Windows 網路架設: 機密資料的 Windows 事件稽核
對於存取控制的需求、法規遵循和網路複雜度使得事件稽核比以往更加重要。
David Rowe
山的存取稽核需求不斷地持續成長。 因此,也執行周圍存取公司資料,例如問題:
- 誰可以存取什麼?
- 誰存取資料?
- 有哪些控制項是在管理的權限的地方?
這些問題 — 等等 — 場、 成為常見非 IT 的討論區與伺服器的容量或軟體的部署。
雖然不可能忽略稽核需求,構成理想的方法,用於您的特定需求的戰術仍然難以捉摸。 每個組織與不同的應用程式、 防火牆、 網路設定和其他的複雜性。 大部分會共用通用的基本元件,包括 Microsoft Active Directory 和其相關的 Windows 檔案系統。
視窗和 [Active Directory 已成為在幾乎所有企業的裝訂。 在這些平台上的稽核安全性事件是無所不在的挑戰幾乎所有的 IT 管理員相關。 不過,明顯的解決方案會顯示隱藏的挑戰。
Microsoft Windows 伺服器,包括 Active Directory 伺服器具有內建的事件記錄功能。 您可以設定這些事件日誌,以擷取重要的安全性事件,例如建立使用者帳戶和安全群組成員資格變更。不過,正確的方式擷取正確的資訊,讓您能夠進行工作是複雜的商務。 有幾個設定 Windows 事件記錄時,必須採取的步驟。 即使如此,結果可能會有 unsatisfying。
設定 Windows 事件記錄
稽核回應周圍的傳統智慧表示: 「 只要擷取,這種狀況,從每個系統的所有項目。 記錄,並將一種機制將記錄檔轉換成可搜尋、 可以用於報告且便於用來保存一些長期儲存格式。
安全性資訊及事件管理 (SIEM) 與記錄檔管理解決方案通常訂閱此行的思考模式。 這可讓他們的優點是可以監視數百個解決方案的不同廠商的 — 從軟體應用程式的網路硬體,與一般的方法。 不用說,實作這個方法會更容易比做。
以下是一些您應該採取的步驟設定 Windows,並使用中的目錄事件記錄時是否為使用 SIEM 方案,或只是為了未來的稽核擷取的整合。
1. 決定您需要的事件
首先,您必須了解您要追蹤的事件。 您也必須蒐集相關聯的事件識別碼 (Id)。 更加複雜的這項工作是事件 ID 編號的 Windows 版本之間的不同。 比方說,Windows Server 2008 會使用四位數事件識別碼,以及稽核子類別的每個主要的稽核類別。
有許多看起來相似,所以您真正需要知道您正登正確的事件的事件。 因此請務必了解事件 Id 之間的交互單一動作通常會在記錄中,產生了很多事件。
在 Windows Server 2008 中的子類別會很有用,因為您可以啟用某些事件,而不是其他的稽核。 這是正確的方向,Microsoft 的稽核步驟。 比方說,而非將所有的帳戶管理事件一樣,您可以在安全群組管理上啟用稽核,但停用在通訊群組管理的稽核。
您必須使用命令列工具,將稽核設定套用至子類別。 您仍然無法取得進階篩選功能,例如對高風險的群組或使用者的子集,所採取的動作上的警示。
另外還有帳戶管理 」 稽核事件,並重疊的目錄服務存取稽核事件。 這變得複雜進一步重要。 如果兩者都啟用,您可以看到更多的重複事件,以建立產生混淆,有關在哪裡可以找到的最佳的事件資料。 「 過去 」 和 「 After 」 值會寫入到不同的事件。 在許多情況下,您必須建立來回答更基本的多個事件之間的關係。
2. 在您想要的物件上啟用稽核
一旦您知道您要稽核,並具備相關聯的事件識別碼的事件組,您必須啟用稽核物件本身。 在某些情況下,可能就足以的預設設定。
因此請務必了解什麼稽核設定以及套用您需要以符合您需求的任何變更,您可以管理物件的物件,而定的稽核設定。 比方說,您可以在物件上按一下滑鼠右鍵,瀏覽至 [安全性] 索引標籤,按一下 ["進階"。這可讓您在 [稽核] 索引標籤的 [允許來自父物件的繼承的稽核設定或加入特定的稽核設定值,這個特定的物件或所有的子物件上套用變更的項目。
換句話說,如果您啟用安全群組的稽核,您仍然需要確保這些特定的安全群組物件已啟用稽核。 一般而言,啟用稽核對目錄物件是啟用適當的群組原則] 物件中的 「 稽核帳戶管理 」 一樣簡單。 請記住,不過,設定各種 Windows 版本中稍有不同的稽核。 如果您有混合式的環境,請務必適當的稽核設定的指示,請參閱說明文件。 也請確定您的稽核原則都已正確設定在每個 Active Directory 網域控制站上。
您也可以使用作用中的目錄服務介面編輯器] 或 [Adsi 編輯器],在您想要篩選之外的稽核處理過程的屬性上套用 「 不稽核 」 旗標。 這樣做會移除所有的稽核的所有物件的屬性,所以這樣小心。 例如,您將無法分辨的系統管理使用者帳戶及其他帳戶。
3. 設定事件記錄檔設定
第三個步驟是設定記錄檔。 您必須設定適當的存取權限,讓進階的使用者,以掩飾其蹤跡尋找無法清除記錄檔,以隱藏其蹤跡。 如果未啟用記錄的安全性原則,任何已驗證的使用者就會具備足夠的權限寫入和清除應用程式記錄檔。 預設情況下,系統及安全性記錄檔只會清除系統軟體或系統管理員。
您也需要設定您的需求與特定的環境為基礎的最大記錄檔大小和保留規則。 這些設定可協助您控制多大的記錄檔可成長,以及它們達到該最大值時,會發生什麼事。 這一點十分重要的因為您需要記錄檔收集系統,才能夠有效率地處理記錄檔。 當它們變得太大時,記錄檔可能會明顯降低伺服器效能。
系統記錄檔不理想的狀況被專為簡單搜尋、 有彈性的報告或長期保存。 它們很容易正確且嚴的設定。 假設所有項目是完全部署和維護,您應該能夠收集相關稽核報告所需的資料。 正在擷取有用的資訊,並從該資料產生可執行動作的結果是一項全新的挑戰。
例如,單一動作通常會產生多個記錄檔事件。 這可讓您難以區別特定的動作,如財務部門存取財務檔案中不限的使用者。 每個事件都標示為 「 事件 ID 」 和 「 通常看起來著這神秘非專業的商務經理人和稽核員 」 的語言。 您將需要花費大量時間和精力轉譯記錄資料稽核或帳目期間檢閱程序。
它也是值得考慮的事件記錄檔僅能擷取一小部分,會有什麼狀況。 例如,可能有一組預先定義出現在 「 安全性事件日誌 」 中的物件和屬性變更 Active Directory 中。 以安全群組的描述屬性的變更不會出現在記錄檔中。
您可能無法設定事件日誌,以擷取將無法使用預設的情況下,屬性的變更,而大部分的組織則無。 這會建立一層的管理和設定,可能會造成麻煩。 記錄檔通常還會排除重要的資訊,例如深刻或值已經變更之前發生 (因為您可能需要還原)。
SIEM 和記錄檔的管理解決方案有時可以改善這種情況對記錄檔更容易搜尋、 報告和保存。 許多組織低估了初始與持續努力,才能取得所需的答案。
對某些組織而言,這可能仍然是最好的方法因為成本和人力可以權衡最後的結果 — 百潛在的系統,並根據存取控制、 保留及相容性需求的能力的事件記錄檔的長時間的長期存放區。 如果您的主要焦點在於: 您的 Windows 網路環境,而您想要較簡單的報告、 降低的成本及投入量,以及更有效控制事件的回應,還有另一個方法。
替代方法
您真正需要的是不是記錄檔的資訊。 無法啟動處理序思考如何最佳收集記錄檔。 請先考慮對企業重要的真實人為的動作。 是新建立的使用者帳戶很重要嗎? 您要知道誰正在變更安全性的群組成員清單嗎? 您需要知道誰應該加入群組嗎? 您特別注意當部門的成員便會開啟該部門相關的檔案嗎? 您要知道當您的 IT 群組的成員存取該資料嗎? 這些問題都很重要的。
不要自我設限,什麼出現在 [事件記錄檔。 您可以思考您真正需要,也就是這類問題的解答。 您必須回答的問題,並會變成可執行而且容易了解非 IT 專業人員的資訊。
藉由從原始檔,而不是事件記錄檔中收集資訊,即可存取更可靠且一致的實行,較佳的詳細資訊和詳細資訊。 也很容易管理,因為沒有稽核設定值或數值的事件識別碼。
如果您需要企業的記錄檔管理時,仍然可以組織您的資訊,讓您輕鬆整合,並上載。 您可能會協助處理程序稍微篩選掉不需要的資料,並提供完全配備容易閱讀的格式。
稽核並非用於 Meek
雖然安全性事件資訊是很明顯地好用又很重要,擷取該 Windows 事件記錄中的資訊將介紹幾種挑戰和值得花時間。 具有足夠的時間、 努力和成本,都可以管理這些挑戰。 最終結果會漏仍然了目標,不過。
不需依賴事件記錄檔擷取事件資訊可協助您產生您不需要實作與管理 Windows 安全性事件記錄檔稽核所需要的答案。 傳統的方法會產生資料。 套改進的方法會建立具有較少的努力、 更佳的報告和可採取動作的資訊的答案。
.jpg)
**David Rowe**稽核 CEO 的 NetVision,非公開持有的公司,提供企業存取的遵守度和控制的方案。 導演、 顧問和執行層級角色中的擁有多個啟動,包括 Imperva Cerberian,PS'Soft,Doyenz Inc.,之後擔任 Rowe 和 Avinti Inc. 他先前被視為主要的行銷專員趨勢微 Inc.,及業務單位管理員顯示主管的行銷、 產品和 Intel 股份有限公司的業務開發 在美國、 日本、 歐洲及以色列。