V každém bezpečném prostředí by jste měli aktivně sledovat AD DS jako součást své celkové bezpečnostní strategie. Audit by měl pak identifikovat činnosti, ať už úspěšné či nikoliv, které se pokusily modifikovat objekty služby Active Directory. Díky nastaveným auditům tak můžete objevit pokusy o neoprávněné přihlášení do počítače či konkrétních složek na síti.
Co je AD DS Audit (Auditing) ?
V logu z každého z auditů jsou zaznamenávány všechny vstupy, kdykoliv se uživatelé pokouší provádět některé z konkrétních akcí. Můžete tedy například zapnout auditování na objektu či politice, které následně ukáže, jaké akce byly provedeny ve spojení s uživatelským účtem, datumem a časem.
U řadičů domény, jsou některé audity ve výchozím nastavení zapnuty.
Nastavení Auditu má tři možnosti:
|
Stav |
Popis |
| Úspěch (Success) |
Audit je zapsán do logu po úspěšném provedení auditované akce. |
| Chyba (Failure) |
Audit je zapsán do logu po neúspěšném provedení auditované akce. |
| No Auditing | Audit nebude zapsán do logu. |
Od Windows server 2008 se rozšířila možnost auditování AD z jedné na čtyři podkategorie a to:
-
Directory service access (zapnuto ve výchozím stavu)
-
Directory service changes (vypnuto ve výchozím stavu)
-
Directory service replication (vypnuto ve výchozím stavu)
-
Detailed Directory service replication (vypnuto ve výchozím stavu)
Pro nastavení auditování jednotlivých podkategorií AD je nutné použít command line nástroj Auditpol.exe
Typy událostí při auditování
Pomocí auditování lze získávat velké množství událostí, v tabulce uvádím některé z nich.
Komentáře