TrueCrypt dokáže šifrovat celé disky nebo oddíly na nich, včetně přenosných disků USB – to je druhá hlavní oblast, kde šifrování používám. Nepoužil jsem jen na systémový disk, ale to by také neměl být v žádné verzi Windows problém. TrueCrypt není určen k šifrování jednotlivých souborů.

Výhodou je existence tohoto řešení i pro Mac OS a Linux, takže disk je pak dostupný i z jiných systémů. Podrobná dokumentace i s postupem pro úplné začátečníky je na stránkách TrueCrypt Foundation.

Social Media Safety Infographic provided by CreditSesame.com an online credit and debt management company.

Nejprve musíme zajistit na doménových řadičích zapnutí Audit Policy: Directory Service Changes, nejlépe v Default Domain Controllers Policy (Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies)

Vytvoříme výstrahu (alert), reagující na událost v bezpečnostním logu 5136: A directory service object was modified, přičemž nás zajímá změna atributu gPLink. Událost 5136 a její parametry (%n) podle dokumentace Microsoftu (Windows 7 and Windows Server 2008 R2 Security Event Descriptions.xls) vypadá takto

A directory service object was modified.

Subject:
Security ID: %3
Account Name: %4
Account Domain: %5
Logon ID: %6

Directory Service:
Name: %7
Type: %8

Object:
DN: %9
GUID: %10
Class: %11

Attribute:
LDAP Display Name: %12   <--- gPLink
Syntax (OID): %13
Value: %14

Operation:
Type: %15                <--- (Value Added, Value Deleted) 
Correlation ID: %1
Application Correlation ID: %2

Podmínka tedy bude vypadat takto pro výstrahu při odebrání vazby GP na OU:

(Event ID Equals 5136) And (Parameter 15  Equals Value Deleted) And (Parameter 12 Equals gPLink)

nebo pro přidání vazby:

(Event ID Equals 5136) And (Parameter 15  Equals Value Added) And (Parameter 12 Equals gPLink)

Potřebujeme-li hlídat modifikace objektů GPO (zásady skupiny) ve Windows Active Directory, pomůže nám Operations Manger (SCOM 2007). Vytvoříme výstrahu reagující na výskyt události 5136 – A directory service object was modified, následujícím způsobem

• Podmínkou je Audit Policy – Directory Service Changes na serverech, kde se změny odehrávají (domain controller).

Událost obsahuje v parametru 11 třídu objektu groupPolicyContainer a v dalších parametrech GUID a DN příslušného GPO, bohužel neobsahuje „čitelný“ název GPO:

Objekt:
DN: cn={BB865851-9C3C-46A8-BD7F-231D50F714D6},cn=policies,cn=system,DC=trial,DC=net
GUID: CN={BB865851-9C3C-46A8-BD7F-231D50F714D6},CN=Policies,CN=System,DC=trial,DC=net
Třída: groupPolicyContainer

Založíme pravidlo:

• Rule: Alert Generating \ Event Based \ NT Event Log (Alert)
• Select Management Pack: umístíme do vlastního MP nebo vytvoříme nový
• Rule Name: GPO Modified
• Rule Category: Alert
• Rule Target: Windows Domain Controller, nebo Active Directory Domain Controller Server 2008 Computer Role
• zrušit volbu Rule is enabled (!)
• Event log Type – Log Name: Security
• Build Event Expression: ( ( Event ID Equals 5136 ) AND ( Parameter 11 Contains groupPolicyContainer ) )

• Configure Alerts – definujeme podle potřeby
• Create

Název GPO nám pomůže identifikovat například tento skript (musíte změnit příkaz Set objConfiguration = GetObject _
(LDAP://CN=Policies,CN=System,DC=trial,DC=net)  podle vašeho AD:

VBScript: pro výpis GPO Display Name:

WScript.Echo "Group Policy GUIDs and Display Names"
Set objConfiguration = GetObject _
("LDAP://CN=Policies,CN=System,DC=trial,DC=net")
WScript.Echo "Domain: trial.net"
For Each objContainer in objConfiguration
   WScript.Echo objContainer.Name, objContainer.displayname
Next

Jak se dají uvedená monitorování realizovat pomocí SCOM 2007 / 2012? Uvidíte příště…

Zdroj: Active Directory Certificate Services AD CS Overview – TechNet Articles – Home – TechNet Wiki.

Zdroj: http://xkcd.com/

Zdroj: Security Concepts Book.

• z auditních záznamů událostí v bezpečnostním logu jsme schopni zjistit okamžik změny a původce, změnu verze, zápis do objektu nebo smazání objektu GP v AD (Directory Service Audit Access). Žádné detaily.
• z auditních záznamů přístupů k souborům (File Access Audit) jsme schopni odlišit změny nebo zápisy na úrovni souborů v \\domain\sysvol\fqdn.domain\policies\{policy-guid}\, tj. v souborech a složkách
  • GPT.INI (verze)
  • \Machine\Registry.pol (HKLM)
  • \Machine\Scripts (startup, shutdown)
  • \Machine\Applications (MS Installer)
  • \Machine\Microsoft\Windows NT\Secedit (Gpttmpl.inf – security)
  • \Machine\Adm (šablony pro editor)
  • \User\Applications (MS Installer)
  • \User\Documents and Settings (Fdeploy.ini – redirections)
  • \User\Microsoft\RemoteInstall (OSCfilter.ini)
  • \User\Microsoft\IEAK (Internet Explorer)
  • \User\Scripts (logon, logoff)

Detailní informace o změněných položkách takto ovšem nezískáme. (zdroj)
Existují produkty určené ke správě AD nebo přímo pro Group Policy které mohou tento úkol splnit. Nezkoušel jsem je, takže jen vyjmenuji, co jsem objevil:

• ADAudit Plus – Active Directory Auditing and Reporting (ManageEngine),
• Group Policy Change Reporter (NetWrix),
• a v neposlední řadě obsahuje sledování změn GPO také Advanced Group Policy Management (Microsoft), který řeší problematiku správy a nasazování politik ve firmě (technické detaily zde).

Pro každý profil, který přichází v úvahu a je v něm Firewall zapnutý (Domain, Private, Public) (3) upravíme co a kam se bude zaznamenávat, tlačítko Customize . . . (4)

Name: určuje umístění souboru, není problém změnit cestu i pojmenování, výchozí je – C:\Windows\system32\LogFiles\Firewall\pfirewall.log. Dále můžeme určit maximální velikost (Size limit (KB)) a vybrat, co se bude zaznamenávat:

• zahozené pakety (dropped packets)
• úspěšná připojení (successfull connections)

Ukončíme a uložíme zvolené nastavení – OK |OK.

Služba okamžitě začne soubor používat. Přesvědčíme se o tom – můžeme zobrazit obsah textového souboru se záznamy přímo z adresy, kterou jsme si zvolili: C:\Windows\system32\LogFiles\Firewall\pfirewall.log, nebo z prostředí výše uvedeného nástroje pro správu Firewalu, když ve stromové struktuře v levé části vybereme Monitoring:

Formát uložených informací a příklad záznamů:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - SEND
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - RECEIVE
. . .
2010-10-06 18:22:15 ALLOW TCP 10.0.0.51 10.0.0.50 56395 88 0 - 0 0 0 - - - SEND
. . .
2010-10-06 18:22:26 DROP UDP 10.0.0.1 10.0.0.255 137 137 78 - - - - - - - RECEIVE

Příkazem auditpol /set /subcategory:“Filtering Platform Connection“ /success:enable /failure:enable nastavení změníme. Názvy kategorií a podkategorií jsou závislé na jazyce lokalizace serveru, proto je možné používat místo jmen jazykově nezávislý  GUID: auditpol /set /subcategory:“{0CCE9226-69AE-11D9-BED3-505054503030}“ /success:enable /failure:enable

Kontrolní výpis pak potvrdí, že změna byla provedena:

V logu nás potom budou zajímat následující události:

Allowed and blocked connections:

• 5154—Listen permitted
• 5155—Listen blocked
• 5156—Connection permitted
• 5157—Connection blocked
• 5158—Bind permitted
• 5159—Bind blocked

Note Permitted connections do not always audit the ID of the associated filter. The FilterID for TCP will be 0 unless a subset of these filtering conditions are used: UserID, AppID, Protocol, Remote Port.

Čerpal jsem ze stránek MSDN: http://msdn.microsoft.com/en-us/library/bb309058(VS.85).aspx, které uvádějí GUID pro další kategorie a podkategorie a seznam generovaných událostí, které přicházejí pro tyto účely v úvahu.

K zobrazení událostí používám filtry v bezpečnostním logu, viz zde.

Důležitá poznámka: zapnutí auditu firewallu může způsobit generování vysokého počtu záznamů, takže je důležité po změně nastavení sledovat provoz nebo povolit audit pouze na nezbytně dlouhou dobu, např. při vyšetřování problémů.