• Artykuł

Windows Server 2008

Polityki kontroli w Windows Server 2008 Udostępnij na: Facebook

Autor: Paweł Pławiak

Opublikowano: 22 lutego 2008

Zawartość strony
Wprowadzenie  Wprowadzenie
Polityki kontroli w Windows Server  Polityki kontroli w Windows Server
Polityki kontroli górnego poziomu  Polityki kontroli górnego poziomu
Polityki kontroli drugiego poziomu  Polityki kontroli drugiego poziomu
Zarządzanie politykami kontroli dostępu  Zarządzanie politykami kontroli dostępu
Zestawienie polityk kontroli dostępu  Zestawienie polityk kontroli dostępu
Podsumowanie  Podsumowanie

Wprowadzenie

Prawidłowe administrowanie systemem Windows Server nie jest możliwe bez systematycznego zbierania i analizowania zdarzeń wymuszanych przez zainstalowane role i funkcje.

W środowisku Windows Server 2008 zaszły zmiany w zakresie bardzo popularnych polityk, pozwalających na kontrolowanie użycia uprawnień systemowych list kontroli dostępu SACL (z ang. System Access Control Lists).

Polityki kontroli (ang. Audit Policy) są znane już od wcześniejszych wersji Windows Server i bez wątpienia wielu inżynierów oraz administratorów je wykorzystuje.

W poniższym artykule zaprezentowany został wykaz polityk oraz nowe funkcjonalności, które w tym zakresie pojawiły się w Windows Server 2008.

 Do początku strony Do początku strony

Polityki kontroli w Windows Server

Bezpieczeństwo infrastruktury IT jest traktowane priorytetowo. W celu podniesienia ogólnego poziomu ochrony stosowane są różne rozwiązania.

W ogromnej puli możliwości nie bez znaczenia wyróżnia się mechanizm polityk kontroli. Cel jego stosowania jest bardzo jasny – dostarcza informacji o czynnościach wykonywanych w systemie, na których niejednokrotnie najbardziej nam zależy.

Błędnie zakończone logowanie, dostęp do ważnych plików, modyfikacja ustawień obiektów usługi Active Directory, w końcu zmiana polityki uwierzytelniania klientów, te i inne informacje są bezsprzecznie pożądane i pozwalają na prawidłowe prowadzenie polityki prewencyjnej.

Wykorzystanie polityk kontroli nie jest rozwiązaniem tylko dla ekspertów, każdy jest w stanie się nimi wspomagać, nawet w środowiskach komputerów domowych. Rozpoczynając przygodę z politykami kontroli kłopotliwe może być zdobycie umiejętności odnajdywania informacji, na których nam w danej chwili zależy. Gwarantuję jednak, że bardzo szybko przychodzi moment, kiedy nabiera się wprawy i bez zastosowania polityk kontroli nie wyobrażamy sobie naszej infrastruktury IT, małej i dużej.

 Do początku strony Do początku strony

Polityki kontroli górnego poziomu

Polityki kontroli w Windows Server 2008 są skategoryzowane na dwóch poziomach. Wprowadzenie stopniowania ma na celu umożliwienie dokładniejszego pozyskiwania interesujących nas zdarzeń.

Pierwszy poziom – kategoria górnego poziomu (ang. top level category) – to odpowiedniki znanych z wcześniejszych wersji Windows kategorii polityk kontroli. Należą do nich:

  • Audit system events,
  • Audit logon events,
  • Audit object access,
  • Audit privilege use,
  • Audit process tracking,
  • Audit policy change,
  • Audit account management,
  • Audit directory service access,
  • Audit account logon events.

Rys. 1. Polityki kontroli górnego poziomu.

Rys. 1. Polityki kontroli górnego poziomu.

 Do początku strony Do początku strony

Polityki kontroli drugiego poziomu

Drugi poziom – podkategoria (ang. subcategory) – stanowiący nowość serwera opatrzonego liczbą 2008, pozwala na dokładne określenie rodzaju rejestrowanych zdarzeń.

Wiele osób borykało się z ogromną ilością zdarzeń, ich kłopotliwą analizą, problemem zapewnienia dostatecznego wolnego miejsca oraz spadkiem wydajności serwerów. Podkategorie pozwalają na znaczne wyeliminowanie tych problemów.

W sumie wyróżniamy 52 podkategorie w ramach dziewięciu kategorii górnego poziomu. Poniżej przedstawiam poszczególne podkategorie oraz skojarzone z nimi zdarzenia.

  • Security State Change – zmiany związane ze stanem systemu.
  • Security System Extension – zdarzenia związane z aktywnością w zakresie rozszerzeń zabezpieczania systemu.
  • System Integrity – zdarzenia związane z naruszeniami integralności systemu.
  • IPsec Driver – operacje związane z funkcjonowaniem usługi systemowej IPSec.
  • Other System Events – aktywność usługi Windows Firewall oraz sterownika Windows Firewall.
  • Logon – próby logowania do komputera bez względu na rodzaj konta (lokalne/domenowe).
  • Logoff – próby dostępu do komputera niezależnie od rodzaju logowania lub konta.
  • Account Lockout – zdarzenia związane z blokowaniem kont.
  • IPsec Main Mode – zdarzenia trybu pełnego IPSec.
  • IPsec Quick Mode – zdarzenia trybu szybkiego IPSec.
  • IPsec Extended Mode – zdarzenia trybu rozszerzonego IPSec.
  • Special Logon – przyznawanie przywilejów specjalnych.
  • Other Logon/Logoff Events – zdarzenia związane z logowaniem i wylogowaniem użytkowników w powiązaniu z wygaszaczem ekranu, blokowaniem i odblokowaniem konsoli oraz połączeniami pulpitu zdalnego.
  • Network Policy Server – zdarzenia związane z funkcjonowaniem Network Policy Server.
  • File System – wszystkie próby dostępu do plików i folderów.
  • Registry – zdarzenia związane z dostępem do kluczy i wartości rejestru systemowego.
  • Kernel Object – zdarzenia związane z aktywnością w zakresie dostępu do obiektu jądra.
  • SAM – zdarzenia dotyczące dostępu do obiektów w bazie SAM (ang. Security Account Manager).
  • Certification Services – zdarzenia związane z funkcjonowaniem usług certyfikatów oraz zagadnieniami infrastruktury kluczy publicznych.
  • Application Generated – zdarzenia związane z aktywnością aplikacji oraz jej działaniem w kontekście użytkownika.
  • Handle Manipulation – zdarzenia odpowiedzialne za powtórzenie wcześniejszego przyznania dostępu.
  • File Share – zdarzenia związane z dostępem do zasobów sieciowych.
  • Filtering Platform Packet Drop – zdarzenia związane z blokowaniem pakietów przez Windows Filtering Platform.
  • Filtering Platform Connection – zdarzenia związane z zezwalaniem i blokowaniem połączeń przez Windows Filtering Platform.
  • Other Object Access Events – zdarzenia związane z pozostałymi sytuacjami dostępu do obiektów, na przykład tworzenie, kasowanie, włączanie, wyłączanie zaplanowanych zadań.
  • Sensitive Privilege Use – zdarzenia związane z użyciem przywilejów dających dostęp do ważnych i krytycznych elementów systemu.
  • Non Sensitive Privilege Use – zdarzenia związane z użyciem uprawnień nie dających dostępu do ważnych i krytycznych elementów systemu.
  • Other Privilege Use Events – pozostałe zdarzenia związane z użyciem przywilejów.
  • Process Creation – zdarzenia związane z tworzeniem procesów w trakcie uruchomiania programów na komputerach lokalnych.
  • Process Termination – zdarzenia pozwalające na śledzenie zakończonych procesów, które były wyzwalane przez uruchamiane programy na komputerach lokalnych.
  • DPAPI Activity – zdarzenia związane z ochroną danych API (Data Protection API). DPAPI pomaga zabezpieczać prywatne klucze, zapamiętane poświadczenia (od Windows XP) oraz inne tajne informacje, które powinny utrzymywać taki status.
  • RPC Events – zdarzenia powiązane z zabezpieczeniami procedur zdalnego wywołania RPC.
  • Audit Policy Change – zdarzenia związane ze zmianami polityk kontroli.
  • Authentication Policy Change – zdarzenia związane ze zmianami w zakresie polityk uwierzytelniania użytkowników.
  • Authorization Policy Change – zdarzenia związane ze zmianami w zakresie polityk autoryzacji użytkowników.
  • MPSSVC Rule-Level Policy Change – zdarzenia związane ze zmianami w zakresie polityk reguł Windows Firewall.
  • Filtering Platform Policy Change – zdarzenia związane ze zmianami w zakresie polityk funkcjonowania Windows Filtering Platform.
  • Other Policy Change Events – zdarzenia związane ze zmianami w zakresie polityk.
  • User Account Management – zdarzenia związane ze śledzeniem zmian w kontach lokalnych na stacjach roboczych i serwerach członkowskich oraz kontach użytkowników domenowych Active Directory.
  • Computer Account Management – zdarzenia związane z tworzeniem, zmianami oraz kasowaniem kont komputerów na kontrolerach domen.
  • Security Group Management – zdarzenia związane z aktywnością w zakresie zarządzania grupami zabezpieczeń w środowisku domenowym i środowisku komputerów lokalnych.
  • Distribution Group Management – zdarzenia związane z aktywnością w zakresie zarządzania grupami dystrybucyjnymi w środowisku domenowym.
  • Application Group Management – zdarzenia związane zarządzaniem grupami aplikacji.
  • Other Account Management Events – pozostałe zdarzenia związane z zarządzaniem kontami.
  • Directory Service Access – zdarzenia związane ze śledzeniem prób dostępu do obiektów Active Directory. Zdarzenia są rejestrowane wyłącznie na kontrolerach domeny.
  • Directory Service Changes – zdarzenia związane ze zmianami właściwości obiektów. Zdarzenia obejmują wszystkie informacje pozwalające zidentyfikować jaki obiekt, jaką właściwość, jaki użytkownik oraz na jaką wartość zmodyfikował.
  • Directory Service Replication – zdarzenia związane z replikacją usługi katalogowej.
  • Detailed Directory Service Replication – szczegółowe zdarzenia związane z replikacją usługi katalogowej.
  • Kerberos Service Ticket Operations – zdarzenia związane z czynnościami w zakresie obsługi biletów usługi Kerberos.
  • Credential Validation – zdarzenia związane z aktualizowaniem poświadczeń dla kont.
  • Kerberos Authentication Service – zdarzenia związane z funkcjonowaniem usługi uwierzytelniania Kerberos.
  • Other Account Logon Events – zdarzenia logowania na kontach, na przykład błędną aktualizacją poświadczeń przez kontroler domeny.

 Do początku strony Do początku strony

Zarządzanie politykami kontroli dostępu

Modyfikację polityk kontroli przeprowadzamy za pomocą narzędzi, które są dostępne w trybie graficznym oraz w trybie tekstowym. Należy zwrócić uwagę, że ustawienia na poziomie podkategorii możemy wykonywać wyłącznie w trybie tekstowym.

Wersja okienkowa to nic innego jak znany powszechnie Edytor polityk dostępny chociażby z poziomu popularnej konsoli GPMC. Konfigurując każdą z dziewięciu polityk, mamy do wyboru dwie opcje:

  • Success - zdarzenia w ramach kategorii, które zakończyły się pomyślnie.
  • Failure - zdarzenia w ramach kategorii, które zakończyły się niepowodzeniem.

Rys. 2. Edytor polityk.

Rys. 2. Edytor polityk.

Osoby korzystające z wiersza poleceń mają do dyspozycji narzędzie auditpol z dużą liczbą przełączników, co bezpośrednio przekłada się na możliwości konfiguracji. Auditpol posiada bardzo dobrze przygotowaną pomoc systemową z szeregiem przykładów. Nikt nie powinien więc mieć kłopotów w korzystaniu z narzędzia.

W tabeli 1. przedstawiono nazwy głównych kategorii, które należy stosować, aby polecenie auditpol prawidłowo interpretowało nasze żądania.

Tab.1. Nazwy kategorii głównych w trybie graficznym i trybie tekstowym.
Kategoria główna

Kategoria główna

(auditpol)

Audit system events System
Audit logon events Logon/Logoff
Audit object access Object access
Audit privilege use Privilege use
Audit process tracking Detailed tracking
Audit policy change Policy change
Audit account management Account management
Audit directory service access DS access
Audit account logon events Account logon

Wyświetlenie pomocy systemowej dotyczącej polecenia auditpol wymaga zastosowania dobrze znanej składni z przełącznikiem /?.

auditpol /?

Rys. 3. Główny poziom pomocy polecenia auditpol.

Rys. 3. Główny poziom pomocy polecenia auditpol.

Rys. 4. Pomoc systemowa dotycząca sposobu wyświetlania ustawień polityk kontroli dostępu.

Rys. 4. Pomoc systemowa dotycząca sposobu wyświetlania ustawień polityk kontroli dostępu.

Wyświetlenie wszystkich podkategorii polityk kontroli dotyczących systemu wymaga użycia następującej składni:

auditpol /list /subcategory:System

Wynik wykonania polecenia przedstawiony jest na rysunku 5.

Rys. 5. Lista podkategorii zdarzeń System.

Rys. 5. Lista podkategorii zdarzeń System.

Włączenie rejestrowania zdarzeń sukcesów w ramach podkategorii Security Group Management wymaga zastosowania następującej składni polecenia auditpol:

auditpol /set /subcategory:”Security Group Management” /success:enable

Rys. 6. Wywołanie polecenia auditpol powodującego włączenie rejestrowania zdarzeń sukcesów w podkategorii Security Group Management.

Rys. 6. Wywołanie polecenia auditpol powodującego włączenie rejestrowania zdarzeń sukcesów w podkategorii Security Group Management.

Zwróćmy uwagę, że w składni należy również określić rodzaj rejestrowanych zdarzeń (sukces/niepowodzenie) – odpowiada za to przełącznik /success.

Wyświetlenie bieżących ustawień w ramach kategorii/podkategorii wymaga użycia przełącznika /get. Poniżej przedstawiono składnię, która pozwala na uzyskanie informacji o aktualnych ustawieniach w ramach kategorii Logon/Logoff (Audit logon events). W składni możemy zastosować nazwę lub globalny identyfikator GUID.

Rys. 7. Wywołanie polecenia auditpol powodującego wyświetlenie aktualnych ustawień w zakresie kategorii Logon/Logoff.

Rys. 7. Wywołanie polecenia auditpol powodującego wyświetlenie aktualnych ustawień w zakresie kategorii Logon/Logoff.

Dzięki możliwości użycia symbolu wieloznacznego gwiazdki możemy uzyskać wykaz wszystkich bieżących ustawień w ramach polityk kontroli dostępu.

auditpol /get /category:*

Rys. 8. Fragment wykonania polecenia auditpol wykorzystującego symbol wieloznaczny.

Rys. 8. Fragment wykonania polecenia auditpol wykorzystującego symbol wieloznaczny.

 Do początku strony Do początku strony

Zestawienie polityk kontroli dostępu

Na koniec zamieszczam zbiór polityk kontroli w postaci tabelki. Wierzę, że przyda się ona w trakcie planowania konfiguracji oraz codziennej analizie zdarzeń tych polityk kontroli w Windows Server 2008.

Tab. 2. Zestawienie polityk kontroli dostępu w Windows Server 2008.
Kategoria główna

Kategoria główna

(auditpol)

Podkategoria

(auditpol)

Audit system events System Security State Change
    Security System Extension
    System Integrity
    IPsec Driver
    Other System Events
Audit logon events Logon/Logoff Logon
    Logoff
    Account Lockout
    IPsec Main Mode
    IPsec Quick Mode
    IPsec Extended Mode
    Special Logon
    Other Logon/Logoff Events
    Network Policy Server
Audit object Access Object access Registry
    Kernel Object
    SAM
    Certification Services
    Application Generated
    Handle Manipulation
    File Share
    Filtering Platform Packet Drop
    Filtering Platform Connection
    Other Object Access Events
Audit privilege use Privilege use Sensitive Privilege Use
    Non Sensitive Privilege Use
    Other Privilege Use Events
Audit process tracking Detailed tracking Process Creation
    Process Termination
    DPAPI Activity
    RPC Events
Audit policy change Policy change Audit Policy Change
    Authentication Policy Change
    Authorization Policy Change
    MPSSVC Rule-Level Policy Change
    Filtering Platform Policy Change
    Other Policy Change Events
Audit account management Account management User Account Management
    Computer Account Management
    Security Group Management
    Distribution Group Management
    Application Group Management
    Other Account Management Event
Audit directory service access DS access Directory Service Access
    Directory Service Changes
    Directory Service Replication
    Detailed Directory Service Replication
Audit account logon events Account logon Kerberos Service Ticket Operations
    Credential Validation
    Kerberos Authentication Service
    Other Account Logon Events

 Do początku strony Do początku strony

Podsumowanie

Polityki kontroli w Windows Server 2008 zostały rozszerzone. Wprowadzenie dwóch poziomów kategorii umożliwia dokładniejsze określenie interesujących nas zdarzeń. Jednocześnie takie rozwiązanie zapobiega nadmiernemu i niepotrzebnemu zapisywaniu informacji.

Dzięki intuicyjnemu i łatwemu w obsłudze narzędziu auditpol zarządzanie politykami kontroli jest obecnie prostsze w potoku codziennych zadań administracyjnych.

Paweł Pławiak Paweł Pławiak
Autoryzowany trener Microsoft i Training and Development Manager w firmie Compendium - Centrum Edukacyjne Sp. z o.o. jak również wykładowca akademicki. Posiada certyfikaty MCP/MCSA/MCSE/MCTS/MCITP/MCT a od lipca 2009 roku MVP w kategorii Directory Services. Regularnie uczestniczy w wielu projektach i wdrożeniach, gdzie pełni rolę konsultanta rozwiązań opartych o platformę serwerową Windows. Twórca autorskich programów w zakresie automatyzacji systemów Microsoft. Nieprzerwanie poszukuje nowych obszarów, gdzie przekazywanie wiedzy z praktycznymi umiejętnościami pozwala potwierdzać, że to co robi jest jego pasją. Aktywna współpraca z polskim oddziałem firmy Microsoft daje mu szerokie możliwości realizacji swoich zainteresowań w zakresie analizy produktów szkoleniowych oraz certyfikacji. Nieprzerwanie, od momentu inauguracji w maju 2008 roku współprowadzi Warszawską Grupę Użytkowników i Specjalistów Windows (WGUiSW). Prywatnie pasjonat karawaningu.
 Do początku strony Do początku strony

Windows Server 2008