Audit a Windows Server 2018-ban
- Directory Service Access - hozzáférés a címtárszolgáltatáshoz;
- Directory Service Changes - könyvtár szolgáltatás változások;
- Directory Service Replication - könyvtárszolgáltatás-replikáció;
- Részletes címtárszolgáltatási replikáció - részletes címtárszolgáltatás-replikáció.
PS> Get-Help * -Eventlog
Ha ismered a PowerSheltet, kiválaszthatsz nagyon fontos eseményeket.
A Windows Server rendszerben az audit képességek bővültek. A dinamikus hozzáférés-vezérlés (Dynamic Access Control) megjelenése lehetővé tette, hogy az objektum-kifejezéseken és tulajdonságokon alapuló kifejezés-alapú ellenőrzési irányelveket határozzanak meg, így pontosabb információkat kaphat a fontos dokumentumokhoz való hozzáférési kísérletekről. Például beállíthat egy ellenőrzési irányelvet minden olyan felhasználó számára, akik nem rendelkeznek a szükséges hozzáféréssel, de akik megpróbálják elolvasni a dokumentumot. Ez a házirend közvetlenül egy fájl vagy mappa tulajdonságaiban aktiválódik, vagy a globális objektum-hozzáférés-ellenőrzési audit segítségével. A konfigurált házirendek minden alkalommal létrehozzák az eseményeket, amikor a felhasználó hozzáfér a fájlokhoz (4656, 4663 számokkal), amelyek fájlokat tartalmaznak szűrők segítségével.
Azonban valószínűleg az egyik legfontosabb újítás az a képesség, hogy nyomon követhesse a kivehető eszközökhöz való hozzáférési kísérleteket. A rendszer két azonosítójú eseményt hoz létre: sikeres (4663) és sikertelen kísérletek (4656).
> auditpol / lista / alkategória: *
Aktiváljuk a cserélhető adathordozók ellenőrzését:
> auditpol / set / alkategória: "cserélhető adathordozó" / siker: enable / failure: enable
Ez minden lehetőség. A Windows audit rendszer lehetővé teszi, hogy összegyűjtsön egy csomó információt, fő hátránya, hogy tudnia kell, mit keres. Az egy számmal rendelkező események azt jelenthetik, hogy különböző objektumokat változtatnak meg, egy felhasználói művelet tucatnyi eseményt generálhat, és nagyon fontos a nagyon fontos. Mindez tudást és kutatást igényel.
Által gyűjtött információk az ellenőrzési rendszert használt vizsgálatok és sok biztonsági előírások (HIPAA, a SOX, PCI és mások) előírják, hogy a naplók mentésre kerül sokáig (akár 7 év). A Windows naplóméretei alapértelmezés szerint 128 MB méretűek, és számos esemény esetén gyorsan felülírják. Ezt elkerülheti úgy, hogy a naplózó tulajdonságait az Esemény-megjelenítőben nagyobb méretre állítja, és aktiválja az "Archiválási napló, ha teljes" opciót. Ne írja felül az eseményeket. " De az archiválás és az információ lekérdezése ebben a tömbben (ha ilyen igény merül fel), az ügyintézőnek gondoskodnia kell önmagáról. A beépített fájl-hozzáférési audit nagy terhet ró a kiszolgálóra. Vagyis a Win-ben van audit, de kényelmetlen.
Ezeket és sok más problémát olyan harmadik féltől származó alkalmazásokkal oldják meg, amelyek különböző forrásokból származó naplók összevonását biztosítják, jobb ellenőrzési változásokat, kevesebb adatot.