Auditing doménových služeb Windows serveru 2008
Hezký den všem,
zdá se, že okurková sezona pomalu končí a tak se i já vracím k práci bloggera :) Dnešní téma je jedna z novinek v Active Directory.
Auditing v serveru Windows 2008 přináší oproti předchozím verzím windows serverů víc možností auditingu, mimo jiné i užitečné sledování změn hodnot objektů v doméně Active Directory. V předchozích verzích windows serverů se po zapnutí politiky Audit directory service access v rámci Group Policy pro doménové řadiče, objevují v security logu zápisy o úspěšných, či neúspěšných přístupech pro specifikované uživatele a objekty AD. Leč informace o tom co bylo vlastně změněno chyběla, doteď :)
Auditing v rámci politiky Audit directory service access obsahuje v serveru Windows 2008 celkem 4 pod-kategorie, které je možné konfigurovat zvlášť:
- Directory Service Access
- Directory Service Changes
- Directory Service Replication
- Detailed Directory Service Replication
Jak na zapnutí logování změn atributů
výše uvedené pod-kategorie nejsou konfugirovatelné z grafického prostředí. Pomocí Default Domain Controllers Policy je stále jen možné povolit/zakázat auditování přístupu k objektům AD. Jednotlivé pod-kategorie této politiky se nastavují pomocí nástroje auditpol.exe z příkazové řádky.
takto vypadá příkaz pro povolení auditování změn atrubutů objektů v AD, jde o první krok:
auditpol /set /subcategory:“directory service changes” /success:enable
následně je třeba na vámi vybraném OU nastavit auditování. Ve vlastnostech OU, na záložce Security vyberte Advanced a následně záložku Auditing. Klikněte na tlačítko Add a přidejte Authenticated users, či specifické uživatele a také zaškrtněte položku Write All Properties a typ přístupu Success (v předchozím příkazu jsme zapnuli auditování právě pro úspěšné změny, tedy success).
Pokud se vám vše povedlo, v security logu se začnou obětovat události o změnách atributů, i s původními a novými hodnotami:
v tomto případě změna atributu mail pro uživatele Roman Cernovsky, uzivatel který změnu udělal byl administrator. Zápis s číslem 5136 se v security logu objeví celkem dvakrát, poprvé se starou hodnotou a typem operace value deleted, podruhé jako value added a novou hodnotou atributu.
Pro úplnost ještě typy událostí a jejich číselné označení:
Event ID |
Type of event |
Event description |
---|---|---|
5136 |
Modify |
This event is logged when a successful modification is made to an attribute in the directory. |
5137 |
Create |
This event is logged when a new object is created in the directory. |
5138 |
Undelete |
This event is logged when an object is undeleted in the directory. |
5139 |
Move |
This event is logged when an object is moved within the domain. |
Pokud nemáte testovací prostředí pro běh Windows serveru 2008, opět doporučuji Technet Laby s připraveným testovacím prostředím i scénářem, v tomto případě pro Fine Grained password policies (tedy politik pro hesla https://blogs.technet.com/technetczsk/archive/2007/06/08/windows-server-2008-politiky-pro-hesla-a-ucty.aspx), ale je jen na vás jak prostředí využijete:
Technet virtual LAB - https://msevents.microsoft.com/cui/webcasteventdetails.aspx?eventid=1032343981&eventcategory=3&culture=en-us&countrycode=us
hezký den
Roman Černovský