3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf' 3 48 |
Параметры групповой политики |
Глава 7 |
|
а з а з |
ш о э ш |
х я |
|
'щ J^jwaccrree к объектам
РОсеоеъ.'ьсяеа^сии.епеЕаметрето.ъ.тяо. Becw 9>&тсоед,юше:пспмтэ>с occrjna
Г >спек Р отхаа
ОК | Отмена j ГЪ*ме*»иь
Рис. 7-17. Политика аудита доступа к объектам
К серверу, содержащему объект аудита, необходимо применить этот параметр политики, который конфигурируется в локальном объекте G P O сервера или используется GPO, под действие которого подпадает сервер.
Затем определяется политика для аудита событий Успех (Success), Отказ (Failure) или обоих типов. Параметр аудита (см. рис. 7-17) должен задавать аудит успешных и неудачных попыток в соответствии с типом элемента аудита в списке SACL объекта (рис. 7-16). Например, чтобы осуществлять аудит неудачных попыток доступа к папке конфиденциальных данных членом группы Консультанты, необходимо для аудита отказов отконфигурировать политику Аудит доступа к объектам ( Object Access Audit) и настроить список SACL папки Конфиденциальные данные. Если политика выполняет аудит лишь успешных событий, отказы в списке SACL папки не будут регистрироваться.
ПРИМЕЧАНИЕ |
Соответствие политики аудита элемента аудита |
Учтите, что аудит и регистрация доступа является комбинацией элементов аудита конкретных файлов, папок и параметров в политике аудита. Если отконфигурировать элементы аудита для регистрации отказов, но включить политику лишь для записи успешных событий, журналы аудита будут оставаться пустыми.
Оценка событий в журнале безопасности
После включения параметра политики Аудит доступа к объектам (Audit Object Access) и указания типа доступа для аудита с помощью списков SACL объектов система начнет регистрацию доступа в соответствии с элементами аудита. Записанные события можно просмотреть в журнале Безопасность (Security) сервера. В группе Администрирование (Administration) откройте консоль Просмотр
'Занятие 4 |
Аудит |
3 4 9 |
с о б ы т ий ( E v e n t V i e w e r ) и р а з в е р н и т е узел Ж у р н а л ы |
Windows\ B e 3 o n a c H o c Tb |
|
( W i n d o w s L o g s \ S e c u r i t y ) . |
|
|
СОВЕТ К ЭКЗАМЕНУ
Для аудита доступа к таким объектам, как файлы и папки, необходимо следующее. Во-первых, политика Аудит доступа к объектам (Audit Object Access) должна быть включена и отконфигурирована для аудита успешных и неудачных событий в соответствии со сценарием. Во-вторых, список SACL объекта нужно отконфигурировать для аудита успеха и отказа доступа. В-третьих, следует проанализировать журнал Безопасность (Security). Политика аудита нередко контролируется с помощью объекта GPO, поэтому в область действия этого объекта GPO нужно включить сервер с файлом или папкой (например, файловый сервер), а не контроллер домена.
Аудит изменений службы каталогов
Аналогично тому, как п о л и т и к а Аудит доступа к объектам (Audit Object Ac-
cess) п о з в о л я е т р е г и с т р и р о в а т ь п о п ы т к и доступа к таким |
объектам, как файлы |
и папки, п о с р е д с т в о м п о л и т и к и Аудит доступа к службе |
каталогов (Audit Di- |
rectory |
Service Access) |
р е г и с т р и р у ю т с я попы тк и доступа к объектам в Active |
|
Directory с п р и м е н е н и е м тех |
же п р и н ц и п о в . Политика конфигурируется для |
||
аудита у с п е ш н о г о и л и |
н е у д а ч н о г о доступа . Затем можно отконфигурировать |
||
список |
S A C L о б ъ е к т а |
Active |
D i r e c t o r y и указать типы доступа, проверка ко- |
торых |
будет в ы п о л н я т ь с я . |
|
|
В к а ч е с т в е п р и м е р а д л я |
о т с л е ж и в а н и я изменений членства такой груп- |
||
пы, как А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins), включите политику Аудит доступа к с л у ж б е к а т а л о г о в ( A u d i t Directory Service Access) — для проверки успешного п о л у ч е н и я доступа, затем откройте список SACL группы Администраторы д о м е н а и о т к о н ф и г у р и р у й т е элемент аудита успешных модификаций атрибута member г р у п п ы . Э т у задачу вы будете выполнять на практических занятиях .
В Microsoft W i n d o w s Server 2003 и Windows 2000 Server можно было выполнять аудит доступа к службе каталогов и определять изменение объекта или его свойства, однако не б ы л о в о з м о ж н о с т и идентифицировать начальное и новое значения измененного атрибута. Например, в событии могло быть указано, что
о т д е л ь н ы й |
п о л ь з о в а т е л ь и з м е н и л а т р и б у т member группы Администраторы |
|||||
домена, однако |
суть и з м е н е н и я определить было невозможно. |
|||||
В W i n d o w s |
Server 2 0 0 8 д о б а в л е н а категория |
аудита |
Изменения службы |
|||
каталогов |
( D i r e c t o r y Service C h a n g e s ) . Важное |
отличие |
заключается в том, |
|||
что теперь |
и д е н т и ф и ц и р у е т с я н а ч а л ь н о е и |
текущее |
значения измененного |
|||
атрибута. |
|
|
|
|
|
|
По у м о л ч а н и ю в м е с т о аудита и з м е н е н и й |
службы |
каталогов в Windows |
||||
Server 2008 в к л ю ч е н аудит доступа к службе каталогов с функциональностью, аналогичной п р е д ы д у щ и м версиям Windows. Чтобы включить аудит успешных изменений службы каталогов, на контроллере домена откройте окно командной строки и введите с л е д у ю щ у ю команду:
audltpol /set /subcategory:"изменения службы каталогов" /success.'enable
'350 Параметры групповой политики Глава 7 |
Глава 7 |
СОВЕТ К ЭКЗАМЕНУ .
Команда auditpol используется для включения аудита изменений службы каталогов.
Вы все равно должны модифицировать списки SACL объектов, чтобы указать атрибуты, аудит которых нужно выполнять. Предыдущую команду можно использовать для включения аудита Изменения службы каталогов (Directory Service Changes) в тестовой среде и просмотра генерируемых событий, однако не реализуйте ее в домене, пока не прочитаете документацию TechNet, начав с пошагового руководства, размещенного по адресу http://technet2.micrvsoft.com/ windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx.
При включении аудита Изменения службы каталогов (Directory Service Changes) его элементы конфигурируются в списке SACL объектов службы каталогов, события записываются в журнал Безопасность (Security), где четко указан измененный атрибут и внесенное изменение. В большинстве случаев записи журнала событий содержат предыдущее и текущее значение измененного атрибута.
Контрольный вопрос
•Вам нужно выполнить аудит изменений свойств учетных записей пользователей для временных сотрудников. При внесении изменения вы хотите знать предыдущее и новое значения измененного атрибута. Какой тип аудита лучше всего выполнять?
Ответ на контрольный вопрос
•Аудит Изменения службы каталогов (Directory Service Changes).
Практические занятия. Конфигурирование параметров аудита
В предложенных далее упражнениях предлагается отконфигурировать параметры аудита, включить политики аудита доступа к объектам и отфильтровать конкретные события в журнале Безопасность (Security). Бизнес-цель состоит в мониторинге папки с конфиденциальными данными, к которой не должны получать доступ пользователи из группы Консультанты. Кроме того, необходимо отконфигурировать аудит для отслеживания изменений членства группы Администраторы домена (Domain Admins).
Прежде всего нужно выполнить в среде следующие подготовительные шага:
• на диске С создать папку Конфиденциальные данные;
•создать глобальную группу безопасности Консультанты;
•добавить группу Консультанты в группу Операторы печати (Print Operators) — благодаря этому пользователь в группе Консультанты сможет локально входить на машину SERVER01, которая в данном упражнении является контроллером домена;
•создать пользователя Джеймс Файн и добавить его в группу Консультанты.
Занятие 4 |
Аудит |
351 |
|
У п р а ж н е н и е 1. Н а с т р о й к а р а з р е ш е н и й и параметров аудита
Необходимо отконфигурировать разрешения папки Конфиденциальные данные для запрета доступа пользователям из группы Консультанты, затем включитьдля них аудит попыток получить, доступ к этой папке.
1. Войдите на машину S E R V E R 0 1 как администратор.
2.Откройте окно свойств папки С:\Конфиденциальные данные и перейдите на вкладку Безопасность (Security).
3. Щелкните кнопку Изменить (Edit), а затем Добавить (Add). 5. Введите имя группы Консультанты и щелкните ОК.
6.Установите флажок Запретить (Deny) напротив разрешения Полный доступ (Full Control).
7.Последовательно щелкните кнопки Применить (Apply) и Да (Yes), чтобы подтвердить запрет разрешения.
8. Для того чтобы закрыть диалоговое окно Разрешения (Permissions), щелкните ОК .
9. Щелкните Дополнительно (Advanced).
10.Перейдите на вкладку Аудит (Auditing).
11.Щелкните Изменить (Edit), а затем Добавить (Add).
13.Введите имя Консультанты и щелкните ОК.
14.В диалоговом окне Элементы аудита (Auditing Entry) установите флажок Отказ (Failed) напротив разрешения Полный доступ (Full Control).
15.Закройте все диалоговые окна.
У п р а ж н е н и е 2 . В к л ю ч е н и е политики аудита
Поскольку машина SERVER01 является контроллером домена, для включения аудита используется ранее созданный объект групповой политики Политика безопасности DC. На автономном сервере применяется оснастка Локальная политика безопасности (Local Security Policy) или объект GPO, под область действия которого подпадает сервер.
1. Откройте консоль Управление групповой политикой (Group Policy Management) и выберите контейнер Объекты групповой политики (Group Policy Objects).
2.Щелкните правой кнопкой мыши объект Политики безопасности DC и выполните команду Изменить (Edit).
3. Разверните узел Конфигурация компыотера\Политики\Конфигурация Windows\napaMeTpbi безопасности\Локальные политики\Политика аудита (Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy).
4.Дважды щелкните параметр политики Аудит доступа к объектам (Audit Object Access).
5.Установите флажок Определить следующие параметры политики (Define These Policy Settings).
Занятие 4 |
|
|
|
|
|
|
|
Аудит |
353 |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Фнльтр|>М1 | |
|
|
|
|
|
|
|
|
|
|
Дата: |
J Последний час |
|
•»| |
|
|
|
|||
|
Ур«8«Мк |
Г Критическое Г Прадуг>е*дакие1 |
Г Подробности |
|
|
|
||||
|
<0бь>т«№ |
:,Г Ошибка |
Г" СмДОни* |
|
|
|
|
|
||
|
ff '.С- ).., |
|
Ща |
|
|
|
||||
|
Журналы |
|
!;1->«*еп»с»онп |
|
|
|
|
|||
|
1 Г V; i-4'Ч'.-х г? |
событий |
|
|
|
—1 |
|
|
|
|
|
Источкио» |
|
(Microsoft Windows security auditing. |
_ ) |
|
|
|
|||
|
|
событий |
|
1 |
|
—' |
|
|
|
|
|
Включение или лючеиио. |
е кода собегтий: Введите событий «ли лиагчюкы |
|
|
|
|||||
|
кодо». рлиелдя и»ч»ты*.«и. Дтв нсклкгчеии* yoosns «ведите sm< минус. Например |
|
||||||||
|
Категория задачи: |
г ;|<Есе коды событий* |
|
|
|
|
|
|||
|
®айло«а«| |
система |
|
.уjf4 |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
слоек |
1 |
|
|
|
|
zl |
|
||
|
Ксыпьютеры: |
j-Bce по.штсвате/м. |
|
|
|
|
|
|||
|
{«'Все компьютеры' |
Очлсгить ! |
|
|||||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
ОК | |
Отмен, j |
|
||
|
|
|
|
|
|
|
|
|
|
|
Рис. 7-18. Фильтрация журнала безопасности для извлечения последних событий файловой системы
8. На панели Действия (Actions) щелкните ссылку Сохранить файл отфильтрованного журнала (Save Filter Log As).
9.На панели Избранные ссылки (Favorite Links) диалогового окна Сохранить как (Save As) щелкните ссылку Рабочий стол (Desktop).
10.Щелкните раскрывающийся список Тип файла (Save As Туре) и выберите тип Текст (Text).
И. В текстовое |
поле И м я файла (File Name) введите имя Экспорт журнала |
|
|
аудита. |
|
12. |
Щелкните кнопку Сохранить (Save). |
|
13. |
В программе |
Блокнот (Notepad) откройте полученный текстовый файл |
|
и выполните поиск по ключевым словам С:\Конфиденциальные данные. |
|
У п р а ж н е н и е 5. Аудит и з м е н е н и й службы каталогов
В этом упражнении используется аудит доступа к службе каталогов, которая по умолчанию включена в Windows Server 2008 и Windows Server 2003. Затем необходимо реализовать новый аудит изменений службы каталогов Windows Server 2008, чтобы отслеживать изменения группы администраторов домена.
1.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).
2.Щелкните меню Вид (View) и установите флажок Дополнительные параметры (Advanced Features).
3.Выберите контейнер Users.
4.Щелкните правой кнопкой мыши группу Администраторы домена (Domain Admins) и выполните команду Свойства (Properties).
[ 354 |
Параметры групповой политики |
Глава 7 |
5. Перейдите на вкладку Безопасность (Security) и щелкните кнопку Дополнительно (Advanced).
6. Перейдите на вкладку Аудит (Auditing) и щелкните кнопку Добавить (Add). 7. Введите имя группы Все (Everyone) и щелкните О К .
8. В диалоговом окно Элемент аудита (Auditing Entry) перейдите на вкладку Свойства (Properties).
9. Установите флажок Успех (Successful) напротив разрешения Запись: Члены группы (Write Members). Щелкните О К .
10.Закройте диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings), щелкнув О К .
Вы назначили аудит всех изменений атрибута member труппы Администраторы домена (Domain Admins). Теперь внесите два и з м е н е н и я в членство группы.
11.Перейдите на вкладку Члены группы (Members) .
12. Добавьте пользователя Джеймса Ф а й н а и щ е л к н и т е П р и м е н и т ь |
(Apply). |
13. Выберите пользователя Д ж е й м с а Ф а й н а , щ е л к н и т е Удалить |
(Remove), |
а затем Применить (Apply).
14.Щ е ж н и т е ОК, чтобы закрыть диалоговое окно Свойства: Администраторы домена (Domain Admins Properties).
15.Откройте журнал Безопасность (Security) и локализуйте события, сгенерированные при добавлении и удалении пользователя Д ж е й м с а Файна . Код
события 4662. Просмотрите информацию на вкладке О б щ и е (General).
В журнале указано, что пользователь ( а д м и н и с т р а т о р ) п о л у ч и л доступ к объекту Администраторы домена (Domain Admins) и применил операцию доступа Записать свойство (Write Property) . Само свойство отображено как глобальный уникальный идентификатор ( G U I D ) , с помощью которого нельзя сразу определить изменение атрибута member. Это событие также не содержит данных об изменении, внесенном в свойство.
Теперь следует включить новый аудит изменений службы каталогов Windows Server 2008.
16.Откройте окно командной строки и введите следующую команду: auditpol /set /5иЬса1едогу:"изменения службы каталогов" /success:епаЫе
17.Откройте окно свойств группы Администраторы домена (Domain Admins)
и добавьте в группу пользователя Джеймса Ф а й н а . .
18.Вернитесь к оснастке Просмотр событий (Event Viewer) и обновите журнал Безопасность (Security). Должны отобразиться события Доступ к службе каталогов (Directory Service Access) с кодом 4662 и Изменения службы каталогов (Directory Service Changes) с кодом 5136. Если событие изменения службы каталогов не отображается, подождите несколько секунд и вновь обновите представление журнала.
19.Проанализируйте информацию в событии Изменения службы каталогов (Directory Service Changes).
Основные термины |
357 |
M a n a g e m e nt Editor) используется множество других инструментов, включая шаблоны безопасности, Мастер настройки безопасности (Security Configuration Wizard), а также утилиты Scwcmd.exe и Auditpol.exe.
•На сертификационном экзамене 7 0 - 6 4 0 и в реальной среде для успешного развертывания групповой политики на предприятии очень важно хорошо
уметь определять область действия G P O .
•Политики групп с ограниченным доступом могут добавлять членов в группу как кумулятивно, так и путем авторитарного установления членства одной группы.
•Н о в ы й Мастер настройки безопасности (Security Configuration Wizard)
создает п о л и т и к и безопасности на основе ролей, которые могут внедрять шаблоны безопасности, управляемые оснастками из предыдущих версий Windows. Команда Scwcmd.exe может преобразовать политику безопасности в объект G P O .
•Программное обеспечение можно назначать пользователям и компьютерам или публиковать для пользователей, чтобы те могли установить программу из панели управления . Расширение групповой политики Установка программ (Software Installation) также может управлять повторным развертыванием, обновлением и удалением приложения.
•Д л я аудита доступа к файловой системе, доступа к службе каталогов и изменений службы каталогов необходимо определить политику аудита и элементы аудита в списках SACL объектов.
Основные термины
Запомните перечисленные далее термины, чтобы лучше понять описываемые концепции.
• Политика аудита |
Параметр, конфигурирующий запись в журнал опера- |
ций, связанных с |
безопасностью. |
•Д е л е г и р о в а н и е Назначение администратора. Передача привилегий для выполнения административных задач.
• Р а с ш и р я е м ы й |
я з ы к р а з м е т к и X M L |
( E x t e n s i b l e M a r k u p Language) |
Аббревиатура |
от Standard Generalized |
Markup Language (SGML). Язык |
X M L позволяет выполнять гибкое развертывание определяемых пользователем типов документов, а также обеспечивает общедоступный неизменный и контролируемый файловый формат для хранения и передачи текста
иданных в Интернете.
•Б р а н д м а у э р Программный или аппаратный продукт, предназначенный для изолирования системы или сети от еще одной сети. Эта технология традиционно используется для защиты частной сети от вторжения из Интернета и теперь включена в Windows в виде оснастки Брандмауэр Windows
врежиме повышенной безопасности (Windows Firewall With Advanced Security). Брандмауэр инспектирует входящие и исходящие пакеты и на основе правил определяет, каким пакетам разрешено проходить периметр брандмауэра.