Zdroj: Active Directory Certificate Services AD CS Overview – TechNet Articles – Home – TechNet Wiki.

SACL (system access control lists) jsou seznamy, které řídí audit na úrovni jednotlivých objektů. Pokud potřebujeme mít jistotu, že je audit nastaven, museli jsme postupně všechny (alespoň ty důležité) objekty kontrolovat, jeden po druhém.

V nejnovějších verzích Windows Server 2008 R2 a Windows 7 lze definovat globální politiku pro celý počítač (global object access auditing policy), pro celý souborový systém nebo registry. Zvolený SACL je pak automaticky přiřazen každému objektu vybraného typu. Ve výsledku je záznam generován, pokud vyhoví kombinaci globálního nastavení a lokálního nastavení SACL.

V konfiguraci (global object access auditing policy) lze uvést jednotlivý účet nebo skupinu, jejichž aktivitu sledujeme. Z toho je zřejmé použití v různých scénářích: sledování aktivity vybrané skupiny uživatelů nebo správců či diagnostika – když hledáme konkrétní objekty pro jednotlivého uživatele, ke kterým nemá přístup (hlášení “access denied“), což znemožňuje uživateli zamýšlenou činnost.

Technet: Global Object Access Auditing

V nejnovějších verzích Windows nám pomůže nástroj DISM – Deployment Image Servicing and Management tool. Spustíme přímo v systému, který chceme upravit, proto je zde volba /online

C:\Users\administrator>dism /online /cleanup-image /spsuperseded

Deployment Image Servicing and Management tool
Version: 6.1.7600.16385

Image Version: 6.1.7600.16385

Removing backup files created during service pack installation.
[==========================100.0%==========================]
Service Pack Cleanup operation completed.
The operation completed successfully.


Další možnosti jsou založené na různých skriptech VBS, které využívají existující nástroje - certutil, CAPICOM. Příkladem je skript CAMonitor.vbs, kterým jsem se už před časem zabýval. Původně samostatný skript byl upraven pro MOM 2005, sám jsem jej upravoval pro SCOM 2007 ( a zde). S přechodem na 64bitové systémy Windows už ale není použitelný. Důvodem je knihovna CAPICOM, která nefunguje v operačních systémech x64.

Nezbývá než se pustit do práce a podívat se na možnosti, které přináší Powershell. Zdá se, že bude možné nový CAMonitor.ps1 založit na modulech QAD od firmy Quest.

Příště více o možnostech zvoleného řešení.

Příkazy, které máme k dispozici – CmdLets jsou přehledně uvedeny zde. Po spuštění modulu AD však nejsou k dispozici  a musíme je nejprve importovat:

import-module grouppolicy

Seznam příkazů zobrazí

get-command –module grouppolicy

Všechny objekty GP vypíšeme:

get-gpo –all

Veškerá nastavení politik uložíme do souboru ve formátu html:

Get-GPOReport -ReportType html -All | Set-Content c:\temp\all_gpos.html

Výsledné uplatnění pro konkrétního uživatele nebo konkrétní server uložíme:

Get-GPResultantSetOfPolicy -computer dc02 -ReportType html -Path c:\temp\dc02_rsop.html

Get-GPResultantSetOfPolicy -User administrator -ReportType html -Path c:\temp\admin_rsop.html
RsopMode        : Logging
Namespace       : \\DC02\Root\Rsop\NS4AEB272C_D982_44B8_94DF_A02D868E4642
LoggingComputer : DC02
LoggingUser     : administrator
LoggingMode     : User


Dále se podíváme na OUs – Organizational Units a dědění nastavení GP. Přehled OU nám zobrazí příkaz:

Get-ADOrganizationalUnit -Filter * | ft name, distinguishedname -AutoSize

name               distinguishedname
----               -----------------
Domain Controllers OU=Domain Controllers,DC=studio,DC=cs
Servers            OU=Servers,DC=studio,DC=cs
Workstations       OU=Workstations,DC=studio,DC=cs

Připojené objekty a děděná nastavení zobrazíme:

Get-ADOrganizationalUnit -Filter * | Get-GPInheritance | fl name, path, gpoinheritanceblocked, gpolinks, inheritedgpolinks

 

Name                  : domain controllers
Path                  : ou=domain controllers,dc=studio,dc=cs
GpoInheritanceBlocked : False
GpoLinks              : {Default Domain Controllers Policy}
InheritedGpoLinks     : {Default Domain Controllers Policy, Default Domain Poli
cy}

 

Name                  : servers
Path                  : ou=servers,dc=studio,dc=cs
GpoInheritanceBlocked : False
GpoLinks              : {GP_Servers}
InheritedGpoLinks     : {GP_Servers, Default Domain Policy}

 

Name                  : workstations
Path                  : ou=workstations,dc=studio,dc=cs
GpoInheritanceBlocked : False
GpoLinks              : {GP_XP_computer}
InheritedGpoLinks     : {GP_XP_computer, Default Domain Policy}

A jak je to s oprávněními k objektům? Např. pro politiku gp_xp_computer :

get-gpo -Name gp_xp_computer | Get-GPPermissions -All

Trustee     : Authenticated Users
TrusteeType : WellKnownGroup
Permission  : GpoApply
Inherited   : False

 

Trustee     : Domain Admins
TrusteeType : Group
Permission  : GpoEditDeleteModifySecurity
Inherited   : False

 

Trustee     : Enterprise Admins
TrusteeType : Group
Permission  : GpoEditDeleteModifySecurity
Inherited   : False

 

Trustee     : ENTERPRISE DOMAIN CONTROLLERS
TrusteeType : WellKnownGroup
Permission  : GpoRead
Inherited   : False

 

Trustee     : SYSTEM
TrusteeType : WellKnownGroup
Permission  : GpoEditDeleteModifySecurity
Inherited   : False

A naopak oprávnění konkrétní skupiny ke všem GPO?

get-gpo -all | ForEach-Object {„$($_.displayname): $((get-gppermissions -targettype group -targetname „Authenticated Users“ -name $_.
displayname).permission)“}

GP_Servers: GpoApply
GP_XP_computer: GpoApply
Default Domain Policy: GpoApply
Default Domain Controllers Policy: GpoApply

Nový prázdný objekt GP vytvoříme:

New-GPO -Name GP_Win2008_Server

DisplayName      : GP_Win2008_Server
DomainName       : studio.cs
Owner            : STUDIO\Domain Admins
Id               : 64a97483-51dc-4811-bf89-a579e9a2cb49
GpoStatus        : AllSettingsEnabled
Description      :
CreationTime     : 7.1.2011 10:20:03
ModificationTime : 7.1.2011 10:20:03
UserVersion      : AD Version: 0, SysVol Version: 0
ComputerVersion  : AD Version: 0, SysVol Version: 0
WmiFilter        :

A připojíme

New-GPLink -Name GP_Win2008_Server -Target „ou=servers,dc=studio,dc=cs“ -linkenabled yes

GpoId       : 64a97483-51dc-4811-bf89-a579e9a2cb49
DisplayName : GP_Win2008_Server
Enabled     : True
Enforced    : False
Target      : OU=Servers,DC=studio,DC=cs
Order       : 2

Objekt GP můžeme kopírovat a vytvořit zcela nový GPO:

Copy-GPO -SourceName GP_Win2008_Server -TargetName GP_Exchange_Server

ZÁLOHA A OBNOVA GPO

Backup-GPO -All -path c:\temp\gpos\

Restore-GPO -Path C:\temp\gpos -Name GP_XP_Computer

Poznámka:

Podmínkou je domain controller Windows Server 2008 R2 nebo Windows Server 2008 R2 s instalovanou správou Group Policy Management nebo Windows 7 a nástroje Remote Server Administration Tools

Pro každý profil, který přichází v úvahu a je v něm Firewall zapnutý (Domain, Private, Public) (3) upravíme co a kam se bude zaznamenávat, tlačítko Customize . . . (4)

Name: určuje umístění souboru, není problém změnit cestu i pojmenování, výchozí je – C:\Windows\system32\LogFiles\Firewall\pfirewall.log. Dále můžeme určit maximální velikost (Size limit (KB)) a vybrat, co se bude zaznamenávat:

• zahozené pakety (dropped packets)
• úspěšná připojení (successfull connections)

Ukončíme a uložíme zvolené nastavení – OK |OK.

Služba okamžitě začne soubor používat. Přesvědčíme se o tom – můžeme zobrazit obsah textového souboru se záznamy přímo z adresy, kterou jsme si zvolili: C:\Windows\system32\LogFiles\Firewall\pfirewall.log, nebo z prostředí výše uvedeného nástroje pro správu Firewalu, když ve stromové struktuře v levé části vybereme Monitoring:

Formát uložených informací a příklad záznamů:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - SEND
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - RECEIVE
. . .
2010-10-06 18:22:15 ALLOW TCP 10.0.0.51 10.0.0.50 56395 88 0 - 0 0 0 - - - SEND
. . .
2010-10-06 18:22:26 DROP UDP 10.0.0.1 10.0.0.255 137 137 78 - - - - - - - RECEIVE

Příkazem auditpol /set /subcategory:“Filtering Platform Connection“ /success:enable /failure:enable nastavení změníme. Názvy kategorií a podkategorií jsou závislé na jazyce lokalizace serveru, proto je možné používat místo jmen jazykově nezávislý  GUID: auditpol /set /subcategory:“{0CCE9226-69AE-11D9-BED3-505054503030}“ /success:enable /failure:enable

Kontrolní výpis pak potvrdí, že změna byla provedena:

V logu nás potom budou zajímat následující události:

Allowed and blocked connections:

• 5154—Listen permitted
• 5155—Listen blocked
• 5156—Connection permitted
• 5157—Connection blocked
• 5158—Bind permitted
• 5159—Bind blocked

Note Permitted connections do not always audit the ID of the associated filter. The FilterID for TCP will be 0 unless a subset of these filtering conditions are used: UserID, AppID, Protocol, Remote Port.

Čerpal jsem ze stránek MSDN: http://msdn.microsoft.com/en-us/library/bb309058(VS.85).aspx, které uvádějí GUID pro další kategorie a podkategorie a seznam generovaných událostí, které přicházejí pro tyto účely v úvahu.

K zobrazení událostí používám filtry v bezpečnostním logu, viz zde.

Důležitá poznámka: zapnutí auditu firewallu může způsobit generování vysokého počtu záznamů, takže je důležité po změně nastavení sledovat provoz nebo povolit audit pouze na nezbytně dlouhou dobu, např. při vyšetřování problémů.