Windows & Active Directory Auditing
 

استفاده از Auditing برای یک Admin شبکه می تواند بسیار مفید باشد و نقش کلیدی را ایفا کند .

شما می توانید توسط این سرویس دسترسی افراد را به Resource های شبکه را پیگیری کنید و  درواقع یک جور Log فایل ایجاد کنید

از این دسترسی ها و به Decomposition آنها بپردازید. تجریه و تحلیل این موارد موجب می شود Admin بیشتر به Event های شبکه خود

توجه کند و در نتیجه از کلیه حوادث شبکه با خبر باشد این موجب می شود که شما آماده هر گونه مشکل درآینده باشید چون از قبل با

داشتن Log فایلها انتظار آنها را داشته اید برای مثال وجود Attack ها و ورود غیره مجاز افراد داخل شبکه و خارج شبکه به Resource های شبکه

به شما این امکان را می دهد که با آنها برخورد لازم را انجام دهید . و نیز موجب می شود نقاطی از شبکه خود را که بیشتر مورد حمله

قرار گرفته است را پیدا کرده و برای مشکل راه حلی جستجو کنید . حمله Virus نیز بسیار مهم می باشد و البته Malware ها را نباید دستکم گرفت .

 

استفاهد از نرم افزار های Monitoring کمک بسیار می کند به اینکه شما مراقب فعالیتهای افراد شبکه و User های Internet باشید

بر روی Resource ها و Server های شبکه خود . در Windows 2000 , XP موردی بنام Auditing ایجاد شده .

توسط این ابزار شما می توانید از Login شدن افراد به شبکه باخبر شوید و نیز فعالیتهای آنها بر روی شبکه مانند Access ها و Modify ها و ...

Microsoft مواردی را برای این کار در اختیار قرارداده که آنها را مرور می کنیم .

 

   

    Figure 1: Windows Auditing - Audit Policy

Audit account logon events

این Policy اگر فعال باشد بر روی DC افرادی که در شبکه به Domain متصل شود و Login کنند در Log file اطلاعاتی در مورد آن User و نام Computer آن

نوشته می شود .

Audit account management

مواردی مربوط به اطلاعات مربوط به Account ها اگر تغییر کند را شامل می شود این Policy . این موارد را در زیر مشاهده می کنید .

  • Creating a user account

  • Adding a user to a group

  • Renaming a user account

  • Changing a password for a user account

Audit directory service access

این Policy در شبکه های Domain بسیار مهم می باشد و هر نوع Access مربوط به Active Directory Object در شبکه توسط User ها را در بر می گیرد.

در Windows 2003 Server R2 شما با کمک GPMC می توانید این Policy را تغییر داده ئ تنظیم کنید البته توسط Group Policy نیز می توانید .

 

   

    Figure 2: GPMC - Default Domain Controller Policy (DC Policy)

اگر شما می خواهید این Policy در Domain فعال باشد باید آن را به DC و یا به Domain  متصل کنید البته Link کردن به DC می تواند دلایل دیگر نیز

داشته باشد.

   

    Figure 3: GPMC - Default Domain Controller Policy (DC Policy) - Advanced Security - Auditing Tab

همانند شکل 3 شما برای گروه ها می توانید بر روی DC خود Policy را Link کنید و ACL برای آنها تعریف کنید مثلا افرادی که توانسته اند 

یک Property را Write کنند یعنی ایجاد کنند یا تغییر دهند در ACL بالا در خط سه و چهار این نوع ACL تعریف شده برای ایجاد Log File.

شما در ACL بالا مانند شکل 3 می توانید موارد زیر را مشخص کنید برای ایجاد Logfiles.

  • The account (typically user or group) that will be tracked

  • The type of access that will be tracked, such as read, create, modify, ....

  • Success or failure access to the object

این Policy برای DC ها مفید می باشد و بهتر می باشد که فعال باشد برای Everyone Group تا همه را در بر گیرد.

 
Audit logon events

این Policy بر روی Workstation ها معنی می دهد و بر روی DC کاری انجام نمی دهد بدین مفهوم که Login /Logoff یک فرد را به Computer

را بصورت Log درمی آورد و گزارش می کند .

Audit object access

انواع دسترسی به هر Object  و   Active Directory Object  را در بر می گیرد مانند Files , Folder , Printer , AD obj و Registry  و ...

Audit policy change

هر تغییری در سه Policy زیر را گزارش می دهد .

  • User Rights Assignment

  • Audit Policies

  • Trust relationships

Audit privilege use

کلیه اختیاراتی که به یک User  در User Right Assignment POLICY ممکن است داده شده باشد و آن User از آنها استفاده کند را گزارش می دهد .

Audit process tracking

کلیه Process های مربوط به Application هایی که بر روی سیستم اجرا شده اند را گزارش می کند .مانند Run و Exit آنها و ...

Audit system events

مواردی همچون Shutdown شدن Computer ها و Reset شدن آنها را گزارش می کند .

 
Success and Failure

در Property یک Folder در بخش Advanced در Auditing Tab شما می توانید از SASL برای مشخص کردن نوع گزارش گیری خود استفاده کنید .

همانند شکل زیر بر روی یک Share Folder این موارد که مشخص شده در گزارش فقط نوشنه می شوند برای Authenticated Users.

   

    Figure 4: Folder Property > Advanced Security Settings - Auditing Tab

در Figure 4 شما دو Item مشاهده می کنید که در Figure 5 کلیه Detail هر دو Item را مشاهده می کنید هم مورد Success  و هم مورد Fail.

 

    ( Left: Fail  --  Right: Success )

   

     

    Figure 5: Advanced Security Settings - Auditing Tab - Auditing Entries

 

Last Updated: May 01, 2006

Winteacher.com
Expert Zone > Windows and Active Directory Auditing

 © 2003-2006 Winteacher.com . All rights reserved