Konfigurace a kontrola Audit Policy

2012-12-30

Randy Smith shrnuje ve svém článku Security Log Step-by-Step: Avoiding Audit Policy Configuration Pitfalls zásady správného nastavení bezpečnostního auditu ve Windows a upozorňuje na problémy, které způsobuje nekompatibilita starších nástrojů (rsop.msc, gpresult) – nezobrazují správně nastavení auditu zavedená ve verzi Windows Vista a Server 2008. Viz také článek Getting the Effective Audit Policy in Windows 7 and 2008 R2 na webu Technet.

To make things interesting, all of this can be configured through domain policy, local policy, multiple-local policy, per-user, or using command-line tools. Like most security policy that has evolved through 20 years of Windows, it’s a bit of a Frankenstein’s monster. Making sense of what settings are actually in place in Win7 and 2008 R2 can be a real pain in the neck.

Doporučení podle Randyho pro konfiguraci Audit Policy ve Win2008R2/Win7 :

  1. Nepoužívej Local Security Policy
  2. Nepoužívej auditpol /set
  3. Ke konfiguraci Audit Policy použij objekty group policy v Active Directory
  4. Vždy povol „Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings a pro novější systémy Win2008R2+  ignoruj 9 původních kategorií auditu.
  5. Konfiguruj všechny subkategorie – aby bylo jasně definováno, zda je výslovně povolená nebo zakázaná.
  6. K ověření nastaveného stavu nepožívej Local Security Policy, Group Policy Results Wizard, RSOP ani gpresults
  7. Místo toho vypiš aktuální nastavení příkazem „auditpol /get /category:*
  8. Monitoruj výskyt událostí 4719, ve kterých není jako uživatel uveden samotný systém. Taková událost indikuje, že se někdo pokouší dočasně změnit tvoje předepsaná nastavení auditu z GPO. To je vážný problém, indikuje něco zlého.

štítky: , ,
Rubrika: admin, audit, group policy, nástroje, security, windows Autor: Stanislav Jermář

Sleduj komentáře pomocí RSS Feed | Napsat komentář | Trackback URL

Leave Your Comment

 
Powered by Wordpress and MySQL. Theme by Shlomi Noach, openark.org počítadlo.abz.cz