Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 35 (всего у книги 91 страниц)
назначает р а з в е р т ы в а н и е п р и л о ж е н и я .
Занятие 3
Управление установкой программного обеспечения 3 4 1
Б. Создать объект G P O , к о т о р ы й применяется ко всем клиентским компью-
терам в г л а в н о м о ф и с е и ф и л и а л е , и в секции Конфигурация компьюте-
ра ( C o m p u t e r C o n f i g u r a t i o n ) создать программный пакет, назначающий
р а з в е р т ы в а н и е п р и л о ж е н и я .
В. С о з д а т ь о б ъ е к т G P O , к о т о р ы й п р и м е н я е т с я ко всем компьютерам, от-
к о н ф и г у р и р о в а т ь п о л и т и к у о б н а р у ж е н и я медленных подключений,
у с т а н о в и в в у з л е К о н ф и г у р а ц и я п о л ь з о в а т е л я скорость подключения
256 к б и т / с .
Г. В объекте G P O , к о т о р ы й п р и м е н я е т с я к компьютерам в филиале, в узле
К о н ф и г у р а ц и я к о м п ь ю т е р а отконфигурировать политику обнаружения
м е д л е н н ы х п о д к л ю ч е н и й , у с т а н о в и в скорость подключения 256 кбит/с.
Д. В о б ъ е к т е G P O , к о т о р ы й п р и м е н я е т с я к компьютерам в филиале, от-
к о н ф и г у р и р о в а т ь в у з л е К о н ф и г у р а ц и я компьютера политику обна-
р у ж е н и я м е д л е н н ы х п о д к л ю ч е н и й , установив скорость подключения
1000 к б и т / с .
2. В в а ш е м д о м е н е п о д р а з д е л е н и е С л у ж а щ и е содержит учетные записи всех
п о л ь з о в а т е л е й . К а ж д ы й с а й т с о д е р ж и т подразделение, внутри которого
дочернее п о д р а з д е л е н и е П р о д а ж и с о д е р ж и т учетные записи компьютеров
отдела п р о д а ж в э т о м узле. Вам н у ж н о развернуть приложение, чтобы оно
было д о с т у п н о д л я всех п о л ь з о в а т е л е й в отделах продаж организации. Ка-
кие методы м о ж н о и с п о л ь з о в а т ь д л я в ы п о л н е н и я этой задачи? (Укажите
все в а р и а н т ы . )
A. С о з д а т ь о б ъ е к т G P O и п р и в я з а т ь его к домену, а затем создать группу,
с о д е р ж а щ у ю всех п о л ь з о в а т е л е й отделов продаж. Отфильтровать объ-
ект G P O д л я п р и м е н е н и я только к этой группе. В секции Конфигурация
пользователя ( U s e r C o n f i g u r a t i o n ) политики G P O создать программный
пакет, н а з н а ч а ю щ и й р а з в е р т ы в а н и е приложения.
Б. С о з д а т ь о б ъ е к т G P O , с в я з а н н ы й с подразделением Продажи в каж-
дом узле, а в с е к ц и и К о н ф и г у р а ц и я пользователя (User Configuration)
п о л и т и к и G P O – п р о г р а м м н ы й пакет, назначающий развертывание
п р и л о ж е н и я .
B. Создать о б ъ е к т G P O , с в я з а н н ы й с доменом, а затем – группу, содер-
ж а щ у ю всех п о л ь з о в а т е л е й о т д е л о в продаж. Отфильтровать объект
G P O д л я п р и м е н е н и я т о л ь к о к этой группе. В секции Конфигурация
компьютера ( C o m p u t e r Configuration) политики G P O создать програм-
мный пакет, н а з н а ч а ю щ и й р а з в е р т ы в а н и е приложения.
Г. Создать о б ъ е к т G P O , с в я з а н н ы й с подразделением Продажи в каж-
дом узле, а в с е к ц и и К о н ф и г у р а ц и я пользователя (User Configuration)
п о л и т и к и G P O – п р о г р а м м н ы й пакет, назначающий развертывание
п р и л о ж е н и я . З а т е м в с е к ц и и К о н ф и г у р а ц и я компьютера (Computer
Configuration) объекта G P O в к л ю ч и т ь обработку замыкания политики
в р е ж и м е о б ъ е д и н е н и я .
3. Организация состоит из д е с я т и ф и л и а л о в . В Active Directory подразделе-
ние С л у ж а щ и е р а з б и т о на д е с я т ь д о ч е р н и х подразделений, содержащих
учетные з а п и с и п о л ь з о в а т е л е й каждого филиала. Вам нужно развернуть
'342 Параметры групповой политики
Глава 7
приложение для пользователей в четырех ф и л и а л а х . П р и л о ж е н и е должно
быть полностью установлено, прежде чем п о л ь з о в а т е л ь в п е р в ы е запустит
его. Какие действия необходимо в ы п о л н и т ь ? ( У к а ж и т е четыре действия.
Каждый правильный ответ является частью полного р е ш е н и я . )
A. Создать объект G P O для.развертывания программы и связать его с под-
разделением Служащие.
Б. В политиках Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) создать
пакет для публикации приложения.
B. Выбрать опцию р а з в е р т ы в а н и я У с т а н а в л и в а т ь это П р и л о ж е н и е при
входе в систему (Install This Application At Logon).
Г. Создать теневую группу, в которую в к л ю ч е н ы п о л ь з о в а т е л и четырех
филиалов. Отфильтровать объект G P O р а з в е р т ы в а н и я программы для
применения только к этой теневой группе.
Д. В политиках Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) создать
пакет, назначающий установку п р и л о ж е н и я .
Е. Выбрать опцию Обязательное обновление д л я у ж е установленных при-
ложений (Required Upgrade For Existing Packages).
Занятие 4. Аудит
Это важный компонент системы безопасности. В процессе аудита и н ф о р м а ц и я
об указанной активности на п р е д п р и я т и и з а н о с и т с я в ж у р н а л Безопасность
Windows (Windows Security), к о т о р ы й в п о с л е д с т в и и м о ж н о анализировать.
Аудит может вести запись успешной деятельности, д о к у м е н т и р у я все измене-
ния, а также фиксировать неудачные и п о т е н ц и а л ь н о в р е д о н о с н ы е попытки
получить доступ к ресурсам предприятия. В процессе аудита используются три
средства управления: политика аудита, параметры аудита в объектах и журнал
Безопасность (Security). На этом занятии мы рассмотрим, как конфигурировать
аудит в нескольких распространенных сценариях.
Изучив материал этого занятия, вы сможете:
/ Конфигурировать политику аудита.
/ Конфигурировать параметры аудита в объектах файловой системы н службы I
каталогов.
/ Реализовывать новый аудит Изменения службы каталогов (Directory Service
Changes) в Windows Server 2008.
S С помощью оснастки Просмотр событий (Event Viewer) выполнять анализ
журнала Безопасность (Security).
Продолжительность занятия – около 45 мин.
Политика аудита
Политика аудита конфигурирует в системе аудит категорий активности. Если
она не включена, сервер не будет выполнять аудит этой активности. На рис. 7-U
показан узел Политика аудита (Audit Policy), развернутый в объекте группо-
вой политики.
'Занятие 4
Аудит 3 4 3
Кон:о>1> Д«Аст»1е Ли Cnpawa
Г * « .. в • •
/ Гогат«
/
а
Гогат« cwfj-i
а
t
cwfj-i
t Do
D m
o a
m in
a Pok
n
y
Pok
y (SE
S f
Ei'f-ER
E O
R
O Lc
L o
c n
o t
nos
o o
s
Ловитм«* » I Параметр полчищ
; J
;
U
J коггьютера
коггьютер
Аудит екода а октеиу Не определено
Аудит доступа к объект an be определено
r-r KortJwypaji»
KortJwypaji IWIUM
IWIU
. Аудит дост »пв к службе клепогое Не определено
?2
? Услкоек
2
а
Услкоек
а пр
п о
р г
орл
р м
л н
м
Аудит Hjrwnexta пол<т>жм Не определи*}
В Кочфигураля
Кочфигурал
я Win
W d
n o
d w
o s
w
feu
fe
u Cu
C r
u-w
r K
w *
K »
* '» (млусх/ивеоием<е)
(млусх/ивеоием<е
Аудит отслемвани* проиессэе не от«дег«м>
В jQ
j П«яг«тры
П«яг«тр
ы бе
б з
е о
з г
оик
и м
к о
м с
о ™
с
= Ло»т«и
Ло»т«
и уч
у е
ч т
е и
т ы
и *
ы мксей
мксе
, -v Аудит сипе>г«г* азЬэ>тл< отзедет«м>
ЙЗ
Й .
З '
'< Полипв
!
и
Полипв па
п о
а о
о л
о е
л й
е
Ж ^ Полтглс
^
а
Полтглс бл
б о
л к
о и
к р
и о
р в
о к
в и
к учел
уче
л Аудит упрае.то-ия уиет»»вв< зат.*:»ч Не «реде^ено
S;
S %
; %
% ГЫиг.ка
ГЫиг.к
а Ke
K r
ebc
b r
cс«
с ;
В Гоияьиые
Гоияьиы
е по
п л
о х
л т
х ю
т м
ю '
S Помг*
S
*
Помг* «удит»
«удит
гй
г Н
е
Н з
е н
з а
н ч
а а
ч щ
а е
щ правпольквл!'
е
:
правпольквл!'
Ш J
Ш П
а
П р
а а
р п
а е
п т
е рыбезопао-оа
рыбезопао-о и
а
Рис. 7-14. Политика аудита в объекте GPO
Д л я н а с т р о й к и а у д и т а н е о б х о д и м о о п р е д е л и т ь параметр политики. Дважды
щ е л к н и т е л ю б о й п а р а м е т р п о л и т и к и и у с т а н о в и т е ф л а ж о к Определить сле-
д у ю щ и е п а р а м е т р ы п о л и т и к и ( D e f i n e T h e s e P o l i c y S e t t i n g s ) . Затем укажите
в е д е н и е а у д и т а у с п е х а , о т к а з а и л и о б о и х т и п о в событий. Все политики аудита
и п а р а м е т р ы по у м о л ч а н и ю на к о н т р о л л е р е д о м е н а W i n d o w s Server 2008 опи-
с а н ы в т а б л . 7-2.
Табл. 7-2. Политики аудита
Параметр
Объяснение
Параметр по умолчанию
политики аудита
на контроллерах домена
Windows Server 2008
Аудит входа
Создается событие при попытке пользо-
Выполняется аудит
в систему (Audit вателя или компьютера пройти проверку успехов и отказов вхо-
Account Logon
подлинности с помощью учетной записи да учетной записи
Events)
Active Directory. Например, при входе
пользователя на компьютер в домене ге-
нерируется событие входа учетной записи
Аудит событий
Создается событие прн интерактивном
Выполняется аудит ус-
входа в систему
(локальном) или сетевом (удаленном)
пехов и отказов входа
(Audit Logon
входе пользователя. Например, если ра-
Events)
бочая станция и сервер сконфигуриро-
ваны для аудита событии входа, рабочая
станция выполняет аудит непосредствен-
ного входа пользователя на эту рабочую
станцию. Когда пользователь пытается
подключиться к общей папке на сервере,
сервер записывает в журнал событие уда-
ленного входа. При входе пользователя
событие входа записывает контроллер до-
мена, поскольку сценарии входа и поли-
тики извлекаются с контроллера домена
Аудит управ-
Выполняется аудит событий, включая
Проводится проверка
ления учетны-
создание, удаление и модификацию учет– успешных действий
ми записями
ных записей пользователей, компьютеров управления учетными
(Audit Account
или групп, а также изменение паролей
записями
Management)
пользователей
(см. след. стр.)
' 3 4 4 Параметры групповой политики
Глава 7
Табл. 7-2 ( окончание)
Параметр Объяснение
Параметр по умолчанию
политики аудита
на контроллерах домена
Windows Server 2008 ,
Аудит доступа к
Выполняется аудит событий, указанных Выполняется аудит
службе каталогов в системном списке контроля доступа успехов доступа к
(Audit Directory (SACL), который отображается в диало– службе каталогов, од-
Service Access)
говом окне Дополнительные параметры нако параметры аудита
безопасности (Advanced Security Settings) задаются несколькими
свойств объекта Active Directory. Помимо списками SACL объек-
определения политики аудита с помощью тов. Более подробные
этого параметра необходимо также откон– сведения находятся в
фигурировать аудит для конкретного объ– разделе «Аудит изме-
екта (объектов) с помощью списка SACL
нений служб катало-
объекта (объектов). Эта политика похожа гов»
на политику Аудит доступа к объектам
(Audit Object Access), используемую для
аудита файлов и папок, однако применя-
ется к объектам Active Directory
Аудит изменения Выполняется аудит политики назначения Проводится проверка
прав пользователя, политик аудита и по-
политики (Audit
успешных изменений
литик доверия
Policy Change)
политики
Аудит исполь-
Выполняется аудит использования при-
По умолчанию аудит
зования при-
вилегий или прав пользователей. Описа-
не выполняется
вилегий (Audit
ние зтой политики содержится в редакто-
Privilege Use)
ре управления групповыми политиками
GPME
Аудит системных Выполняется аудит перезагрузки сис-
Проверяется успешное
событий (Audit
темы, завершения работы и изменений,
и неудачное выполне-
System Events)
которые влияют на безопасность системы ние системных собы-
или журнал безопасности
тий
Аудит отслежи-
Выполняется аудит таких событий, как
Проводится аудит
вания процессов активация программ и завершение про-
успешного отслежива-
(Audit Process
цессов. Объяснение этой политики нахо-
ния процесса
Tracking)
дится в редакторе управления групповы-
ми политиками G P M E
Аудит доступа
Выполняется аудит доступа к таким объ-
Выполняется аудит
к объектам (Audit ектам, как файлы, папки, ключи реестра
успешных попыток
Object Access) и принтеры с собственными списками
доступа к объектам
SACL. Помимо включения этой политики
аудита необходимо отконфигурировать
записи в списках SACL объектов
СОВЕТ К ЭКЗАМЕНУ
На сертификационных экзаменах Microsoft знания политик аудита часто тестируются
на высоком уровне. Хорошо запомните информацию, содержащуюся в табл. 7-2 – это
поможет вам правильно ответить на все вопросы экзамена.
'Занятие 4
Аудит 3 4 5
Итак, к о н т р о л л е р ы д о м е н а в ы п о л н я ю т аудит большинства успешно вы-
п о л н е н н ы х в а ж н ы х с о б ы т и й Active Directory. Поэтому ведется запись всех
событий создания пользователя, изменения пароля пользователя, входа в домен
и и з в л е ч е н и я сценариев входа пользователя.
Но п о с к о л ь к у по у м о л ч а н и ю проверяются не все события отказа, может
п о т р е б о в а т ь с я п р о в е с т и д о п о л н и т е л ь н ы й аудит отказов на основе политик
безопасности и т р е б о в а н и й организации. Например, аудит неудачных попы-
ток входа в ы я в л я е т п о п ы т к и несанкционированного доступа к домену путем
многократного входа с п о м о щ ь ю учетной записи пользователя домена без дан-
ных о пароле. С о б ы т и я у п р а в л е н и я отказами доступа учетных записей могут
помочь определить п о п ы т к и м а н и п у л и р о в а н и я членством в группе с уязвимой
безопасностью.
О д н о й из самых в а ж н ы х задач я в л я е т с я соблюдение баланса и соответс-
т в и я п о л и т и к и аудита к о р п о р а т и в н ы м политикам и реалиям жизни. Скажем,
к о р п о р а т и в н а я п о л и т и к а может требовать выполнение аудита всех неудачных
п о п ы т о к входа, а т а к ж е у с п е ш н ы х изменений пользователей и групп Active
Directory. Эту задачу легко в ы п о л н и т ь в Active Directory. Но как именно ис-
пользовать эту и н ф о р м а ц и ю ? Подробные журналы аудита бесполезны, если не
знать способов и л и не располагать средствами управления ими. Необходимы
б и з н е с – т р е б о в а н и я аудита, ч е т к о отконфигурированная политика и инстру-
менты у п р а в л е н и я с о б ы т и я м и аудита.
Аудит доступа к файлам и папкам
Многие орга низац ии п р о в е р я ю т доступ к системным файлам, чтобы следить
за и с п о л ь з о в а н и е м ресурсов и в ы я в л я т ь потенциальные проблемы безопас-
ности. В W i n d o w s Server 2008 поддерживается гранулированный аудит на
основе учетных записей пользователей и групп, а также конкретных действий,
в ы п о л н я е м ы х э т и м и у ч е т н ы м и записями. Д л я того чтобы настроить аудит,
необходимо у к а з а т ь п а р а м е т р ы и включить его политику, а также оценить
события в журнале безопасности.
Настройка п а р а м е т р о в аудита доступа к файлам и папкам
Вы можете в ы п о л н я т ь аудит доступа к файлу или папке, добавив записи ауди-
та в список SACL ф а й л а или папки. Чтобы получить доступ к списку SACL
и его з а п и с я м аудита, откройте диалоговое окно Свойства (Properties), перей-
дите на в к л а д к у Б е з о п а с н о с т ь (Security), щелкните кнопку Дополнительно
(Advanced) и перейдите на вкладку Аудит (Auditing). Откроется диалоговое
окно Дополнительные параметры безопасности (Advanced Security Settings),
показанное на рис. 7-15.
Д л я того чтобы добавить запись, щелкните кнопку Изменить (Edit). От-
кроется вкладка Аудит (Auditing) в режиме редактирования. Щелкните кнопку
Добавить (Add) и выберите пользователя, группу или компьютер для аудита.
Затем в диалоговом окне Элемент аудита (Auditing Entry), показанном на
рис. 7-16, укажите тип аудита доступа к объекту.
' 3 4 6 Параметры групповой политики
Глава 7
Fs^fcJW ^.Ь"* ' йгекли j йЛгтечошиеоатогие™.» |
»in I п. ввтаа. мегоме апгм», в create1
tvcTUwaVjMaweipercvMMdeo i n
! Дзогл
Они fot, *тачш COKTQ Ъ'Ы.а
j QIC | Dnwa j ' – ^ {
Рис. 7-15. Дополнительные параметры безопасности
Сбюа {
rtefc } .такты (СОЧТСКО^стСИМж-ы) П^-^пу. j
|цляз'0й гаоо., гг fiatiww^ н фгйгоа
Доступ:
Угэпек Отказ
По,»**, доступ
•
в; Z.
Тэеоеос пало* / осато/пение феи. •
в
Сод го» вне /чтение
•
в
чтеп* етрмбутов
•
в
Чтеч<е йэгогумтелуе., атрибутов р
0
Соидоие фaiwae / ылпэ. агтмх •
0
Соадеме пелск / доаапо. д***.г •
0
Запю, ато<утся
•
0
Эапкь оопэатрибутов •
0 – 1
У flip», иг гхшпэ~иж и фгйгсе •
в
Удвлемм
•
0 zJ
z
Пр
П ,и
р е
и«
е п
« е
п эт
э о
т т
о
т ау
ад
уи
д т
и *
т
* об
о ъ
б е
ък
е т
ке
т*
е
– *£
* «
£ т
« г
т*
г й
* г
йс
г а
с «
а т
« о
т л
о *
л о
* е
о м
е ,т
м (
т»о
» т
о о
т ^
Очистить
о^
«w
« T
w e
T ir
e it
rp
i e
p
Упееел^вуд.^.
) DK | Отгена
Рис. 7-16, Элемент аудита
Используя один и л и н е с к о л ь к о г р а н у л и р о в а н н ы х у р о в н е й д о с т у п а , в ы мо-
жете выполнять аудит успеха, о т к а з а и л и о б о и х с о б ы т и й д о с т у п а п р и попыт-
ках получения у к а з а н н ы м п о л ь з о в а т е л е м , г р у п п о й и л и к о м п ь ю т е р о м д о с т у п а
к ресурсу.
Аудит у с п е ш н ы х с о б ы т и й в ы п о л н я е т с я в с л е д у ю щ и х с л у ч а я х :
• все необходимые д л я отчетности и в ы п и с к и с ч е т о в д а н н ы е з а н о с я т с я в жур-
нал доступа к ресурсам;
• д л я того чтобы о б н а р у ж и т ь д е й с т в и е , в ы х о д я щ е е з а р а м к и п о л н о м о ч и и
пользователей, в ы п о л н я е т с я м о н и т о р и н г д о с т у п а – это г о в о р и т о с л и ш к о м
высоком уровне р а з р е ш е н и й ;
'Занятие 4
Аудит 3 4 7
• д о с т у п , н е х а р а к т е р н ы й д л я о т д е л ь н о й у ч е т н о й з а п и с и , и д е н т и ф и ц и р у е т с я ,
что м о ж е т б ы т ь п р и з н а к о м в з л о м а у ч е т н о й з а п и с и хакером.
А с о б ы т и я о т к а з а п р о в е р я ю т с я п о т а к и м п р и ч и н а м :
• п р о в о д и т с я м о н и т о р и н г н е с а н к ц и о н и р о в а н н ы х п о п ы т о к доступа к ресурсу,
к к о т о р о м у з а п р е щ е н о п о л у ч а т ь д о с т у п ;
а и д е н т и ф и ц и р у ю т с я н е у д а ч н ы е п о п ы т к и п о л у ч и т ь д о с т у п к необходимым
п о л ь з о в а т е л ю ф а й л у и л и п а п к е ; т а к и м о б р а з о м м о ж н о определить недо-
с т а т о ч н ы й у р о в е н ь п р и в и л е г и й д л я э ф ф е к т и в н о г о в ы п о л н е н и я бизнес-
т р е б о в а н и й .
Д л я п р о в е р к и д е й с т в и й п р и н ц и п а л а б е з о п а с н о с т и (пользователя, группы
и л и к о м п ь ю т е р а ) з а д а е т с я с о о т в е т с т в у ю щ е е разрешение. В примере на рис. 7-15
п о к а з а н а у д и т н е у д а ч н ы х п о п ы т о к п о л у ч и т ь п о л ь з о в а т е л я м и в группе Консуль-
т а н т ы д о с т у п к д а н н ы м в п а п к е к о н ф и д е н ц и а л ь н ы х д а н н ы х на любом уровне.
Д л я р а з р е ш е н и я а у д и т а к о н ф и г у р и р у е т с я з а п и с ь аудита с разрешением Полный
д о с т у п ( F u l l C o n t r o l ) , к о т о р ы й в к л ю ч а е т в с е о т д е л ь н ы е у р о в н и доступа, так
что эта з а п и с ь о х в а т ы в а е т в с е т и п ы д о с т у п а . Н е у д а ч н а я п о п ы т к а члена группы
К о н с у л ь т а н т ы п о л у ч и т ь д о с т у п к а к о г о – л и б о т и п а записывается в журнал.
К а к п р а в и л о , з а п и с и а у д и т а о т р а ж а ю т э л е м е н т ы р а з р е ш е н и й объекта. Дру-
г и м и с л о в а м и , в ы н а с т р а и в а е т е д л я п а п к и К о н ф и д е н ц и а л ь н ы е данные разре-
ш е н и я , не п о з в о л я ю щ и е ч л е н а м г р у п п ы К о н с у л ь т а н т ы получить доступ к ее
с о д е р ж и м о м у . З а т е м а у д и т и с п о л ь з у е т с я д л я мониторинга членов группы Кон-
с у л ь т а н т ы , п о – п р е ж н е м у п ы т а ю щ и х с я п о л у ч и т ь доступ к этой папке. Помните,
что ч л е н г р у п п ы К о н с у л ь т а н т ы т а к ж е м о ж е т принадлежать к еще одной группе
с р а з р е ш е н и я м и д о с т у п а к э т о й п а п к е . Э т о т доступ будет успешным, так что со-
б ы т и я не б у д у т р е г и с т р и р о в а т ь с я в ж у р н а л е . И если вам действительно нужно
з а п р е т и т ь д о с т у п п о л ь з о в а т е л е й к п а п к е , то, о т с л е ж и в а я неудачные попытки
п о л у ч и т ь д о с т у п , н е з а б ы в а й т е о т с л е ж и в а т ь у с п е ш н ы й доступ, чтобы выявить
с и т у а ц и и , к о г д а п о л ь з о в а т е л ь п о л у ч а е т доступ к папке на основе потенциально
н е к о р р е к т н о г о ч л е н с т в а в г р у п п а х .
ПРИМЕЧАНИЕ Злоупотребление аудитом
Журналы аудита довольно быстро увеличиваются в размерах, поэтому аудит нужно
отконфигурировать д л я п о л у ч е н и я минимальной информации, необходимой для
решения бизнес-задачи. При назначении аудита успехов и отказов доступа к ак-
тивно используемой папке данных для группы Все (Everyone) с полным набором
разрешений Полный доступ (Full Control) в журнале аудита будет генерироваться
очень много записей, что повлияет на производительность сервера и значительно
усложнит локализацию конкретных событий аудита.
В к л ю ч е н и е п о л и т и к и а у д и т а
Н а с т р о й к а э л е м е н т о в а у д и т а в д е с к р и п т о р е безопасности ф а й л а или папки сама
по себе не в к л ю ч а е т а у д и т – н е о б х о д и м о о п р е д е л и т ь параметр Аудит доступа
к о б ъ е к т а м ( A u d i t O b j e c t Access), п о к а з а н н ы й на рис. 7-17. После включения
аудита п о д с и с т е м а б е з о п а с н о с т и н а ч н е т и с п о л ь з о в а т ь параметры аудита и ре-
г и с т р и р о в а т ь п о п ы т к и д о с т у п а в с о о т в е т с т в и и с ними.
'348 Параметры групповой политики
Глава 7
а з а з ш о э ш х я
' щ J^jwaccrree к объектам
Р Осеоеъ.'ьсяеа^сии.епеЕаметрето.ъ.тяо.
Becw 9>&тсоед,юше:пспмтэ>с occrjna
Г >спек
Р отхаа
ОК | Отмена j ГЪ*ме*»иь
Рис. 7-17. Политика аудита доступа к объектам
К серверу, содержащему объект аудита, необходимо п р и м е н и т ь этот пара-
метр политики, который конфигурируется в л о к а л ь н о м объекте G P O сервера
или используется GPO, под действие которого подпадает сервер.
Затем определяется политика д л я аудита с о б ы т и й Успех (Success), Отказ
(Failure) или обоих типов. Параметр аудита (см. рис. 7 – 1 7 ) д о л ж е н задавать
аудит успешных и неудачных попыток в соответствии с т и п о м элемента аудита
в списке SACL объекта (рис. 7-16). Например, чтобы о с у щ е с т в л я т ь аудит не-
удачных попыток доступа к папке к о н ф и д е н ц и а л ь н ы х д а н н ы х членом группы
Консультанты, необходимо для аудита отказов о т к о н ф и г у р и р о в а т ь политику
Аудит доступа к объектам ( Object Access Audit) и настроить список SACL папки
Конфиденциальные данные. Если политика в ы п о л н я е т аудит л и ш ь успешных
событий, отказы в списке SACL папки не будут регистрироваться.
ПРИМЕЧАНИЕ Соответствие политики аудита элемента аудита
Учтите, что аудит и регистрация доступа является комбинацией элементов аудита
конкретных файлов, папок и параметров в политике аудита. Если отконфигурировать
элементы аудита для регистрации отказов, но включить политику лишь для записи
успешных событий, журналы аудита будут оставаться пустыми.
Оценка событий в журнале безопасности
После включения параметра политики Аудит доступа к объектам (Audit Object
Access) и указания типа доступа для аудита с помощью списков SACL объектов
система начнет регистрацию доступа в соответствии с элементами аудита. Запи-
санные события можно просмотреть в журнале Безопасность (Security) сервера.
В группе Администрирование (Administration) откройте консоль Просмотр
'Занятие 4
Аудит 3 4 9
с о б ы т и й ( E v e n t V i e w e r ) и р а з в е р н и т е у з е л Ж у р н а л ы W i n d o w s B e 3 o n a c H o c T b
( W i n d o w s L o g s S e c u r i t y ) .
СОВЕТ К ЭКЗАМЕНУ
Для аудита доступа к таким объектам, как файлы и папки, необходимо следующее.
Во-первых, п о л и т и к а Аудит доступа к объектам (Audit Object Access) должна быть
включена и о т к о н ф и г у р и р о в а н а д л я аудита успешных и неудачных событий в соот-
ветствии со сценарием. Во-вторых, список SACL объекта нужно отконфигурировать
для аудита успеха и отказа доступа. В-третьих, следует проанализировать журнал
Безопасность (Security). П о л и т и к а аудита нередко контролируется с помощью объ-
екта G P O , поэтому в область д е й с т в и я этого объекта G P O нужно включить сервер
с файлом и л и папкой (например, ф а й л о в ы й сервер), а не контроллер домена.
Аудит изменений службы каталогов
А н а л о г и ч н о тому, к а к п о л и т и к а А у д и т д о с т у п а к объектам ( A u d i t Object Ac-
cess) п о з в о л я е т р е г и с т р и р о в а т ь п о п ы т к и д о с т у п а к т а к и м объектам, как файлы
и п а п к и , п о с р е д с т в о м п о л и т и к и А у д и т д о с т у п а к с л у ж б е каталогов ( A u d i t Di-
r e c t o r y S e r v i c e A c c e s s ) р е г и с т р и р у ю т с я п о п ы т к и доступа к объектам в Active
D i r e c t o r y с п р и м е н е н и е м т е х ж е п р и н ц и п о в . П о л и т и к а к о н ф и г у р и р у е т с я д л я
а у д и т а у с п е ш н о г о и л и н е у д а ч н о г о д о с т у п а . З а т е м м о ж н о отконфигурировать
с п и с о к S A C L о б ъ е к т а A c t i v e D i r e c t o r y и у к а з а т ь т и п ы доступа, проверка ко-
т о р ы х б у д е т в ы п о л н я т ь с я .
В к а ч е с т в е п р и м е р а д л я о т с л е ж и в а н и я и з м е н е н и й членства такой груп-
пы, к а к А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) , в к л ю ч и т е политику Аудит
д о с т у п а к с л у ж б е к а т а л о г о в ( A u d i t D i r e c t o r y Service Access) – д л я проверки
у с п е ш н о г о п о л у ч е н и я д о с т у п а , з а т е м о т к р о й т е с п и с о к SACL группы Админис-
т р а т о р ы д о м е н а и о т к о н ф и г у р и р у й т е э л е м е н т аудита успешных модификаций
а т р и б у т а member г р у п п ы . Э т у з а д а ч у в ы будете в ы п о л н я т ь н а практических
з а н я т и я х .
В M i c r o s o f t W i n d o w s S e r v e r 2 0 0 3 и W i n d o w s 2000 Server можно было выпол-
нять а у д и т д о с т у п а к с л у ж б е к а т а л о г о в и определять изменение объекта или его
с в о й с т в а , о д н а к о не б ы л о в о з м о ж н о с т и и д е н т и ф и ц и р о в а т ь начальное и новое
з н а ч е н и я и з м е н е н н о г о а т р и б у т а . Н а п р и м е р , в с о б ы т и и могло быть указано, что
о т д е л ь н ы й п о л ь з о в а т е л ь и з м е н и л а т р и б у т member г р у п п ы Администраторы
домена, о д н а к о с у т ь и з м е н е н и я о п р е д е л и т ь б ы л о невозможно.
В W i n d o w s S e r v e r 2 0 0 8 д о б а в л е н а к а т е г о р и я а у д и т а И з м е н е н и я службы
к а т а л о г о в ( D i r e c t o r y S e r v i c e C h a n g e s ) . В а ж н о е о т л и ч и е з а к л ю ч а е т с я в том,
что т е п е р ь и д е н т и ф и ц и р у е т с я н а ч а л ь н о е и т е к у щ е е з н а ч е н и я измененного
а т р и б у т а .
П о у м о л ч а н и ю в м е с т о а у д и т а и з м е н е н и й с л у ж б ы к а т а л о г о в в W i n d o w s
Server 2 0 0 8 в к л ю ч е н а у д и т д о с т у п а к с л у ж б е к а т а л о г о в с функциональностью,
а н а л о г и ч н о й п р е д ы д у щ и м в е р с и я м W i n d o w s . Ч т о б ы включить аудит успешных
и з м е н е н и й с л у ж б ы каталогов, на к о н т р о л л е р е домена откройте окно командной
с т р о к и и в в е д и т е с л е д у ю щ у ю к о м а н д у :
audltpol / s e t /subcategory:"изменения службы каталогов" /success.'enable
'350 Параметры групповой политики Глава 7
Глава 7
СОВЕТ К ЭКЗАМЕНУ .
Команда auditpol используется для включения аудита изменений службы каталогов.
Вы все равно должны модифицировать с п и с к и SACL объектов, чтобы ука-
зать атрибуты, аудит которых нужно выполнять. П р е д ы д у щ у ю команду можно
использовать для включения аудита И з м е н е н и я с л у ж б ы каталогов (Directory
Service Changes) в тестовой среде и просмотра г е н е р и р у е м ы х событий, однако
не реализуйте ее в домене, пока не прочитаете д о к у м е н т а ц и ю TechNet, начав
с пошагового руководства, размещенного по адресу http://technet2.micrvsoft.com/
windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx.
При включении аудита И з м е н е н и я с л у ж б ы к а т а л о г о в ( D i r e c t o r y Service
Changes) его элементы к о н ф и г у р и р у ю т с я в с п и с к е S A C L о б ъ е к т о в с л у ж б ы
каталогов, события записываются в ж у р н а л Безопасность (Security), где четко
указан измененный атрибут и внесенное изменение. В б о л ь ш и н с т в е случаев
записи журнала событий содержат п р е д ы д у щ е е и т е к у щ е е з н а ч е н и е изменен-
ного атрибута.
Контрольный вопрос
• Вам нужно выполнить аудит изменений свойств учетных записей пользо-
вателей для временных сотрудников. При внесении изменения вы хотите
знать предыдущее и новое значения измененного атрибута. Какой тип аудита
лучше всего выполнять?
Ответ на контрольный вопрос
• Аудит Изменения службы каталогов (Directory Service Changes).
Практические занятия. Конфигурирование параметров аудита
В предложенных далее упражнениях предлагается о т к о н ф и г у р и р о в а т ь пара-
метры аудита, включить политики аудита доступа к объектам и отфильтровать
конкретные события в журнале Безопасность ( S e c u r i t y ) . Б и з н е с – ц е л ь состоит
в мониторинге папки с конфиденциальными д а н н ы м и , к которой не должны
получать доступ пользователи из группы Консультанты. Кроме того, необхо-
димо отконфигурировать аудит для отслеживания и з м е н е н и й членства группы
Администраторы домена (Domain Admins).
Прежде всего нужно в ы п о л н и т ь в среде с л е д у ю щ и е подготовительные
шага:
• на диске С создать папку К о н ф и д е н ц и а л ь н ы е данные;
• создать глобальную группу безопасности Консультанты;
• добавить группу Консультанты в группу О п е р а т о р ы печати ( P r i n t Ope-
rators) – благодаря этому пользователь в группе Консультанты сможет
локально входить на машину S E R V E R 0 1 , которая в данном упражнении
является контроллером домена;
• создать пользователя Джеймс Ф а й н и добавить его в группу Консультанты.
Занятие 4
Аудит 351
У п р а ж н е н и е 1. Н а с т р о й к а р а з р е ш е н и й и параметров аудита
Необходимо отконфигурировать разрешения папки Конфиденциальные данные
для запрета доступа п о л ь з о в а т е л я м из группы Консультанты, затем включить-
для них аудит п о п ы т о к получить, доступ к этой папке.
1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.
