Windows Server 2008 R2 da tekshirilishi mumkin bo'lgan hodisalar soni 53 taga ko'paytirildi. Ushbu 53 ta audit
siyosati (tanaviy audit siyosati deb ataladi) Xavfsizlik sozlamalari\Kengaytirilgan audit siyosati konfiguratsiyasi
bo'limida joylashgan bo'lib, ular guruhlarga bo'lingan. 10 toifa:
Hisob qaydnomasiga kirish - hisob ma'lumotlarini tekshirish, Kerberos autentifikatsiya xizmati, Kerberos chipta
operatsiyalari va boshqa tizimga kirish voqealarini tekshiradi
Hisobni boshqarish - foydalanuvchi va kompyuter hisoblaridagi o'zgarishlarni, shuningdek, AD guruhlari va ularga
a'zolik haqidagi ma'lumotlarni kuzatib boring
Batafsil kuzatuv - individual ilovalar faoliyatini tekshirish (RPC, DPAPI)
DS Access - Active Directory Domain Services (AD DS) ob'ektlariga kiritilgan o'zgarishlarning kengaytirilgan auditi
Tizimga kirish/chiqish - kompyuterlar va domen serverlariga interaktiv va tarmoqqa kirish urinishlarini, shuningdek
hisob blokirovkalarini tekshirish
Ob'ektga kirish - turli ob'ektlarga (yadro, fayl tizimi va umumiy papkalar, ro'yxatga olish kitobi, sertifikat xizmatlari
va boshqalar) kirishni tekshirish.
Siyosatni o'zgartirish - guruh siyosatidagi o'zgarishlarni tekshirish
Imtiyozlardan foydalanish - turli toifadagi ma'lumotlarga kirish huquqlarini tekshirish
Tizim - xavfsizlik nuqtai nazaridan juda muhim bo'lgan kompyuterlar sozlamalaridagi o'zgarishlar
Global Object AccessAuditing - ma'murga barcha qiziqish ob'ektlari bo'yicha ro'yxatga olish kitobi va fayl tizimidagi
o'zgarishlarni kuzatib boradigan o'z ACL'larini yaratishga ruxsat bering.
Tabiiyki, tizimni keraksiz ishlar va keraksiz ma'lumotlar bilan jurnallarni ortiqcha yuklamaslik uchun faqat minimal
talab qilinadigan tekshiriladigan parametrlar to'plamidan foydalanish tavsiya etiladi.
Active Directory hisobini sozlash va guruh o'zgarishini tekshirish
Bunday holda, bizni Hisob boshqaruvi toifasi qiziqtiradi, bu sizga Audit Security Group Management guruhlaridagi
o'zgarishlarni tekshirish) va foydalanuvchi hisoblarini tekshirishni (Audit User Account Management siyosati) yoqish
imkonini beradi. Biz faqat muvaffaqiyatli o'zgarishlarni kuzatishni sozlash orqali audit siyosati ma'lumotlarini
faollashtiramiz (Muvaffaqiyat).
Ushbu siyosatni domen tekshiruvi hisoblarini o'z ichiga olgan konteyner bilan bog'lash (odatda, bu OU Domain
Controllers) va ushbu siyosatni qo'llash (90 daqiqa kutish yoki gpupdate / force buyrug'ini ishga tushirish orqali).
Ushbu siyosatni qo'llaganingizdan so'ng, foydalanuvchi hisoblari va guruhga a'zolikdagi barcha o'zgarishlar haqidagi
ma'lumotlar Xavfsizlik jurnalidagi domen kontrollerlarida qayd etiladi. Quyidagi skrinshotda foydalanuvchi Active
Directory guruhlaridan olib tashlangan vaqtni aniqlaydigan voqea ko'rsatilgan (bu holda siz kim, qachon va kim
guruhdan o'chirilganligini ko'rishingiz mumkin).
Odatiy bo'lib, jurnal jurnalga kiritilgan barcha xavfsizlik hodisalarini ko'rsatadi. Siz izlayotgan voqeani topishni
osonlashtirish uchun jurnalni ma'lum bir voqea identifikatori filtrlash mumkin. Agar bizni faqat voqealar qiziqtirsa,
masalan, domenda foydalanuvchi parolini qayta o'rnatish, siz identifikator 4724 bo'yicha filtrni yoqishingiz kerak
Quyida Xavfsizlik amaliyoti jurnalida hodisalarni izlash va filtrlash kerak boʻlishi mumkin boʻlgan voqea
identifikatorlarining roʻyxati keltirilgan:
AD guruhlaridagi o'zgarishlar kontekstida hodisa identifikatorlari:
4727 : A security-enabled global group was created.
4728 : A member was added to a security-enabled global group.
4729 : A member was removed from a security-enabled global group.
4730 : A security-enabled global group was deleted.
4731 : A security-enabled local group was created.
4732 : A member was added to a security-enabled local group.
4733 : A member was removed from a security-enabled local group.
4734 : A security-enabled local group was deleted.
4735 : A security-enabled local group was changed.
4737 : A security-enabled global group was changed.
4754 : A security-enabled universal group was created.
4755 : A security-enabled universal group was changed.
4756 : A member was added to a security-enabled universal group.
4757 : A member was removed from a security-enabled universal group.
4758 : A security-enabled universal group was deleted.
4764 : A group’s type was changed.
45. Тahdidlarni aniqlash tizimlarini o‘rganish va tahlil qilish
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash
texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy
vositalar:
- Monitoring
- Aniqlash
- axborot tizimlarida sodir bo'layotgan o'zgarishlarni tahlil qilish. Yechimlar murakkablashib, turli xil vositalarni
birlashtiradi.
Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu ko'p hollarda murakkab maqsadli hujumlarni
o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas.