдържа само специфицираните потребителите. Например, можете да зададете Sacl за папката "данни за заплатите" в сървъра за отчитане 1. По този начин ще бъде възможно да следите потребителски опити за разделение "ТРЗ" изтриване на обекти от папката. Политика Setting Одит Object Access \ Одит на файловата система се прилага към сървъра счетоводство 1, но тъй като тя изисква съответен ресурс на Sacl, одит събития ще се генерират само ако членовете на единица продукция от дейността "ТРЗ" с папка "данните за заплатите."

Какви са разликите на функционален капацитет за одит в различните версии на Windows?

Каква е разликата между успеха и провала събития? Нещо не е наред, ако резултатът от одита е провал?

Проследяване на успешно се регистрира събитие, ако определено действие, например достъп до споделен файл, успява.

недостатъчност одит се регистрира събитие, ако определено действие, като например за въвеждане на текст не е завършила успешно.

Външният вид на провал одит събития в регистъра на събитията, не означава непременно наличие на грешки в системата. Например, ако изберете влизане събитие одит, събитие на отказ може просто да означава, че потребителят е написал грешно паролата си.

Как да конфигурирате политиката за одит, който засяга всички обекти на компютър?

Системните администратори и одитори все искат да се провери прилагането на политиката за всички обекти в системата. Това е трудно, защото списъци за контрол на достъпа система (Sacl), мениджърите одит, прилагани на обект. Ето защо, за да се провери правилното прилагане на политиката за одит на всички обекти трябва да се провери всеки обект, за да се гарантира, че не се правят никакви промени, дори и временна промяна само един на Sacl.

Как да се определи защо даден потребител има достъп до този ресурс?

достатъчно често, за да се знае, че един обект, като например файл или папка е осъществен достъп. Може да се наложи да се разбере защо е в състояние да получите достъп до този ресурс. Тези данни изпитвания могат да бъдат получени чрез конфигуриране на извършването на одита, с дръжките заедно с параметъра на файловата система или регистър одит одит.

Как да знам кога са направени промени в настройките за контрол на достъпа, които ги правят и какво представляват?

Най-Sacl с права за писане и собственика. прилага по отношение на обекта, който искате да следите.

Как мога да се връщам политика одитната политика одит на сигурността с удължен гръб към базата?

Използването на настройките разширени одит политика замества всички съответни параметри на основната политика на одит на сигурността. Ако по-късно се променят параметрите на усъвършенствана система за одит, за да не е конфигурирано. следвайте тези стъпки, за да възстановите първоначалните параметри на основната политика на одит на сигурността:

Изтриване на всички файлове в папка audit.csv% SYSVOL% на на домейн контролера.

Конфигурирайте отново и приложите настройките основни политически одит.

Ако не сте попълнили всички тези стъпки, основните параметри на политиката за одит няма да бъдат възстановени.

Как мога да проследя дали промените в настройките за правилата за одит?

Промени в политиката за одит на сигурността са критични събития за сигурност. Можете да използвате Одит политика Одит промените. да се определи дали операционната система генерира одит събития, когато следните видове дейности:

промяна на разрешенията и настройки за одит на политиката за обект на одита;

промяна в политиката на система за одит;

регистрация или прекратяване на регистрацията на източниците на събития свързани със сигурността;

промяна на настройките за одит на индивидуални потребители;

променящата CrashOnAuditFail на стойност;

промените настройките на файл за одит или ключ на системния регистър;

промяна на списъка на специалните групи.

Как да се намали броят на новите развития?

Търсене на подходящ баланс между достатъчни одитни дейности по мрежата и на компютъра, и одит твърде малко действия по отношение на мрежата и на компютъра, може да се окаже трудна задача. Този баланс може да се постигне чрез идентифициране на най-важните ресурси, критичните дейности, както и потребителите или потребителски групи. След това, трябва да се развива одит на сигурността политика, която е насочена към тези ресурси, дейности и потребители. Полезни правила и насоки за развитието на ефективна стратегия за одит на сигурността могат да бъдат намерени в планирането и внедряването на съвременни политики за одит на сигурността.

Какви инструменти са най-добрите за моделиране на тези политики за одит и управление на политиката?

На един компютър, можете да използвате инструмент Auditpol на командния ред за извършване на редица важни управленски задачи по политиката за одит.

В допълнение, има и редица продукти за компютърно управление, като услуга ACS в Microsoft System Center Operations продукти мениджър, който може да се използва за събиране и филтриране на тези събития.

Къде мога да намеря информация за всички възможни събития, които биха могли да се появят?

Клиентите, които за пръв път изучават дневника за сигурност събитие могат да бъдат обезкуражени от сумата се съхранява в своите одитни събития (което може да се случи хиляди) и структурирана информация, която се представя за всеки одит събитие. За повече информация относно тези събития, както и параметрите, използвани за създаването им, моля посетете следните ресурси: