'audit' Tag

  • SCOM: jak monitorovat vazbu GPO na OU v Active Directory

    2011-11-01

    V systému, ve kterém používáme zásady skupiny (group policy) k nastavení konfigurace serverů a koncových počítačů uživatelů k vynucení důležitých položek (např. z bezpečnostních důvodů), může změna vazby (link) na organizační jednotku (OU) v Active Directory indikovat bezpečnostní problém. Jak nám SCOM 2007 může pomoci a co je třeba sledovat? Nejprve musíme zajistit na doménových řadičích zapnutí Audit [...]

    Rubrika: audit, SCOM 2007, security Autor: Stanislav Jermář

  • Windows: global object access auditing policy

    2011-06-03

    Jak nastavit systém, aby vytvářel auditní záznamy týkající se všech objektů na počítači? SACL (system access control lists) jsou seznamy, které řídí audit na úrovni jednotlivých objektů. Pokud potřebujeme mít jistotu, že je audit nastaven, museli jsme postupně všechny (alespoň ty důležité) objekty kontrolovat, jeden po druhém. V nejnovějších verzích Windows Server 2008 R2 a [...]

    Rubrika: admin, audit, windows 2008 Autor: Stanislav Jermář

  • Struktura EventSchema.xml

    2011-04-20

    Soubor EventSchema.xml definuje transformační pravidla pro sběr událostí z bezpečnostního logu Windows v systému SCOM 2007 – Audit Collection Services. Ze struktury je patrné rozdělení podle verzí  Windows (MinBuild) a Source Name. Windows 2000 – 2003 R2 používají „klasický“ formát zápisu událostí, Source Name = Security. Windows od verze Vista / 2008 mají nový formát [...]

    Rubrika: ACS, audit, SCOM 2007 Autor: Stanislav Jermář

  • Audit Collection Services: korelace událostí Logon / Logoff

    2010-11-04

    Jednoduchá úloha: k události zaznamenávající přihlášení uživatele najít odpovídající událost odhlášení a zjistit, jakým způsobem identifikovat události uživatele po dobu, kdy byl přihlášen. Průzkum možností existujících záznamů událostí v prostředí serverů Windows 2008 a podobné příklady pro Windows 2003 (viz Audit Collection Services Deep-Drive – Part 2) vedly k následujícímu. Na uvedené adrese jsem nalezl [...]

    Rubrika: audit, SCOM 2007 Autor: Stanislav Jermář

  • Monitoring: Group Policy Changes

    2010-10-07

    Zdá se, že by bylo možné pomocí auditních záznamů zachytit změny v objektech skupinové politiky (GPO) povolením auditu v adresářové službě a v přístupu k souborům: z auditních záznamů událostí v bezpečnostním logu jsme schopni zjistit okamžik změny a původce, změnu verze, zápis do objektu nebo smazání objektu GP v AD (Directory Service Audit Access). [...]

    Rubrika: audit, SCOM 2007, security Autor: Stanislav Jermář

  • Textový záznam o činnosti pro Windows Firewall

    2010-10-06

    Nejprve nastavíme požadované parametry pomocí nástroje wf.msc (neboli Start | Administrative Tools | Windows Firewall with Advanced Security) Zobrazíme vlastnosti firewallu Properties (1,2) Pro každý profil, který přichází v úvahu a je v něm Firewall zapnutý (Domain, Private, Public) (3) upravíme co a kam se bude zaznamenávat, tlačítko Customize . . . (4) Name: určuje [...]

    Rubrika: audit, firewall, security, windows 2008 Autor: Stanislav Jermář

  • Audit a monitorování firewallu ve Windows 2008

    2010-10-06

    Podmínkou monitorování je zapnutí auditní služby pro příslušné kategorie/podkategorie. Kontrolní výpis nastavení pro kategorii Object Access, podkategorie Filtering Platform Connection příkazem auditpol /get /category:”object access” mi ukazuje, že audit není aktivní: Příkazem auditpol /set /subcategory:“Filtering Platform Connection“ /success:enable /failure:enable nastavení změníme. Názvy kategorií a podkategorií jsou závislé na jazyce lokalizace serveru, proto je možné používat [...]

    Rubrika: audit, security, windows 2008 Autor: Stanislav Jermář

 
Powered by Wordpress and MySQL. Theme by Shlomi Noach, openark.org počítadlo.abz.cz HostGator promos