Політика аудита

Локальні політики

Політика блокування облікових записів.

Ці установки визначають, коли й на який час повинна блокувався обліковий запис. Для забезпечення максимальної безпеки доменов ці установки повинні бути обов'язково визначені. У противному випадку ви надаєте атакуючу повну волю цілісінький день займатися вгадуванням паролів.

Блокування облікового запису на. Визначає кількість хвилин, протягом яких обліковий запис буде заблокована після певного числа невдалих спроб входу. Звичайне значення цього параметра встановлюється в 30 хвилин, після витікання яких обліковий запис знову розблокується й готова до використання. Ви маєте право вирішувати, потрібно чи автоматично розблокувати обліковий запис або надати вашому адміністраторові можливість знати про кожне блокування й самому вживати заходів (що не завжди буде поганим варіантом).

Граничне значення блокування. Цей параметр необхідно визначати найпершим із цього розділу. Стандартне рекомендувати значення, що до, порога дорівнює п'яти невдалим спробам входу, але насправді це значення залежить повністю від політики вашої організації.

Скидання лічильника блокування через Значення цього параметра не повинне перевищувати значення параметра "Блокування облікового запису на" (тобто 30 хвилин). Визначає час, протягом якого підраховуються невдалі спроби входу. Установка значення цього параметра в 30 хвилин приведе до того, що невдалі спроби входу будуть тривати до досягнення граничного значення й блокування цієї обліком запису або скидання лічильника блокування.

Що відбудеться, якщо хто-небудь займеться підбором паролів серед ночі? Якщо ви встановите блокування облікового запису на 30 хвилин і дозволите п'ять спроб входу, то атакуючий зможе перевірити біля десяти паролів за годину.

Цей найбільш відомий контейнер містить дуже важливі настроювання аудита, прав користувачів й інших параметрів безпеки.

За замовчуванням весь аудит відключений. Важливо тільки знати, який аудит вам потрібний й як його включити. Деяке перетинання термінології може трохи заплутувати (наприклад, "аудит подій входу в систему" й "аудит входу в систему"), якщо ви не впевнені, аудит яких подій необхідний.

Весь аудит Windows відключений за замовчуванням. Перевірте, що ви дійсно включили аудита.

Аудит подій входу в систему. Цей параметр більше підходить для контролера домену, тому що ведеться облік не того, де відбувався вхід у систему, а куди цей обліковий запис приписаний і де перевіряється. Включення цього параметра запускає облік спроб вилученого входу (успішних чи ні), а також і виходів, для яких даний комп'ютер пізнає обліковий запис. Наприклад, якщо спробувати підключитися до робочої станції з ім'ям Cottons, використовуючи обліковий запис домену, те запис про цьому "вході по обліковому записі" буде присутній у журналах безпеки контролера домену, що підтвердив права облікового запису.

Аудит керування обліковими записами. Цей параметр відповідає за ведення журналів успішних або неуспішних спроб внесення змін в облікові записи користувачів або груп. До складу цих змін входить додавання, видалення й модифікація облікових записів, у тому числі зміна членства в групах, перейменування або установка новою пароля.

Аудит доступу до служби каталогів. Цей параметр відповідає за ведення журналів успішних й/або неуспішних спроб доступу до служб каталогів Active Directory. Даний параметр застосовується тільки до контролерів домена, але не до робочих станцій.

Аудит входу в систему. При виборі обох перемикачів цього параметра й для успішних, і для помилкових станів у журнал будуть записуватися всі підключення до локальної машини. Даний параметр корисний як для локальних машин, таки для контролерів домена. Події входу в локальний комп'ютер містять у собі вхід з консолі, мережне підключення й підключення служб термінала. Наприклад, не залежно oт того, яку обліковий запис ви використаєте, локальну або домена, для входу в робочу станцію з ім'ям Cottons, запис про цю подію буде поміщена в локальний журнал безпеки комп'ютера Cottons.

Аудит доступу до об'єктів. При включенні цього параметра запускається облік доступу до таких об'єктів, як файли системи NTFS, папки, ключі реєстру й принтери. Однак вам однаково прийде вручну конфігурувати системну таблицю керування доступом або властивості аудита для потрібних пристроїв і дій з ними. Крім того, включення цього аудита підготовляє систему до ведення журналів для загальносистемних об'єктів, таких як семафори й події.

Аудит зміни політики. Зміни політик містять у собі модифікацію прав користувача, політик аудита й довіри.

Аудит використання привілеїв. Ви можете заносити в журнал кожну спробу користувача застосування своїх прав, включивши цей параметр. Однак не вага застосування прав користувачів можна запротоколювати. Не будуть занесені в журнал такі права, як налагодження програм, створення маркерного об'єкта, архівування файлів і папок й їхнє відновлення, якщо тільки вами не включений "Аудит використання привілеїв архівування й відновлення" у настроюваннях безпеки.

Аудит відстеження процесів. Можна включати в журнал запис про кожен успішний або невдалий напуск і завершення процесу. Звичайне відстеження успішних процесів не включається через велике навантаження на систему. Але багато організацій хочуть відслідковувати саме неуспішні процеси, щоб знати, які процеси намагаються запускати користувачі без відповідних повноважень.

Аудит системних подій. Дуже важливо вести журнали таких подій, як рестарт або вимикання системи, отже, повинна бути включена запис таких подій, і успішних, і невдалих.

Дата добавления: 2014-01-04; Просмотров: 294; Нарушение авторских прав?; Мы поможем в написании вашей работы!