Чем крупнее организация, тем больше изменений происходит в работе ее сети. Все это нужно отслеживать, чтобы создать действительно безопасную среду. Именно поэтому аудит является важной частью управления IT-инфраструктурой. Хотя некоторые организации им пренебрегают. Просто не всегда понятно, какие именно изменения нужно отслеживать.

Аудит Windows Server

Система позволяет собирать большое количество информации. Проблема в том, что ее действительно много. В некоторых случаях достаточно только контролировать изменения объектов аудита. Вся остальная информация не нужна. Чтобы настроить аудит Windows Server, следует выполнить определенные действия.

                                                     

Конфигурация на файловых ресурсах

В первую очередь следует зайти в свойства, перейти на вкладку Security, а затем нажать Advanced. Здесь находится вкладка Auditing, на которой нужно выбрать группу пользователей Everyone. Изменить ее параметры можно с помощью кнопки Edit. Если нажать на нее, появится вкладка Object. Здесь нужно убедиться, что внизу не установлена галочка, а вверху выбрано значение This folder, subfolders and files. Нужно проставить галочки во всех атрибутах, кроме:

1. Read attributes.

2. Read extended attributes.

3. Read permissions.

Остается только нажать OK.

Общая и детальная политика аудита

Конфигурация общей политики. Это нужно для того, чтобы следить за изменениями на сервере. В командной строке набирают gpedit.msc. В разделе Domains нужно выбрать домен и нажать на нем правой клавишей мыши. Чтобы создать новую политику, нужно выбрать Create a GPO in this domain and Link it here и написать ее название. Теперь требуется открыть редактор политики групп. Для этого необходимо выбрать новую политику правой кнопкой и нажать «Изменить». В узле компьютерной конфигурации нужно проследовать по пути Policies > Windows Settings > Security Settings > Local Policies > Audit Policy и проставить все галочки в Audit object access на вкладке Security Policy Setting.

Конфигурация детальной политики. Для конфигурации детальной политики надо набрать в командной строке secpol.msc. Затем открыть Security Settings, потом Local Policies и перейти в Security Options. Нужно пару раз кликнуть на Audit: Force audit policy subcategory settings (Windows Vista or later) policy. Останется поменять значение на Enabled. После этого необходимо настроить аудиты файловой системы и манипуляции. Они находятся по адресу Security Settings > Advanced Audit Policy Configuration > System Audit Policies > Object Access. Останется подтвердить политику командой gpupdate/force.

Настройка журнала событий

Когда в журнал не смогут помещаться все нужные события, будут перезаписываться старые. В системах с низким приоритетом это не особенно важно. Но иногда лучше сделать так, чтобы система просто посылала сообщение об ошибке или архивировала журнал. Чтобы это сделать, нужно в диспетчере сервера пройти по адресу Event Viewer > Windows Logs > Security и нажать на Properties. Здесь же можно изменить размер журнала событий.

Аудит Active Directory

В политике аудита Active Directory существует много разделов. В каждом из них можно настраивать отслеживание процессов, возможность доступа к каталогам, аудит использования прав, администрирование учетных записей и тому подобное. Но для того чтобы не перегружать систему, лучше использовать только некоторые идентификаторы.

Аудит движений учетных записей и групп

Включить этот аудит можно в категории Account Management, изменив параметр на Success. Таким образом будет включено отслеживание только успешных изменений. Чтобы контроллеры домена фиксировали изменения, нужно применить эту политику с помощью команды gpupdate/force или подождать 90 минут. Но сначала нужно прилинковать ее к контейнеру, в котором находятся учетные записи.

Журнал событий

Журнал по умолчанию показывает все события безопасности. Поэтому лучше выставить конкретные значения в Event ID. Их список достаточно обширный. Например, создание, изменение и удаление учетных записей показывают ID 4741, 4742 и 4743 соответственно. К сожалению, аудит AD предлагает только базовые средства анализа. Поэтому практически всю работу выполняет администратор. Из-за этого случаются ошибки. Несмотря на то, что аудиты Windows Server и Active Directory хорошо помогают отслеживать и устранять проблемы, не каждая компания их использует. Но настоящий администратор всегда знает, у кого какие права и значения. Помимо этого, он без проблем сможет увидеть, у какого пользователя был удачный или ошибочный вход.