:::: MENU ::::

Konfigurace AD DS Auditu (Auditing)

V každém bezpečném prostředí by jste měli aktivně sledovat AD DS jako součást své celkové bezpečnostní strategie. Audit by měl pak identifikovat činnosti, ať už úspěšné či nikoliv, které se pokusily modifikovat objekty služby Active Directory. Díky nastaveným auditům tak můžete objevit pokusy o neoprávněné přihlášení do počítače či konkrétních složek na síti.

alt

Co je AD DS Audit (Auditing) ?

V logu z každého z auditů jsou zaznamenávány všechny vstupy, kdykoliv se uživatelé pokouší provádět některé z konkrétních akcí. Můžete tedy například zapnout auditování na objektu či politice, které následně ukáže, jaké akce byly provedeny ve spojení s uživatelským účtem, datumem a časem.

U řadičů domény, jsou některé audity ve výchozím nastavení zapnuty.

Nastavení Auditu má tři možnosti:

Stav

Popis

Úspěch
(Success)
Audit je zapsán do logu po úspěšném provedení auditované akce.
Chyba
(Failure)
Audit je zapsán do logu po neúspěšném provedení auditované akce.
No Auditing Audit nebude zapsán do logu.

Od Windows server 2008 se rozšířila možnost auditování AD z jedné na čtyři podkategorie a to:

  • Directory service access (zapnuto ve výchozím stavu)
  • Directory service changes (vypnuto ve výchozím stavu)
  • Directory service replication (vypnuto ve výchozím stavu)
  • Detailed Directory service replication (vypnuto ve výchozím stavu)

Pro nastavení auditování jednotlivých podkategorií AD je nutné použít command line nástroj Auditpol.exe

Typy událostí při auditování

alt

Pomocí auditování lze získávat velké množství událostí, v tabulce uvádím některé z nich.


Komentáře