Modificări de audit în directorul activ, ferestre pentru administratorii de sistem

Orice administrator de Active Directory, se confruntă mai devreme sau mai târziu, necesitatea de a activa Schimbarea directorului de audit, iar această problemă poate apărea mai acut decât mai mare și mai complex, structura Active Directory și mai mult lista persoanelor care sunt delegate dreptul de a opera într-un anumit site sau container AD. În sfera de interese ale administratorului (sau un specialist IB) poate primi întrebări, cum ar fi:

În sistemele de operare Windows, sunt încorporate în auditarea modificărilor în diverse obiecte, care, la fel ca multe alte setări pentru Windows, care au capacitatea de a gestiona utilizând politica de grup.

Politica de audit Windows Advanced

Modificări de audit în directorul activ, ferestre pentru administratorii de sistem

Desigur, pentru a nu supraîncărca sistemul de lucru suplimentar și reviste cu informații inutile, se recomandă să utilizați numai parametrii setați audirumyh minime necesare.

Setarea schimbării conturilor de audit Active Directory și grupuri

Modificări de audit în directorul activ, ferestre pentru administratorii de sistem

Rămâne politica pentru a lega containerul care cuprinde conturile de controlere de domeniu (de controlere implicit OU domeniu), și aplică politica (după o așteptare de 90 de minute sau comanda gpupdate / vigoare a alerga).

După aplicarea informațiilor de politică cu privire la toate modificările aduse conturilor de utilizator și membru al grupului va stabili pe controlerele de domeniu în jurnalul de securitate. Captura de ecran de mai jos prezintă evenimentul și evidențiază eliminarea Active Directory grupurilor de utilizatori (în cazul in care se poate vedea cine și când cineva eliminat din grup).

Modificări de audit în directorul activ, ferestre pentru administratorii de sistem

afișează istoric implicite toate evenimentele de securitate, prinse într-un jurnal. Pentru a simplifica căutarea jurnalului de evenimente corespunzător poate fi filtrată printr-un ID eveniment specific. În acest caz, dacă suntem interesați numai de evenimente, cum ar fi balansarea resetarea parolei de utilizator din domeniu, trebuie să activați filtrul pe ID-ul 4724.

Modificări de audit în directorul activ, ferestre pentru administratorii de sistem

Mai jos este o listă a unora dintre evenimentele de identitate, care pot fi necesare pentru căutarea de evenimente și filtrarea în practica în jurnalul de securitate:
IDsobyty, în contextul modificărilor gruppahAD:

4727. Un grup global activat de securitate a fost creat.
4728. Un membru a fost adăugat la un grup global activat de securitate.
4729. Un membru a fost eliminat dintr-un grup global activat de securitate.
4730. Un grup global activat de securitate a fost ștearsă.
4731. Un grup local activat de securitate a fost creat.
4732. Un membru a fost adăugat la un grup local de securitate activată.
4733. Un membru a fost eliminat dintr-un grup local de securitate activată.
4734. Un grup local activat de securitate a fost ștearsă.
4735. Un grup local activat de securitate a fost schimbată.
4737. Un grup global activat de securitate a fost schimbată.
4754. Un grup universal activat de securitate a fost creat.
4755. Un grup universal activat de securitate a fost schimbată.
4756. Un membru a fost adăugat într-un grup universal activat de securitate.
4757. Un membru a fost eliminat dintr-un grup universal activat de securitate.
4758. Un grup universal activat de securitate a fost ștearsă.
tip 4764. Un grup a fost schimbat.

a fost creat 4720. Un cont de utilizator.
4722. Un cont de utilizator a fost activat.
4723. O încercare a fost făcută pentru a schimba parola unui cont.
a fost făcută 4724. O încercare de a reseta parola unui cont.
4725. Un cont de utilizator a fost dezactivat.
4726. Un cont de utilizator a fost șters.
4738. Un cont de utilizator a fost schimbat.
4740. Un cont de utilizator a fost blocat.
4765. SID Istoria s-a adăugat într-un cont.
4766. O încercare de a adăuga istorie SID într-un cont nu a reușit.
4767. Un cont de utilizator a fost deblocat.
4780. ACL a fost stabilită pe conturi care sunt membri ai grupurilor de administratori.
4781. Numele unui cont a fost schimbat:
a fost făcută 4794. O încercare de a seta Directory Services Restore Mode.
5376. acreditări Credential Manager au fost susținute.
5377. acreditări Manager de acreditări au fost restaurate dintr-o copie de rezervă.

Principalele dezavantaje ale sistemului de audit integrat pentru Windows

De asemenea, nu uitați că, cu ajutorul built-in Windows este dificil să se combine jurnalele din diferite controlere de domeniu (puteți, desigur, să ia această ocazie pentru a redirecționa jurnalele în Windows. Dar acest instrument este, de asemenea, nu suficient de flexibil), astfel încât găsirea evenimentul potrivit va trebui să efectueze pe toate controlerele de domeniu (în este foarte scump) o parte din rețele mari.

În plus, organizarea auditului schimbării sistemului în AD, folosind mijloace standard pentru Windows trebuie remarcat faptul că, în jurnalul de sistem este scris un număr mare de evenimente (de multe ori inutile) și acest lucru duce la umplerea sa rapidă și perezatiraniyu. Pentru a putea lucra cu Istoricul evenimentelor, ar trebui să măriți dimensiunea maximă a jurnalului și pentru a preveni suprascrierea, și să dezvolte o strategie pentru importul si compensare busteni.

Din aceste motive, pentru modificările de audit în AD și în sisteme distribuite de mari dimensiuni este de preferat să se utilizeze sisteme software de dezvoltatori terți. Recent, în cadrul ședinței, de exemplu, produse cum ar fi NetWrix Active Directory Change Reporter sau ChangeAuditor pentru Active Directory.