Будь-адміністратор Active Directory рано чи пізно стикається з необхідністю аудиту зміни в Active Directory, і це питання може встати тим гостріше, чим більше і складніше структура Active Directory і чим більше список осіб, кому делеговано права керування в тому чи іншому сайті або контейнері AD. У сферу інтересів адміністратора (або фахівця з ІБ) можуть потрапити такі питання як:

В ОС сімейства Windows існують вбудовані засоби аудиту змін в різних об’єктах, які, як і багато інших параметрів Windows, мають можливості управління за допомогою групових політики.

Розберемо на конкретному прикладі методику включення аудит змін параметрів користувачів і членства в групах Active Directory (згідно даної методики можна включити відстеження та інших категорій подій).

Розширені політики аудиту Windows

Створимо новий об’єкт GPO (групову політику) з ім’ям «Audit Changes in AD». Перейдіть в розділ редагування і розгорніть гілку Конфігурація комп’ютера> Політики> Налаштування Windows> Налаштування безпеки> Розширена конфігурація аудиту. У даній гілці групових політик знаходяться розширені політики аудиту, який можна активувати в ОС сімейства Windows для відстеження різних подій. У Windows 7 і Windows Server 2008 R2 кількість подій, для яких можна здійснювати аудит збільшено до 53. Ці 53 політики аудиту (т.зв. гранулярні політики аудиту) знаходяться в гілці Параметри безпеки Розширена конфігурація політики аудиту згруповані в 10 категоріях:

Розширені (гранульовані) політики аудиту в Windows

  • Вхід в акаунт – аудит перевірки облікових даних, служби перевірки достовірності Kerberos, операцій з квитками Kerberos і інших події входу
  • Управління рахунками – відстеження змін в облікових записів користувачів і комп’ютерів, а також інформації про групи AD і членство в них
  • Детальне відстеження – аудит активності індивідуальних програм (RPC, DPAPI)
  • DS Access – розширений аудит змін в об’єктах служби Active Directory Domain Services (AD DS)
  • Вхід / вихід – аудит інтерактивних і мережевих спроб входу на комп’ютери і сервери домену, а також блокування облікових записів
  • Доступ до об’єкта – аудит доступу до різних об’єктів (ядру, файлової системи і загальних папок, реєстру, службам сертифікації і т.д.)
  • Зміна політики – аудит змін у групових політиках
  • Використання привілеїв – аудит прав доступу до різних категорій даних
  • Система – зміни в настройках комп’ютерів, потенційно критичних з точки зору безпеки
  • Глобальний аудит доступу до об’єктів – дозволяють адміністратору створити власне списки ACL, які відстежують зміни в реєстрі і файлової системою на всіх цікавлять об’єктах

Природно, щоб не перевантажувати систему зайвою роботою, а журнали непотрібною інформацією, рекомендується використовувати лише мінімально необхідний набір аудірумих параметрів.

Налаштування аудиту змін облікових записів і груп Active Directory

В даному випадку, нас цікавить категорія Управління рахунками, Що дозволяє включити аудит змін у групах Audit Security Group Management) і аудит облікових записів користувачів (політика Аудит управління обліковими записами користувачів). Активуємо дані політики аудиту, задавши відстеження тільки успішних змін (Успіху).

Аудит змін в AD: відстежуємо зміни в групах

Залишилося прілінкованние дану політику до контейнера, який містить облікові записи контролерів домену (за замовчуванням це OU Domain Controllers) і застосувати цю політику (вождів 90 хвилин або виконавши команду gpupdate / force).

Після застосування даної політики інформація про всі зміни в облікових записах користувачів і членство в групах буде фіксувати на контролерах домену в журналі Security. На скріншоті нижче відображено подія, що фіксують момент видалення користувача з груп Active Directory (в подію можна побачити хто, коли і кого видалив з групи).

Лог журналу показує хто видалив користувача з групи AD

За замовчуванням журнал відображає всі події безпеки, що потрапили в лог. Щоб спростити пошук потрібного події, журнал можна відфільтрувати по конкретному Event ID. У тому випадку, якщо нас цікавлюся тільки події, наприклад, що коливаються скидання пароля користувача в домені, необхідно включити фільтр по id 4724.

Фільтрація і пошук по ID події в журналі securiry windows

Нижче наведено список деяких ID подій, які можуть знадобитися для пошуку і фільтрації подій в журналі Security практиці:
Посвідчення особи подій, в контексті змін в групах Н.е.:

4727: Створена глобальна група із захистом.
4728: Член додано до глобальної групи із захистом.
4729: члена було вилучено із глобальної групи із захистом.
4730: Глобальну групу з підтримкою безпеки було видалено.
4731: Створена локальна група із захистом.
4732: член доданий до локальної групи із захистом.
4733: члена було видалено з локальної групи із захистом.
4734: Локальну групу з підтримкою безпеки було видалено.
4735: Змінено локальну групу із захистом.
4737: Змінено глобальну групу із захистом.
4754: Створено універсальну групу із захистом.
4755: Змінено універсальну групу із захистом.
4756: Член був доданий до універсальної групи із захистом.
4757: члена було вилучено з універсальної групи із захистом.
4758: Універсальну групу з увімкненим захистом було видалено.
4764: Тип групи змінено.

Посвідчення особи подій, в контексті змін в облікових записів користувачів в Н.е.:

4720: Створено обліковий запис користувача.
4722: Увімкнено обліковий запис користувача.
4723: Була зроблена спроба змінити пароль облікового запису.
4724: Була зроблена спроба скинути пароль облікового запису.
4725: обліковий запис користувача було вимкнено.
4726: Обліковий запис користувача було видалено.
4738: обліковий запис користувача змінено.
4740: Обліковий запис користувача було заблоковано.
4765: Історія SID була додана до облікового запису.
4766: Не вдалося додати історію SID до облікового запису.
4767: Обліковий запис користувача було розблоковано.
4780: ACL було встановлено для облікових записів, які є членами груп адміністраторів.
4781: Змінено назву облікового запису:
4794: Була зроблена спроба встановити режим відновлення служб каталогів.
5376: було створено резервну копію облікових даних менеджера облікових даних.
5377: облікові дані диспетчера облікових даних відновлено із резервної копії.

Основні недоліки вбудованої системи аудиту Windows

Однак у штатних засобів перегляду і аналізу логів в Windows є певні недоліки.

Природно, консоль Event Viewer надає лише базові можливості перегляду і пошуку інформації про ті чи інші події в системі і не передбачає можливостей складної обробки, групування і агрегації інформації. По суті ця задача цілком залежить від здібностей і рівня підготовки системного адміністратора або інженера ІБ, який за допомогою різних скриптів (наприклад, powershell илл vbs) або офісних засобів може розробити власну систему імпорту та пошуку по журналам.

Також не варто забувати, що за допомогою вбудованих засобів Windows складно об’єднати журнали з різних контролерів домену (можна, звичайно, скористатися можливістю перенаправлення логів в Windows, але цей інструмент також недостатньо гнучкий), тому пошук потрібного події доведеться здійснювати на всіх контролерах домену (в рамках великих мереж це дуже накладно).

Крім того, при організації системи аудиту змін в AD за допомогою штатних засобів Windows потрібно врахувати, що в журнал системи пишеться величезна кількість подій (найчастіше непотрібних) і це призводить до його швидкого заповнення і перезатіранію. Щоб мати можливість роботи з архівом подій, необхідно збільшити максимальний розмір журналу і заборонити перезапис, а також розробити стратегію імпорту та очищення журналів.

Саме з цих причин, для аудиту змін в AD в великих і розподілених системах переважно використовувати програмні комплекси сторонніх розробників. Останнім часом на слуху, наприклад, такі продукти, як Репортер змін в Active Directory NetWrix або ChangeAuditor для Active Directory.

Leave a Reply

Your email address will not be published. Required fields are marked *