Polityki kontroli w Windows Server 2008 2008-02-17 2008-02-17 Polityki kontroli w Windows Server 2008 Paweł Pławiak Training and Development Manager for Microsoft Technology Compendium Education Center 1 ‹#›
Audyt w systemach operacyjnych 2008-02-17 2008-02-17 Tematyka prezentacji Audyt w systemach operacyjnych Struktura polityk kontroli w Windows Server 2008 Zarządzanie politykami kontroli Podsumowanie © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Audyt w systemach operacyjnych 2008-02-17 2008-02-17 Audyt w systemach operacyjnych Konieczność posiadania śladów działania. Wymuszenie planu całościowej strategii inspekcji. Wybór poziomu śledzenia dla organizacji. Sposób gromadzenia i zabezpieczenia zbieranych informacji. Metoda przeglądania i analizy. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Kategorie górnego poziomu (ang. top level category) Podkategorie (ang. subcategory) © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Kategorie górnego poziomu © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Podkategorie Kategoria główna Podkategoria Audit system events Security State Change Security System Extension System Integrity IPsec Driver Other System Events Audit logon events Logon Logoff Account Lockout IPsec Main Mode IPsec Quick Mode IPsec Extended Mode Special Logon Other Logon/Logoff Events Network Policy Server Security State Change – zmiana czasu systemowego 4616 (520) Logon – błędne logowanie 4625 (529) © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Podkategorie Kategoria główna Podkategoria Audit object access File System Registry Kernel Object SAM Certification Services Application Generated Handle Manipulation File Share Filtering Platform Packet Drop Filtering Platform Connection Other Object Access Events Audit privilege use Sensitive Privilege Use Non Sensitive Privilege Use Other Privilege Use Events File Share – 5140 – wejscie do zasobu (1044) do dfs 4672 – special priviledge assigned to new logon © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Podkategorie Kategoria główna Podkategoria Audit process tracking Process Creation Process Termination DPAPI Activity RPC Events Audit policy change Audit Policy Change Authentication Policy Change Authorization Policy Change MPSSVC Rule-Level Policy Change Filtering Platform Policy Change Other Policy Change Events 4688 – new process creation 4715 - The audit policy (SACL) on an object was changed. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Struktura polityk kontroli w Windows Server 2008 2008-02-17 2008-02-17 Struktura polityk kontroli w Windows Server 2008 Podkategorie Kategoria główna Podkategoria Audit account management User Account Management Computer Account Management Security Group Management Distribution Group Management Application Group Management Other Account Management Event Audit directory service access Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication Audit account logon events Kerberos Service Ticket Operations Credential Validation Kerberos Authentication Service Other Account Logon Events 4743 A computer account was deleted. 5137 A directory service object was created. 4777 The domain controller failed to validate the credentials for an account. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Konfiguracja polityk kontroli może być realizowana w trybie graficznym oraz tekstowym. Polityki górnego poziomu ustawiane są za pomocą GPO. Polityki podkategorii ustawiane są z poziomu wiersza poleceń przy użyciu polecenia auditpol. Bez względu na poziom polityk kontroli konfiguracja obejmuje ustawienia dwóch stanów: Sukces, Niepowodzenie. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Główny poziom pomocy polecenia auditpol. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Nazwy kategorii głównych w trybie graficznym i trybie tekstowym. Kategoria główna (auditpol) Audit system events System Audit logon events Logon/Logoff Audit object access Object access Audit privilege use Privilege use Audit process tracking Detailed tracking Audit policy change Policy change Audit account management Account management Audit directory service access DS access Audit account logon events Account logon © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Pomoc systemowa dotycząca sposobu wyświetlania ustawień polityk kontroli dostępu. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Lista podkategorii zdarzeń System. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Wywołanie polecenia auditpol powodującego włączenie rejestrowania zdarzeń sukcesów w podkategorii Security Group Management. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Wywołanie polecenia auditpol powodującego wyświetlenie aktualnych ustawień w zakresie kategorii Logon/Logoff. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zarządzanie politykami kontroli 2008-02-17 2008-02-17 Zarządzanie politykami kontroli Fragment wykonania polecenia auditpol wykorzystującego symbol wieloznaczny. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Kontrola w systemach operacyjnych staje się zadaniem powszechnym. 2008-02-17 2008-02-17 Podsumowanie Kontrola w systemach operacyjnych staje się zadaniem powszechnym. Bez względu na wersję systemu operacyjnego dostępne są mechanizmy polityk kontroli. Istnieje konieczność wprowadzenia scenariuszy zbierania polityk kontroli na poziomie przedsiębiorstwa. Bardzo istotnym aspektem jest sposób analizy i reagowania na określone wydarzenia. Zalecenia w zakresie prowadzenia audytu za pomocą polityk kontroli. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli System Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Security System Extension Success and Failure § System Integrity § IPsec Driver § Other System Events No auditing § Security State Change © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Logon/Logoff Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Logon Success Success and Failure § Logoff § Account Lockout Note No events map to this category. No auditing § IPsec Main Mode § IPsec Quick Mode § IPsec Extended Mode § Special Logon § Other Logon/Logoff Events § Network Policy Server © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Object Access Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § File System No auditing Failure § Registry § Kernel Object § SAM § Certification Services § Application Generated § Handle Manipulation § File Share § Filtering Platform Packet Drop § Filtering Platform Connection § Other Object Access Events © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Privilege Use Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Sensitive Privilege Use No auditing Success and Failure § Non Sensitive Privilege Use § Other Privilege Use Events © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Detailed Tracking Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Process Termination No auditing § DPAPI Activity § RPC Events § Process Creation Success © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Policy Change Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Audit Policy Change Success and Failure § Authentication Policy Change Success § Authorization Policy Change No auditing § MPSSVC Rule-Level Policy Change § Filtering Platform Policy Change § Other Policy Change Events © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Account Management Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server User Account Management Success Success and Failure Computer Account Management Security Group Management Distribution Group Management No auditing Application Group Management Other Account Management Events © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Directory Service Access Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Directory Service Access Success Success and Failure No auditing § Directory Service Changes § Directory Service Replication § Detailed Directory Service Replication © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Zalecenia w zakresie ustawień podkategorii polityk kontroli 2008-02-17 2008-02-17 Zalecenia w zakresie ustawień podkategorii polityk kontroli Account Logon Audit policy subcategory EC domain controller SSLF domain controller EC member server SSLF member server § Kerberos Authentication Service No auditing § Credential Validation Success Success and Failure § Kerberos Service Ticket Operations § Other Account Logon Events Note No events map to this category. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›
Polityki kontroli w Windows Server 2008 2008-02-17 2008-02-17 Polityki kontroli w Windows Server 2008 Pytania © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. © Compendium Centrum Edukacyjne Sp. z o.o. ‹#›