Konfigurace a kontrola Audit Policy

Randy Smith shrnuje ve svém článku Security Log Step-by-Step: Avoiding Audit Policy Configuration Pitfalls zásady správného nastavení bezpečnostního auditu ve Windows a upozorňuje na problémy, které způsobuje nekompatibilita starších nástrojů (rsop.msc, gpresult) – nezobrazují správně nastavení auditu zavedená ve verzi Windows Vista a Server 2008. Viz také článek Getting the Effective Audit Policy in Windows 7 and 2008 R2 na webu Technet.

To make things interesting, all of this can be configured through domain policy, local policy, multiple-local policy, per-user, or using command-line tools. Like most security policy that has evolved through 20 years of Windows, it’s a bit of a Frankenstein’s monster. Making sense of what settings are actually in place in Win7 and 2008 R2 can be a real pain in the neck.

Doporučení podle Randyho pro konfiguraci Audit Policy ve Win2008R2/Win7 :

  1. Nepoužívej Local Security Policy
  2. Nepoužívej auditpol /set
  3. Ke konfiguraci Audit Policy použij objekty group policy v Active Directory
  4. Vždy povol „Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings a pro novější systémy Win2008R2+  ignoruj 9 původních kategorií auditu.
  5. Konfiguruj všechny subkategorie – aby bylo jasně definováno, zda je výslovně povolená nebo zakázaná.
  6. K ověření nastaveného stavu nepožívej Local Security Policy, Group Policy Results Wizard, RSOP ani gpresults
  7. Místo toho vypiš aktuální nastavení příkazem „auditpol /get /category:*
  8. Monitoruj výskyt událostí 4719, ve kterých není jako uživatel uveden samotný systém. Taková událost indikuje, že se někdo pokouší dočasně změnit tvoje předepsaná nastavení auditu z GPO. To je vážný problém, indikuje něco zlého.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>