355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 35)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 35 (всего у книги 91 страниц)

назначает р а з в е р т ы в а н и е п р и л о ж е н и я .

Занятие 3

Управление установкой программного обеспечения 3 4 1

Б. Создать объект G P O , к о т о р ы й применяется ко всем клиентским компью-

терам в г л а в н о м о ф и с е и ф и л и а л е , и в секции Конфигурация компьюте-

ра ( C o m p u t e r C o n f i g u r a t i o n ) создать программный пакет, назначающий

р а з в е р т ы в а н и е п р и л о ж е н и я .

В. С о з д а т ь о б ъ е к т G P O , к о т о р ы й п р и м е н я е т с я ко всем компьютерам, от-

к о н ф и г у р и р о в а т ь п о л и т и к у о б н а р у ж е н и я медленных подключений,

у с т а н о в и в в у з л е К о н ф и г у р а ц и я п о л ь з о в а т е л я скорость подключения

256 к б и т / с .

Г. В объекте G P O , к о т о р ы й п р и м е н я е т с я к компьютерам в филиале, в узле

К о н ф и г у р а ц и я к о м п ь ю т е р а отконфигурировать политику обнаружения

м е д л е н н ы х п о д к л ю ч е н и й , у с т а н о в и в скорость подключения 256 кбит/с.

Д. В о б ъ е к т е G P O , к о т о р ы й п р и м е н я е т с я к компьютерам в филиале, от-

к о н ф и г у р и р о в а т ь в у з л е К о н ф и г у р а ц и я компьютера политику обна-

р у ж е н и я м е д л е н н ы х п о д к л ю ч е н и й , установив скорость подключения

1000 к б и т / с .

2. В в а ш е м д о м е н е п о д р а з д е л е н и е С л у ж а щ и е содержит учетные записи всех

п о л ь з о в а т е л е й . К а ж д ы й с а й т с о д е р ж и т подразделение, внутри которого

дочернее п о д р а з д е л е н и е П р о д а ж и с о д е р ж и т учетные записи компьютеров

отдела п р о д а ж в э т о м узле. Вам н у ж н о развернуть приложение, чтобы оно

было д о с т у п н о д л я всех п о л ь з о в а т е л е й в отделах продаж организации. Ка-

кие методы м о ж н о и с п о л ь з о в а т ь д л я в ы п о л н е н и я этой задачи? (Укажите

все в а р и а н т ы . )

A. С о з д а т ь о б ъ е к т G P O и п р и в я з а т ь его к домену, а затем создать группу,

с о д е р ж а щ у ю всех п о л ь з о в а т е л е й отделов продаж. Отфильтровать объ-

ект G P O д л я п р и м е н е н и я только к этой группе. В секции Конфигурация

пользователя ( U s e r C o n f i g u r a t i o n ) политики G P O создать программный

пакет, н а з н а ч а ю щ и й р а з в е р т ы в а н и е приложения.

Б. С о з д а т ь о б ъ е к т G P O , с в я з а н н ы й с подразделением Продажи в каж-

дом узле, а в с е к ц и и К о н ф и г у р а ц и я пользователя (User Configuration)

п о л и т и к и G P O – п р о г р а м м н ы й пакет, назначающий развертывание

п р и л о ж е н и я .

B. Создать о б ъ е к т G P O , с в я з а н н ы й с доменом, а затем – группу, содер-

ж а щ у ю всех п о л ь з о в а т е л е й о т д е л о в продаж. Отфильтровать объект

G P O д л я п р и м е н е н и я т о л ь к о к этой группе. В секции Конфигурация

компьютера ( C o m p u t e r Configuration) политики G P O создать програм-

мный пакет, н а з н а ч а ю щ и й р а з в е р т ы в а н и е приложения.

Г. Создать о б ъ е к т G P O , с в я з а н н ы й с подразделением Продажи в каж-

дом узле, а в с е к ц и и К о н ф и г у р а ц и я пользователя (User Configuration)

п о л и т и к и G P O – п р о г р а м м н ы й пакет, назначающий развертывание

п р и л о ж е н и я . З а т е м в с е к ц и и К о н ф и г у р а ц и я компьютера (Computer

Configuration) объекта G P O в к л ю ч и т ь обработку замыкания политики

в р е ж и м е о б ъ е д и н е н и я .

3. Организация состоит из д е с я т и ф и л и а л о в . В Active Directory подразделе-

ние С л у ж а щ и е р а з б и т о на д е с я т ь д о ч е р н и х подразделений, содержащих

учетные з а п и с и п о л ь з о в а т е л е й каждого филиала. Вам нужно развернуть

'342 Параметры групповой политики

Глава 7

приложение для пользователей в четырех ф и л и а л а х . П р и л о ж е н и е должно

быть полностью установлено, прежде чем п о л ь з о в а т е л ь в п е р в ы е запустит

его. Какие действия необходимо в ы п о л н и т ь ? ( У к а ж и т е четыре действия.

Каждый правильный ответ является частью полного р е ш е н и я . )

A. Создать объект G P O для.развертывания программы и связать его с под-

разделением Служащие.

Б. В политиках Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) создать

пакет для публикации приложения.

B. Выбрать опцию р а з в е р т ы в а н и я У с т а н а в л и в а т ь это П р и л о ж е н и е при

входе в систему (Install This Application At Logon).

Г. Создать теневую группу, в которую в к л ю ч е н ы п о л ь з о в а т е л и четырех

филиалов. Отфильтровать объект G P O р а з в е р т ы в а н и я программы для

применения только к этой теневой группе.

Д. В политиках Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) создать

пакет, назначающий установку п р и л о ж е н и я .

Е. Выбрать опцию Обязательное обновление д л я у ж е установленных при-

ложений (Required Upgrade For Existing Packages).

Занятие 4. Аудит

Это важный компонент системы безопасности. В процессе аудита и н ф о р м а ц и я

об указанной активности на п р е д п р и я т и и з а н о с и т с я в ж у р н а л Безопасность

Windows (Windows Security), к о т о р ы й в п о с л е д с т в и и м о ж н о анализировать.

Аудит может вести запись успешной деятельности, д о к у м е н т и р у я все измене-

ния, а также фиксировать неудачные и п о т е н ц и а л ь н о в р е д о н о с н ы е попытки

получить доступ к ресурсам предприятия. В процессе аудита используются три

средства управления: политика аудита, параметры аудита в объектах и журнал

Безопасность (Security). На этом занятии мы рассмотрим, как конфигурировать

аудит в нескольких распространенных сценариях.

Изучив материал этого занятия, вы сможете:

/ Конфигурировать политику аудита.

/ Конфигурировать параметры аудита в объектах файловой системы н службы I

каталогов.

/ Реализовывать новый аудит Изменения службы каталогов (Directory Service

Changes) в Windows Server 2008.

S С помощью оснастки Просмотр событий (Event Viewer) выполнять анализ

журнала Безопасность (Security).

Продолжительность занятия – около 45 мин.

Политика аудита

Политика аудита конфигурирует в системе аудит категорий активности. Если

она не включена, сервер не будет выполнять аудит этой активности. На рис. 7-U

показан узел Политика аудита (Audit Policy), развернутый в объекте группо-

вой политики.

'Занятие 4

Аудит 3 4 3

Кон:о>1> Д«Аст»1е Ли Cnpawa

Г * « .. в • •

/ Гогат«

/

а

Гогат« cwfj-i

а

t

cwfj-i

t Do

D m

o a

m in

a Pok

n

y

Pok

y (SE

S f

Ei'f-ER

E O

R

O Lc

L o

c n

o t

nos

o o

s

Ловитм«* » I Параметр полчищ

; J

;

U

J коггьютера

коггьютер

Аудит екода а октеиу Не определено

Аудит доступа к объект an be определено

r-r KortJwypaji»

KortJwypaji IWIUM

IWIU

. Аудит дост »пв к службе клепогое Не определено

?2

? Услкоек

2

а

Услкоек

а пр

п о

р г

орл

р м

л н

м

Аудит Hjrwnexta пол<т>жм Не определи*}

В Кочфигураля

Кочфигурал

я Win

W d

n o

d w

o s

w

feu

fe

u Cu

C r

u-w

r K

w *

K »

* '» (млусх/ивеоием<е)

(млусх/ивеоием<е

Аудит отслемвани* проиессэе не от«дег«м>

В jQ

j П«яг«тры

П«яг«тр

ы бе

б з

е о

з г

оик

и м

к о

м с

о ™

с

= Ло»т«и

Ло»т«

и уч

у е

ч т

е и

т ы

и *

ы мксей

мксе

, -v Аудит сипе>г«г* азЬэ>тл< отзедет«м>

ЙЗ

Й .

З '

'< Полипв

!

и

Полипв па

п о

а о

о л

о е

л й

е

Ж ^ Полтглс

^

а

Полтглс бл

б о

л к

о и

к р

и о

р в

о к

в и

к учел

уче

л Аудит упрае.то-ия уиет»»вв< зат.*:»ч Не «реде^ено

S;

S %

; %

% ГЫиг.ка

ГЫиг.к

а Ke

K r

ebc

b r

cс«

с ;

В Гоияьиые

Гоияьиы

е по

п л

о х

л т

х ю

т м

ю '

S Помг*

S

*

Помг* «удит»

«удит

гй

г Н

е

Н з

е н

з а

н ч

а а

ч щ

а е

щ правпольквл!'

е

:

правпольквл!'

Ш J

Ш П

а

П р

а а

р п

а е

п т

е рыбезопао-оа

рыбезопао-о и

а

Рис. 7-14. Политика аудита в объекте GPO

Д л я н а с т р о й к и а у д и т а н е о б х о д и м о о п р е д е л и т ь параметр политики. Дважды

щ е л к н и т е л ю б о й п а р а м е т р п о л и т и к и и у с т а н о в и т е ф л а ж о к Определить сле-

д у ю щ и е п а р а м е т р ы п о л и т и к и ( D e f i n e T h e s e P o l i c y S e t t i n g s ) . Затем укажите

в е д е н и е а у д и т а у с п е х а , о т к а з а и л и о б о и х т и п о в событий. Все политики аудита

и п а р а м е т р ы по у м о л ч а н и ю на к о н т р о л л е р е д о м е н а W i n d o w s Server 2008 опи-

с а н ы в т а б л . 7-2.

Табл. 7-2. Политики аудита

Параметр

Объяснение

Параметр по умолчанию

политики аудита

на контроллерах домена

Windows Server 2008

Аудит входа

Создается событие при попытке пользо-

Выполняется аудит

в систему (Audit вателя или компьютера пройти проверку успехов и отказов вхо-

Account Logon

подлинности с помощью учетной записи да учетной записи

Events)

Active Directory. Например, при входе

пользователя на компьютер в домене ге-

нерируется событие входа учетной записи

Аудит событий

Создается событие прн интерактивном

Выполняется аудит ус-

входа в систему

(локальном) или сетевом (удаленном)

пехов и отказов входа

(Audit Logon

входе пользователя. Например, если ра-

Events)

бочая станция и сервер сконфигуриро-

ваны для аудита событии входа, рабочая

станция выполняет аудит непосредствен-

ного входа пользователя на эту рабочую

станцию. Когда пользователь пытается

подключиться к общей папке на сервере,

сервер записывает в журнал событие уда-

ленного входа. При входе пользователя

событие входа записывает контроллер до-

мена, поскольку сценарии входа и поли-

тики извлекаются с контроллера домена

Аудит управ-

Выполняется аудит событий, включая

Проводится проверка

ления учетны-

создание, удаление и модификацию учет– успешных действий

ми записями

ных записей пользователей, компьютеров управления учетными

(Audit Account

или групп, а также изменение паролей

записями

Management)

пользователей

(см. след. стр.)

' 3 4 4 Параметры групповой политики

Глава 7

Табл. 7-2 ( окончание)

Параметр Объяснение

Параметр по умолчанию

политики аудита

на контроллерах домена

Windows Server 2008 ,

Аудит доступа к

Выполняется аудит событий, указанных Выполняется аудит

службе каталогов в системном списке контроля доступа успехов доступа к

(Audit Directory (SACL), который отображается в диало– службе каталогов, од-

Service Access)

говом окне Дополнительные параметры нако параметры аудита

безопасности (Advanced Security Settings) задаются несколькими

свойств объекта Active Directory. Помимо списками SACL объек-

определения политики аудита с помощью тов. Более подробные

этого параметра необходимо также откон– сведения находятся в

фигурировать аудит для конкретного объ– разделе «Аудит изме-

екта (объектов) с помощью списка SACL

нений служб катало-

объекта (объектов). Эта политика похожа гов»

на политику Аудит доступа к объектам

(Audit Object Access), используемую для

аудита файлов и папок, однако применя-

ется к объектам Active Directory

Аудит изменения Выполняется аудит политики назначения Проводится проверка

прав пользователя, политик аудита и по-

политики (Audit

успешных изменений

литик доверия

Policy Change)

политики

Аудит исполь-

Выполняется аудит использования при-

По умолчанию аудит

зования при-

вилегий или прав пользователей. Описа-

не выполняется

вилегий (Audit

ние зтой политики содержится в редакто-

Privilege Use)

ре управления групповыми политиками

GPME

Аудит системных Выполняется аудит перезагрузки сис-

Проверяется успешное

событий (Audit

темы, завершения работы и изменений,

и неудачное выполне-

System Events)

которые влияют на безопасность системы ние системных собы-

или журнал безопасности

тий

Аудит отслежи-

Выполняется аудит таких событий, как

Проводится аудит

вания процессов активация программ и завершение про-

успешного отслежива-

(Audit Process

цессов. Объяснение этой политики нахо-

ния процесса

Tracking)

дится в редакторе управления групповы-

ми политиками G P M E

Аудит доступа

Выполняется аудит доступа к таким объ-

Выполняется аудит

к объектам (Audit ектам, как файлы, папки, ключи реестра

успешных попыток

Object Access) и принтеры с собственными списками

доступа к объектам

SACL. Помимо включения этой политики

аудита необходимо отконфигурировать

записи в списках SACL объектов

СОВЕТ К ЭКЗАМЕНУ

На сертификационных экзаменах Microsoft знания политик аудита часто тестируются

на высоком уровне. Хорошо запомните информацию, содержащуюся в табл. 7-2 – это

поможет вам правильно ответить на все вопросы экзамена.

'Занятие 4

Аудит 3 4 5

Итак, к о н т р о л л е р ы д о м е н а в ы п о л н я ю т аудит большинства успешно вы-

п о л н е н н ы х в а ж н ы х с о б ы т и й Active Directory. Поэтому ведется запись всех

событий создания пользователя, изменения пароля пользователя, входа в домен

и и з в л е ч е н и я сценариев входа пользователя.

Но п о с к о л ь к у по у м о л ч а н и ю проверяются не все события отказа, может

п о т р е б о в а т ь с я п р о в е с т и д о п о л н и т е л ь н ы й аудит отказов на основе политик

безопасности и т р е б о в а н и й организации. Например, аудит неудачных попы-

ток входа в ы я в л я е т п о п ы т к и несанкционированного доступа к домену путем

многократного входа с п о м о щ ь ю учетной записи пользователя домена без дан-

ных о пароле. С о б ы т и я у п р а в л е н и я отказами доступа учетных записей могут

помочь определить п о п ы т к и м а н и п у л и р о в а н и я членством в группе с уязвимой

безопасностью.

О д н о й из самых в а ж н ы х задач я в л я е т с я соблюдение баланса и соответс-

т в и я п о л и т и к и аудита к о р п о р а т и в н ы м политикам и реалиям жизни. Скажем,

к о р п о р а т и в н а я п о л и т и к а может требовать выполнение аудита всех неудачных

п о п ы т о к входа, а т а к ж е у с п е ш н ы х изменений пользователей и групп Active

Directory. Эту задачу легко в ы п о л н и т ь в Active Directory. Но как именно ис-

пользовать эту и н ф о р м а ц и ю ? Подробные журналы аудита бесполезны, если не

знать способов и л и не располагать средствами управления ими. Необходимы

б и з н е с – т р е б о в а н и я аудита, ч е т к о отконфигурированная политика и инстру-

менты у п р а в л е н и я с о б ы т и я м и аудита.

Аудит доступа к файлам и папкам

Многие орга низац ии п р о в е р я ю т доступ к системным файлам, чтобы следить

за и с п о л ь з о в а н и е м ресурсов и в ы я в л я т ь потенциальные проблемы безопас-

ности. В W i n d o w s Server 2008 поддерживается гранулированный аудит на

основе учетных записей пользователей и групп, а также конкретных действий,

в ы п о л н я е м ы х э т и м и у ч е т н ы м и записями. Д л я того чтобы настроить аудит,

необходимо у к а з а т ь п а р а м е т р ы и включить его политику, а также оценить

события в журнале безопасности.

Настройка п а р а м е т р о в аудита доступа к файлам и папкам

Вы можете в ы п о л н я т ь аудит доступа к файлу или папке, добавив записи ауди-

та в список SACL ф а й л а или папки. Чтобы получить доступ к списку SACL

и его з а п и с я м аудита, откройте диалоговое окно Свойства (Properties), перей-

дите на в к л а д к у Б е з о п а с н о с т ь (Security), щелкните кнопку Дополнительно

(Advanced) и перейдите на вкладку Аудит (Auditing). Откроется диалоговое

окно Дополнительные параметры безопасности (Advanced Security Settings),

показанное на рис. 7-15.

Д л я того чтобы добавить запись, щелкните кнопку Изменить (Edit). От-

кроется вкладка Аудит (Auditing) в режиме редактирования. Щелкните кнопку

Добавить (Add) и выберите пользователя, группу или компьютер для аудита.

Затем в диалоговом окне Элемент аудита (Auditing Entry), показанном на

рис. 7-16, укажите тип аудита доступа к объекту.

' 3 4 6 Параметры групповой политики

Глава 7

Fs^fcJW ^.Ь"* ' йгекли j йЛгтечошиеоатогие™.» |

»in I п. ввтаа. мегоме апгм», в create1

tvcTUwaVjMaweipercvMMdeo i n

! Дзогл

Они fot, *тачш COKTQ Ъ'Ы.а

j QIC | Dnwa j ' – ^ {

Рис. 7-15. Дополнительные параметры безопасности

Сбюа {

rtefc } .такты (СОЧТСКО^стСИМж-ы) П^-^пу. j

|цляз'0й гаоо., гг fiatiww^ н фгйгоа

Доступ:

Угэпек Отказ

По,»**, доступ

в; Z.

Тэеоеос пало* / осато/пение феи. •

в

Сод го» вне /чтение

в

чтеп* етрмбутов

в

Чтеч<е йэгогумтелуе., атрибутов р

0

Соидоие фaiwae / ылпэ. агтмх •

0

Соадеме пелск / доаапо. д***.г •

0

Запю, ато<утся

0

Эапкь оопэатрибутов •

0 – 1

У flip», иг гхшпэ~иж и фгйгсе •

в

Удвлемм

0 zJ

z

Пр

П ,и

р е

и«

е п

« е

п эт

э о

т т

о

т ау

ад

уи

д т

и *

т

* об

о ъ

б е

ък

е т

ке

т*

е

– *£

* «

£ т

« г

т*

г й

* г

йс

г а

с «

а т

« о

т л

о *

л о

* е

о м

е ,т

м (

т»о

» т

о о

т ^

Очистить

о^

«w

« T

w e

T ir

e it

rp

i e

p

Упееел^вуд.^.

) DK | Отгена

Рис. 7-16, Элемент аудита

Используя один и л и н е с к о л ь к о г р а н у л и р о в а н н ы х у р о в н е й д о с т у п а , в ы мо-

жете выполнять аудит успеха, о т к а з а и л и о б о и х с о б ы т и й д о с т у п а п р и попыт-

ках получения у к а з а н н ы м п о л ь з о в а т е л е м , г р у п п о й и л и к о м п ь ю т е р о м д о с т у п а

к ресурсу.

Аудит у с п е ш н ы х с о б ы т и й в ы п о л н я е т с я в с л е д у ю щ и х с л у ч а я х :

• все необходимые д л я отчетности и в ы п и с к и с ч е т о в д а н н ы е з а н о с я т с я в жур-

нал доступа к ресурсам;

• д л я того чтобы о б н а р у ж и т ь д е й с т в и е , в ы х о д я щ е е з а р а м к и п о л н о м о ч и и

пользователей, в ы п о л н я е т с я м о н и т о р и н г д о с т у п а – это г о в о р и т о с л и ш к о м

высоком уровне р а з р е ш е н и й ;

'Занятие 4

Аудит 3 4 7

• д о с т у п , н е х а р а к т е р н ы й д л я о т д е л ь н о й у ч е т н о й з а п и с и , и д е н т и ф и ц и р у е т с я ,

что м о ж е т б ы т ь п р и з н а к о м в з л о м а у ч е т н о й з а п и с и хакером.

А с о б ы т и я о т к а з а п р о в е р я ю т с я п о т а к и м п р и ч и н а м :

• п р о в о д и т с я м о н и т о р и н г н е с а н к ц и о н и р о в а н н ы х п о п ы т о к доступа к ресурсу,

к к о т о р о м у з а п р е щ е н о п о л у ч а т ь д о с т у п ;

а и д е н т и ф и ц и р у ю т с я н е у д а ч н ы е п о п ы т к и п о л у ч и т ь д о с т у п к необходимым

п о л ь з о в а т е л ю ф а й л у и л и п а п к е ; т а к и м о б р а з о м м о ж н о определить недо-

с т а т о ч н ы й у р о в е н ь п р и в и л е г и й д л я э ф ф е к т и в н о г о в ы п о л н е н и я бизнес-

т р е б о в а н и й .

Д л я п р о в е р к и д е й с т в и й п р и н ц и п а л а б е з о п а с н о с т и (пользователя, группы

и л и к о м п ь ю т е р а ) з а д а е т с я с о о т в е т с т в у ю щ е е разрешение. В примере на рис. 7-15

п о к а з а н а у д и т н е у д а ч н ы х п о п ы т о к п о л у ч и т ь п о л ь з о в а т е л я м и в группе Консуль-

т а н т ы д о с т у п к д а н н ы м в п а п к е к о н ф и д е н ц и а л ь н ы х д а н н ы х на любом уровне.

Д л я р а з р е ш е н и я а у д и т а к о н ф и г у р и р у е т с я з а п и с ь аудита с разрешением Полный

д о с т у п ( F u l l C o n t r o l ) , к о т о р ы й в к л ю ч а е т в с е о т д е л ь н ы е у р о в н и доступа, так

что эта з а п и с ь о х в а т ы в а е т в с е т и п ы д о с т у п а . Н е у д а ч н а я п о п ы т к а члена группы

К о н с у л ь т а н т ы п о л у ч и т ь д о с т у п к а к о г о – л и б о т и п а записывается в журнал.

К а к п р а в и л о , з а п и с и а у д и т а о т р а ж а ю т э л е м е н т ы р а з р е ш е н и й объекта. Дру-

г и м и с л о в а м и , в ы н а с т р а и в а е т е д л я п а п к и К о н ф и д е н ц и а л ь н ы е данные разре-

ш е н и я , не п о з в о л я ю щ и е ч л е н а м г р у п п ы К о н с у л ь т а н т ы получить доступ к ее

с о д е р ж и м о м у . З а т е м а у д и т и с п о л ь з у е т с я д л я мониторинга членов группы Кон-

с у л ь т а н т ы , п о – п р е ж н е м у п ы т а ю щ и х с я п о л у ч и т ь доступ к этой папке. Помните,

что ч л е н г р у п п ы К о н с у л ь т а н т ы т а к ж е м о ж е т принадлежать к еще одной группе

с р а з р е ш е н и я м и д о с т у п а к э т о й п а п к е . Э т о т доступ будет успешным, так что со-

б ы т и я не б у д у т р е г и с т р и р о в а т ь с я в ж у р н а л е . И если вам действительно нужно

з а п р е т и т ь д о с т у п п о л ь з о в а т е л е й к п а п к е , то, о т с л е ж и в а я неудачные попытки

п о л у ч и т ь д о с т у п , н е з а б ы в а й т е о т с л е ж и в а т ь у с п е ш н ы й доступ, чтобы выявить

с и т у а ц и и , к о г д а п о л ь з о в а т е л ь п о л у ч а е т доступ к папке на основе потенциально

н е к о р р е к т н о г о ч л е н с т в а в г р у п п а х .

ПРИМЕЧАНИЕ Злоупотребление аудитом

Журналы аудита довольно быстро увеличиваются в размерах, поэтому аудит нужно

отконфигурировать д л я п о л у ч е н и я минимальной информации, необходимой для

решения бизнес-задачи. При назначении аудита успехов и отказов доступа к ак-

тивно используемой папке данных для группы Все (Everyone) с полным набором

разрешений Полный доступ (Full Control) в журнале аудита будет генерироваться

очень много записей, что повлияет на производительность сервера и значительно

усложнит локализацию конкретных событий аудита.

В к л ю ч е н и е п о л и т и к и а у д и т а

Н а с т р о й к а э л е м е н т о в а у д и т а в д е с к р и п т о р е безопасности ф а й л а или папки сама

по себе не в к л ю ч а е т а у д и т – н е о б х о д и м о о п р е д е л и т ь параметр Аудит доступа

к о б ъ е к т а м ( A u d i t O b j e c t Access), п о к а з а н н ы й на рис. 7-17. После включения

аудита п о д с и с т е м а б е з о п а с н о с т и н а ч н е т и с п о л ь з о в а т ь параметры аудита и ре-

г и с т р и р о в а т ь п о п ы т к и д о с т у п а в с о о т в е т с т в и и с ними.

'348 Параметры групповой политики

Глава 7

а з а з ш о э ш х я

' щ J^jwaccrree к объектам

Р Осеоеъ.'ьсяеа^сии.епеЕаметрето.ъ.тяо.

Becw 9>&тсоед,юше:пспмтэ>с occrjna

Г >спек

Р отхаа

ОК | Отмена j ГЪ*ме*»иь

Рис. 7-17. Политика аудита доступа к объектам

К серверу, содержащему объект аудита, необходимо п р и м е н и т ь этот пара-

метр политики, который конфигурируется в л о к а л ь н о м объекте G P O сервера

или используется GPO, под действие которого подпадает сервер.

Затем определяется политика д л я аудита с о б ы т и й Успех (Success), Отказ

(Failure) или обоих типов. Параметр аудита (см. рис. 7 – 1 7 ) д о л ж е н задавать

аудит успешных и неудачных попыток в соответствии с т и п о м элемента аудита

в списке SACL объекта (рис. 7-16). Например, чтобы о с у щ е с т в л я т ь аудит не-

удачных попыток доступа к папке к о н ф и д е н ц и а л ь н ы х д а н н ы х членом группы

Консультанты, необходимо для аудита отказов о т к о н ф и г у р и р о в а т ь политику

Аудит доступа к объектам ( Object Access Audit) и настроить список SACL папки

Конфиденциальные данные. Если политика в ы п о л н я е т аудит л и ш ь успешных

событий, отказы в списке SACL папки не будут регистрироваться.

ПРИМЕЧАНИЕ Соответствие политики аудита элемента аудита

Учтите, что аудит и регистрация доступа является комбинацией элементов аудита

конкретных файлов, папок и параметров в политике аудита. Если отконфигурировать

элементы аудита для регистрации отказов, но включить политику лишь для записи

успешных событий, журналы аудита будут оставаться пустыми.

Оценка событий в журнале безопасности

После включения параметра политики Аудит доступа к объектам (Audit Object

Access) и указания типа доступа для аудита с помощью списков SACL объектов

система начнет регистрацию доступа в соответствии с элементами аудита. Запи-

санные события можно просмотреть в журнале Безопасность (Security) сервера.

В группе Администрирование (Administration) откройте консоль Просмотр

'Занятие 4

Аудит 3 4 9

с о б ы т и й ( E v e n t V i e w e r ) и р а з в е р н и т е у з е л Ж у р н а л ы W i n d o w s B e 3 o n a c H o c T b

( W i n d o w s L o g s S e c u r i t y ) .

СОВЕТ К ЭКЗАМЕНУ

Для аудита доступа к таким объектам, как файлы и папки, необходимо следующее.

Во-первых, п о л и т и к а Аудит доступа к объектам (Audit Object Access) должна быть

включена и о т к о н ф и г у р и р о в а н а д л я аудита успешных и неудачных событий в соот-

ветствии со сценарием. Во-вторых, список SACL объекта нужно отконфигурировать

для аудита успеха и отказа доступа. В-третьих, следует проанализировать журнал

Безопасность (Security). П о л и т и к а аудита нередко контролируется с помощью объ-

екта G P O , поэтому в область д е й с т в и я этого объекта G P O нужно включить сервер

с файлом и л и папкой (например, ф а й л о в ы й сервер), а не контроллер домена.

Аудит изменений службы каталогов

А н а л о г и ч н о тому, к а к п о л и т и к а А у д и т д о с т у п а к объектам ( A u d i t Object Ac-

cess) п о з в о л я е т р е г и с т р и р о в а т ь п о п ы т к и д о с т у п а к т а к и м объектам, как файлы

и п а п к и , п о с р е д с т в о м п о л и т и к и А у д и т д о с т у п а к с л у ж б е каталогов ( A u d i t Di-

r e c t o r y S e r v i c e A c c e s s ) р е г и с т р и р у ю т с я п о п ы т к и доступа к объектам в Active

D i r e c t o r y с п р и м е н е н и е м т е х ж е п р и н ц и п о в . П о л и т и к а к о н ф и г у р и р у е т с я д л я

а у д и т а у с п е ш н о г о и л и н е у д а ч н о г о д о с т у п а . З а т е м м о ж н о отконфигурировать

с п и с о к S A C L о б ъ е к т а A c t i v e D i r e c t o r y и у к а з а т ь т и п ы доступа, проверка ко-

т о р ы х б у д е т в ы п о л н я т ь с я .

В к а ч е с т в е п р и м е р а д л я о т с л е ж и в а н и я и з м е н е н и й членства такой груп-

пы, к а к А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) , в к л ю ч и т е политику Аудит

д о с т у п а к с л у ж б е к а т а л о г о в ( A u d i t D i r e c t o r y Service Access) – д л я проверки

у с п е ш н о г о п о л у ч е н и я д о с т у п а , з а т е м о т к р о й т е с п и с о к SACL группы Админис-

т р а т о р ы д о м е н а и о т к о н ф и г у р и р у й т е э л е м е н т аудита успешных модификаций

а т р и б у т а member г р у п п ы . Э т у з а д а ч у в ы будете в ы п о л н я т ь н а практических

з а н я т и я х .

В M i c r o s o f t W i n d o w s S e r v e r 2 0 0 3 и W i n d o w s 2000 Server можно было выпол-

нять а у д и т д о с т у п а к с л у ж б е к а т а л о г о в и определять изменение объекта или его

с в о й с т в а , о д н а к о не б ы л о в о з м о ж н о с т и и д е н т и ф и ц и р о в а т ь начальное и новое

з н а ч е н и я и з м е н е н н о г о а т р и б у т а . Н а п р и м е р , в с о б ы т и и могло быть указано, что

о т д е л ь н ы й п о л ь з о в а т е л ь и з м е н и л а т р и б у т member г р у п п ы Администраторы

домена, о д н а к о с у т ь и з м е н е н и я о п р е д е л и т ь б ы л о невозможно.

В W i n d o w s S e r v e r 2 0 0 8 д о б а в л е н а к а т е г о р и я а у д и т а И з м е н е н и я службы

к а т а л о г о в ( D i r e c t o r y S e r v i c e C h a n g e s ) . В а ж н о е о т л и ч и е з а к л ю ч а е т с я в том,

что т е п е р ь и д е н т и ф и ц и р у е т с я н а ч а л ь н о е и т е к у щ е е з н а ч е н и я измененного

а т р и б у т а .

П о у м о л ч а н и ю в м е с т о а у д и т а и з м е н е н и й с л у ж б ы к а т а л о г о в в W i n d o w s

Server 2 0 0 8 в к л ю ч е н а у д и т д о с т у п а к с л у ж б е к а т а л о г о в с функциональностью,

а н а л о г и ч н о й п р е д ы д у щ и м в е р с и я м W i n d o w s . Ч т о б ы включить аудит успешных

и з м е н е н и й с л у ж б ы каталогов, на к о н т р о л л е р е домена откройте окно командной

с т р о к и и в в е д и т е с л е д у ю щ у ю к о м а н д у :

audltpol / s e t /subcategory:"изменения службы каталогов" /success.'enable

'350 Параметры групповой политики Глава 7

Глава 7

СОВЕТ К ЭКЗАМЕНУ .

Команда auditpol используется для включения аудита изменений службы каталогов.

Вы все равно должны модифицировать с п и с к и SACL объектов, чтобы ука-

зать атрибуты, аудит которых нужно выполнять. П р е д ы д у щ у ю команду можно

использовать для включения аудита И з м е н е н и я с л у ж б ы каталогов (Directory

Service Changes) в тестовой среде и просмотра г е н е р и р у е м ы х событий, однако

не реализуйте ее в домене, пока не прочитаете д о к у м е н т а ц и ю TechNet, начав

с пошагового руководства, размещенного по адресу http://technet2.micrvsoft.com/

windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx.

При включении аудита И з м е н е н и я с л у ж б ы к а т а л о г о в ( D i r e c t o r y Service

Changes) его элементы к о н ф и г у р и р у ю т с я в с п и с к е S A C L о б ъ е к т о в с л у ж б ы

каталогов, события записываются в ж у р н а л Безопасность (Security), где четко

указан измененный атрибут и внесенное изменение. В б о л ь ш и н с т в е случаев

записи журнала событий содержат п р е д ы д у щ е е и т е к у щ е е з н а ч е н и е изменен-

ного атрибута.

Контрольный вопрос

• Вам нужно выполнить аудит изменений свойств учетных записей пользо-

вателей для временных сотрудников. При внесении изменения вы хотите

знать предыдущее и новое значения измененного атрибута. Какой тип аудита

лучше всего выполнять?

Ответ на контрольный вопрос

• Аудит Изменения службы каталогов (Directory Service Changes).

Практические занятия. Конфигурирование параметров аудита

В предложенных далее упражнениях предлагается о т к о н ф и г у р и р о в а т ь пара-

метры аудита, включить политики аудита доступа к объектам и отфильтровать

конкретные события в журнале Безопасность ( S e c u r i t y ) . Б и з н е с – ц е л ь состоит

в мониторинге папки с конфиденциальными д а н н ы м и , к которой не должны

получать доступ пользователи из группы Консультанты. Кроме того, необхо-

димо отконфигурировать аудит для отслеживания и з м е н е н и й членства группы

Администраторы домена (Domain Admins).

Прежде всего нужно в ы п о л н и т ь в среде с л е д у ю щ и е подготовительные

шага:

• на диске С создать папку К о н ф и д е н ц и а л ь н ы е данные;

• создать глобальную группу безопасности Консультанты;

• добавить группу Консультанты в группу О п е р а т о р ы печати ( P r i n t Ope-

rators) – благодаря этому пользователь в группе Консультанты сможет

локально входить на машину S E R V E R 0 1 , которая в данном упражнении

является контроллером домена;

• создать пользователя Джеймс Ф а й н и добавить его в группу Консультанты.

Занятие 4

Аудит 351

У п р а ж н е н и е 1. Н а с т р о й к а р а з р е ш е н и й и параметров аудита

Необходимо отконфигурировать разрешения папки Конфиденциальные данные

для запрета доступа п о л ь з о в а т е л я м из группы Консультанты, затем включить-

для них аудит п о п ы т о к получить, доступ к этой папке.

1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.


    Ваша оценка произведения:

Популярные книги за неделю