Polityki kontroli w Windows Server 2008
 |
Zawartość strony
Wprowadzenie
Prawidłowe administrowanie systemem Windows Server nie jest możliwe bez systematycznego zbierania i analizowania zdarzeń wymuszanych przez zainstalowane role i funkcje.
W środowisku Windows Server 2008 zaszły zmiany w zakresie bardzo popularnych polityk, pozwalających na kontrolowanie użycia uprawnień systemowych list kontroli dostępu SACL (z ang. System Access Control Lists).
Polityki kontroli (ang. Audit Policy) są znane już od wcześniejszych wersji Windows Server i bez wątpienia wielu inżynierów oraz administratorów je wykorzystuje.
W poniższym artykule zaprezentowany został wykaz polityk oraz nowe funkcjonalności, które w tym zakresie pojawiły się w Windows Server 2008.
Polityki kontroli w Windows Server
Bezpieczeństwo infrastruktury IT jest traktowane priorytetowo. W celu podniesienia ogólnego poziomu ochrony stosowane są różne rozwiązania.
W ogromnej puli możliwości nie bez znaczenia wyróżnia się mechanizm polityk kontroli. Cel jego stosowania jest bardzo jasny – dostarcza informacji o czynnościach wykonywanych w systemie, na których niejednokrotnie najbardziej nam zależy.
Błędnie zakończone logowanie, dostęp do ważnych plików, modyfikacja ustawień obiektów usługi Active Directory, w końcu zmiana polityki uwierzytelniania klientów, te i inne informacje są bezsprzecznie pożądane i pozwalają na prawidłowe prowadzenie polityki prewencyjnej.
Wykorzystanie polityk kontroli nie jest rozwiązaniem tylko dla ekspertów, każdy jest w stanie się nimi wspomagać, nawet w środowiskach komputerów domowych. Rozpoczynając przygodę z politykami kontroli kłopotliwe może być zdobycie umiejętności odnajdywania informacji, na których nam w danej chwili zależy. Gwarantuję jednak, że bardzo szybko przychodzi moment, kiedy nabiera się wprawy i bez zastosowania polityk kontroli nie wyobrażamy sobie naszej infrastruktury IT, małej i dużej.
Polityki kontroli górnego poziomu
Polityki kontroli w Windows Server 2008 są skategoryzowane na dwóch poziomach. Wprowadzenie stopniowania ma na celu umożliwienie dokładniejszego pozyskiwania interesujących nas zdarzeń.
Pierwszy poziom – kategoria górnego poziomu (ang. top level category) – to odpowiedniki znanych z wcześniejszych wersji Windows kategorii polityk kontroli. Należą do nich:
| • | Audit system events, |
| • | Audit logon events, |
| • | Audit object access, |
| • | Audit privilege use, |
| • | Audit process tracking, |
| • | Audit policy change, |
| • | Audit account management, |
| • | Audit directory service access, |
| • | Audit account logon events. |
Rys. 1. Polityki kontroli górnego poziomu.
Polityki kontroli drugiego poziomu
Drugi poziom – podkategoria (ang. subcategory) – stanowiący nowość serwera opatrzonego liczbą 2008, pozwala na dokładne określenie rodzaju rejestrowanych zdarzeń.
Wiele osób borykało się z ogromną ilością zdarzeń, ich kłopotliwą analizą, problemem zapewnienia dostatecznego wolnego miejsca oraz spadkiem wydajności serwerów. Podkategorie pozwalają na znaczne wyeliminowanie tych problemów.
W sumie wyróżniamy 52 podkategorie w ramach dziewięciu kategorii górnego poziomu. Poniżej przedstawiam poszczególne podkategorie oraz skojarzone z nimi zdarzenia.
| • | Security State Change – zmiany związane ze stanem systemu. |
| • | Security System Extension – zdarzenia związane z aktywnością w zakresie rozszerzeń zabezpieczania systemu. |
| • | System Integrity – zdarzenia związane z naruszeniami integralności systemu. |
| • | IPsec Driver – operacje związane z funkcjonowaniem usługi systemowej IPSec. |
| • | Other System Events – aktywność usługi Windows Firewall oraz sterownika Windows Firewall. |
| • | Logon – próby logowania do komputera bez względu na rodzaj konta (lokalne/domenowe). |
| • | Logoff – próby dostępu do komputera niezależnie od rodzaju logowania lub konta. |
| • | Account Lockout – zdarzenia związane z blokowaniem kont. |
| • | IPsec Main Mode – zdarzenia trybu pełnego IPSec. |
| • | IPsec Quick Mode – zdarzenia trybu szybkiego IPSec. |
| • | IPsec Extended Mode – zdarzenia trybu rozszerzonego IPSec. |
| • | Special Logon – przyznawanie przywilejów specjalnych. |
| • | Other Logon/Logoff Events – zdarzenia związane z logowaniem i wylogowaniem użytkowników w powiązaniu z wygaszaczem ekranu, blokowaniem i odblokowaniem konsoli oraz połączeniami pulpitu zdalnego. |
| • | Network Policy Server – zdarzenia związane z funkcjonowaniem Network Policy Server. |
| • | File System – wszystkie próby dostępu do plików i folderów. |
| • | Registry – zdarzenia związane z dostępem do kluczy i wartości rejestru systemowego. |
| • | Kernel Object – zdarzenia związane z aktywnością w zakresie dostępu do obiektu jądra. |
| • | SAM – zdarzenia dotyczące dostępu do obiektów w bazie SAM (ang. Security Account Manager). |
| • | Certification Services – zdarzenia związane z funkcjonowaniem usług certyfikatów oraz zagadnieniami infrastruktury kluczy publicznych. |
| • | Application Generated – zdarzenia związane z aktywnością aplikacji oraz jej działaniem w kontekście użytkownika. |
| • | Handle Manipulation – zdarzenia odpowiedzialne za powtórzenie wcześniejszego przyznania dostępu. |
| • | File Share – zdarzenia związane z dostępem do zasobów sieciowych. |
| • | Filtering Platform Packet Drop – zdarzenia związane z blokowaniem pakietów przez Windows Filtering Platform. |
| • | Filtering Platform Connection – zdarzenia związane z zezwalaniem i blokowaniem połączeń przez Windows Filtering Platform. |
| • | Other Object Access Events – zdarzenia związane z pozostałymi sytuacjami dostępu do obiektów, na przykład tworzenie, kasowanie, włączanie, wyłączanie zaplanowanych zadań. |
| • | Sensitive Privilege Use – zdarzenia związane z użyciem przywilejów dających dostęp do ważnych i krytycznych elementów systemu. |
| • | Non Sensitive Privilege Use – zdarzenia związane z użyciem uprawnień nie dających dostępu do ważnych i krytycznych elementów systemu. |
| • | Other Privilege Use Events – pozostałe zdarzenia związane z użyciem przywilejów. |
| • | Process Creation – zdarzenia związane z tworzeniem procesów w trakcie uruchomiania programów na komputerach lokalnych. |
| • | Process Termination – zdarzenia pozwalające na śledzenie zakończonych procesów, które były wyzwalane przez uruchamiane programy na komputerach lokalnych. |
| • | DPAPI Activity – zdarzenia związane z ochroną danych API (Data Protection API). DPAPI pomaga zabezpieczać prywatne klucze, zapamiętane poświadczenia (od Windows XP) oraz inne tajne informacje, które powinny utrzymywać taki status. |
| • | RPC Events – zdarzenia powiązane z zabezpieczeniami procedur zdalnego wywołania RPC. |
| • | Audit Policy Change – zdarzenia związane ze zmianami polityk kontroli. |
| • | Authentication Policy Change – zdarzenia związane ze zmianami w zakresie polityk uwierzytelniania użytkowników. |
| • | Authorization Policy Change – zdarzenia związane ze zmianami w zakresie polityk autoryzacji użytkowników. |
| • | MPSSVC Rule-Level Policy Change – zdarzenia związane ze zmianami w zakresie polityk reguł Windows Firewall. |
| • | Filtering Platform Policy Change – zdarzenia związane ze zmianami w zakresie polityk funkcjonowania Windows Filtering Platform. |
| • | Other Policy Change Events – zdarzenia związane ze zmianami w zakresie polityk. |
| • | User Account Management – zdarzenia związane ze śledzeniem zmian w kontach lokalnych na stacjach roboczych i serwerach członkowskich oraz kontach użytkowników domenowych Active Directory. |
| • | Computer Account Management – zdarzenia związane z tworzeniem, zmianami oraz kasowaniem kont komputerów na kontrolerach domen. |
| • | Security Group Management – zdarzenia związane z aktywnością w zakresie zarządzania grupami zabezpieczeń w środowisku domenowym i środowisku komputerów lokalnych. |
| • | Distribution Group Management – zdarzenia związane z aktywnością w zakresie zarządzania grupami dystrybucyjnymi w środowisku domenowym. |
| • | Application Group Management – zdarzenia związane zarządzaniem grupami aplikacji. |
| • | Other Account Management Events – pozostałe zdarzenia związane z zarządzaniem kontami. |
| • | Directory Service Access – zdarzenia związane ze śledzeniem prób dostępu do obiektów Active Directory. Zdarzenia są rejestrowane wyłącznie na kontrolerach domeny. |
| • | Directory Service Changes – zdarzenia związane ze zmianami właściwości obiektów. Zdarzenia obejmują wszystkie informacje pozwalające zidentyfikować jaki obiekt, jaką właściwość, jaki użytkownik oraz na jaką wartość zmodyfikował. |
| • | Directory Service Replication – zdarzenia związane z replikacją usługi katalogowej. |
| • | Detailed Directory Service Replication – szczegółowe zdarzenia związane z replikacją usługi katalogowej. |
| • | Kerberos Service Ticket Operations – zdarzenia związane z czynnościami w zakresie obsługi biletów usługi Kerberos. |
| • | Credential Validation – zdarzenia związane z aktualizowaniem poświadczeń dla kont. |
| • | Kerberos Authentication Service – zdarzenia związane z funkcjonowaniem usługi uwierzytelniania Kerberos. |
| • | Other Account Logon Events – zdarzenia logowania na kontach, na przykład błędną aktualizacją poświadczeń przez kontroler domeny. |
Zarządzanie politykami kontroli dostępu
Modyfikację polityk kontroli przeprowadzamy za pomocą narzędzi, które są dostępne w trybie graficznym oraz w trybie tekstowym. Należy zwrócić uwagę, że ustawienia na poziomie podkategorii możemy wykonywać wyłącznie w trybie tekstowym.
Wersja okienkowa to nic innego jak znany powszechnie Edytor polityk dostępny chociażby z poziomu popularnej konsoli GPMC. Konfigurując każdą z dziewięciu polityk, mamy do wyboru dwie opcje:
| • | Success - zdarzenia w ramach kategorii, które zakończyły się pomyślnie. |
| • | Failure - zdarzenia w ramach kategorii, które zakończyły się niepowodzeniem. |
Rys. 2. Edytor polityk.
Osoby korzystające z wiersza poleceń mają do dyspozycji narzędzie auditpol z dużą liczbą przełączników, co bezpośrednio przekłada się na możliwości konfiguracji. Auditpol posiada bardzo dobrze przygotowaną pomoc systemową z szeregiem przykładów. Nikt nie powinien więc mieć kłopotów w korzystaniu z narzędzia.
W tabeli 1. przedstawiono nazwy głównych kategorii, które należy stosować, aby polecenie auditpol prawidłowo interpretowało nasze żądania.
| Tab.1. Nazwy kategorii głównych w trybie graficznym i trybie tekstowym. | |
Kategoria główna | Kategoria główna (auditpol) |
Audit system events | System |
Audit logon events | Logon/Logoff |
Audit object access | Object access |
Audit privilege use | Privilege use |
Audit process tracking | Detailed tracking |
Audit policy change | Policy change |
Audit account management | Account management |
Audit directory service access | DS access |
Audit account logon events | Account logon |
Wyświetlenie pomocy systemowej dotyczącej polecenia auditpol wymaga zastosowania dobrze znanej składni z przełącznikiem /?.
auditpol /?
Rys. 3. Główny poziom pomocy polecenia auditpol.
Rys. 4. Pomoc systemowa dotycząca sposobu wyświetlania ustawień polityk kontroli dostępu.
Wyświetlenie wszystkich podkategorii polityk kontroli dotyczących systemu wymaga użycia następującej składni:
auditpol /list /subcategory:System
Wynik wykonania polecenia przedstawiony jest na rysunku 5.
Rys. 5. Lista podkategorii zdarzeń System.
Włączenie rejestrowania zdarzeń sukcesów w ramach podkategorii Security Group Management wymaga zastosowania następującej składni polecenia auditpol:
auditpol /set /subcategory:”Security Group Management” /success:enable
Rys. 6. Wywołanie polecenia auditpol powodującego włączenie rejestrowania zdarzeń sukcesów w podkategorii Security Group Management.
Zwróćmy uwagę, że w składni należy również określić rodzaj rejestrowanych zdarzeń (sukces/niepowodzenie) – odpowiada za to przełącznik /success.
Wyświetlenie bieżących ustawień w ramach kategorii/podkategorii wymaga użycia przełącznika /get. Poniżej przedstawiono składnię, która pozwala na uzyskanie informacji o aktualnych ustawieniach w ramach kategorii Logon/Logoff (Audit logon events). W składni możemy zastosować nazwę lub globalny identyfikator GUID.
Rys. 7. Wywołanie polecenia auditpol powodującego wyświetlenie aktualnych ustawień w zakresie kategorii Logon/Logoff.
Dzięki możliwości użycia symbolu wieloznacznego gwiazdki możemy uzyskać wykaz wszystkich bieżących ustawień w ramach polityk kontroli dostępu.
auditpol /get /category:*
Rys. 8. Fragment wykonania polecenia auditpol wykorzystującego symbol wieloznaczny.
Zestawienie polityk kontroli dostępu
Na koniec zamieszczam zbiór polityk kontroli w postaci tabelki. Wierzę, że przyda się ona w trakcie planowania konfiguracji oraz codziennej analizie zdarzeń tych polityk kontroli w Windows Server 2008.
| Tab. 2. Zestawienie polityk kontroli dostępu w Windows Server 2008. | ||
Kategoria główna | Kategoria główna (auditpol) | Podkategoria (auditpol) |
Audit system events | System | Security State Change |
|
| Security System Extension |
|
| System Integrity |
|
| IPsec Driver |
|
| Other System Events |
Audit logon events | Logon/Logoff | Logon |
|
| Logoff |
|
| Account Lockout |
|
| IPsec Main Mode |
|
| IPsec Quick Mode |
|
| IPsec Extended Mode |
|
| Special Logon |
|
| Other Logon/Logoff Events |
|
| Network Policy Server |
Audit object Access | Object access | Registry |
|
| Kernel Object |
|
| SAM |
|
| Certification Services |
|
| Application Generated |
|
| Handle Manipulation |
|
| File Share |
|
| Filtering Platform Packet Drop |
|
| Filtering Platform Connection |
|
| Other Object Access Events |
Audit privilege use | Privilege use | Sensitive Privilege Use |
|
| Non Sensitive Privilege Use |
|
| Other Privilege Use Events |
Audit process tracking | Detailed tracking | Process Creation |
|
| Process Termination |
|
| DPAPI Activity |
|
| RPC Events |
Audit policy change | Policy change | Audit Policy Change |
|
| Authentication Policy Change |
|
| Authorization Policy Change |
|
| MPSSVC Rule-Level Policy Change |
|
| Filtering Platform Policy Change |
|
| Other Policy Change Events |
Audit account management | Account management | User Account Management |
|
| Computer Account Management |
|
| Security Group Management |
|
| Distribution Group Management |
|
| Application Group Management |
|
| Other Account Management Event |
Audit directory service access | DS access | Directory Service Access |
|
| Directory Service Changes |
|
| Directory Service Replication |
|
| Detailed Directory Service Replication |
Audit account logon events | Account logon | Kerberos Service Ticket Operations |
|
| Credential Validation |
|
| Kerberos Authentication Service |
|
| Other Account Logon Events |
Podsumowanie
Polityki kontroli w Windows Server 2008 zostały rozszerzone. Wprowadzenie dwóch poziomów kategorii umożliwia dokładniejsze określenie interesujących nas zdarzeń. Jednocześnie takie rozwiązanie zapobiega nadmiernemu i niepotrzebnemu zapisywaniu informacji.
Dzięki intuicyjnemu i łatwemu w obsłudze narzędziu auditpol zarządzanie politykami kontroli jest obecnie prostsze w potoku codziennych zadań administracyjnych.
 | Paweł Pławiak |