Наблюдение за доступом к контролируемым ресурсам и изменениями политики авторизации позволяет отслеживать возможные угрозы безопасности, гарантировать отслеживания действий пользователей, а также предоставлять свидетельства в случае нарушения безопасности системы.

Типы аудита

В диспетчере авторизации можно использовать два вида аудита: аудит времени выполнения и аудит изменения хранилища данных авторизации.

Аудит времени выполнения

Аудит времени выполнения включает два следующих аспекта:

  • аудит времени выполнения инициализации приложения, создающий события аудита при открытии приложения;

  • аудит времени выполнения клиентского контекста и проверки доступа, создающий события аудита при создании клиентского контекста и при каждом клиентском запросе проверки доступа. Проверки доступа основаны на методе AccessCheck, который описан в разделе «Авторизация» документации Platform SDK. Дополнительные сведения об API, связанных с авторизацией, см. на веб-странице Авторизация (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=64031).

Аудит времени выполнения может быть настроен для регистрации успешных выполнений, отказов или и того и другого вместе.

Аудит изменений хранилища данных авторизации

Если включен аудит изменений хранилища данных авторизации, аудит проводится каждый раз при изменении хранилища данных авторизации. Аудит регистрирует все события - как успешные выполнения, так и отказы.

Диспетчер авторизации поддерживает ведение аудита изменений хранилища данных авторизации в файловой системе NTFS (для хранилищ данных авторизации на основе файлов XML), в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) и в Microsoft SQL Server.

Расположение событий аудита

Для просмотра событий аудита, созданных диспетчером авторизации, просмотрите журналы событий на соответствующем компьютере:

  • события аудита времени выполнения отражаются в журнале безопасности клиентского компьютера, на котором выполняется приложение;

  • события аудита изменения хранилища данных авторизации отражаются в журнале безопасности компьютера, на котором находится само хранилище.

    • В случае, если хранилище основано на файле XML, записи событий аудита можно найти в журнале средства просмотра событий компьютера, на котором физически располагается XML-файл.

    • Если хранилище авторизации использует доменные службы Active Directory (AD DS) или службы Active Directory облегченного доступа к каталогам (AD LDS), записи событий аудита можно найти в журнале средства просмотра событий сервера контроллера домена или сервера AD LDS, к которому осуществляется доступ.

    • В случае, если хранилище основано на SQL, записи событий аудита можно найти в журнале средства просмотра событий компьютера, на котором размещен сервер SQL Server.

Доступность аудита

Доступность аудита зависит от следующих факторов.

  • На чем основано хранилище данных авторизации: AD DS, AD LDS, XML или SQL.

  • На каком уровне настроен аудит: уровень хранилища данных авторизации, приложения или области.

Следующая таблица описывает доступность двух типов аудита.

Уровень Доступность аудита времени выполнения Аудит времени выполнения может быть настроен на этом уровне в Доступность аудита изменений хранилища данных авторизации

Хранилище данных авторизации

  • XML

  • AD DS и AD LDS

  • SQL Server

  • XML

  • AD DS и AD LDS

  • SQL Server

  • XML

  • AD DS и AD LDS

  • SQL Server

Приложение

  • XML

  • AD DS и AD LDS

  • SQL Server

  • XML

  • AD DS и AD LDS

  • SQL Server

  • AD DS и AD LDS

  • SQL Server

Область

  • XML

  • AD DS и AD LDS

  • SQL Server

Недоступно (настройка осуществляется на уровне приложений)

  • AD DS и AD LDS

  • SQL Server

Для использования аудита необходимо установить соответствующий флажок на вкладке Аудит. Для включения аудита времени выполнения установите флажок Аудит инициализации при запуске приложения. Для включения аудита изменения хранилища данных авторизации установите флажок Аудит проверки доступа и контекста клиента во время выполнения.

Настройка системы для разрешения аудита

Перед внедрением аудита необходимо выбрать политику аудита. Политика аудита определяет категории событий, связанных с безопасностью, которые необходимо отслеживать. По умолчанию после установки Windows все категории аудита отключены.

Чтобы настроить приложения и области для аудита, необходимо иметь право Управление аудитом и журналом безопасности на компьютере, содержащем хранилище данных авторизации. Для этого обычно необходимо войти в систему с учетной записью члена встроенной группы «Администраторы» или ввести по запросу пароль администратора.

Если хранилище данных авторизации основано на XML, необходимо указать аудит доступа к объектам. Если хранилище данных авторизации находится в AD DS или AD LDS, необходимо указать аудит доступа к службе каталогов.

Чтобы вести аудит времени выполнения клиентского контекста и проверок доступа, пользователи приложений, использующих диспетчер авторизации, должны иметь привилегию на Создание аудитов безопасности. Если у пользователей это право отсутствует, события аудита записываться не будут.

Включение аудита доступа к объектам

По умолчанию аудит доступа к объектам отключен. Включить его можно с помощью групповой политики в домене, на контроллерах домена или на других подходящих уровнях подразделений в AD DS или AD LDS. Также можно воспользоваться локальной политикой безопасности.

Если хранилище данных на основе XML расположено на контроллере домена, аудит доступа к объектам лучше всего включать в объекте групповой политики (GPO) Политика контроллеров домена по умолчанию. Если хранилище авторизации на основе XML расположено на рабочей станции или рядовом сервере, можно изменить объект групповой политики для данного компьютера, чтобы установить локальную политику безопасности, но эти параметры будут действовать только до следующего обновления параметров безопасности групповой политики. Это удобно, если аудит выполняется только один раз. Однако для регулярных аудитов безопасности следует изменить другой объект групповой политики, применяемый к компьютеру через доменные службы Active Directory.

Чтобы включить аудит доступа к объектам, настройте следующие объекты.

  • Для локального компьютера

    1. Откройте редактор локальных групповых политик.

    2. В дереве консоли дважды щелкните Конфигурация компьютера, Параметры Windows, Настройка безопасности, Локальные политики и Политика аудита.

    3. Щелкните Аудит доступа к объектам.

    4. В области сведений установите флажки Определить следующие параметры политики, Успех и Отказ.

  • Только для контроллеров домена

    1. Нажмите кнопку Пуск, выберите пункт Все программы, Администрирование, а затем дважды щелкните компонент Политика безопасности контроллера домена.

    2. В дереве консоли дважды щелкните Конфигурация компьютера, Параметры Windows, Настройка безопасности, Локальные политики и Политика аудита.

    3. Выберите пункт Аудит доступа к объектам.

    4. В области сведений установите флажки Определить следующие параметры политики, Успех и Отказ.

  • Для домена или подразделения

    1. Откройте консоль управления групповыми политиками.

    2. Щелкните правой кнопкой мыши объект групповой политики для аудита и выберите команду Изменить.

    3. В дереве консоли дважды щелкните Конфигурация компьютера, Политики, Настройка безопасности, Локальные политики и Политика аудита.

    4. Выберите пункт Аудит доступа к объектам.

    5. В области сведений установите флажки Определить следующие параметры политики, Успех и Отказ.

Дополнительная информация

  • Для изменения параметров доменной политики необходимо установить консоль GPMC. Консоль GPMC - это дополнительный компонент Windows Server 2008, который можно установить с помощью диспетчера сервера.

  • При изменении локального объекта групповой политики флажок Определить следующие параметры политики не отображается в редакторе локальных групповых политик. Он отображается только при изменении объектов групповой политики, хранящихся в доменных службах Active Directory.

  • Недоступность флажков аудита Успех и Отказ может означать, что флажок Определить следующие параметры политики был установлен с помощью политики безопасности, действующей на более высоком уровне в структуре доменных служб Active Directory. В этом случае необходимо выяснить, где установлен флажок Определить следующие параметры политики, и снять его. Для этого нужно проверить объекты групповой политики, действующие на данный компьютер.

Включение аудита доступа к каталогам

По умолчанию аудит доступа к службе каталогов отключен. Его можно включить с помощью групповой политики в домене, на контроллерах домена или на других подходящих уровнях подразделений в доменных службах Active Directory.

Чтобы включить аудит доступа к объектам, раскройте следующие узлы: Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, Политика аудита, а затем дважды щелкните пункт Аудит доступа к службе каталогов.

Установите флажок Определить следующие параметры политики , флажок Успех и флажок Отказ.

Прочие вопросы

  • Недоступность флажков аудита Успех и Отказ может означать, что флажок Определить следующие параметры политики был установлен с помощью политики безопасности, действующей на более высоком уровне в структуре доменных служб Active Directory. В этом случае необходимо выяснить, где установлен флажок Определить следующие параметры политики, и снять его. Для этого нужно проверить объекты групповой политики, действующие на данный контроллер домена.

  • После изменения объектов групповой политики введите в командной строке команду gpupdate, чтобы гарантировать, что изменения сразу вступят в силу.

Аудит, включенный наследованием

Проверки аудита, создаваемые с помощью наследования, действуют вне зависимости от локальных настроек. Например, если хранилище данных авторизации размещено в AD DS, политика аудита может быть унаследована от родительского подразделения в AD DS. Если хранилище данных авторизации основано на XML, то применима политика аудита для папки, содержащей файл XML.


Содержание