Polityki kontroli w Windows 7/Windows Server 2008 R2
Autor: Paweł Pławiak
Opublikowano: 13 października 2009
Zawartość strony
Trochę historii | |
Polityki kontroli w Windows 7/Windows Server 2008 R2 – co się nie zmieniło? | |
Polityki kontroli w Windows 7/Windows Server 2008 R2 – gdzie są nowości i zmiany? | |
Czemu służą zmiany w politykach kontroli? |
Polityki kontroli towarzyszą systemom Windows już ponad dekadę. Niejednemu administratorowi i inżynierowi zapewniły dostęp do ważnych i niejednokrotnie niezbędnych informacji pozwalających na prawidłowe funkcjonowanie infrastruktury IT. W środowisku Windows 7/Windows Server 2008R2 wprowadzone zostały zmiany. Z jednej strony polityki kontroli jeszcze lepiej uzupełniają spełniają oczekiwania w zakresie ich działania, z drugiej zaś zapewniają łatwiejsze konfigurowanie. Niektórzy wprowadzone zmiany określają mianem liftingu. Na ile zatem są one głębokie, a przy tym praktyczne?
W artykule zostały zaprezentowane zagadnienia polityk kontroli oraz zmiany wyróżniające je w najnowszych systemach operacyjnych firmy Microsoft.
Trochę historii
Od samego początku polityki kontroli pogrupowane były w tak zwane kategorie. Od momentu wprowadzenia systemów z serii Windows 2000 liczba kategorii została zwiększona do dziewięciu (rys. 1.).
Rysunek 1: Kategorie główne polityk kontroli na przestrzeni lat.
Możliwość ich konfiguracji oprócz widocznych zalet ma pewne wady. Przede wszystkim okazało się, że na przykład rejestrując błędne próby logowania, uzyskiwaliśmy szereg innych zdarzeń z danej kategorii (zdarzenia logowania są w kategorii Account logon events). To powodowało, że liczba otrzymywanych informacji znacząco się zwiększała. Wprowadzenie w Windows Vista/Windows Server 2008 podkategoriiumożliwiło konfigurację bardziej szczegółową, dzięki czemu wada ta została w dużym stopniu wyeliminowana.
Do początku strony |
Polityki kontroli w Windows 7/Windows Server 2008 R2 – co się nie zmieniło?
Standardowo większością komponentów systemu Windows można zarządzać z poziomu graficznego i tekstowego . W najnowszych systemach Microsoft polityki kontroli mogą być konfigurowane identycznie jak wcześniej. Służą do tego:
1. konsola MMC z przystawką Local Computer Policy dla konfiguracji dotyczących ustawień lokalnych komputera, | |
2. konsola MMC z przystawką Group Policy Management, jeśli konfiguracja dotyczy GPO dołączonych do lokacji, domeny, jednostki organizacyjnej, | |
3. polecenie AUDITPOL.EXE dostępne w wierszu poleceń i w PowerShell dla konfiguracji lokalnego komputera oraz GPO dostępnych w środowisku domenowym. Opis działania polecenia AUDITPOL.EXE zamieszczony jest w artykule „Polityki kontroli w Windows Server 2008”,https://www.microsoft.com/poland/technet/article/art0108_01.mspx. |
Również stany polityk kontroli pozostały bez zmian i nadal mogą występować w czterech konfiguracjach (rys. 2.):
a) polityka nieskonfigurowana,
b) włączony audyt sukcesów,
c) włączony audyt niepowodzeń,
d) włączony audyt sukcesów i niepowodzeń.
Rysunek 2: Stany polityk kontroli.
Samo położenie polityk w drzewie Computer Configuration także pozostało bez zmian (rys. 3.).
Rysunek 3: Położenie polityki kontroli w Windows 7/Windows Server 2008 R2.
Analogicznie jak wcześniej, informacja o stanie polityki głównej kategorii jest prezentowana
w kolumnie Security Settings.
Rysunek 4: Stan ustawienia polityk kontroli.
Do początku strony |
Polityki kontroli w Windows 7/Windows Server 2008 R2 – gdzie są nowości i zmiany?
Zmiany, które wyróżniają Windows 7 i Windows Server 2008 R2 (zarówno w wersji 32bit, jak
i 64bit), zaszyte sąwystępują głębiej w konfiguracji i są związane są z czterema aspektami:
|
|
|
|
|
|
|
Ustawienia Advanced Audit Policy
Advanced Audit Policy umożliwia graficzną konfigurację podkategorii polityk kontroli (rys. 5.).
W Windows Vista/Windows Server 2008 nie było możliwości zarządzania nimi inaczej niż za pomocą polecenia AUDITPOL.
Rysunek 5: Położenie Advanced Audit Policy Configuration w gałęzi Computer Configuration.
W gałęzi System Audit Policies znajdziemy m.in. listę wszystkich głównych kategorii polityk kontroli (rys. 6.).
Opis przeznaczenia głównych kategorii polityk zamieszczony jest w artykule „Polityki kontroli w Windows Server 2008”,https://www.microsoft.com/poland/technet/article/art0108_01.mspx.
Rysunek 6: Zawartość gałęzi System Audit Policies.
W ramach każdej kategorii mamy możliwość ustawienia podkategorii zdarzeń (rys. 7.).
Rysunek 7: Widok podkategorii Account Logon.
Konfiguracja wybranej podkategorii wiąże się z określeniem jednego z czterech wcześniej omawianych stanów (rys. 8.).
Rysunek 8: Okno właściwości podkategorii Audit Credential Validation.
Działanie polityk kontroli może zostać uzupełnione czterema ustawieniami w gałęzi
Computer Configuration > Windows Settings > Local Policies > Security Options (rys. 9.).
Rysunek 9: Polityki związane z audytem w Security Options.
Audit: Audit Access of global system objects
Polityka określa, czy rejestrowany będzie dostęp do globalnych obiektów systemu. Włączenie jej powoduje rejestrowanie dostępu do takich obiektów, jak zdarzenia, procesy, semafory, wzajemne wykluczenia (muteksy) przez każdorazowe stworzenie dla nich systemowych list kontroli dostępu SACL.
Audit: Force audit policy subcategory (Windows Vista or later) to override audit policy category settings
Konfiguracja mieszana polityk kontroli nie jest zalecana. Chodzi o sytuacje, kiedy konfigurowane są równocześnie polityki kategorii głównych z politykami podkategorii. Istotne jest, aby korzystając wyłącznie z ustawień Advanced Audit Policy Configuration, włączyć politykę Audit: Force audit policy subcategory (Windows Vista or later) to override audit policy category settings .
Audit: Audit the use of Backup and Restore privilege
Konfiguracja polityki umożliwia uzyskiwanie informacji o użyciu prawa do wykonywania kopii zapasowych i/lub ich odtwarzania. Warunkiem rejestrowania tych zdarzeń jest konfiguracja kategorii Audit privilege use.
Audit: Shut down system immediately if unable to log security audits
Polityka pozwala na taką konfigurację, aby logowanie do systemu zostało zablokowane w przypadku braku możliwości rejestrowania zdarzeń zabezpieczeń. Odblokowanie dostępu przez usunięcie nadmiaru zdarzeń, zwiększenie limitu miejsca przeznaczonego na zdarzenia lub modyfikację tej polityki należy wtedy wyłącznie do użytkowników z prawami administratora.
Podkategoria zdarzeń Global Object Access Auditing
W ramach zaawansowanych polityk kontroli (określanych również mianem podkategorii polityk kontroli) pojawia się nowa opcja Global Object Access Auditing (rys. 10.). Umożliwia ona konfigurację systemowych list kontroli dostępu SACLs (z ang. System Access Control Lists).
Rysunek 10: Położenie opcji Global Object Access Auditing.
W ramach Global Object Access Auditing mamy do dyspozycji dwa ustawienia (rys. 11.), które domyślnie są nieskonfigurowane.
Rysunek 11: Ustawienia opcji w ramach Global Object Access Auditing.
File system – polityka, która umożliwia konfiguracje globalnych ustawień SACL dla systemu plików komputera. Na rysunku 12. przedstawiona jest przykładowa konfiguracja dla użytkownika Jan.Kowalski odpowiadająca uprawnieniom standardowym NTFS (Read/Read&Execute/List Folder Contents).
Rysunek 12: Przykładowa systemowa lista kontroli dostępu (SACL) dla ustawień File system.
Na uwagę zasługuje fakt, że do listy SACL zostały dodane trzy stany – Read, Write, Execute – które automatycznie kojarzą odpowiednie uprawnienia specjalne (rys. 13.). W działaniu jest to szablon, którego brakowało, a wiele osób nieznających zależności uprawnienia NTFS <> uprawnienia specjalne NTFS musiało posługiwać się specjalną tabelą zależności. Teraz jest łatwiej i szybciej. Zależność między wprowadzonymi stanami a właściwymi uprawnieniami prezentuje tabela 1.
Rysunek 13: Szablony uprawnień specjalnych w SACL dla polityki File system.
Uprawnienie szablon | Uprawnienia specjalne wchodzące w skład |
Read | List folder/read data |
Read | Read attributes |
Read | Read extended attributes |
Read | Read permissions |
Write | Create files/write data |
Write | Create folders/append data |
Write | Write attributes |
Write | Write extender attributes |
Write | Read permissions |
Execute | Traverse folder/execute file |
Execute | Read attributes |
Execute | Read permissions |
Tab. 1: Zależności między uprawnieniami specjalnymi a szablonami dla ustawień File system.
Registry – polityka, która umożliwia konfiguracje globalnych ustawień SACL dla rejestru komputera. Na rysunku 14. przedstawiona jest przykładowa konfiguracja dla użytkownika Jan.Kowalski odpowiadająca uprawnieniu standardowemu Read.
Rysunek 14: Przykładowa systemowa lista kontroli dostępu (SACL) dla ustawień Registry.
Podobnie jak w przypadku polityki File system, zostały dodane nowe stany – Read, Execute, Write (rys. 15.). Pełna zależność między tymi stanami a właściwymi uprawnieniami jest przedstawiona w tabeli 2.
Rysunek 15: Szablony uprawnień specjalnych w SACL dla polityki Registry.
Uprawnienie szablon | Uprawnienia specjalne wchodzące w skład |
Read | Query Value |
Read | Enumerate Subkeys |
Read | Notify |
Read | Read Control |
Write | Set Value |
Write | Create Subkeys |
Write | Read Control |
Execute | Query Value |
Execute | Enumerate Subkeys |
Execute | Notify |
Execute | Read Control |
Tab. 2: Zależności między uprawnieniami specjalnymi a szablonami dla ustawień Registry.
Opcja rejestrowania przyczyn zdarzenia
W Windows 7/Windows Server 2008 R2 wprowadzony został mechanizm zapewniający dostarczanie informacji, dlaczego dostęp do obiektu zakończył się sukcesem lub niepowodzeniem. Jest to przydatna opcja pozwalająca na przykład na określenie przyczyn braku dostępu do pliku w przypadku analizy działania aplikacji. Omawiana funkcja dotyczy udziałów sieciowych i systemu plików NTFS. Na rysunku 16. przedstawiony jest przykład ze szczegółową informacją, skąd użytkownik otrzymał stosowne uprawnienie. Sam zapis zgodny jest z Security Descriptor Definition Language (więcej informacji: https://msdn.microsoft.com/en-us/library/ms794693.aspx).
Rysunek 16: Przykładowy Access Check Results.
Nowa podkategoria
Wraz z systemami Windows Vista i Windows Server 2008 główne kategorie polityk kontroli zostały podzielone na 52 podkategorie. Obecnie jest ich 53 (tab. 3.).
Kategoria główna | Liczba podkategorii: Windows 7, Windows Server 2008 R2 | Liczba podkategorii: Windows Vista, Windows Server 2008 |
Audit account logon events | 4 | 4 |
Audit account management | 6 | 6 |
Audit directory service access | 4 | 4 |
Audit logon events | 9 | 9 |
Audit object access | 12 | 11 |
Audit policy change | 6 | 6 |
Audit privilege use | 3 | 3 |
Audit process tracking | 4 | 4 |
Audit system events | 5 | 5 |
Tab. 3: Porównanie liczby podkategorii polityk kontroli.
Nową podkategorią jest Detailed File Share. Pozwala na uzyskanie informacji o próbach dostępu do plików i folderów w zasobie sieciowym. Nowa podkategoria należy do kategorii Audit object access.
Opis przeznaczenia wcześniej dodanych podkategorii zamieszczony jest w artykule „Polityki kontroli w Windows Server 2008”,https://www.microsoft.com/poland/technet/article/art0108_01.mspx.
Do początku strony |
Czemu służą zmiany w politykach kontroli?
W politykach kontroli stale zachodzą zmiany, dzięki czemu uzyskujemy nowe możliwości prowadzenia audytu systemu. Kierunek rozwoju polityk w nowych systemach Windows 7/Windows Server 2008 R2 dowodzi, że ich znaczenie jest jeszcze mocniej akcentowane. Ulepszenia oraz zmiany z całą pewnością ułatwią uzyskiwanie dokładniejszych informacji, które administratorom i inżynierom są niezbędne w codziennej pracy.
Paweł Pławiak Autoryzowany trener Microsoft i Training and Development Manager w firmie Compendium - Centrum Edukacyjne Sp. z o.o. jak również wykładowca akademicki. Posiada certyfikaty MCP/MCSA/MCSE/MCTS/MCITP/MCT a od lipca 2009 roku MVP w kategorii Directory Services. Regularnie uczestniczy w wielu projektach i wdrożeniach, gdzie pełni rolę konsultanta rozwiązań opartych o platformę serwerową Windows. Twórca autorskich programów w zakresie automatyzacji systemów Microsoft. Nieprzerwanie poszukuje nowych obszarów, gdzie przekazywanie wiedzy z praktycznymi umiejętnościami pozwala potwierdzać, że to co robi jest jego pasją. Aktywna współpraca z polskim oddziałem firmy Microsoft daje mu szerokie możliwości realizacji swoich zainteresowań w zakresie analizy produktów szkoleniowych oraz certyfikacji. Nieprzerwanie, od momentu inauguracji w maju 2008 roku współprowadzi Warszawską Grupę Użytkowników i Specjalistów Windows (WGUiSW). Prywatnie pasjonat karawaningu. |
Do początku strony |