OpsMgr: Audit Collection Service jako usługa zarządzania logiem zabezpieczeń na platformie Windows, cz. 4

Udostępnij na: Facebook

Autor: Joanna Subik

Opublikowano: 2011-02-02

Niniejszy tekst jest ostatnim w serii artykułów opisujących usługę ACS. W poprzednich częściach Czytelnik mógł zapoznać się z opisem poszczególnych komponentów ACS, ich instalacją, konfiguracją i zarządzaniem.

Czymże jednak byłaby ta usługa bez przedstawienia konkretnego sposobu jej wykorzystania w codziennej pracy administratora? W tej części zostanie pokazane więc, w jaki sposób wykorzystać raporty usługi ACS i – poprzez ich łączenie i filtrowanie określonych zdarzeń – jak można zarządzać zdarzeniami napływającymi do bazy danych ACS oraz odpowiednio na nie reagować.

Domyślnie usługa ACS udostępnia ok. 25 podstawowych raportów, które administrator może wykorzystać do podglądu monitorowanych zdarzeń. Pełna lista jest przedstawiona na poniższym rysunku, jednakże nic nie stoi na przeszkodzie, by za pomocą Report Buildera zdefiniować własne raporty, które ze zrozumiałych względów będą dużo bardziej przydatne.

Rys. 1. Lista domyślnych raportów w SCOM 2007 R2.

W artykule zostaną przedstawione dwa scenariusze wykorzystania raportów usługi ACS. Każdy z nich zawiera odpowiednie założenia zrealizowane przy użyciu polityk audytu oraz dopasowane do nich raporty.

Scenariusz nr 1: zarządzanie kontami

Problem:

Wewnętrzny audytor pewnej firmy chciałby mieć pełną kontrolę nad członkostwem w  grupie DomainAdmin oraz Builtin (Local) Administrators. Członkostwo to jest zdefiniowane przy użyciu odpowiednich polityk obowiązujących w organizacji i nie powinno ono być zmieniane bez zgody Działu Bezpieczeństwa. Gdyby nie było usługi ACS, przynależność do wymienionych grup musiałaby być okresowo sprawdzana przez przystawkę MMC – poprzez wybrane narzędzie wiersza poleceń obsługujące tę funkcjonalność, albo przez stworzenie i uruchomienie skryptu. Następnie należałoby porównać uzyskane informacje z autoryzowaną listą członków, którzy powinni się znajdować w grupie administratorów.

Przykładowe rozwiązanie problemu:

  1. Należy zdefiniować politykę audytu „AccountManagement”, co pokazuje rysunek 2:


    Rys. 2. Konfiguracja wymaganej polityki audytu.

  2. Korzystając z wbudowanych raportów ACS, wybrać raport o nazwie Domain and Built-in AdministratorsChanges. Pozwala on na wylistowanie wszelkich zmian dokonanych w obrębie omawianych grup i opiera się na przeszukiwaniu Dziennika zdarzeń na obecność eventów o następujących ID: 632, 633, 636 i 637. Audytor ma możliwość przejrzenia raportu oraz zaplanowania jego wykonywania w określonym czasie.

Domyślnie dostępne są jeszcze inne raporty dotyczące zarządzania kontami użytkowników, z których ciekawsze to:

  • User AccountsCreated and User AccountsDeleted – raport z wyszukiwania w Dzienniku zdarzeń eventów o ID 624 I 630. Pierwszy z nich śledzi wszystkie próby utworzenia konta użytkownika, a drugi – jego skasowania;
  • PasswordChangeAttempts by Non-Owner – raport z wyszukiwania w Dzienniku zdarzeń eventów o ID  627 I 628. Pierwszy z nich wskazuje próby zmiany hasła do konta przez użytkownika niebędącego właścicielem konta, natomiast drugi przedstawia próby zresetowania hasła. Jak oczywiście wiadomo, na liście powinny pojawić się jedynie próby zmiany hasła przez osoby do tego wyznaczone, jak np. administrator, operatorzy konta lub inna grupa osób z odpowiednimi wydelegowanymi uprawnieniami do zarządzania kontami w organizacji.

 

Scenariusz nr 2: kontrola dostępu do danych o wysokim stopniu ważności

Problem:

Pewne dane o wysokim stopniu ważności należące do działu HR wymagają ciągłej ochrony i obserwacji, czy nie są poddawane nieautoryzowanym operacjom (dostęp, próby modyfikacji, kopiowania itd.). Wyznaczeni administratorzy potrzebują znaleźć złoty środek pomiędzy restrykcyjnymi politykami przedsiębiorstwa mówiącymi, że nikt niepowołany nie może mieć do nich dostępu, a pracownikami działu HR, którzy potrzebują swobodnego dostępu do ww. plików.

Przykładowe rozwiązanie problemu:

Rozwiązaniem dla powyższego problemu może być ochrona ważnych danych przez wysyłanie alertu podczas próby uzyskania nieautoryzowanego dostępu oraz przedstawienie listy użytkowników, którzy taki dostęp próbowali uzyskać. Aby tego dokonać, należy włączyć audytowanie zdarzeń logowania oraz audyt dostępu do obiektów przy użyciu odpowiedniej polisy GPO, którą należy następnie rozpowszechnić w domenie. Oczywiście warto pamiętać, że proces audytu dostępu do obiektów (np. do plików lub folderów) jest dwufazowy i odpowiednie opcje powinny zostać uwzględnione na zakładce Zabezpieczenia danego obiektu, co wskazuje rysunek 3. Zakładamy naturalnie, że określone grupy użytkowników mają już przydzielone odpowiednie uprawnienia do danych, które będą audytowane i monitorowane.

Rys. 3. Druga faza konfiguracji audytu na folderze.

Następnie, korzystając z wbudowanych raportów, należy wybrać ten o nazwie Audit Report: Usage Object Access. Przedstawia on wszystkie zdarzenia powiązane ze zdarzeniami audytu, oczywiście w zdefiniowanych uprzednio ramach czasowych. Wykorzystuje do tego celu eventy o ID 560 i 567 do śledzenia obiektów oznaczonych jako audytowane. Tak jak w poprzednim scenariuszu, można ustawić harmonogram wykonywania raportu lub powiadamiania mailowego o przypadkach nieautoryzowanej próby dostępu do określonego zasobu. Warto przy tym pamiętać o optymalizacji i dokładnym zaplanowaniu obiektów do audytowania, by nie zbierać informacji, które nie zostaną wykorzystane. Oczywiście wpływa to ujemnie na wydajność, a tego każdy administrator stara się uniknąć. Bo przecież zielone ikonki przy monitorowanych wskaźnikach wyglądają tak kojąco…

W niniejszym artykule przedstawiono praktyczne zastosowania wbudowanych raportów ACS. Warto przy tym pamiętać, że nie ma żadnych ograniczeń dotyczących budowania własnych raportów na podstawie wybranych parametrów – przy użyciu Report Buildera. Można wykorzystać również aplikacje firm zewnętrznych – niektóre z nich udostępniają sporo ciekawych i rozbudowanych raportów, jak np. SecureVantage, o której wspomniano w pierwszym z tego cyklu artykułów.