Konfigurace AD DS Auditu (Auditing)

Napsal uživatel Ondřej Soukup

Úterý, 20 Říjen 2009

V každém bezpečném prostředí by jste měli aktivně sledovat AD DS jako součást své celkové bezpečnostní strategie. Audit by měl pak identifikovat činnosti, ať už úspěšné či nikoliv, které se pokusily modifikovat objekty služby Active Directory. Díky nastaveným auditům tak můžete objevit pokusy o neoprávněné přihlášení do počítače či konkrétních složek na síti.

alt

Co je AD DS Audit (Auditing) ?

V logu z každého z auditů jsou zaznamenávány všechny vstupy, kdykoliv se uživatelé pokouší provádět některé z konkrétních akcí. Můžete tedy například zapnout auditování na objektu či politice, které následně ukáže, jaké akce byly provedeny ve spojení s uživatelským účtem, datumem a časem.

U řadičů domény, jsou některé audity ve výchozím nastavení zapnuty.

Nastavení Auditu má tři možnosti:

Stav	Popis
Úspěch (Success)	Audit je zapsán do logu po úspěšném provedení auditované akce.
Chyba (Failure)	Audit je zapsán do logu po neúspěšném provedení auditované akce.
No Auditing	Audit nebude zapsán do logu.

Od Windows server 2008 se rozšířila možnost auditování AD z jedné na čtyři podkategorie a to:

Directory service access (zapnuto ve výchozím stavu)
Directory service changes (vypnuto ve výchozím stavu)
Directory service replication (vypnuto ve výchozím stavu)
Detailed Directory service replication (vypnuto ve výchozím stavu)

Pro nastavení auditování jednotlivých podkategorií AD je nutné použít command line nástroj Auditpol.exe

Typy událostí při auditování

alt

Pomocí auditování lze získávat velké množství událostí, v tabulce uvádím některé z nich.

Navigace

Potřebujete pomoc?

V případě problémů, či žádosti o radu je možné se kdykoliv přímo obrátit na naše konzultanty:

GAUZY, s.r.o.

Ondřej Soukup
Solution Consultant
Tel.: +420 224 400 013
Mob.: +420 775 142 899
E-mial: soukup@gauzy.cz