Otázka auditovania zmien v službe Active Directory je veľmi dôležitá v infraštruktúrach veľkých domén, v ktorých sú práva na rôzne komponenty správy služby Active Directory delegované na široký okruh ľudí. V predchádzajúcom článku sme vo všeobecnosti hovorili o existujúcich nastaveniach skupinových pravidiel, ktoré vám umožňujú auditovať zmeny v službe Active Directory. Vyzbrojení touto technikou môže správca domény sledovať vytváranie a odstraňovanie skupín AD, rovnako užívateľ pridávať / odoberať udalosti do týchto skupín.
Radiče domény už predvolene majú politiku zhromažďovania informácií o zmenách v skupinách služby Active Directory, ale zaznamenávajú sa iba úspešné pokusy o zmenu.
Pomocou skupinovej politiky povoľujeme vynútené protokolovanie všetkých udalostí o zmenách v skupinách služby Active Directory. Ak to chcete urobiť, otvorte konzolu správy Group Policy Manager, vyhľadajte a upravte politiku štandardné doména kontrolór politika (predvolene sa toto pravidlo vzťahuje na všetky radiče domény).
poznámka. Sledovanie udalostí auditu skupín zabezpečenia domény má zmysel iba v radičoch domény.
Prejdime k ďalšej časti GPO: Konfigurácia počítača-> Politiky-> Nastavenia systému Windows-> Nastavenia zabezpečenia-> Rozšírené nastavenia Zásady auditu-> Zásady auditu -> Správa účtov. Zaujíma nás politika Správa bezpečnostnej skupiny pre audit.
Otvorte politiku a upravte ju, čo znamená, že sa budú zbierať ako úspešné (úspech) a neúspešné (zlyhanie) zmeniť udalosti v skupinách zabezpečenia domény.
Zostáva čakať na použitie upraveného GPO na radičoch domény alebo na vykonanie manuálnej aktualizácie GPO pomocou príkazu.
gpupdate / force.
Zhromaždené audítorské udalosti si môžete prezrieť v protokole zabezpečenia. Kvôli prehľadnosti vytvoríme samostatné zobrazenie denníka udalostí. Vyberte túto položku v konzole Windows Event Viewer pomocou kontextovej ponuky vytvoriť zvyk vyhliadka.
V okne možností filtrovania zobrazenia zadajte:
Logom - "Bezpečnosť"
Zahŕňa / vylučuje ID udalostí - Zaujímajú nás udalosti s nasledujúcim EventID: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
poznámka. Zhromaždili sme všetky ID udalostí zodpovedajúce rôznym zmenám v bezpečnostných skupinách AD. Napríklad,
ID 4727 - udalosť vytvorenia skupiny
ID 4728 - udalosť pridať používateľa do skupiny
ID 4729 - udalosť odstrániť používateľa zo skupiny
ID 4730 - udalosť vymazania bezpečnostnej skupiny
V prípade potreby môžete filter nakonfigurovať jemnejšie a ponechať iba udalosti, ktoré sú predmetom záujmu.
Uložte zmeny a zadajte napríklad názov zobrazenia Zmeny audítorskej skupiny.
Pre experiment pridajte (pomocou konzoly ADUC) používateľa JJonson do skupiny domén Network Admins. Potom otvoríme a aktualizujeme pohľad, ktorý sme vytvorili.
Ako vidíte, objavilo sa v ňom niekoľko nových udalostí..
Otvorením akejkoľvek udalosti môžete zobraziť informácie o vykonaných zmenách podrobnejšie. Otvorte udalosť pomocou EventID 4728. Vo svojom obsahu je viditeľný. tento užívateľ dadmin pridal užívateľský účet JJonson do skupiny Network Admins
Subject: Security ID: corp \ dadmin Názov účtu: dadmin
Doména účtu: corp
Prihlasovacie ID: 0x85A46579
člen:
ID zabezpečenia: corp \ Jonson
Názov účtu: CN = JJonson, OU = Users, OU = Accounts, DC = corp, DC = loc
skupina:
ID zabezpečenia: corp \ Network Admins
Názov skupiny: Network Admins
Doména skupiny: corp
Ak je to potrebné, môžete prepojiť potrebné ID udalostí na automatické odosielanie e-mailových oznámení správcom zabezpečenia prostredníctvom spúšťačov udalostí.
