Введение
Как я говорил ранее, в наше время стоит заботиться о безопасности пользовательских учетных записей и конфиденциальности информации вашего предприятия. Из предыдущих статей по локальным политикам безопасности вы узнали о методах использования локальных политик безопасности и о политиках учетных записей, при помощи которых вы смогли значительно повысить безопасность учетных записей пользователей. Теперь, после того как политики безопасности учетных записей у вас правильно настроены, злоумышленникам будет намного сложнее получить доступ к пользовательским учетным записям. Но не стоит забывать о том, что на этом ваша работа по обеспечению безопасности сетевой инфраструктуры не заканчивается. Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.
В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. В этой статье мы рассмотрим именно политики аудита и последующий анализ событий в журнале «Безопасность».
Настройка политик аудита
Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.
Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.
Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться
Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них
Вторая — для рядовых серверов и АРМ пользователей.
Таблица 2. Рекомендуемые настройки аудита Windows
| Категория | Подкатегория | Включить | Хост (DC, сервер, АРМ) | Категория (успех / отказ) |
| Account Logon | Audit Credential Validation | + | DC, сервер, АРМ | Успех и отказ |
| Audit Kerberos Authentication Service | + | DC | Успех и отказ | |
| Audit Kerberos Service Ticket Operations | + | DC | Успех и отказ | |
| Audit Other Account Logon Events | — | |||
| Account Management | Audit Application Group Management | + | DC | Успех и отказ |
| Audit Computer Account Management | + | DC | Успех | |
| Audit Distribution Group Management | + | DC | Успех | |
| Audit Other Account Management Events | + | DC, сервер, АРМ | Успех | |
| Audit Security Group Management | + | DC, сервер, АРМ | Успех | |
| Audit User Account Management | + | DC, сервер, АРМ | Успех и отказ | |
| Detailed Tracking | Audit DPAPI Activity | + | DC, сервер, АРМ | Успех и отказ |
| Audit PNP Activity | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Process Creation | + | DC, сервер, АРМ | Успех | |
| Audit Process Termination | — | |||
| Audit RPC Events | — | |||
| Audit Token Right Adjusted | — | |||
| DS Access | Audit Detailed Directory Service Replication | + | DC | Успех и отказ |
| Audit Directory Service Access | + | DC | Успех и отказ | |
| Audit Directory Services Changes | + | DC | Успех и отказ | |
| Audit Directory Service Replication | + | DC | Успех и отказ | |
| Logon/Logoff | Audit Account Lockout | + | DC, сервер, АРМ | Отказ |
| Audit User / Device Claims | — | |||
| Audit IPsec Extended Mode | — | |||
| Audit IPsec Main Mode | — | |||
| Audit IPsec Quick Mode | — | |||
| Audit Logoff | + | DC, сервер, АРМ | Успех | |
| Audit Logon | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Network Policy Server | — | |||
| Audit Other Logon / Logoff Events | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Special Logon | + | DC, сервер, АРМ | Успех | |
| Object Access | Audit Application Generated | — | ||
| Audit Certification Services | — | |||
| Audit Detailed File Share | — | |||
| Audit File Share | — | |||
| Audit File System | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Filtering Platform Connection | — | |||
| Audit Filtering Platform Packet Drop | — | |||
| Audit Handle Manipulation | — | |||
| Audit Kernel Object | — | |||
| Audit Other Object Access Events | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Registry | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Removable Storage | + | DC, сервер, АРМ | Успех и отказ | |
| Audit SAM | — | |||
| Audit Central Access Policy Staging | — | |||
| Policy Change | Audit Policy Change | + | DC, сервер, АРМ | Успех |
| Audit Authentication Policy Change | + | DC, сервер, АРМ | Успех | |
| Audit Authorization Policy Change | + | DC, сервер, АРМ | Успех | |
| Audit Filtering Platform Policy Change | — | |||
| Audit MPSSVC Rule-Level Policy Change | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Other Policy Change Events | — | |||
| Privilege Use | Audit Non Sensitive Privilege Use | + | DC, сервер, АРМ | Успех и отказ |
| Audit Other Privilege Use Events | — | |||
| Audit Sensitive Privilege Use | + | DC, сервер, АРМ | Успех и отказ | |
| System | Audit IPsec Driver | — | ||
| Audit Other System Events | + | DC, сервер, АРМ | Успех и отказ | |
| Audit Security State Change | + | DC, сервер, АРМ | Успех | |
| Audit Security System Extension | + | DC, сервер, АРМ | Успех | |
| Audit System Integrity | — | |||
| Global Object Access Auditing | File system | — | ||
| Registry | — |
После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.
Как узнать, когда внесены изменения в параметры управления доступом, кем и какими были изменения?
Чтобы отслеживать изменения управления доступом на компьютерах Windows Server2016, Windows Server 2012 R2, Windows Server 2012 Windows7, Windows Server2008R2, Windows Vista или Windows Server 2008, необходимо включить следующие параметры, которые отслеживают изменения DACLs:
- Подкатегория файловой системы аудита: включить для успешного, неудачного или успешного и неудачного
- Параметр Изменения политики авторизации аудита: включить для успешного, неудачного или успешного и неудачного
- SaCL с разрешениями на записи и получением прав собственности. Применить к объекту, который необходимо отслеживать
В Windows XP и Windows Server2003 необходимо использовать подкатегорию изменения политики аудита. ****
Справочники
Этот параметр политики определяет, какие учетные записи можно использовать для создания записей аудита в журнале событий безопасности. Подсистемная служба местного органа безопасности (LSASS) записывает события в журнал. Сведения в журнале событий безопасности можно использовать для отслеживания несанкционированного доступа к устройству.
Constant: SeAuditPrivilege
Рекомендации
Так как журнал аудита потенциально может быть вектором атаки, если учетная запись скомпрометирована, убедитесь, что только учетные записи локальной службы и сетевой службы имеют право на создание аудитов безопасности. ****
Значения по умолчанию
По умолчанию этот параметр является локальной службой и сетевой службой на контроллерах доменов и автономных серверах.
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Локализованная службаСлужба сети |
| Параметры по умолчанию для автономного сервера | Локализованная службаСлужба сети |
| Действующие параметры по умолчанию для контроллера домена | Локализованная службаСлужба сети |
| Действующие параметры по умолчанию для рядового сервера | Локализованная службаСлужба сети |
| Действующие параметры по умолчанию для клиентского компьютера | Локализованная службаСлужба сети |
Обзор
-
Предварительно существующий событие аудита создания процесса с ИДЕНТИФИКАТОРом 4688 теперь включает сведения об аудите для процессов командной строки.
-
Он также регистрирует хэш SHA1/2 исполняемого файла в журнале событий AppLocker.
приложения и службы логс\микрософт\ Windows \апплоккер
-
Вы включаете через GPO, но по умолчанию отключено.
«Включить командную строку в события создания процесса»
Рис. последовательность. \ * Арабский 16 событие 4688
Ознакомьтесь с обновленным событием с ИДЕНТИФИКАТОРом 4688 в REF _Ref366427278 \h рис. 16. До этого обновления ни одна из сведений о командной строке процесса не заносится в журнал. В связи с этим дополнительным протоколированием теперь можно увидеть, что не только был запущен процесс wscript.exe, но также он использовался для выполнения сценария VB.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Глобально видимый объект с именем, если его неправильно закрепить, может быть с помощью вредоносного программного обеспечения с помощью имени объекта. Например, если объект синхронизации, например mutex, имеет плохо выбранный дискреционный список управления доступом (DACL), вредоносное программное обеспечение может получить доступ к этому мутексу по имени и вызвать сбой в работе созданной программы. Однако риск такого возникновения очень низкий.
Возможное влияние
Если включить аудит: аудит доступа к глобальным системным объектам, можно создать большое количество событий безопасности, особенно на занятых контроллерах доменов и серверах приложений. Такое возникновение может привести к медленному реагированию серверов и заставить журнал Безопасности записывать многочисленные события, которые мало значат. Этот параметр политики можно включить или отключить, и выбрать события, записанные из этого параметра, нельзя. Даже организации, у которых есть ресурсы для анализа событий, созданных в этом параметре политики, вряд ли будут иметь исходный код или описание того, для чего используется каждый названный объект. Поэтому маловероятно, что большинство организаций выиграют, включив этот параметр политики.
Чтобы уменьшить количество созданных событий аудита, используйте расширенные политики аудита.
Что Windows аудита безопасности и почему я могу использовать его?
Аудит безопасности — это методическое исследование и проверка действий, которые могут повлиять на безопасность системы. В Windows операционных системах аудит безопасности — это функции и службы, которые администратору необходимо логить и проверять события для определенных действий, связанных с безопасностью.
Сотни событий происходят по мере выполнения Windows операционной системы и выполняемых на ней приложений. Мониторинг этих событий может предоставить ценную информацию для устранения неполадок администраторов и расследования действий, связанных с безопасностью.
Как откатать политики аудита безопасности из продвинутой политики аудита в базовую политику аудита?
Применение расширенных параметров политики аудита заменяет любые сопоставимые базовые параметры политики аудита безопасности. Если позднее вы измените параметр политики аудита на Not configured, необходимо выполнить следующие действия, чтобы восстановить исходные основные параметры политики аудита безопасности:
- Установите все подкатегории advanced Audit Policy для not configured.
- Удалите audit.csv файлы из папки %SYSVOL% на контроллере домена.
- Перенастройка и применение основных параметров политики аудита.
Если вы не выполните все эти действия, основные параметры политики аудита не будут восстановлены.
Дополнительные сведения для мониторинга домен Active Directory служб
Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:
-
аудит доступа к глобальным объектам — это волшебная информация о настройке и использовании расширенной конфигурации политики аудита, добавленной в Windows 7 и Windows Server 2008 R2.
-
введение в аудит изменений в Windows 2008 — введение в аудит изменений, внесенных в Windows 2008.
-
полезные советы по аудиту в vista и 2008 . объясняются интересные новые функции аудита в Windows Vista и Windows Server 2008, которые можно использовать для устранения неполадок или для просмотра того, что происходит в вашей среде.
-
-
один и тот же магазин для аудита в Windows server 2008 и Windows vista — содержит компиляцию функций аудита и сведений, содержащихся в Windows Server 2008 и Windows vista.
-
AD DS аудит пошаговых руководств. описание новой функции аудита домен Active Directory Services (AD DS) в Windows Server 2008. В нем также приводятся процедуры для реализации этой новой функции.
Настройка параметра аудита
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в области конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\Audit Policy.
| События доступа к объектам | Описание |
|---|---|
| 560 | Доступ был предоставлен уже существующему объекту. |
| 562 | Ручка для объекта была закрыта. |
| 563 | Была предпринята попытка открыть объект с намерением удалить его.Примечание: Это используется в файловой системе, когда флаг FILE_DELETE_ON_CLOSE указан в Createfile(). |
| 564 | Защищенный объект был удален. |
| 565 | Доступ был предоставлен уже существующему типу объекта. |
| 567 | Использовалось разрешение, связанное с ручкой.Примечание: Ручка создается с определенными предоставленными разрешениями (чтение, написание и так далее). Когда используется ручка, для каждого из используемых разрешений создается до одного аудита. |
| 568 | Была предпринята попытка создать твердую ссылку на файл, который проходит аудит. |
| 569 | Менеджер ресурсов в диспетчере авторизации попытался создать клиентский контекст. |
| 570 | Клиент попытался получить доступ к объекту.Примечание: Событие будет сгенерировано для каждой попытки операции на объекте. |
| 571 | Контекст клиента был удален приложением Диспетчер авторизации. |
| 572 | Администратор инициализировал приложение. |
| 772 | Диспетчер сертификатов отказал в ожидаемом запросе сертификата. |
| 773 | Службы сертификатов получили повторное сообщение о запросе сертификата. |
| 774 | Службы сертификатов отозвали сертификат. |
| 775 | Службы сертификатов получили запрос на публикацию списка отзыва сертификатов (CRL). |
| 776 | Службы сертификатов опубликовали список отзывов сертификатов (CRL). |
| 777 | Было сделано расширение запроса сертификата. |
| 778 | Изменен один или несколько атрибутов запроса сертификата. |
| 779 | Службы сертификатов получили запрос на отключение. |
| 780 | Началось резервное копирование служб сертификатов. |
| 781 | Резервное копирование служб сертификатов завершено |
| 782 | Начато восстановление служб сертификатов. |
| 783 | Восстановление служб сертификатов завершено. |
| 784 | Запущены службы сертификатов. |
| 785 | Службы сертификатов остановлены. |
| 786 | Изменены разрешения безопасности для служб сертификатов. |
| 787 | Службы сертификатов извлекли архивный ключ. |
| 788 | Службы сертификатов импортировали сертификат в свою базу данных. |
| 789 | Изменен фильтр аудита для служб сертификатов. |
| 790 | Службы сертификатов получили запрос на сертификат. |
| 791 | Службы сертификатов одобрили запрос сертификата и выдали сертификат. |
| 792 | Службам сертификатов отказано в запросе сертификата. |
| 793 | Службы сертификатов устанавливают состояние запроса сертификата на ожидание. |
| 794 | Изменены параметры диспетчера сертификатов для служб сертификатов. |
| 795 | Запись конфигурации изменена в службах сертификатов. |
| 796 | Изменено свойство служб сертификатов. |
| 797 | Службы сертификатов архивировать ключ. |
| 798 | Службы сертификатов импортировали и архивировали ключ. |
| 799 | Службы сертификатов опубликовали сертификат CA в Active Directory. |
| 800 | Одна или несколько строк были удалены из базы данных сертификатов. |
| 801 | Включено разделение ролей. |
Разрешение 1. Отключить параметр политики с помощью редактора объектов групповой политики
Убедитесь, что параметр политики включен с помощью групповой политики, а затем отключить параметр политики с помощью редактора объектов групповой политики. Для этого выполните следующие действия:
Убедитесь, что параметры подкатегории политики аудита силы (Windows Vista или более поздней) для переопределения параметров категорий политики аудита» были включены с помощью групповой политики
Для этого выполните следующие действия:
На компьютере нажмите кнопку Начните, указать на все программы, нажмите аксессуары, нажмите кнопку Запустить, введите rsop.msc в поле Открыть, а затем нажмите кнопку ОК.
Расширение конфигурации компьютера, расширение Windows Параметры, расширение Параметры безопасности, расширение локальных политик, а затем нажмите кнопку Параметры безопасности.
Дважды щелкните аудит: параметры подкатегории политики аудита принудительного аудита (Windows Vista или более поздней) для переопределения параметров категорий политики аудита.
Убедитесь, что для параметра политики установлен параметр Включен, а затем обратите внимание на объект групповой политики (GPO).
Отключить параметры подкатегории политики аудита принудительного аудита (Windows Vista или более поздней) для переопределения параметров категорий политик аудита» в GPO. Для этого выполните следующие действия:
В редакторе объектов групповой политики откройте GPO.
Расширение конфигурации компьютера, расширение Windows Параметры, расширение Параметры безопасности, расширение локальных политик, а затем нажмите кнопку Параметры безопасности.
Дважды щелкните аудит: параметры подкатегории политики аудита принудительного аудита (Windows Vista или более поздней) для переопределения параметров категорий политики аудита.
Щелкните Отключено, а затем нажмите кнопку ОК.
Перезапустите компьютер или компьютер.
Справочники
Доступ к этому компьютеру из параметра сетевой политики определяет, какие пользователи могут подключаться к устройству из сети. Эта возможность требуется для ряда сетевых протоколов, в том числе протоколов на основе блока сообщений сервера (SMB),NetBIOS, общей файловой системы Интернета (CIFS) и компонентной объектной модели Plus (COM+).
Пользователи, устройства и учетные записи **** служб получают или теряют доступ к этому компьютеру от сетевого пользователя, будучи явно или неявно добавлены или удалены из группы безопасности, которая получила это право пользователя. Например, учетная запись пользователя или учетная запись компьютера может быть явно добавлена в настраиваемую группу безопасности или встроенную группу безопасности, или она может быть неявно добавлена Windows в компьютерную группу безопасности, такую как пользователи домена, пользователи с проверкой подлинности или контроллеры Enterprise домена.
По умолчанию учетным записям пользователей и **** учетным записям машин предоставляется доступ к этому компьютеру от сетевого пользователя, если в объекте групповой политики по умолчанию определяются вычислительные группы, такие как пользователи с проверкой подлинности, а также контроллеры домена Enterprise контроллеры домена.
Константа: SeNetworkLogonRight
Рекомендации
- На настольных устройствах или серверах-членах предоставлять это право только пользователям и администраторам.
- В контроллерах домена это право предоставляется только пользователям, контроллерам корпоративных доменов и администраторам.
- В кластерах с сбойными данными убедитесь, что это право предоставляется пользователям, удостоверившись в подлинности.
- Этот параметр включает группу Everyone для обеспечения обратной совместимости. После Windows обновления после проверки правильной миграции всех пользователей и групп следует удалить группу **** Everyone и вместо этого использовать группу пользователей с проверкой подлинности.
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера GPO | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Все, администраторы, пользователи с проверкой подлинности, Enterprise контроллеры домена, Windows 2000 совместимый доступ |
| Параметры по умолчанию отдельного сервера | Все, администраторы, пользователи, операторы резервного копирования |
| Эффективные параметры контроллера домена по умолчанию | Все, администраторы, пользователи с проверкой подлинности, Enterprise контроллеры домена, Windows 2000 совместимый доступ |
| Параметры сервера-участника по умолчанию | Все, администраторы, пользователи, операторы резервного копирования |
| Параметры клиентского компьютера по умолчанию | Все, администраторы, пользователи, операторы резервного копирования |
Открываем «Локальную политику безопасности» в Windows 10
Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.
Способ 1: Меню «Пуск»
Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.
Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла»
Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем
Способ 2: Утилита «Выполнить»
Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:
- Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите , после чего нажмите на клавишу Enter или щелкните на «ОК».
Буквально через секунду откроется окно управления политикой.
Способ 3: «Панель управления»
Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:
- Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.
Перейдите к разделу «Администрирование».
В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.
Дожидайтесь запуска нового окна для начала работы с оснасткой.
Способ 4: Консоль управления Microsoft
В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.
- В меню «Пуск» найдите и перейдите к этой программе.
Через всплывающее меню «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.
В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».
Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».
Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера» — «Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.
Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.
Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.
Подробнее: Настраиваем локальную политику безопасности в Windows
Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.
Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.
Пример использования политики аудита
Допустим, у нас есть домен testdomain.com, в котором есть пользователь с учетной записью DImaN.Vista. в данном примере мы применим для этого пользователя политику «Аудит событий входа в систему» и увидим, какие события записываются в журнал безопасности при попытке несанкционированного доступа в систему. Для воспроизведения подобной ситуации выполните следующие действия:
- На контроллере домена создайте пользовательскую учетную запись и поместите ее в группу безопасности «Vista», которая расположена в подразделении «Группы»;
- Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
- В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Политика аудита», после чего нажмите кнопку «ОК»;
Рис. 3. Создание нового объекта групповой политики
Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
В появившемся окне «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита и откройте параметр политики «Аудит событий входа в систему»;
Установите флажки возле опций «Определить следующие параметры политики» и «отказ», как показано на следующей иллюстрации и нажмите на «ОК»;
Рис. 4. Изменение политики аудита
Закройте редактор управления групповыми политиками;
Свяжите объект «Политики аудита» с подразделением «Группы». Для этого щелкните правой кнопкой мыши на подразделение «Группы» и из контекстного меню выберите команду «Связать существующий объект групповой политики»;
Рис. 5. Связка объекта групповой политики с подразделением
В диалоговом окне «Выбор объекта групповой политики» выберите объект «Политика аудита» и нажмите на кнопку «ОК»;
Разверните подразделение «Группы» и в области «Фильтры безопасности» удалите фильтр «Прошедшие проверку». После этого нажмите на кнопку «Добавить» и выберите группу «Vista», которую мы создавали ранее;
Рис. 6. Установка фильтра безопасности
Перейдите на клиентскую машину и обновите групповые политики при помощи команды gpupdate;
Заблокируйте компьютер и попробуйте войти в систему, используя заведомо неправильный пароль;
На контроллере домена откройте оснастку «Просмотр событий» и перейдите в журнал «Безопасность»;
Рис. 7. Просмотр журнала безопасности
Как видите на предыдущей иллюстрации, сгенерировалось сообщение аудита отказа, соответственно, сгенерировался EventID 4771.
Архитектура Параметры расширения
Расширение Параметры редактора локальной групповой политики является частью средств диспетчера конфигурации безопасности, как показано на следующей схеме.
Архитектура Параметры безопасности
Средства настройки и анализа параметров безопасности включают движок конфигурации безопасности, который предоставляет локальный компьютер (не доменный член) и конфигурацию на основе групповой политики и анализ политик параметров безопасности. Движок конфигурации безопасности также поддерживает создание файлов политики безопасности. Основными функциями двигателя конфигурации безопасности являются scecli.dll и scesrv.dll.
В следующем списке описываются основные функции двигателя конфигурации безопасности и других Параметры связанных компонентов.
-
scesrv.dll
Этот .dll находится в services.exe и выполняется в локальном контексте системы. scesrv.dll обеспечивает основные функции диспетчера конфигурации безопасности, такие как импорт, настройка, анализ и распространение политики.
Scesrv.dll выполняет конфигурацию и анализ различных параметров системы безопасности, вызывая соответствующие API системы, включая LSA, SAM и реестр.
Scesrv.dll предоставляет API, такие как импорт, экспорт, настройка и анализ. Он проверяет, что запрос выполнен по LRPC (Windows XP) и не удается вызвать, если это не так.
Связь между частями расширения Параметры безопасности происходит с помощью следующих методов:
- Вызовы компонентной объектной модели (COM)
- Локальный вызов удаленной процедуры (LRPC)
- Протокол доступа к облегченным каталогам (LDAP)
- Интерфейсы служб Active Directory (ADSI)
- Блок сообщений сервера (SMB)
- API Win32
- Windows Вызовы инструментов управления (WMI)
На контроллерах домена scesrv.dll уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll эти изменения включаются в GPO политики контроллера домена по умолчанию с помощью APIscecli.dll изменения шаблонов.
Scesrv.dll также выполняет операции настройки и анализа. -
Scecli.dll
Это клиентский интерфейс или оболочка для scesrv.dll. scecli.dll загружается в Wsecedit.dll для поддержки оснастки MMC. Он используется установкой для настройки системной безопасности и безопасности файлов, ключей реестра и служб, установленных файлами API установки .inf.
Командная версия конфигурации безопасности и анализ пользовательских интерфейсов secedit.exe использует scecli.dll.
Scecli.dll реализует клиентскую расширения для групповой политики.
Scesrv.dll использует scecli.dll для скачивания применимых файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики на локальном устройстве.
Scecli.dll записи применения политики безопасности в WMI (RSoP).
Scesrv.dll политики использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA.
-
-
Wsecedit.dll
Расширение Параметры редактора объектов групповой политики. Этот инструмент используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или организационного подразделения. Вы также можете использовать Параметры безопасности для импорта шаблонов безопасности в GPO.
-
Secedit.sdb
Это постоянная база данных системы, используемая для распространения политики, включая таблицу настойчивых параметров для целей отката.
-
Базы данных пользователей
База данных пользователей — это любая база данных, помимо системной базы данных, созданной администраторами для настройки или анализа безопасности.
-
. Шаблоны Inf
Это текстовые файлы, содержащие декларативные параметры безопасности. Они загружаются в базу данных перед настройкой или анализом. Политики безопасности групповой политики хранятся в файлах .inf в папке SYSVOL контроллеров домена, где они загружаются (с помощью копии файлов) и сливаются в базу данных системы во время распространения политики.
Изменения в администрировании параметров
Со временем были внедрены новые способы управления настройками политики безопасности, которые включают новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства администрирования параметров политики безопасности.
| Средство или функция | Описание и использование |
|---|---|
| Secpol.msc Оснастка MMC, предназначенная для управления только настройками политики безопасности. | |
| Secedit.exe Настраивает и анализирует системную безопасность, сравнивая текущую конфигурацию с указанными шаблонами безопасности. | |
| Загрузка инструмента Ускоритель решений, который помогает планировать, развертывать, оперировать и управлять базовыми показателями безопасности для Windows и серверных операционных систем, а также приложений Майкрософт. | |
| Scw.exe SCW — это средство, основанное на роли, доступное только на серверах: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выбранного сервера для выполнения определенных ролей. | |
| Этот набор инструментов позволяет создавать, применять и изменять безопасность локального устройства, организационного подразделения или домена. | |
| Gpmc.msc и Gpedit.msc Консоль управления групповой политикой использует редактор объекта групповой политики для разоблачения локальных параметров безопасности, которые затем можно включить в объекты групповой политики для распространения по всему домену. Редактор локальной групповой политики выполняет аналогичные функции на локальном устройстве. | |
| Политики ограниченного использования программ См. правила администрирования политики ограничения программного обеспечения | Gpedit.msc Политики ограничения программного обеспечения (SRP) — это функция, основанная на групповой политике, которая определяет программы, работающие на компьютерах в домене, и контролирует возможность их запуска. |
| Администрирование AppLocker См. в приложении Администрирование AppLocker | Gpedit.msc Предотвращает влияние вредоносных программ (вредоносных программ) и неподтверганных приложений на компьютеры в вашей среде, а также не позволяет пользователям в организации устанавливать и использовать несанкционированные приложения. |
