Saznajte

Utisci korisnika

Hvala Vam na podršci i moram Vam priznati da ste jako ljubazni. Milan Đelić, Valjevo

Pre svega želim da vam se zahvalim na veoma brzom i profesionalnom pristupu. Jovan Knežević - Hong Kong


Kompletna lista utisaka

Online učionica

Ostale multimedijalne prezentacije>>>

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA

Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Implementacija AD DS Monitoring plana

Autor: Test Instruktor

Naziv jedinice: Konfiguracija AD DS Auditinga (praćenja događaja)

Materijali vezani uz ovu lekciju:

- Test konfiguracija ad ds auditinga (praćenja događaja)
- Konfiguracija AD DS Auditinga (praćenja događaja) (PDF dokument)


Auditing je veoma važna sigurnosna komponenta. Auditing Log-ovi beleže aktivnosti u našem preduzeću u Windows Security Log, koji tada možemo da nadgledamo da bismo razumeli aktivnosti i da bismo identifikovali probleme na koje možemo da naiđemo u toku istraživanja. Auditing može da Log-uje uspešne aktivnosti da bi ponudio dokumentovane promene. Takođe, Auditing može da Log-uje i neuspešne i potencijalno maliciozne pokušaje pristupa resursima u preduzeću. Za Auditing možemo da koristimo tri upravljačke alatke: Audit Policy, Auditing Settings on Objects, i Security Log. U ovoj lekciji ćete naučiti kako da konfigurišete Auditing.

Audit Policy

Audit Policy konfiguriše sistem da prati i zapisuje kategorije aktivnosti. Ako Audit Policy nije omogućena, server neće pratiti te aktivnosti. Da bismo konfigurisali Auditing, administrator mora da definiše postavke u polisi. Dupli klik na bilo koju postavku polise i selektujemo Define these Policy Settings Check boks. Nakon toga selektujemo da li želimo da omogućimo Auditing za uspešne događaje, neuspešne događaje ili obe kategorije događaja. Sledeća tabela predstavlja svaku Audit Policy i defoltne postavke na Windows Server 2008 domenskom kontroleru:

 Audit Policy Setting Objašnjenje  Defoltne postavke za Windows
Server 2008 Domain Controllers
 Audit Account Logon Events  Kreira događaj kada korisnik ili kompjuter pokuša da se autentifikuje koristeći Active Directory nalog. Na primer, kada se korisnik prijavi na bilo koji kompjuter u domenu, generiše se nalog Logon događaja.  Successful and failed account logons are audited
 Audit Logon Events  Kreira događaj nakon lokalnog prijavljivanja korisnika na kompjuter ili preko mreže (udaljeno). Na primer, ako su radna stanica i server  konfigurisani da prate i zapisuju Logon događaje, radna stanica audituje korisničko prijavljivanje direktno na tu radnu stanicu...   Successful and Failed logons are audited
 Audit Account Management  Audituje događaje, uključujući kreiranje, brisanje ili modifikaciju korisničkih grupa ili kompjuterskih naloga i resetovanje korisničkih lozinki.  Successful account management activities are audited
 Audit Directory Service Access  Audituje događaje koje su specifični u system SACL, koji se može videti u Properties-u Active Directory objekta na Advanced Security Settings dijalog boksu. Kao dodatak definisanju Audit polise sa ovim postavkama, moramo da konfigurišemo i Auditing za specifični objekat ili objekte koristeći SACL jednog ili više objekata.  Successful directory service access events are audited, but few objects SACLs specifyaudit settings.
 Audit Policy Change  Audituje promene u User Assignment Policies, Audit Policies ili Trust Policies  Successful Policy changes are audited
 Audit Privilege Use  Audituje Use of Privilege ili User right. Pogledajte tekst objašnjenja za ovu polisu u Group Policy Management Editor-u (GPME)  No auditing is performed,  default
 Audit System Events  Audituje restartovanje sistema, gašenje sistema ili promene koje utiču na System ili Security Log-ove.  Successful and Failed system events are audited

 
Tabela 31.1

Kao što možete da vidite, većina glavnih događaja u aktivnom direktorijumu je auditovana na domenskim kontrolerima, pod pretpostavkom da su događaji uspešni. Iz tog razloga događaji kao što su: kreiranje korisnika, resetovanje korisnikove lozinke, Log-ovanje u domen i pronalaženje User Logon skripte su Log-ovani na domenskom kontroleru.

Šta je Active Directory Domain Services Auditing?

Auditing aktivnog direktorijuma može da prikaže stare i nove iznose promenjenih atributa u audit zapisima. Auditing aktivnog direktorijuma je kritičan deo administracije i zaštite aktivnog direktorijuma. Često se legalno preporučuje održavanje Audit Police.

Windows 2000 i Windows Server 2003, imaju jednu Audit Polisu koja se naziva Audit Directory Service Access. Ova polisa kontroliše da li je Auditing for Directory Service Events omogućena. U Windows Server 2008, ova polisa je podeljena na 4 manje kategorije:

  • Directory Service Access (omogućena po defoltu)
  • Directory Service Changes
  • Directory Service replication
  • Detailed Directory Service replication

 

Korišćenje Group Policy Management konzole (GPMC) za omogućavanje Directory Service Auditing-a će omogućiti sve ove manje kategorije.

Da bismo mogli da vidimo ili da podešavamo Audit Policy Subcategories (kategorije Audit polise), moramo da koristimo Auditpol.exe alatku. Ne postoji Windows Interface alatka u Windows Server 2008 pomoću koje možemo da vidimo i podešavamo Audit Policy Subcategories.

Tipovi događaja koje treba nadgledati i zapisivati

 Event ID  Category   Event
 4662  Directory service access  An operation was performed on an
Active Directory object
 4722  User account management  A user account was enabled
 4726  User account management   A user account was deleted
 4738  User account management   A user account was changed
 5136  Directory service changes    An Active Directory object was modified
 5137  Directory service changes    A new Active Directory object was created
 5138  Directory service changes   An Active Directory object was undeleted


 Tabela 31.2


Directory Service Access kategorija i dalje nudi informacije koje se odnose na sve događaje koji se događaju u direktorijumu. Omogućena je po defoltu.

Directory Service Replication & Detailed Service Replication nude informacije koje se odnose na događaje vezane za replikaciju. Ove kategorije su onemogućene po defoltu, osim u slučaju da smo omogućili Global Directory Access Policy.

Directory Services Changes kategorija nudi nove funkcionalnosti. Tipovi promena koje možemo da pratimo uključuju kreiranje korisnika (ili bilo kog drugog sigurnosnog subjekta), modifikovanje, pomeranje ili vraćanje objekta posle brisanja (Undeleting). New Audit Policy Subcategory dodaje sledeće mogućnosti u AD DS:

  • Kada je uspešna modifikacija odrađena na atributu, AD DS Log-uje ranije i sadašnje iznose atributa.
  • Ako je novi objekat kreiran, iznosi atributa koji su popunjeni u toku kreiranja biće Log-ovani. Ako korisnik doda atribute u toku operacije kreiranja, ti novi iznosi atributa biće Log-ovani.
  • Ako je bjekat pomeren (Moved), ranija i nova lokacija (Distinguished Name) se Log-uje za pomeranje unutar domena.
  • Ako je objekat Undeleted (kreiran nakon brisanja), lokacija u koju je objekat pomeren biće Log-ovana.

 

Ove podkategorije su takođe onemogućene po defoltu.

Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:0