Аудит в Windows Server 2008/2012

Опубликовал admin

Сентябрь 12, 2013

В Windows Server 2008 система аудита была существенно переработана, увеличено на 53 количество параметров. Стали отслеживаться все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя выполнившего операцию. Правда если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся. Аудит внедряется при помощи: глобальной политики аудита (Global Audit Policy, GAP), списка управления доступом (SACL, System access control list) и схемы. Управлять аудитом стало возможным на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории в каждой из которых настраиваются специфические параметры:

Directory Service Access — доступ к службе каталогов;
Directory Service Changes — изменения службы каталогов;
Directory Service Replication — репликация службы каталогов;
Detailed Directory Service Replication — подробная репликация службы каталогов.

Для просмотра записей в журнале безопасности предложена консоль Просмотр событий (Event Viewer) в Windows Server 2008 умеющая фильтровать события по дате при помощи настраиваемого представления: по уровню (критическое, предупреждение, ошибка и т.д.), источнику, коду, пользователю или компьютеру и ключевым словам. Один раз настроив и сохранив такой фильтр можно затем быстро получить нужные данные одним щелчком. Большим минусом системы аудита Windows Server 2008 было то, что админ по сути ни как не предупреждался и просматривал события только по необходимости (например по жалобе пользователя). В Windows Server 2008 R2 появились возможность связать настраиваемые представления с задачей и в случае срабатывания правил запустить программу, отправить сообщение по email или вывести сообщение на рабочий стол. Забегая чуть вперед, скажу, что из этих трех в Win2012 рекомендуемым является только первый.

Еще одним инструментом автоматизирующим процесс анализа информации является набор командлетов для работы с журналами локального или удаленных систем *-Eventlog и *-WinEvent. Просмотреть полный список с указанием их назначения можно командой:

PS> Get-Help *-Eventlog

Например, просмотрим события с ID 4720 (создание учетной записи):

PS> Get-EventLog security | ?{$_.eventid -eq 4720}

При знании PowerShell можно отбирать действительно важные события.
В Windows Server возможности аудита были расширены. Появление динамического контроля доступа (Dynamic Access Control) дал возможность задавать expression-based политики аудита на основе выражений и свойств объекта, позволяя получить более точную информацию обо всех попытках доступа к важным документам. Например, можно настроить политику аудита всех пользователей, не имеющих необходимый доступ, но пытавшихся прочитать документ. Активируется такая политика непосредственно в свойствах файла или папки или при помощи аудита доступа к глобальным объектам (Global Object Access Auditing). Настроенные политики генерируют события при каждом обращении пользователя к файлам (с номерами 4656, 4663) содержащие атрибуты файлов, которые можно отбирать при помощи фильтров.
Но, наверное одним из самых важных нововведений появилась возможность отслеживать попытки обращения к съемным устройствам. Система генерирует события с двумя ID: успешное (4663) и неудачные попытки (4656).

По умолчанию для клиентских систем аудит отключен, для серверных активна только подкатегория Доступ к службе каталогов Active Directory. Для политиками используется Редактор управления групповыми политиками перейти в ветку Политики/Параметры безопасности/Локальные политики/Политика аудита. Здесь 9 категорий: аудит входа и событий входа в систему, доступа к объектам, изменения политики, использование привилегий, отслеживание процессов, системных событий, управление учетными записями. Просто переходим сюда и указываем контролируемые события (успех, отказ). Более тонко политики устанавливаются в Политики/Параметры безопасности/Конфигурация расширенной политики аудита(Advanced Audit Policy Configuration)/Политики аудита.
И хотя в Win2012 ссылку на консоль cmd.exe найти не возможно, она никуда не делась, поэтому для настроек можно использовать утилиту командной строки auditpol, получить полный список GAP с установленными параметрами при помощи auditpol достаточно ввести команду:

> auditpol /list /subcategory:*

Активируем аудит съемных носителей:

> auditpol /set /subcategory:"Съемные носители" /success:enable /failure:enable

Вот собственно и все возможности. Система аудита Windows позволяет собрать достаточно много информации, ее главный недостаток состоит в том, что нужно знать что искать. События с одним номером могут означать изменения самых разных объектов, одно действие пользователя может генерировать десяток событий и пропустить что-то действительно важное очень легко. Все это требует знаний и исследований.
Информация собранная системой аудита, используется при расследованиях, а поэтому многие стандарты безопасности (HIPAA, SOX, PCI и другие) требуют чтобы журналы сохранялись длительное время (до 7 лет). Размеры журналов Windows по умолчанию ограничены 128 Мб и при большом количестве событий он будет быстро перезаписан. Избежать этого можно установив в свойствах журнала в Event Viewer больший размер и активацией параметра “Архивировать журнал при заполнении. Не перезаписывать события”. Но об архивации и поиске информации в этом массиве (если такая необходимость возникнет) администратору придется позаботится самому. Встроенный аудит доступа к файлам создает большую дополнительную нагрузку на сервер. То есть аудит в Win есть, но он неудобен.
Эти и многие другие проблемы решают при помощи сторонних приложений, обеспечивающих консолидацию логов с разных источников, лучший аудит изменений, меньший объем данных.