Audit a monitorování firewallu ve Windows 2008

Podmínkou monitorování je zapnutí auditní služby pro příslušné kategorie/podkategorie. Kontrolní výpis nastavení pro kategorii Object Access, podkategorie Filtering Platform Connection příkazem auditpol /get /category:”object access” mi ukazuje, že audit není aktivní:

filteringPC

Příkazem auditpol /set /subcategory:“Filtering Platform Connection“ /success:enable /failure:enable nastavení změníme. Názvy kategorií a podkategorií jsou závislé na jazyce lokalizace serveru, proto je možné používat místo jmen jazykově nezávislý  GUID: auditpol /set /subcategory:“{0CCE9226-69AE-11D9-BED3-505054503030}“ /success:enable /failure:enable

Kontrolní výpis pak potvrdí, že změna byla provedena:

filteringPC1

V logu nás potom budou zajímat následující události:

Allowed and blocked connections:

  • 5154—Listen permitted
  • 5155—Listen blocked
  • 5156—Connection permitted
  • 5157—Connection blocked
  • 5158—Bind permitted
  • 5159—Bind blocked

Note Permitted connections do not always audit the ID of the associated filter. The FilterID for TCP will be 0 unless a subset of these filtering conditions are used: UserID, AppID, Protocol, Remote Port.

Čerpal jsem ze stránek MSDN: http://msdn.microsoft.com/en-us/library/bb309058(VS.85).aspx, které uvádějí GUID pro další kategorie a podkategorie a seznam generovaných událostí, které přicházejí pro tyto účely v úvahu.

K zobrazení událostí používám filtry v bezpečnostním logu, viz zde.

Důležitá poznámka: zapnutí auditu firewallu může způsobit generování vysokého počtu záznamů, takže je důležité po změně nastavení sledovat provoz nebo povolit audit pouze na nezbytně dlouhou dobu, např. při vyšetřování problémů.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *