Megosztás a következőn keresztül:

Az Active Directory ellenőrzése kompromittálódás jelei után

Ötödik törvény: Az örök éberség a biztonság ára. - 10 A biztonsági adminisztráció nem módosítható törvényei

A megbízható eseménynapló-monitorozási rendszer kulcsfontosságú része minden biztonságos Active Directory-kialakításnak. Az esemény korai szakaszában számos számítógépes biztonsági hiba fedezhető fel, ha a célok megfelelő eseménynapló-monitorozást és riasztást léptetnek életbe. A független jelentések már régóta támogatják ezt a következtetést. A 2009-es Verizon-adatszivárgási jelentés például a következőt állítja:

"Az eseményfigyelés és a naplóelemzés látszólagos hatástalansága továbbra is rejtély. Lehetőség van az észlelésre; a nyomozók megállapították, hogy az áldozatok 66 százaléka rendelkezik elegendő bizonyítékkal a naplóikban, hogy felfedezzék a jogsértést, ha szorgalmasabbak voltak az ilyen erőforrások elemzésében."

Az aktív eseménynaplók monitorozásának hiánya számos vállalat biztonsági védelmi terveinek állandó gyengesége marad. A Verizon 2012-es adatszivárgási jelentése megállapította, hogy annak ellenére, hogy a jogsértések 85 százaléka több hétig tartott, az áldozatok 84 százalékának volt bizonyítéka a jogsértésre az eseménynaplókban.

Windows ellenőrzési szabályzat

Az alábbiakban a Microsoft hivatalos nagyvállalati támogatási blogjára mutató hivatkozásokat talál. A blogok tartalma tanácsadást, útmutatást és javaslatokat nyújt a naplózással kapcsolatban, hogy segítsen az Active Directory-infrastruktúra biztonságának növelésében, és értékes erőforrás egy naplózási szabályzat tervezésekor.

Az alábbi hivatkozások a Windows 8-ban és a Windows Server 2012-ben végzett Windows-naplózás fejlesztéséről, valamint a Windows Server 2008-ban végzett AD DS-naplózásról nyújtanak tájékoztatást.

Windows-ellenőrzési kategóriák

A Windows Vista és a Windows Server 2008 előtt a Windows csak kilenc eseménynapló-naplózási szabályzatkategóriával rendelkezett:

  • Fiók bejelentkezési eseményei
  • Fiókkezelés
  • Címtárszolgáltatás-hozzáférés
  • Bejelentkezési események
  • Objektumhozzáférés
  • Szabályzat módosítása
  • Jogosultságok használata
  • Folyamatkövetés
  • Rendszeresemények

Ez a kilenc hagyományos auditkategória egy ellenőrzési szabályzatot alkot. Minden naplózási szabályzatkategória engedélyezhető sikeres, sikertelen vagy sikeres és sikertelen eseményekhez. A leírásukat a következő szakasz tartalmazza.

Ellenőrzési szabályzatkategória leírásai

A naplózási szabályzatok kategóriái az alábbi eseménynapló-üzenettípusokat teszik lehetővé.

Naplózási fiók bejelentkezési eseményei

Az "Audit Account Logon Events" jelentés beszámol minden olyan esetet, ahol egy biztonsági azonosító (például felhasználói, számítógépes vagy szolgáltatásfiók) egyik számítógépen jelentkezik be vagy ki, miközben egy másik számítógép segítségével hitelesíti a fiókot. A fiók bejelentkezési eseményei akkor jönnek létre, amikor egy tartománybiztonsági főszámla hitelesítésre kerül egy tartományvezérlőn. Egy helyi felhasználó hitelesítése egy helyi számítógépen létrehoz egy bejelentkezési eseményt, amely a helyi biztonsági naplóban van naplózva. A rendszer nem naplózza a fiók kilépési eseményeit.

Ez a kategória sok "zajt" okoz, mivel a Windows a normál üzletmenet során folyamatosan bejelentkezik a helyi és távoli számítógépekre. A kellemetlenség ellenére minden biztonsági tervnek tartalmaznia kell ennek a naplózási kategóriának a sikerességét és sikertelenségét.

Számlakezelés auditálása

Ez a naplózási beállítás határozza meg, hogy nyomon kell-e követni a felhasználók és csoportok kezelését. A felhasználókat és csoportokat például nyomon kell követni egy felhasználói vagy számítógépfiók, biztonsági csoport vagy terjesztési csoport létrehozásakor, módosításakor vagy törlésekor. A felhasználókat és csoportokat akkor is nyomon kell követni, ha egy felhasználó vagy számítógépfiókot átneveznek, letiltanak vagy engedélyeznek, illetve ha a felhasználó vagy a számítógép jelszava módosul. Esemény hozható létre a más csoportokhoz hozzáadott vagy onnan eltávolított felhasználók vagy csoportok számára.

Címtárszolgáltatás hozzáférésének naplózása

Ez a házirend-beállítás határozza meg, hogy naplózni kell-e a biztonsági tagok hozzáférését egy olyan Active Directory-objektumhoz, amely saját megadott rendszerhozzáférés-vezérlési listával (SACL) rendelkezik. Ez a kategória általában csak tartományvezérlőkön engedélyezhető. Ez a beállítás sok "zajt" okoz, ha engedélyezve van.

Ellenőrzési bejelentkezési események

A bejelentkezési események akkor jönnek létre, ha egy helyi biztonsági tag hitelesítése egy helyi számítógépen történik. A bejelentkezési események a helyi számítógépen előforduló tartományi bejelentkezéseket rögzítik. A fiók emblémázási eseményei nem jönnek létre. Ha engedélyezve van, a bejelentkezési események sok "zajt" okoznak, de ezt a szabályzatot alapértelmezés szerint engedélyezni kell minden biztonsági naplózási tervben.

Objektumhozzáférés ellenőrzése

Az Objektumhozzáférés eseményeket hozhat létre, ha a naplózást engedélyező, később definiált objektumokhoz fér hozzá (például Megnyitott, Olvasás, Átnevezett, Törölt vagy Bezárt). A fő naplózási kategória engedélyezése után a rendszergazdának egyenként meg kell határoznia, hogy mely objektumok legyenek engedélyezve a naplózás. Számos Windows rendszerobjektumhoz engedélyezve van a naplózás, ezért ennek a kategóriának az engedélyezése általában a rendszergazda definiálása előtt kezdi meg az események generálását.

Ez a kategória nagyon "zajos", és minden objektum-hozzáféréshez 5-10 eseményt hoz létre. A rendszergazdák számára nehéz lehet hasznos információkat szerezni a naplózással kapcsolatban. Csak akkor szabad engedélyezni, ha szükséges.

Naplózási szabályzat módosítása

Ez a házirend-beállítás határozza meg, hogy naplózni kell-e a felhasználói jogosultság-hozzárendelési szabályzatok, a Windows tűzfalszabályzatok, a megbízhatósági szabályzatok vagy a naplózási szabályzat módosításainak minden előfordulását. Ezt a kategóriát minden számítógépen engedélyezni kell. Nagyon kevés "zajt" okoz.

Naplózási jogosultságok használata

A Windowsban több tucat felhasználói jogosultság és engedély található (például bejelentkezés Batch-feladatként, és az operációs rendszer részeként való működés). Ez a házirend-beállítás határozza meg, hogy egy biztonsági azonosító minden egyes esetét felhasználói jog vagy jogosultság alkalmazásával naplózzák-e. A kategória engedélyezése sok "zajt" eredményez, de hasznos lehet az emelt szintű jogosultságokkal rendelkező egyszerű biztonsági fiókok nyomon követésében.

Auditálási folyamat nyomon követése

Ez a házirend-beállítás határozza meg, hogy naplózni kell-e az olyan események részletes folyamatkövetési információit, mint a programaktiválás, a folyamatból való kilépés, a duplikációk kezelése és a közvetett objektumhozzáférés. Hasznos a rosszindulatú felhasználók és az általuk használt programok nyomon követéséhez.

A naplózási folyamat nyomon követésének engedélyezése számos eseményt generál, ezért általában nincs naplózás. Ez a beállítás azonban nagy előnyt jelenthet az incidenskezelés során az elindított folyamatok részletes naplójából és az indításuk időpontjából. A tartományvezérlők és más egyszerepkörű infrastruktúra-kiszolgálók esetében ez a kategória mindig biztonságosan bekapcsolható. Az önálló szerepkör-kiszolgálók nem generálnak sok folyamatkövetési forgalmat a feladataik során. Ilyen esetben engedélyezhetik a jogosulatlan események rögzítését.

Rendszeresemények naplózása

A Rendszeresemények szinte általános gyűjtőkategória, amely különböző eseményeket regisztrál, amelyek hatással vannak a számítógépre, annak rendszerbiztonságára vagy a biztonsági naplóra. Ide tartoznak a számítógép leállási és újraindítási eseményei, az áramkimaradások, a rendszer időváltozásai, a hitelesítési csomagok inicializálása, a napló törlése, a megszemélyesítési problémák és számos egyéb általános esemény. Általánosságban elmondható, hogy ennek az audit kategóriának az engedélyezése sok "zajt" okoz, de annyi hasznos eseményt generál, hogy nehéz már javasolni a letiltását.

Speciális naplózási szabályzatok

A Windows Vista és a Windows Server 2008 rendszertől kezdve a Microsoft az egyes fő naplózási kategóriák alkategóriáinak létrehozásával javította az eseménynapló-kategóriák kiválasztásának módját. Az alkategóriák lehetővé teszik, hogy a naplózás sokkal részletesebb legyen, mint egyébként a fő kategóriák használatával. Alkategóriák használatával csak egy adott fő kategória egyes részeit engedélyezheti, és kihagyhatja a nem hasznos események generálását. Minden naplózási szabályzat alkategóriája engedélyezhető a sikeres, sikertelen vagy sikeres és sikertelen eseményekhez.

Az összes elérhető naplózási alkategóriák listájához tekintse át a Csoportházirend objektum Speciális naplózási házirend tárolóját, vagy írja be a következő parancsot a Windows Server 2012, a Windows Server 2008 R2, a Windows Server 2008, a Windows 8, a Windows 7 vagy a Windows Vista rendszert futtató számítógépeken:

auditpol /list /subcategory:*

A Windows Server 2012, Windows Server 2008 R2 vagy Windows 2008 rendszerű számítógépeken jelenleg konfigurált naplózási alkategóriák listájának lekéréséhez írja be a következő parancsot:

auditpol /get /category:*

Az alábbi képernyőképen egy példa látható az aktuális naplózási szabályzatot felsoroló auditpol.exe.

Képernyőkép az aktuális naplózási szabályzatot felsoroló auditpol.exe példáról.

Megjegyzés:

A csoportházirend nem mindig jelenti pontosan az összes engedélyezett naplózási szabályzat állapotát, míg auditpol.exe igen. További részletekért tekintse meg a Hatályos naplózási szabályzat beszerzése a Windows 7 és 2008 R2 rendszerben című témakört.

Minden fő kategória több alkategóriával rendelkezik. Az alábbiakban felsoroljuk a kategóriákat, azok alkategóriáit és a funkcióik leírását.

Auditálási alkategóriák leírásai

A naplózási szabályzat alkategóriái a következő eseménynapló-üzenettípusokat teszik lehetővé:

Fiókbejegyzés

Hitelesítő adatok érvényesítése

Ez az alkategória a felhasználói fiók bejelentkezési kéréséhez küldött hitelesítő adatokra vonatkozó ellenőrzési tesztek eredményeit jelenti. Ezek az események a hitelesítő adatok szempontjából mérvadó számítógépen történnek. A tartományi fiókok esetében a tartományvezérlő mérvadó; a helyi fiókok esetében a helyi számítógép mérvadó.

Tartományi környezetekben a fiók bejelentkezési eseményeinek többsége a tartományi fiókok mérvadó tartományvezérlőinek biztonsági naplójában van naplózva. Ezek az események azonban a szervezet más számítógépein is előfordulhatnak, amikor helyi fiókokat használnak a bejelentkezéshez.

Kerberos-szolgáltatásjegy műveletei

Ez az alkategória a Kerberos jegykérelem folyamatok által generált eseményeket jelenti azon tartományvezérlőn, amely illetékes a tartományi fiókért.

Kerberos hitelesítési szolgáltatás

Ez az alkategóriák a Kerberos hitelesítési szolgáltatás által létrehozott eseményeket jelentik. Ezek az események a hitelesítő adatok szempontjából mérvadó számítógépen történnek.

Egyéb fiókbejegyzési események

Ez az alkategória azokat az eseményeket jelenti, amelyek a felhasználói fiók bejelentkezési kérelmeihez küldött hitelesítő adatokra reagálva történnek, amelyek nem kapcsolódnak a hitelesítő adatok érvényesítéséhez vagy a Kerberos-jegyekhez. Ezek az események a hitelesítő adatok szempontjából mérvadó számítógépen történnek. A tartományi fiókok esetében a tartományvezérlő mérvadó, míg a helyi fiókok esetében a helyi számítógép mérvadó.

Tartományi környezetekben a fiók bejelentkezési eseményeinek többsége a tartományi fiókok mérvadó tartományvezérlőinek biztonsági naplójában van naplózva. Ezek az események azonban a szervezet más számítógépein is előfordulhatnak, amikor helyi fiókokat használnak a bejelentkezéshez. Ilyenek lehetnek például a következők:

  • Távoli asztali szolgáltatások munkamenetének leválasztása
  • Új Remote Desktop szolgáltatások munkamenetei
  • Munkaállomás zárolása és zárolásának feloldása
  • Képernyőkímélő indítása
  • Képernyőkímélő kikapcsolása
  • Kerberos-visszajátszásos támadás észlelése, amelyben kétszer kap egy azonos információval rendelkező Kerberos-kérést
  • Hozzáférés egy felhasználó vagy számítógépfiók számára biztosított vezeték nélküli hálózathoz
  • Hozzáférés egy felhasználó vagy számítógépfiók számára biztosított vezetékes 802.1x hálózathoz

Fiókkezelés

Felhasználói fiókok kezelése

Ez az alkategóriák a felhasználói fiókok kezelésének eseményeit jelentik, például:

  • Felhasználói fiók létrehozása, módosítása vagy törlése
  • Felhasználói fiók átnevezve, letiltva vagy engedélyezve
  • Jelszó beállítása vagy módosítása

Ha ez a naplózási házirend-beállítás engedélyezve van, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a felhasználói fiókok rosszindulatú, véletlen és engedélyezett létrehozását.

Számítógépfiók-kezelés

Ez az alkategóriák a számítógépfiókok kezelésének minden eseményét jelentik, például amikor számítógépfiókot hoznak létre, módosítanak, törölnek, átneveznek, letiltanak vagy engedélyeznek.

Biztonsági csoportkezelés

Ez az alkategóriák a biztonsági csoportok kezelésének minden eseményét jelentik, például egy biztonsági csoport létrehozását, módosítását vagy törlését, illetve egy tag biztonsági csoporthoz való hozzáadását vagy eltávolítását. Ha ez a naplózási házirend-beállítás engedélyezve van, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a biztonsági csoportfiókok rosszindulatú, véletlen és engedélyezett létrehozását.

Terjesztési csoport kezelése

Ez az alkategóriák a terjesztési csoportok kezelésének minden eseményét jelentik, például amikor létrehoznak, módosítanak vagy törölnek egy terjesztési csoportot, vagy amikor hozzáadnak vagy eltávolítanak egy tagot egy terjesztési csoportból. Ha ez a naplózási házirend-beállítás engedélyezve van, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a csoportfiókok rosszindulatú, véletlen és engedélyezett létrehozását.

Alkalmazáscsoport-kezelés

Ez az alkategóriák az alkalmazáscsoport-kezelés minden eseményét jelentik a számítógépen, például amikor létrehoznak, módosítanak vagy törölnek egy alkalmazáscsoportot, vagy amikor egy tagot hozzáadnak vagy eltávolítanak egy alkalmazáscsoportból. Ha ez a naplózási házirend-beállítás engedélyezve van, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék az alkalmazáscsoportfiókok rosszindulatú, véletlen és engedélyezett létrehozását.

Egyéb fiókkezelési események

Ez az alkategória más fiókkezelési eseményeket is jelent.

Részletes folyamatkövetés

A folyamatkövetés részletes monitorozása magában foglalja a folyamatok létrehozását és leállítását is.

Folyamat létrehozása

Ez az alkategória egy folyamat létrehozását és az azt létrehozó felhasználó vagy program nevét jelenti.

Folyamat leállítása

Ez az alkategória jelenti, amikor egy folyamat leáll.

DPAPI-tevékenység

Ez az alkategóriás jelentés titkosítja vagy visszafejti a hívásokat az adatvédelmi alkalmazás programozási felületére (DPAPI). A DPAPI a titkos információk, például a tárolt jelszó és a kulcsadatok védelmére szolgál.

RPC-események

Ez az alkategória távoli eljáráshívási (RPC) kapcsolati eseményeket jelent.

Címtárszolgáltatás-hozzáférés

Címtárszolgáltatás-hozzáférés

Ez az alkategória jelentést tesz, amikor egy AD DS-objektumhoz hozzáférnek. Csak a konfigurált SACL-ekkel rendelkező objektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-bejegyzéseknek megfelelő módon érhetők el. Ezek az események a Windows Server korábbi verzióiban a címtárszolgáltatás hozzáférési eseményeihez hasonlóak. Ez az alkategória csak a tartományvezérlőkre vonatkozik.

Címtárszolgáltatás változásai

Ez az alkategóriák az AD DS objektumainak változásait jelentik. A jelentett módosítások típusai az objektumokon végrehajtott létrehozási, módosítási, áthelyezési és nem felügyelt műveletek. A címtárszolgáltatás változásnaplózása adott esetben a módosított objektumok módosított tulajdonságainak régi és új értékeit jelzi. Csak a SACL-ekkel rendelkező objektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-bejegyzéseknek megfelelő módon érhetők el. Egyes objektumok és tulajdonságok nem okoznak naplózási eseményeket a séma objektumosztályának beállításai miatt. Ez az alkategória csak a tartományvezérlőkre vonatkozik.

Címtárszolgáltatás replikációja

Ez az alkategória jelenti, amikor a replikáció két tartományvezérlő között megkezdődik és véget ér.

Részletes címtárszolgáltatás-replikáció

Ez az alkategória részletes információkat tartalmaz a tartományvezérlők között replikált információkról. Ezek az események nagy mennyiségűek lehetnek.

Bejelentkezés/Kijelentkezés

Bejelentkezés

Ez az alkategóriák jelentik, ha egy felhasználó megpróbál bejelentkezni a rendszerbe. Ezek az események a hozzáfért számítógépen történnek. Interaktív bejelentkezések esetén ezen események generálása azon a számítógépen történik, a amelyen a felhasználó bejelentkezett. Ha hálózati bejelentkezés történik egy megosztás eléréséhez, ezek az események a hozzáfért erőforrást üzemeltető számítógépen jönnek létre. Ha ez a beállítás nincs naplózásra konfigurálva, nehéz vagy lehetetlen meghatározni, hogy melyik felhasználó fért hozzá vagy próbált meg hozzáférni a szervezeti számítógépekhez.

Hálózati házirend-kiszolgáló

Ez az alkategóriák a RADIUS (IAS) és a Network Access Protection (NAP) felhasználói hozzáférési kérései által létrehozott eseményeket jelentik. Ezek a kérések a következők lehetnek: Engedélyezés, Megtagadás, Elvetés, Karantén, Zárolás és Zárolás feloldása. A beállítás naplózása közepes vagy nagy mennyiségű rekordot eredményez az NPS- és IAS-kiszolgálókon.

IPsec fő mód

Ez az alkategóriák az Internet Key Exchange (IKE) protokoll és a Hitelesített Internet Protocol (AuthIP) eredményeit jelentik a fő módú tárgyalások során.

IPsec bővített mód

Ez az alkategória az AuthIP eredményeit jelenti a kiterjesztett módú egyeztetések során.

Egyéb bejelentkezési/kijelentkezési események

Ez az alkategória a bejelentkezéssel és a kijelentkezéssel kapcsolatos egyéb eseményeket, például a Távoli asztali szolgáltatások munkameneteinek leválasztását és újracsatlakoztatását, a RunAs használatával folyamatok futtatását másik fiók alatt, valamint a munkaállomás zárolását és feloldását jelenti.

Kijelentkezés

Ez az alkategória jelenti, ha egy felhasználó kijelentkezik a rendszerből. Ezek az események a hozzáfért számítógépen történnek. Interaktív bejelentkezések esetén ezen események generálása azon a számítógépen történik, a amelyen a felhasználó bejelentkezett. Ha hálózati bejelentkezés történik egy megosztás eléréséhez, ezek az események a hozzáfért erőforrást üzemeltető számítógépen jönnek létre. Ha ez a beállítás nincs naplózásra konfigurálva, nehéz vagy lehetetlen meghatározni, hogy melyik felhasználó fért hozzá vagy próbált meg hozzáférni a szervezeti számítógépekhez.

Fiókzárolás

Ez az alkategóriák jelentik, ha egy felhasználó fiókja túl sok sikertelen bejelentkezési kísérlet miatt zárolva van.

IPsec gyors mód

Ez az alkategória az IKE protokoll és az AuthIP eredményeit jelenti a Quick Mode egyeztetések során.

Különleges bejelentkezés

Ez az alkategória egy speciális bejelentkezést használ. A speciális bejelentkezés olyan bejelentkezés, amely rendszergazdai jogosultságokkal rendelkezik, és a folyamat magasabb szintre emelésére használható.

Szabályzat módosítása

Naplózási szabályzat módosítása

Ez az alkategóriák az auditszabályzat változásait, köztük a SACL-módosításokat jelentik.

Hitelesítési szabályzat módosítása

Ez az alkategóriák a hitelesítési házirend változásait jelentik.

Engedélyezési szabályzat módosítása

Ez az alkategóriák az engedélyezési szabályzat változásait jelentik, beleértve az engedélyek (DACL) módosításait is.

MPSSVC Rule-Level házirend módosítása

Ez az alkategóriák a Microsoft Protection Service (MPSSVC.exe) által használt szabályzatszabályok változásait jelentik. Ezt a szolgáltatást a Windows tűzfal használja.

A platformszabályzat módosítása szűrése

Ez az alkategóriák az objektumok WFP-ből való hozzáadását és eltávolítását jelentik, beleértve az indítási szűrőket is. Ezek az események nagy mennyiségűek lehetnek.

Egyéb szabályzatmódosítási események

Ez az alkategória más biztonsági szabályzatmódosításokat, például a megbízható platformmodul (TPM) konfigurációját vagy a titkosítási szolgáltatókat jelenti.

Jogosultságok használata

A Privilege Use a bizalmas és a nem érzékeny jogosultságokra is kiterjed.

Bizalmas jogosultságok használata

Ez az alkategóriák jelentik, ha egy felhasználói fiók vagy szolgáltatás bizalmas jogosultságot használ. A bizalmas jogosultságok a következő felhasználói jogosultságokat foglalják magukban:

  • Az operációs rendszer részeként jár el
  • Fájlok és mappák biztonsági mentése
  • Jogkivonat-objektum létrehozása, programok hibakeresése
  • Számítógépek és felhasználói fiókok megbízhatóvá tétele delegáláshoz.
  • Biztonsági auditok létrehozása, ügyfél megszemélyesítése a hitelesítés után
  • Eszközillesztők betöltése és eltávolítása a memóriából
  • Az auditálási és biztonsági naplók kezelése
  • Belső vezérlőprogram környezeti értékeinek módosítása
  • Folyamatszintű jogkivonat cseréje, fájlok és könyvtárak visszaállítása
  • A fájlok vagy egyéb objektumok tulajdonjogának átvétele.

Az alkategóriák naplózása nagy mennyiségű eseményt hoz létre.

Nem érzékeny jogosultságok használata

Ez az alkategória jelenti, ha egy felhasználói fiók vagy szolgáltatás nem érzékeny jogosultságot használ. A nem érzékeny jogosultságok a következő felhasználói jogosultságokat foglalják magukban:

  • Hozzáférés a hitelesítő adatok kezelőjéhez megbízható hívóként
  • A számítógép elérése a hálózatról
  • Munkaállomások hozzáadása tartományhoz
  • Folyamat memóriakvótájának módosítása
  • Helyi bejelentkezés engedélyezése
  • Bejelentkezés engedélyezése távoli asztali szolgáltatásokon keresztül
  • Bejárás ellenőrzésének mellőzése
  • A rendszeridő megváltoztatása
  • Lapozófájl létrehozása
  • Globális objektumok létrehozása
  • Állandó megosztott objektum létrehozása
  • Szimbolikus hivatkozás létrehozása
  • A számítógép hálózati hozzáférésének megtagadása
  • Bejelentkezés megtagadása ütemezett feladatként
  • Szolgáltatásként való bejelentkezés megtagadása
  • Helyi bejelentkezés megtagadása
  • Bejelentkezés megtagadása távoli asztali szolgáltatásokon keresztül
  • Kényszerített leállítás távoli rendszerről
  • Folyamat munkakészletének növelése
  • Prioritás ütemezésének növelése
  • Memórialapok zárolása
  • Jelentkezzen be kötegelt feladatként
  • Bejelentkezés szolgáltatásként
  • Objektumcímke módosítása
  • Kötet-karbantartási műveletek végrehajtása
  • Egyetlen folyamat profilozása
  • Rendszerteljesítmény profilozása
  • Számítógép dokkolásának megszüntetése
  • A rendszer leállítása
  • Címtárszolgáltatás adatainak szinkronizálása.

Ezen alkategória ellenőrzése rendkívül nagy mennyiségű eseményt fog létrehozni.

Egyéb jogosultsághasználati események

Ez a biztonsági házirend-beállítás jelenleg nincs használatban.

Objektumhozzáférés

Az Objektumhozzáférés kategória fájlrendszer- és beállításjegyzék-alkategóriákat tartalmaz.

Fájlrendszer

Ez az alkategória arról számol be, amikor fájlrendszer-objektumokat érnek el. Csak a SACL-ekkel rendelkező fájlrendszer-objektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-bejegyzéseknek megfelelő módon érhetők el. Ez a házirend-beállítás önmagában nem okoz események naplózását. Meghatározza, hogy naplózni kell-e egy olyan felhasználó eseményét, aki egy megadott hozzáférés-vezérlési listával (SACL) rendelkező fájlrendszer-objektumhoz fér hozzá, és amely lehetővé teszi a naplózást.

Ha a naplózási objektum hozzáférési beállítása sikeresre van konfigurálva, a rendszer minden alkalommal naplóbejegyzést hoz létre, amikor egy felhasználó sikeresen hozzáfér egy adott SACL-sel rendelkező objektumhoz. Ha ez a házirend-beállítás hiba értékre van konfigurálva, a rendszer minden alkalommal naplóbejegyzést hoz létre, amikor egy felhasználó egy adott SACL-vel rendelkező objektum elérésére tett kísérlet során meghiúsul.

Nyilvántartás

Ez az alkategória jelentést ad, amikor a beállításjegyzék-objektumokat elérik. Csak a SACL-ekkel rendelkező beállításobjektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-bejegyzéseknek megfelelő módon érhetők el. Ez a házirend-beállítás önmagában nem okoz események naplózását.

Kernel-objektum

Ez az alkategória jelenti, amikor a rendszermagobjektumokhoz, például a folyamatokhoz és a mutexekhez hozzáférést történik. Csak a SACL-ekkel rendelkező kernelobjektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-bejegyzéseknek megfelelő módon érhetők el. A kernelobjektumok általában csak akkor kapnak SACLs-eket, ha az AuditBaseObjects vagy az AuditBaseDirectories naplózási beállításai engedélyezve vannak.

SAM

Ez az alkategória azt jelenti, hogy a helyi Security Accounts Manager (SAM) hitelesítési adatbázis objektumai elérhetők.

Tanúsítási szolgáltatások

Ez az alkategória tudósít arról, hogy mikor hajtják végre a Minősítési szolgáltatások műveleteit.

Létrehozott alkalmazás

Ez az alkategóriás jelentés arról szól, hogy az alkalmazások a Windows naplózási alkalmazásprogramozási felületeivel (API-kkal) próbálnak naplózási eseményeket létrehozni.

Fogantyú kezelése

Ez az alkategória jelzi, amikor egy objektum leírója megnyílik vagy bezárul. Csak a SACL-ekkel rendelkező objektumok okozzák ezeket az eseményeket, és csak akkor, ha a megkísérelt leíróművelet megfelel a SACL-bejegyzéseknek. A kezelési események csak olyan objektumtípusokhoz jönnek létre, amelyekben engedélyezve van a megfelelő objektumhozzáférési alkategória (például fájlrendszer vagy beállításjegyzék).

Fájlmegosztás

Ez az alkategória jelentést ad, amikor a fájlmegosztást elérik. Ez a házirend-beállítás önmagában nem okoz események naplózását. Meghatározza, hogy naplózni kell-e egy olyan felhasználó eseményét, aki hozzáfér egy megadott rendszerhozzáférés-vezérlési listával (SACL) rendelkező fájlmegosztási objektumhoz, amely lehetővé teszi a naplózást.

A platformcsomagok elvetése szűrése

Ez az alkategóriák jelentik, ha a Windows Szűrőplatform (WFP) elveti a csomagokat. Ezek az események nagy mennyiségűek lehetnek.

Platformkapcsolat szűrése

Ez az alkategóriák azt jelentik, hogy a WFP engedélyezi vagy letiltja a kapcsolatokat. Ezek az események nagy mennyiségűek lehetnek.

Egyéb objektumelérési események

Ez az alkategória más objektumhozzáféréssel kapcsolatos eseményeket, például feladatütemezői feladatokat és COM+ objektumokat jelent.

Rendszer

Biztonsági állapot módosítása

Ez az alkategóriák a rendszer biztonsági állapotának változásait jelentik, például amikor a biztonsági alrendszer elindul és leáll.

Biztonságirendszer-bővítmény

Ez az alkategória a bővítménykód, például a hitelesítési csomagok biztonsági alrendszer általi betöltését jelenti.

Rendszerintegritás

Ez az alkategóriák a biztonsági alrendszer integritásának megsértéséről számolnak be.

IPsec-illesztőprogram

Ez az alkategória az Internet Protocol biztonsági (IPsec) illesztőprogram tevékenységeit ismerteti.

Egyéb rendszer események

Ez az alkategória más rendszereseményekről nyújt jelentést.

Az alkategóriák leírásával kapcsolatos további információkért tekintse meg a Microsoft Security Compliance Manager eszközt.

Minden szervezetnek át kell tekintenie az előző érintett kategóriákat és alkategóriákat, és engedélyeznie kell a környezetének leginkább megfelelő kategóriákat. Az auditálási irányelvek módosításait mindig tesztelni kell, mielőtt bevezetnék őket az éles környezetben.

A Windows naplózási szabályzatának konfigurálása

A Windows naplózási szabályzata csoportszabályzatok, auditpol.exe, API-k vagy beállításjegyzék-módosítások használatával állítható be. A legtöbb vállalatnál az auditpolitika konfigurálására ajánlott módszerek a csoportházirend vagy a auditpol.exe. A rendszer naplózási szabályzatának beállításához rendszergazdai szintű fiókengedélyek vagy a megfelelő delegált engedélyek szükségesek.

Megjegyzés:

A felügyeleti naplózási és biztonsági napló jogosultságot meg kell adni a biztonsági tagoknak (a rendszergazdák alapértelmezés szerint rendelkeznek ezzel), hogy lehetővé tegyék az egyes erőforrások, például fájlok, Active Directory-objektumok és beállításkulcsok objektumhozzáférési naplózási beállításainak módosítását.

A Windows naplózási szabályzatának beállítása csoportházirend használatával

Ha csoportszabályzatokkal szeretné beállítani a naplózási szabályzatot, konfigurálja a számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Naplózási szabályzat területen található megfelelő naplózási kategóriákat (a helyi csoportházirend-szerkesztőben (gpedit.msc) található példához lásd az alábbi képernyőképet). Minden ellenőrzési szabályzat kategória engedélyezhető siker, sikertelenség, vagy siker és sikertelenség eseményekhez.

az AD figyelése

A speciális naplózási házirendek az Active Directory vagy a helyi csoportszabályzatok használatával állíthatók be. A Speciális naplózási szabályzat beállításához konfigurálja a számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Speciális naplózási szabályzat területen található megfelelő alkategóriákat (lásd a következő képernyőképet a Helyi csoportházirend-szerkesztő (gpedit.msc)) példájához. Minden naplózási szabályzat alkategóriája engedélyezhető a sikeres, sikertelen vagy sikeres és sikertelen eseményekhez.

Képernyőkép a Helyi csoportházirend-szerkesztőből (gpedit.msc) származó példáról.

Windows naplózási szabályzat beállítása Auditpol.exe használatával

Auditpol.exe (a Windows naplózási szabályzatának beállításához) a Windows Server 2008 és a Windows Vista rendszerben került bevezetésre. Kezdetben csak a auditpol.exe használatával lehetett speciális naplózási szabályzatot beállítani, de a csoportházirend már a Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8 és Windows 7 rendszerekben is használható.

Auditpol.exe egy parancssori segédprogram. A szintaxis a következő:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe szintaxisbeli példák:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Megjegyzés:

Auditpol.exe helyileg állítja be a speciális naplózási szabályzatot. Ha a helyi házirend ütközik az Active Directoryval vagy a helyi csoportházirenddel, a csoportházirend-beállítások általában elsőbbséget élveznek auditpol.exe beállításokkal szemben. Ha több csoport- vagy helyi szabályzatütközés létezik, csak egy szabályzat lesz érvényes (azaz cserélje le). Az auditálási szabályzatok nem egyesülnek.

Szkriptelés Auditpol

A Microsoft egy példaszkriptet biztosít azoknak a rendszergazdáknak, akik az egyes auditpol.exe parancsok manuális beírása helyett parancsfájl használatával szeretnék beállítani a speciális naplózási szabályzatot.

Jegyzet A csoportházirend nem mindig jelzi pontosan az összes engedélyezett naplózási szabályzat állapotát, viszont auditpol.exe pontosan jelzi. További részletekért tekintse meg a Hatályos naplózási szabályzat beszerzése a Windows 7 és a Windows 2008 R2 rendszerben című témakört.

Egyéb Auditpol-parancsok

Auditpol.exe helyi naplózási szabályzat mentésére és visszaállítására, valamint más naplózással kapcsolatos parancsok megtekintésére használható. Íme a többi auditpol parancs.

auditpol /clear – Helyi naplózási szabályzatok törlésére és alaphelyzetbe állítására szolgál

auditpol /backup /file:<filename> – Az aktuális helyi naplózási szabályzat bináris fájlba történő biztonsági mentésére szolgál

auditpol /restore /file:<filename> – Korábban mentett naplózási szabályzatfájl importálása helyi naplózási szabályzatba

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> – Ha ez a naplózási házirend-beállítás engedélyezve van, a rendszer azonnal leáll (a STOP: C0000244 {Sikertelen naplózás} üzenettel), ha a biztonsági naplózás semmilyen okból nem naplózható. Az eseményeket általában nem lehet naplózni, ha a biztonsági naplózási napló megtelt, és a biztonsági naplóhoz megadott megőrzési módszer a Nem írja felül az eseményeket vagy az Események felülírása napok szerint lehetőséget. Ez a szabályzat általában csak olyan környezetekben engedélyezett, amelyek nagyobb biztonságot igényelnek a biztonsági napló naplózása során. Ha engedélyezve van, a rendszergazdáknak szigorúan figyelnie kell a biztonsági naplók méretét, és szükség szerint el kell forgatniuk a naplókat. Csoportházirenddel is beállítható, ha módosítja a Ellenőrzés: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket (alapértelmezett: letiltva).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Ez a naplózási házirend-beállítás határozza meg, hogy naplózni kell-e a globális rendszerobjektumok hozzáférését. Ha ez a szabályzat engedélyezve van, a rendszerobjektumok, például a mutexek, az események, a szemaphorok és a DOS-eszközök egy alapértelmezett rendszerhozzáférés-vezérlési listával (SACL) hozhatók létre. A rendszergazdák többsége úgy véli, hogy a globális rendszerobjektumok naplózása túl "zajos", és csak akkor engedélyezik, ha rosszindulatú hackelés gyanúja merül fel. Csak az elnevezett objektumok kapnak SACL-t. Ha a naplózási objektum hozzáférési naplózási szabályzata (vagy kernelobjektum-naplózási alkategória) is engedélyezve van, ezeknek a rendszerobjektumoknak a hozzáférése naplózva van. A biztonsági beállítás konfigurálásakor a módosítás addig nem lép érvénybe, amíg újra nem indítja a Windowst. Ez a szabályzat csoportházirenddel is beállítható a globális rendszerobjektumok hozzáférésének naplózása (default=disabled) beállítás módosításával.

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Ez a naplózási házirend-beállítás meghatározza, hogy az elnevezett kernelobjektumok (például a mutexek és a szemaforok) SACL-eket kapjanak létrehozásukkor. Az AuditBaseDirectories hatással van a tárolóobjektumokra, míg az AuditBaseObjects olyan objektumokat érint, amelyek nem tartalmazhatnak más objektumokat.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> – Ez a naplózási házirend-beállítás azt határozza meg, hogy az ügyfél létrehoz-e eseményt, ha a következő jogosultságok közül egy vagy több van hozzárendelve egy felhasználói biztonsági jogkivonathoz:

  • ElsődlegesJogkiváltságHozzárendelése
  • Auditálási Jogosultság
  • Biztonsági mentési jogosultság
  • CreateTokenPrivilege
  • DebugPrivilege
  • Engedélyezze a Hozzárendelési Jogosultságot
  • MegszemélyesítésPrivilege
  • LoadDriverPrivilege
  • Visszaállítási jogosultság
  • BiztonságJogosultság
  • Rendszerkörnyezeti Jogosultság
  • Jogosultság birtoklásának átvétele
  • TcbPrivilege.

Ha ez a beállítás nincs engedélyezve (default=Disabled), a BackupPrivilege és a RestorePrivilege jogosultságok nem lesznek rögzítve. Ennek a beállításnak a engedélyezése rendkívül zajossá teheti a biztonsági naplót (néha másodpercenként több száz eseményt) egy biztonsági mentési művelet során. Ez a házirend Csoportházirend segítségével is beállítható a Biztonsági beállítások: A biztonsági mentési és visszaállítási jogosultság használatának naplózása módosításával.

Megjegyzés:

Az itt megadott információk egy része a Microsoft naplózási beállítástípusából és a Microsoft SCM eszközből származik.

Hagyományos vagy speciális naplózás kényszerítése

A Windows Server 2012, a Windows Server 2008 R2, a Windows Server 2008, a Windows 8, a Windows 7 és a Windows Vista rendszerben a rendszergazdák engedélyezhetik a kilenc hagyományos kategóriát, vagy használhatják az alkategóriákat. Ez egy bináris választás, amelyet minden Windows-rendszerben meg kell tenni. A fő kategóriák engedélyezhetők vagy az alkategóriák; Nem lehet mindkettő.

Ha szeretné megakadályozni, hogy a régi hagyományos kategóriaszabályzat felülírja az ellenőrzési házirend alkategóriáit, engedélyeznie kell a Kényszerített beállítások az ellenőrzési házirend alkategóriákhoz (Windows Vista vagy később), amely felülbírálja az ellenőrzési házirend kategóriabeállításait a Számítógép-konfiguráció\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások alatt.

Javasoljuk, hogy az alkategóriákat a kilenc fő kategória helyett engedélyezze és konfigurálja. Ehhez engedélyezni kell egy csoportházirend-beállítást (annak érdekében, hogy az alkategóriák felülbírálhassák a naplózási kategóriákat), valamint konfigurálnia kell a naplózási szabályzatokat támogató különböző alkategóriákat.

A naplózási alkategóriák számos módszerrel konfigurálhatók, beleértve a csoportházirendet és a parancssori programot, auditpol.exe.

Következő lépések