Monitoring: Group Policy Changes

Zdá se, že by bylo možné pomocí auditních záznamů zachytit změny v objektech skupinové politiky (GPO) povolením auditu v adresářové službě a v přístupu k souborům:

  • z auditních záznamů událostí v bezpečnostním logu jsme schopni zjistit okamžik změny a původce, změnu verze, zápis do objektu nebo smazání objektu GP v AD (Directory Service Audit Access). Žádné detaily.
  • z auditních záznamů přístupů k souborům (File Access Audit) jsme schopni odlišit změny nebo zápisy na úrovni souborů v \\domain\sysvol\fqdn.domain\policies\{policy-guid}\, tj. v souborech a složkách
    • GPT.INI (verze)
    • \Machine\Registry.pol (HKLM)
    • \Machine\Scripts (startup, shutdown)
    • \Machine\Applications (MS Installer)
    • \Machine\Microsoft\Windows NT\Secedit (Gpttmpl.inf – security)
    • \Machine\Adm (šablony pro editor)
    • \User\Applications (MS Installer)
    • \User\Documents and Settings (Fdeploy.ini – redirections)
    • \User\Microsoft\RemoteInstall (OSCfilter.ini)
    • \User\Microsoft\IEAK (Internet Explorer)
    • \User\Scripts (logon, logoff)

Detailní informace o změněných položkách takto ovšem nezískáme. (zdroj)
Existují produkty určené ke správě AD nebo přímo pro Group Policy které mohou tento úkol splnit. Nezkoušel jsem je, takže jen vyjmenuji, co jsem objevil:

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *