Sdílet prostřednictvím

Monitorování ohrožení zabezpečení ve službě Active Directory

Zákon číslo pět: Věčná bdělost je cena bezpečnosti. - 10 Neměnné zákony správy zabezpečení

Pevný systém pro monitorování protokolu událostí je klíčovou součástí veškerého zabezpečeného návrhu služby Active Directory. V případě, že cíle přijaly odpovídající monitorování a upozorňování, může být v rané fázi události zjištěno mnoho ohrožení zabezpečení počítače. Tento závěr již dlouho podporovaly nezávislé zprávy. Například zpráva o úniku dat verizonu 2009 uvádí:

"Zdánlivá neefektivní kontrola událostí a analýza protokolů je stále poněkud enigma. Příležitost k detekci existuje; vyšetřovatelé si poznamenali, že 66 procent obětí mělo v protokolech k dispozici dostatečné důkazy k objevení narušení, kdyby byli důslednější v analýze těchto zdrojů.

Tento nedostatek monitorování aktivních protokolů událostí zůstává konzistentní slabinou v plánech zabezpečení mnoha společností. Zpráva o porušení dat Verizonu z roku 2012 zjistila, že i když 85 procent porušení zabezpečení trvalo několik týdnů, 84 procent obětí mělo v protokolech událostí důkaz o porušení zabezpečení.

Zásady auditu systému Windows

Následující odkazy jsou odkazy na oficiální blog podpory Microsoftu pro podniky. Obsah těchto blogů poskytuje rady, pokyny a doporučení týkající se auditování, které vám pomůžou zvýšit zabezpečení infrastruktury služby Active Directory a jsou cenným prostředkem při navrhování zásad auditu.

Následující odkazy obsahují informace o vylepšení auditování Systému Windows ve Windows 8 a Windows Serveru 2012 a informace o auditování služby AD DS v systému Windows Server 2008.

Kategorie auditu systému Windows

Před Windows Vista a Windows Serverem 2008 měl Systém Windows pouze devět kategorií zásad auditu protokolu událostí:

  • Události přihlášení k účtu
  • Správa účtů
  • Přístup k adresářové službě
  • Události přihlášení
  • Přístup k objektům
  • Změna zásad
  • Použití oprávnění
  • Sledování procesů
  • Systémové události

Tyto devět tradičních kategorií auditu tvoří zásady auditu. U každé kategorie zásad auditu je možné povolit události Úspěch, Selhání nebo Úspěch a Selhání. Jejich popisy jsou zahrnuty v další části.

Popisy kategorií zásad auditu

Kategorie zásad auditu umožňují následující typy zpráv protokolu událostí.

Auditovat události přihlášení k účtu

Audit události přihlášení k účtu zaznamenávají každou událost objektu zabezpečení (například uživatele, počítače nebo účtu služby), kdy se přihlašuje nebo odhlašuje z jednoho počítače, zatímco jiný počítač ověřuje účet. Události přihlášení k účtu se generují při ověření účtu objektu zabezpečení domény na řadiči domény. Ověření místního uživatele v místním počítači vygeneruje událost přihlášení, která je zaznamenána v místním protokolu zabezpečení. Žádné události odhlášení z účtu nejsou zaznamenány.

Tato kategorie generuje spoustu "šumu", protože v systému Windows se při běžném provozu podnikání neustále přihlašují a odhlašují účty na místních a vzdálených počítačích. Navzdory této nepříjemnosti by každý plán zabezpečení měl zahrnovat úspěch a selhání této kategorie auditu.

Auditovat správu účtů

Toto nastavení auditu určuje, jestli se má sledovat správa uživatelů a skupin. Uživatelé a skupiny by například měli být sledováni, když se vytvoří, změní nebo odstraní uživatelský nebo počítačový účet, skupina zabezpečení nebo distribuční skupina. Uživatelé a skupiny by také měli být sledováni při přejmenování, zakázání nebo povolení účtu uživatele nebo počítače a při změně hesla uživatele nebo počítače. Událost se dá vygenerovat pro uživatele nebo skupiny přidané do jiných skupin nebo je z jiných skupin odebrat.

Auditovat přístup k adresářové službě

Toto nastavení zásad určuje, jestli chcete auditovat přístup objektu zabezpečení k objektu služby Active Directory, který má vlastní zadaný seznam řízení přístupu systému (SACL). Obecně platí, že tato kategorie by měla být povolena pouze na řadičích domény. Pokud je toto nastavení povolené, generuje se hodně šumu.

Protokolování událostí přihlášení

Události přihlášení se generují, když je na místním počítači ověřena místní zásada zabezpečení. Události přihlášení zaznamenávají přihlášení k doméně, ke kterým dochází v místním počítači. Události odhlášení účtu se negenerují. Pokud je tato možnost povolená, události přihlášení generují hodně šumu, ale tato zásada by měla být ve výchozím nastavení povolená v jakémkoli plánu auditování zabezpečení.

Auditovat přístup k objektům

Přístup k objektům může generovat události, pokud jsou následně definované objekty s povoleným auditem přístupné (například Otevřené, Čtení, Přejmenováno, Odstraněno nebo Uzavřeno). Po povolení hlavní kategorie auditování musí správce jednotlivě definovat, které objekty budou mít povolené auditování. Mnoho systémových objektů Windows má povolené auditování, takže povolení této kategorie obvykle začne generovat události ještě před tím, než správce nějaké nadefinoval.

Tato kategorie je velmi hlučná a pro každý přístup k objektům vygeneruje pět až 10 událostí. Noví správci, kteří se zabývají auditem objektů, mohou mít potíže s získáváním užitečných informací. Měla by být povolena pouze v případě potřeby.

Změna zásad auditování

Toto nastavení zásad určuje, jestli se má auditovat každý výskyt změny zásad přiřazení uživatelských práv, zásad brány Windows Firewall, zásad důvěryhodnosti nebo změn zásad auditu. Tato kategorie by měla být povolena na všech počítačích. Generuje velmi málo "šumu".

Použití oprávnění auditu

Ve Windows jsou desítky uživatelských práv a oprávnění (například Přihlásit se jako dávková úloha a jednat jako součást operačního systému). Toto nastavení zásad určuje, jestli chcete auditovat každou instanci objektu zabezpečení tím, že uplatníte práva nebo oprávnění uživatele. Povolení této kategorie vede k velkému množství "šumu", ale může být užitečné při sledování účtů objektu zabezpečení pomocí zvýšených oprávnění.

Sledování procesů auditu

Toto nastavení zásad určuje, jestli chcete auditovat podrobné informace o sledování procesů pro události, jako je aktivace programu, ukončení procesu, zpracování duplicit a nepřímý přístup k objektům. Je užitečné sledovat škodlivé uživatele a programy, které používají.

Povolení sledování procesů auditu generuje velký počet událostí, takže je obvykle nastavená na Žádné auditování. Toto nastavení ale může poskytnout velkou výhodu během reakce na incidenty z podrobného protokolu spuštěných procesů a času jejich spuštění. U řadičů domény a dalších serverů infrastruktury s jednou rolí je možné tuto kategorii bezpečně zapnout po celou dobu. Servery s jednou rolí negenerují mnoho procesů sledování provozu během normálního průběhu jejich povinností. V takovém případě je možné povolit zachytávání neautorizovaných událostí, pokud k nim dojde.

Audit systémových událostí

Systémové události jsou téměř všeobecnou kategorií, která registruje různé události ovlivňující počítač, jeho systémové zabezpečení nebo bezpečnostní protokol. Zahrnuje události pro vypnutí a restartování počítače, selhání napájení, změny systémového času, inicializace balíčku ověřování, vymazání protokolu auditu, problémy s zosobněním a řadu dalších obecných událostí. Obecně platí, že povolení této kategorie auditu generuje velké množství "šumu", ale také poskytuje tolik velmi užitečných událostí, že je obtížné někdy doporučit její neaktivaci.

Pokročilé zásady auditu

Počínaje systémem Windows Vista a Windows Server 2008 společnost Microsoft zlepšila způsob, jakým lze výběry kategorií protokolu událostí provádět vytvořením podkategorií v rámci každé hlavní kategorie auditu. Podkategorie umožňují, aby auditování bylo mnohem podrobnější, než by jinak mohlo použít hlavní kategorie. Pomocí podkategorií můžete povolit jenom části konkrétní hlavní kategorie a přeskočit generování událostí, které nejsou užitečné. Zásady auditu pro jednotlivé podkategorie mohou být povoleny pro události jako jsou Úspěch, Selhání, nebo Úspěch a Selhání.

Pokud chcete zobrazit seznam všech dostupných podkategorií auditování, zkontrolujte kontejner Advanced Audit Policy v objektu zásad skupiny nebo zadejte následující příkaz na libovolném počítači se systémem Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 nebo Windows Vista:

auditpol /list /subcategory:*

Pokud chcete získat seznam aktuálně nakonfigurovaných podkategorií auditování v počítači se systémem Windows Server 2012, Windows Server 2008 R2 nebo Windows 2008, zadejte následující příkaz:

auditpol /get /category:*

Následující snímek obrazovky ukazuje příklad auditpol.exe výpisu aktuálních zásad auditu.

Snímek obrazovky znázorňující příklad auditpol.exe výpisu aktuálních zásad auditu

Poznámka:

Zásady skupiny ne vždy přesně hlásí stav všech povolených zásad auditování, zatímco auditpol.exe. Další podrobnosti najdete v tématu Získání efektivních zásad auditu ve Windows 7 a 2008 R2 .

Každá hlavní kategorie má více podkategorií. Níže je seznam kategorií, jejich podkategorie a popisy jejich funkcí.

Popisy podkategorií auditování

Podkategorie zásad auditu umožňují následující typy zpráv protokolu událostí:

Přihlášení k účtu

Ověření přihlašovacích údajů

Tato podkategorie hlásí výsledky ověřovacích testů na přihlašovacích údajích odeslaných pro žádost o přihlášení k uživatelskému účtu. K těmto událostem dochází v počítači, který je autoritativní pro přihlašovací údaje. Pro účty domény je řadič domény autoritativní; pro místní účty je místní počítač autoritativní.

V doménových prostředích se většina událostí přihlášení k účtu protokoluje v protokolu zabezpečení řadičů domény, které jsou autoritativní pro účty domény. Tyto události ale můžou nastat v jiných počítačích v organizaci, když se k přihlášení používají místní účty.

Operace servisního lístku Kerberos

Tato podkategorie hlásí události vygenerované procesy žádostí o Kerberos ticket na řadiči domény, který má autoritativní pravomoc nad účtem domény.

Ověřovací služba Kerberos

Tato podkategorie hlásí události vygenerované ověřovací službou Kerberos. K těmto událostem dochází v počítači, který je autoritativní pro přihlašovací údaje.

Jiné události přihlášení k účtu

Tato podkategorie hlásí události, ke kterým dochází v reakci na přihlašovací údaje odeslané pro žádost o přihlášení k uživatelskému účtu, které nesouvisí s ověřováním přihlašovacích údajů nebo lístky Kerberos. K těmto událostem dochází v počítači, který je autoritativní pro přihlašovací údaje. U účtů domény je řadič domény autoritativní, zatímco pro místní účty je místní počítač autoritativní.

V doménových prostředích se většina událostí přihlášení k účtu protokoluje v protokolu zabezpečení řadičů domény, které jsou autoritativní pro účty domény. Tyto události ale můžou nastat v jiných počítačích v organizaci, když se k přihlášení používají místní účty. Příklady můžou zahrnovat následující:

  • Odpojení relace služeb Vzdálené plochy
  • Nové relace služby Vzdálená plocha
  • Uzamykání a odemknutí pracovní stanice
  • Vyvolání spořiče obrazovky
  • Vypnutí spořiče obrazovky
  • Detekce útoku přes přehrání protokolu Kerberos, ve kterém se dvakrát obdrží požadavek Kerberos se stejnými informacemi
  • Přístup k bezdrátové síti udělený uživatelskému účtu nebo účtu počítače
  • Přístup k drátové síti 802.1x udělen uživatelskému nebo počítačovému účtu

Správa účtů

Správa uživatelských účtů

Tato podkategorie hlásí každou událost správy uživatelských účtů, například:

  • Vytvořený, změněný nebo odstraněný uživatelský účet
  • Přejmenovaný, zakázaný nebo povolený uživatelský účet
  • Nastavení nebo změna hesla

Pokud je toto nastavení zásad auditu povolené, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření uživatelských účtů.

Správa účtů počítače

Tato podkategorie hlásí každou událost správy účtů počítače, například při vytvoření, změně, odstranění, přejmenování, zakázání nebo povolení účtu počítače.

Správa skupin zabezpečení

Tato podkategorie hlásí každou událost správy skupin zabezpečení, například při vytvoření, změně nebo odstranění skupiny zabezpečení nebo při přidání nebo odebrání člena ze skupiny zabezpečení. Pokud je toto nastavení zásad auditu povolené, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření účtů skupin zabezpečení.

Správa distribučních skupin

Tato podkategorie hlásí každou událost správy distribuční skupiny, například při vytvoření, změně nebo odstranění distribuční skupiny nebo při přidání nebo odebrání člena z distribuční skupiny. Pokud je toto nastavení zásad auditu povolené, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření skupinových účtů.

Správa skupin aplikací

Tato podkategorie hlásí každou událost správy skupin aplikací v počítači, například při vytvoření, změně nebo odstranění skupiny aplikací nebo při přidání nebo odebrání člena ze skupiny aplikací. Pokud je toto nastavení zásad auditu povolené, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření účtů skupin aplikací.

Další události správy účtů

Tato podkategorie hlásí další události správy účtů.

Podrobné sledování procesů

Podrobné sledování procesů zahrnuje vytvoření i ukončení procesů.

Vytvoření procesu

Tato podkategorie hlásí vytvoření procesu a jméno uživatele nebo programu, který ho vytvořil.

Ukončení procesu

Tato podkategorie hlásí, když se proces ukončí.

Aktivita DPAPI

Tato podkategorie hlásí šifrování nebo dešifrování volání do programovacího rozhraní aplikace ochrany dat (DPAPI). Rozhraní DPAPI slouží k ochraně tajných informací, jako jsou uložené heslo a informace o klíči.

Události RPC

Tato podkategorie hlásí události vzdáleného volání procedur (RPC).

Přístup k adresářové službě

Přístup k adresářové službě

Tato podkategorie hlásí přístup k objektu AD DS. Pouze objekty s nakonfigurovanými seznamy SACL způsobují generování událostí auditu a pouze v případě, že se k nim přistupuje způsobem, který odpovídá položkám SACL. Tyto události se podobají událostem přístupu k adresářové službě v dřívějších verzích Windows Serveru. Tato podkategorie se vztahuje pouze na řadiče domény.

Změny adresářové služby

Tato podkategorie hlásí změny objektů ve službě AD DS. Typy ohlášených změn jsou operace vytvoření, úpravy, přesunutí a odstranění, které se provádějí u objektu. Auditování změn adresářové služby tam, kde je to vhodné, označuje staré a nové hodnoty změněných vlastností objektů, které byly změněny. Auditní události způsobí pouze objekty se SACL, a to jen tehdy, když k nim je přistupováno způsobem, který odpovídá jejich položkám v SACL. Některé objekty a vlastnosti nezpůsobí generování událostí auditu kvůli nastavení třídy objektu ve schématu. Tato podkategorie se vztahuje pouze na řadiče domény.

Replikace adresářové služby

Tato podkategorie hlásí, když začne a končí replikace mezi dvěma řadiči domény.

Podrobná replikace adresářové služby

Tato podkategorie hlásí podrobné informace o informacích replikovaných mezi řadiči domény. Tyto události můžou být velmi velké.

Přihlášení/odhlášení

Přihlášení

Tato podkategorie hlásí, když se uživatel pokusí přihlásit k systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení probíhá generování těchto událostí v počítači, ke kterému je uživatel přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud je toto nastavení nakonfigurované na žádné auditování, je obtížné nebo nemožné určit, který uživatel získal nebo se pokusil získat přístup k počítačům organizace.

Server NPS (Network Policy Server)

Tato podkategorie hlásí události vygenerované požadavky uživatelů na přístup prostřednictvím RADIUS (IAS) a Network Access Protection (NAP). Tyto žádosti můžou být grant, odepřít, zahodit, umístit do karantény, uzamknout a odemknout. Auditování tohoto nastavení způsobí střední nebo velký objem záznamů na serverech NPS a IAS.

Hlavní režim protokolu IPsec

Tato podkategorie hlásí výsledky protokolu IKE (Internet Key Exchange) a protokolu AuthIP (ověřený internetový protokol) během vyjednávání v hlavním režimu.

Rozšířený režim protokolu IPsec

Tato podkategorie hlásí výsledky AuthIP v rámci jednání v rozšířeném režimu.

Jiné události přihlášení/odhlášení

Tato podkategorie hlásí další události související s přihlášením a odhlášením, jako je odpojování a znovupřipojování relací Vzdálené plochy, použití RunAs pro spuštění procesů pod jiným účtem a uzamčení a odemčení pracovní stanice.

Odhlášení

Tato podkategorie hlásí, když se uživatel odhlásí ze systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení probíhá generování těchto událostí v počítači, ke kterému je uživatel přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud je toto nastavení nakonfigurované na žádné auditování, je obtížné nebo nemožné určit, který uživatel získal nebo se pokusil získat přístup k počítačům organizace.

Uzamčení účtu

Tato podkategorie hlásí, že je účet uživatele uzamčen v důsledku příliš mnoha neúspěšných pokusů o přihlášení.

Rychlý režim IPsec

Tato podkategorie hlásí výsledky protokolu IKE a protokolu AuthIP během jednání v rychlém režimu.

Speciální přihlášení

Tato podkategorie hlásí, když se použije speciální přihlášení. Speciální přihlášení je přihlášení, které má ekvivalentní oprávnění správce a lze ho použít ke zvýšení úrovně procesu na vyšší úroveň.

Změna zásad

Změna zásad auditu

Tato podkategorie hlásí změny v zásadách auditu, včetně změn SACL.

Změna zásad ověřování

Tato podkategorie hlásí změny v zásadách ověřování.

Změna zásad autorizace

Tato podkategorie hlásí změny v zásadách autorizace včetně změn oprávnění (DACL).

MPSSVC Rule-Level Změna zásad

Tato podkategorie hlásí změny pravidel zásad používaných službou Microsoft Protection Service (MPSSVC.exe). Tuto službu používá brána Windows Firewall.

Změna zásad platformy filtrování

Tato podkategorie hlásí přidání a odebrání objektů ze služby WFP, včetně spouštěcích filtrů. Tyto události můžou být velmi velké.

Další události změn zásad

Tato podkategorie hlásí jiné typy změn zásad zabezpečení, jako je konfigurace čipu TPM (Trusted Platform Module) nebo kryptografických poskytovatelů.

Použití oprávnění

Použití oprávnění pokrývá citlivá i necitlivá oprávnění.

Použití citlivých oprávnění

Tato podkategorie hlásí, když uživatelský účet nebo služba používá citlivé oprávnění. Citlivá oprávnění zahrnují následující uživatelská práva:

  • Jednat jako součást operačního systému
  • Zálohování souborů a adresářů
  • Vytvoření objektu tokenu, ladění programů
  • Povolte, aby účty počítačů a uživatelů byly důvěryhodné pro delegování
  • Generujte audity zabezpečení, zosobněte klienta po ověření
  • Načíst a odstranit z paměti ovladače zařízení
  • Spravovat auditování a protokol zabezpečení
  • Změnit hodnoty prostředí firmwaru
  • Nahrazení tokenu na úrovni procesu, obnovení souborů a adresářů
  • Převzít vlastnictví souborů nebo jiných objektů

Auditování této podkategorie vytvoří velký objem událostí.

Nesmyslné použití oprávnění

Tato podkategorie hlásí, když uživatelský účet nebo služba používá nesmyslná oprávnění. Necitlivé oprávnění zahrnuje následující uživatelská práva:

  • Získat přístup ke Správci pověření jako k důvěryhodnému volajícímu
  • Přistupovat k tomuto počítači přes síť
  • Přidání pracovních stanic do domény
  • Úprava kvót paměti pro proces
  • Povolit místní přihlášení
  • Povolit přihlášení prostřednictvím služby Vzdálené plochy
  • Vynechat kontrolu přecházení
  • Změnit systémový čas
  • Vytvořit stránkovací soubor
  • Vytvořit globální objekty
  • Vytvořit trvale sdílené objekty
  • Vytvořit symbolické odkazy
  • Odepřít přístup k tomuto počítači ze sítě
  • Odepřít přihlášení jako dávkovou úlohu
  • Odepřít přihlášení jako službu
  • Místní odepření přihlášení
  • Zakázat přihlášení prostřednictvím Služby vzdálené plochy
  • Vynutit vypnutí ze vzdáleného systému
  • Zvýšit pracovní sadu procesu
  • Zvýšit prioritu plánování
  • Uzamknout stránky v paměti
  • Přihlásit se k systému jako dávková úloha
  • Přihlásit jako službu
  • Změnit označení objektu
  • Provést úlohy údržby disku
  • Profilovat jediný proces
  • Profilovat výkon systému
  • Vyjmout počítač z dokovací stanice
  • Vypnout systém
  • Synchronizace dat adresářové služby

Auditování této podkategorie vytvoří velmi velký objem událostí.

Jiné události použití oprávnění

Toto nastavení zásad zabezpečení se aktuálně nepoužívá.

Přístup k objektům

Kategorie Přístup k objektům zahrnuje podkategorie systému souborů a registru.

Systém souborů

Tato podkategorie hlásí přístup k objektům systému souborů. Generování událostí auditu způsobují pouze objekty systémů souborů, které mají SACL, a pouze tehdy, když je k nim přistupováno způsobem, který odpovídá jejich položkám SACL. Samotné nastavení zásad nezpůsobí auditování žádných událostí. Určuje, jestli se má auditovat událost uživatele, který přistupuje k objektu systému souborů, který má zadaný seznam řízení přístupu systému (SACL), který umožňuje provádět auditování.

Pokud je nastavení přístupu k objektu auditu nakonfigurováno na úspěch, vygeneruje se položka auditu pokaždé, když uživatel úspěšně přistupuje k objektu se zadaným SACL. Pokud je toto nastavení zásad nakonfigurované na Selhání, pokaždé, když uživatel selže v pokusu o přístup k objektu se zadaným SACL, je generována položka auditu.

Rejstřík

Tato podkategorie uvádí, kdy dochází k přístupu k objektům registru. Generování událostí auditu způsobují pouze objekty registru s SACL, a to pouze tehdy, když se k nim přistupuje způsobem, který odpovídá jejich položkám SACL. Samotné nastavení zásad nezpůsobí auditování žádných událostí.

Objekt jádra

Tato podkategorie hlásí přístup k objektům jádra, jako jsou procesy a mutexy. Generování událostí auditu způsobují pouze objekty jádra se SACL a pouze tehdy, když je k nim přistupováno způsobem, který odpovídá jejich položkám SACL. Obvykle jsou objekty jádra opatřeny SACLs pouze v případě, že jsou povoleny možnosti auditování AuditBaseObjects nebo AuditBaseDirectories.

SAMUEL

Tato podkategorie hlásí přístup k objektům databáze ověřování místního správce účtů zabezpečení (SAM).

Certifikační služby

Tato podkategorie hlásí, kdy jsou prováděny operace certifikačních služeb.

Vygenerovaná aplikace

Tato podkategorie hlásí, když se aplikace pokusí generovat události auditu pomocí programovacích rozhraní (API) pro auditování aplikací systému Windows.

Manipulace rukojeťmi

Tato podkategorie hlásí, když je popisovač objektu otevřen nebo uzavřen. Události se generují pouze v případě objektů se seznamy SACL, a pouze pokud se pokus o operaci rukojeti shoduje s položkami SACL. Obslužné události manipulace se generují pouze pro typy objektů, ve kterých je povolená odpovídající podkategorie přístupu k objektu (například systém souborů nebo registr).

Sdílení souborů

Tato podkategorie hlásí přístup ke sdílené složce. Samotné nastavení zásad nezpůsobí auditování žádných událostí. Určuje, jestli se má auditovat událost uživatele, který přistupuje k objektu sdílené složky se zadaným seznamem řízení přístupu systému (SACL), který umožňuje provádět auditování.

Filtrování zahozených paketů platformy

Tato podkategorie hlásí, když dojde k vyřazení paketů platformou WFP (Windows Filtering Platform). Tyto události můžou být velmi velké.

Filtrování připojení platformy

Tato podkategorie hlásí, když jsou připojení povolená nebo blokovaná službou WFP. Tyto události můžou být velké.

Další události přístupu k objektům

Tato podkategorie hlásí další události související s přístupem k objektům, jako jsou úlohy Plánovače úloh a objekty MODELU COM+.

Systém

Změna stavu zabezpečení

Tato podkategorie hlásí změny stavu zabezpečení systému, například při spuštění a zastavení subsystému zabezpečení.

Rozšíření zabezpečení systému

Tato podkategorie hlásí načítání kódu rozšíření, jako jsou ověřovací balíčky, zabezpečovacím subsystémem.

Integrita systému

Tato podkategorie hlásí porušení integrity subsystému zabezpečení.

Ovladač IPsec

Tato podkategorie hlásí aktivity ovladače IPsec (Internet Protocol Security).

Další systémové události

Tato podkategorie hlásí jiné systémové události.

Další informace o popisech podkategorie najdete v nástroji Microsoft Security Compliance Manager.

Každá organizace by měla zkontrolovat předchozí zahrnuté kategorie a podkategorie a povolit ty, které nejlépe vyhovují jejich prostředí. Změny zásad auditu by se měly vždy testovat před nasazením v produkčním prostředí.

Konfigurace zásad auditu systému Windows

Zásady auditu systému Windows je možné nastavit pomocí zásad skupiny, auditpol.exe, rozhraní API nebo úprav registru. Doporučené metody konfigurace zásad auditu pro většinu společností jsou zásady skupiny nebo auditpol.exe. Nastavení zásad auditu systému vyžaduje oprávnění účtu na úrovni správce nebo příslušná delegovaná oprávnění.

Poznámka:

Oprávnění Spravovat auditování a protokol zabezpečení musí být udělena objektům zabezpečení (správci ho mají ve výchozím nastavení), aby bylo možné upravovat možnosti auditování přístupu k objektům jednotlivých prostředků, jako jsou soubory, objekty služby Active Directory a klíče registru.

Nastavení zásad auditu systému Windows pomocí zásad skupiny

Pokud chcete nastavit zásady auditu pomocí zásad skupiny, nakonfigurujte odpovídající kategorie auditu umístěné v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditování (příklad najdete na následujícím snímku obrazovky editoru místních zásad skupiny (gpedit.msc).) Každou kategorii zásad auditu je možné povolit pro události Úspěch, Selhání nebo Úspěch a Selhání.

monitorování AD

Rozšířené zásady auditu je možné nastavit pomocí zásad služby Active Directory nebo místních skupin. Pokud chcete nastavit rozšířené zásady auditu, nakonfigurujte příslušné podkategorie umístěné v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Upřesnit zásady auditu (viz následující snímek obrazovky příkladu z Editoru místních zásad skupiny (gpedit.msc)). Každá podkategorie zásad auditu může být povolena pro události Úspěch, Selhání nebo Úspěch a Selhání .

Snímek obrazovky znázorňující příklad z Editoru místních zásad skupiny (gpedit.msc)

Nastavení zásad auditu systému Windows pomocí Auditpol.exe

Auditpol.exe (pro nastavení zásad auditu systému Windows) byla zavedena v systémech Windows Server 2008 a Windows Vista. Na začátku se k nastavení rozšířených zásad auditu dají použít jenom auditpol.exe, ale zásady skupiny se dají použít v systémech Windows Server 2012, Windows Server 2008 R2 nebo Windows Server 2008, Windows 8 a Windows 7.

Auditpol.exe je nástroj příkazového řádku. Syntaxe je následující:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

příklady syntaxe Auditpol.exe:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Poznámka:

Auditpol.exe nastaví rozšířené zásady auditu místně. Pokud jsou místní zásady v konfliktu se službou Active Directory nebo místními zásadami skupiny, nastavení zásad skupiny obvykle převládá nad nastavením auditpol.exe. Pokud existuje více konfliktů skupin nebo místních zásad, převládne pouze jedna zásada (to znamená nahradit). Zásady auditu nelze sloučit.

Skriptování auditpolu

Microsoft poskytuje ukázkový skript pro správce, kteří chtějí nastavit rozšířené zásady auditu pomocí skriptu místo ručního psaní v každém příkazu auditpol.exe.

Poznámka Zásady skupiny ne vždy přesně hlásí stav všech povolených zásad auditování, zatímco auditpol.exe ano. Další podrobnosti najdete v tématu Získání efektivních zásad auditu ve Windows 7 a Windows 2008 R2 .

Další příkazy Auditpol

Auditpol.exe lze použít k uložení a obnovení místních zásad auditu a k zobrazení dalších příkazů souvisejících s auditováním. Tady jsou další příkazy auditpolu .

auditpol /clear – Používá se k vymazání a resetování místních zásad auditu

auditpol /backup /file:<filename> – Slouží k zálohování aktuální místní zásady auditu do binárního souboru.

auditpol /restore /file:<filename> – Slouží k importu dříve uloženého souboru zásad auditu do místních zásad auditu.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> – Pokud je toto nastavení zásad auditu povolené, způsobí, že se systém okamžitě zastaví (se zprávou STOP: C0000244 {Audit Failed}), pokud z nějakého důvodu nejde protokolovat audit zabezpečení. Obvykle se událost nepodaří zaznamenat, pokud je protokol auditu zabezpečení plný a metoda uchovávání zadaná pro protokol zabezpečení je Nepřepisovat události nebo Přepisovat události podle dnů. Tato zásada je obvykle povolená jenom v prostředích, která potřebují větší jistotu, že protokol zabezpečení vede záznamy. Pokud je tato možnost povolená, musí správci pečlivě sledovat velikost protokolu zabezpečení a podle potřeby obměňovat protokoly. Lze také nastavit pomocí zásad skupiny úpravou možnosti zabezpečení Audit: Okamžitě vypněte systém, pokud nejde protokolovat audity zabezpečení (default=zakázáno).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Toto nastavení zásad auditu určuje, jestli se má auditovat přístup k objektům globálního systému. Pokud je tato zásada povolená, způsobí vytvoření systémových objektů, jako jsou mutexy, události, semafory a zařízení DOS s výchozím seznamem řízení přístupu systému (SACL). Většina správců považuje auditování globálních systémových objektů za příliš hlučné a povolí je jenom v případě podezření na škodlivé hackování. Pouze pojmenované objekty mají SACL. Pokud je povolená také zásada auditování přístupu k objektu auditu (nebo podkategorie auditování objektu jádra), audituje se přístup k těmto systémovým objektům. Při konfiguraci tohoto nastavení zabezpečení se změna neprojeví, dokud nerestartujete Windows. Tuto zásadu lze také nastavit pomocí zásad skupiny úpravou možnosti zabezpečení Auditovat přístup globálních systémových objektů (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> – Toto nastavení zásad auditu určuje, že pojmenované objekty jádra (například mutexy a semafory) jsou při vytváření přiřazeny SACLs. AuditBaseDirectories ovlivňuje objekty kontejneru, zatímco AuditBaseObjects ovlivňuje objekty, které nemohou obsahovat jiné objekty.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> – Toto nastavení zásad auditu určuje, jestli klient vygeneruje událost, pokud je k tokenu zabezpečení uživatele přiřazena jedna nebo více následujících oprávnění:

  • PřiřaditPrivilegiumPrimárníhoTokenu
  • Právo auditu
  • Oprávnění zálohování
  • Oprávnění createTokenPrivilege
  • Oprávnění pro ladění
  • Oprávnění EnableDelegation
  • ZosobněníPrivilege
  • Oprávnění LoadDriverPrivilege
  • ObnovitOprávnění
  • Bezpečnostní oprávnění
  • Systémová environmentální práva
  • Privilegium převzetí vlastnictví
  • TcbPrivilege.

Pokud tato možnost není povolená (default=Zakázáno), nejsou zaznamenána oprávnění BackupPrivilege a RestorePrivilege. Povolením této možnosti může být protokol zabezpečení při operaci zálohování velmi hlučný (někdy stovky událostí za sekundu). Tuto zásadu lze také nastavit pomocí zásad skupiny úpravou možnosti zabezpečení Audit: Auditovat použití oprávnění zálohování a obnovení.

Poznámka:

Některé zde uvedené informace pocházejí z typu možnosti auditování společnosti Microsoft a nástroje Microsoft SCM.

Vynucení tradičního auditování nebo rozšířeného auditování

Ve Windows Serveru 2012, Windows Serveru 2008 R2, Windows Serveru 2008, Windows 8, Windows 7 a Windows Vista můžou správci povolit devět tradičních kategorií nebo použít podkategorie. Jedná se o binární volbu, která musí být provedena v každém systému Windows. Buď lze povolit hlavní kategorie, nebo podkategorie; nemůže to být obojí.

Pokud chcete starším tradičním zásadám kategorií zabránit v přepsání podkategorií zásad auditu, musíte povolit nastavení podkategorie zásad auditování (Windows Vista nebo novější) a přepsat nastavení zásad kategorie auditování v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení.

Doporučujeme povolit a nakonfigurovat podkategorie místo devíti hlavních kategorií. Aby podkategorie mohly přepsat kategorie auditování, je třeba povolit nastavení zásad skupiny. Současně je nutné konfigurovat různé podkategorie, které podporují zásady auditování.

Podkategorie auditování lze konfigurovat pomocí několika různých metod, včetně zásady skupin a programu příkazového řádku, auditpol.exe.

Další kroky