Connessione di rete di Windows: Segreti di controllo degli eventi di Windows
L'esigenza di controllo degli accessi, di conformità alle normative e di complessità delle reti rende il controllo degli eventi ancora più importante che mai.
David Rowe
La montagna di requisiti di controllo di accesso continua a crescere. In questo modo, troppo, effettuare le domande che circonda l'accesso ai dati aziendali, ad esempio:
- Chi ha accesso a cosa?
- Utenti che accedono i dati?
- Quali controlli sono disponibili all'interno di gestione delle autorizzazioni?
Queste domande e così via, sono diventati così comune una parte delle discussioni IT come distribuzione di software o capacità del server.
Anche se i requisiti di controllo sono impossibili da ignorare, le tattiche che costituiscono l'approccio ideale per esigenze specifiche rimanere elusivi. Ogni organizzazione è diverso in termini di applicazioni, i firewall, configurazione di rete e altri aspetti complessi. La maggior parte condividere componenti fondamentali comuni, tra cui Microsoft Active Directory e i relativi file System di Windows correlati.
Windows e Active Directory sono diventati graffette praticamente ogni azienda. Controllo degli eventi di protezione tra queste piattaforme è una sfida molto diffusa pertinente a quasi ogni manager IT. Tuttavia, le soluzioni più ovvie presentano problematiche nascosti.
Microsoft Windows Server, inclusi i server di Active Directory, dispone di funzionalità incorporate di registrazione degli eventi. È possibile configurare questi registri eventi per acquisire gli eventi di protezione critici quali la creazione di account utente e protezione delle modifiche di appartenenza al gruppo. Tuttavia, catturare le informazioni giuste nel modo appropriato, in modo che è possibile agire su di esso è un'attività complessa. Esistono numerose operazioni da effettuare per configurare la registrazione degli eventi di Windows. Anche allora, i risultati possono essere unsatisfying.
Configurare la registrazione degli eventi di Windows
Includeva intorno a controllo risposta afferma semplicemente acquisire tutto ciò che accade da tutti i sistemi. Attivare la registrazione e implementare un meccanismo per convertire i registri in un formato di archiviazione a lungo termine che è possibile eseguire ricerche, disponibili per il report e conveniente per l'archiviazione.
Soluzioni di informazioni sulla protezione e gestione di eventi (SIEM) e la gestione dei registri è possibile sottoscrivere in genere questa riga di pensare. In questo modo il vantaggio di essere in grado di monitor centinaia di soluzioni di diversi fornitori, ovvero dall'hardware di rete per le applicazioni software, ovvero con un approccio comune. Inutile a dirsi, l'implementazione di questo approccio è così semplice.
Ecco alcuni procedura da seguire durante la configurazione di Windows e Active Directory Event Logging, se per l'integrazione con una soluzione SIEM o semplicemente per l'acquisizione per il controllo in futuro.
1. Determinare gli eventi che è necessario
In primo luogo, è necessario comprendere quali eventi è necessario tenere traccia. Inoltre, è necessario raccogliere gli identificatori (ID) di evento associato. Complessità di questa attività è che la numerazione di ID evento è la differenza tra le versioni di Windows. Ad esempio, Windows Server 2008 utilizza gli ID di quattro cifre evento insieme alle sottocategorie di controllo per ciascuna delle categorie di controllo principale.
Esistono molti eventi simili tra loro, in modo che è veramente necessario sapere che si sta registrando l'evento di destra. Una singola azione spesso generare numerosi eventi nel registro, pertanto è importante comprendere le interrelazioni tra gli ID evento.
Le sottocategorie in Windows Server 2008 possono essere utile, poiché è possibile abilitare il controllo su alcuni eventi, ma non altri. Si tratta di un passo nella giusta direzione per il controllo di Microsoft. Ad esempio, anziché dover considerare tutti gli eventi di gestione degli Account lo stesso, attivare il controllo sulla gestione del gruppo di protezione è possibile disattivare il controllo sulla gestione del gruppo di distribuzione.
È necessario utilizzare uno strumento della riga di comando per applicare le impostazioni di controllo per le sottocategorie. È comunque non ottenere avanzate funzionalità, quali avvisi sulle modifiche per le azioni intraprese da un sottoinsieme di utenti o gruppi ad alto rischio di filtro.
Sono inoltre disponibili gli eventi di controllo di gestione degli Account e gli eventi di controllo di accesso al servizio Directory che si sovrappongono. Questo complicato è importante ulteriormente. Se sono attivati, potrebbero vedere più eventi duplicati, che crea confusione su dove trovare i migliori dati dell'evento. "Prima" e "Dopo" vengono scritti i valori per diversi eventi. In molti casi, sarà necessario correlare più eventi per rispondere alle domande anche base.
2. Attivare il controllo sugli oggetti desiderati
Una volta che si conosce il set di eventi che è necessario controllare che sia gli ID evento associato, è necessario attivare il controllo sugli oggetti stessi. In alcuni casi, le impostazioni predefinite potrebbero essere sufficiente.
È possibile gestire le impostazioni di controllo su una base di oggetto, pertanto è importante comprendere che cosa le impostazioni di controllo e applicano le modifiche necessarie in base alle esigenze. Ad esempio, possibile pulsante destro del mouse su un oggetto, passare alla scheda Protezione e fare clic su "Avanzate". Ciò consentirà di applicare le modifiche apportate nella scheda controllo, ad esempio impedendo le impostazioni di controllo ereditate dagli oggetti padre o aggiungendo le impostazioni di controllo specifici per questo particolare oggetto o tutti gli oggetti figlio.
In altre parole, se si attiva il controllo sui gruppi di protezione, è comunque necessario assicurarsi che il controllo è attivato su tali oggetti del gruppo di protezione specifici. In genere, l'attivazione del controllo sugli oggetti di directory è semplice come l'attivazione "di controllo" Gestione Account nell'oggetto Criteri di gruppo appropriato. Tenere presente, tuttavia, che controlla le impostazioni sono leggermente diverse in varie versioni di Windows. Se si dispone di un ambiente misto, assicurarsi di consultare la documentazione per le istruzioni di impostazione del controllo appropriato. Verificare inoltre che i criteri di controllo siano configurati correttamente in ogni Controller di dominio Active Directory.
È anche possibile utilizzare Active Directory Service Interfaces Editor o ADSI Edit, per applicare un contrassegno "non controllare" sugli attributi che si desidera applicare un filtro di fuori del processo di controllo. Questa operazione rimuove tutti i controlli di tale attributo per tutti gli oggetti, così come questo con attenzione. Ad esempio, non sarà in grado di distinguere tra gli account utente con privilegi amministrativi e di altri account.
3. Configurare le impostazioni del registro eventi
Il terzo passaggio consiste nel configurare le impostazioni del registro. È necessario impostare le autorizzazioni di accesso appropriati, in modo che gli utenti esperti alla ricerca per coprire le proprie tracce Impossibile cancellare i registri per nascondere le proprie tracce. Se il criterio di protezione del registro non è attivato, qualsiasi utente autenticato dispone di accesso sufficienti per la scrittura e i registri delle applicazioni Cancella. Per impostazione predefinita, i registri di sistema e sicurezza possono essere cancellati solo dal software di sistema o gli amministratori.
È inoltre necessario impostare le regole di criteri di conservazione e la dimensione massima del log in base alle esigenze e alla particolare ambiente. Queste impostazioni consentono di controllare il registro grande come i file possono aumentare e ciò che accade quando raggiungono la dimensione massima. Questo è fondamentale, perché è necessario che i sistemi di raccolta registro per essere in grado di gestire i registri in modo efficiente. Quando si sviluppano in linea troppo grande, i registri possono rallentare in modo significativo le prestazioni del server.
I registri di sistema non sono idealmente progettati per facilitarne la ricerca, la creazione di report flessibili o l'archiviazione a lungo termine. Che siano soggetti alla configurazione corretta e accurata. Presupponendo che tutto ciò che è perfettamente distribuito e gestito, deve essere in grado di raccogliere i dati che necessari relativi al report di revisione. L'estrazione di informazioni utili e generazione di risultati utilizzabili da tali dati è una sfida completamente nuova.
Ad esempio, spesso una singola azione genera più eventi di registro. Questo rende difficile distinguere le azioni specifiche, ad esempio un utente che non è nei file di finanziamento degli interessi durante l'accesso al reparto. Ogni evento è etichettata con un ID evento e la lingua che spesso sembra criptico ai revisori e i responsabili aziendali addestrate. È necessario dedicare molto tempo e dati sullo sforzo traduzione registro durante il controllo o diritto esaminare i processi.
È inoltre opportuno tenere presente che i registri eventi di acquisizione solo una piccola parte di quello che accade. Ad esempio, potrebbe essere un insieme predefinito di oggetto e attributo modifiche in Active Directory vengono visualizzati nel registro eventi di protezione. Una modifica all'attributo di descrizione di un gruppo di protezione non verrà visualizzati nel registro.
Potenzialmente è possibile configurare i registri eventi per acquisire le modifiche agli attributi non sono disponibili per impostazione predefinita, ma non la maggior parte delle organizzazioni. Consente di creare un livello di gestione e la configurazione può causare problemi. Registri lascia inoltre spesso le informazioni critiche, ad esempio chi ha o il valore era prima della modifica si è verificato (nel caso in cui è necessario ripristinare).
Soluzioni di gestione SIEM e il registro possono talvolta in grado di migliorare la situazione, rendendo più facile registri alla ricerca, report e archiviazione. Molte organizzazioni sottovalutano lo sforzo iniziale e permanente, necessario per ottenere le risposte che necessarie.
Per alcune organizzazioni, potrebbe comunque trattarsi l'approccio migliore poiché il costo e l'impegno può essere considerate a fronte del risultato finale, archiviazione a lungo termine dei registri eventi da centinaia di sistemi e la capacità di soddisfare i requisiti di controllo, conservazione e conformità di accesso. Se l'obiettivo principale è l'ambiente di rete di Windows e si desidera più semplice per la creazione di report, riduzione dei costi e sforzi e controllare meglio la risposta agli eventi, è disponibile un'alternativa.
Un approccio alternativo
È necessario è informazioni, non i registri. Non avviare il pensiero processo sulla migliori per raccogliere i registri. Iniziare considerando le azioni reale umane importanti per l'azienda. Sono appena creato gli account utente importante? Si desidera sapere chi sta cambiando gli elenchi di membri del gruppo protezione? È necessario sapere chi è necessario aggiungere al gruppo? È importante quando un membro del reparto viene aperto un file corrispondente a tale reparto? Si desidera sapere quando i membri del gruppo IT di accedere ai dati Queste domande sono fondamentali.
Non limitarsi a ciò che viene visualizzato nei registri eventi. Può pensare di quello desiderato, ovvero le risposte a tali tipi di domande. È necessario che le risposte alle domande e informazioni sono attuabile e comprensibili da personale non IT.
Raccogliendo informazioni dall'origine anziché i registri eventi, è possibile accedere a ulteriori informazioni, i dettagli di una migliore e un approccio più affidabile e coerenza. È inoltre più semplice da gestire poiché non sono presenti le impostazioni di controllo o l'ID numerico dell'evento.
Se è necessario una gestione del Registro aziendale, è possibile organizzare le informazioni per una facile integrazione e caricare. Si dovrebbe essere aiutando il processo piuttosto un po' filtrando i dati indesiderati e offre esattamente ciò che serve in un formato di facile lettura.
Il controllo non è documenti
Mentre le informazioni sugli eventi di protezione è chiaramente utile e importante, l'acquisizione di informazioni di registrazione degli eventi di Windows presenta una serie di sfide e notevole impegno. Tali sfide possono essere gestiti con sufficiente tempo, lavoro e dei costi. I risultati finali ancora potrebbero perdere anche se la destinazione.
L'acquisizione di informazioni sugli eventi senza fare affidamento sui log eventi consente di generare le risposte che necessarie senza l'implementazione e gestione di controllo registro eventi di protezione di Windows. L'approccio tradizionale genera dati. L'approccio migliore crea le risposte con meno sforzo, un reporting più efficace e informazioni utilizzabili.
.jpg)
**David Rowe**il CEO di NetVision, una società privata che fornisce soluzioni di controllo e di conformità per l'accesso a enterprise è controllo. Rowe ha ricoperto director, verificato e i ruoli di livello esecutivo con avvii diversi, tra cui Inc Imperva aver il, Cerberian, PS'Soft, Doyenz. e Avinti Inc Egli precedentemente utilizzati come direttore marketing per Trend Micro Inc. e la gestione di business unit e direttore del marketing, prodotti e dello sviluppo aziendale per Intel Corp. in Italia, Giappone, Europa e Israele.