Auditoría en Windows NT server
- kccobra
- Novice
- Registrado: Abr 01, 2004
- Mensajes: 25
- Status: Offline
Junio 7th, 2004, 1:50 pm
- Anonymous
- Bot
- Registrado: 25 Feb 2008
- Mensajes: ?
- Loc: Ozzuland
- Status: Online
Junio 7th, 2004, 1:50 pm
- hackeralert
- Beginner
- Registrado: Jun 08, 2004
- Mensajes: 60
- Loc: India
- Status: Offline
Junio 8th, 2004, 6:13 am
que desea establecer un proceso de auditoría para un dominio llamado SIV. Antes de considerar qué auditorías se aplican a objetos de AD y contenedores, lo que necesita saber el valor por defecto las entradas de auditoría para el dominio.
Screen1
muestra anuncios por defecto la configuración de auditoría. En la pantalla 1, es el sistema de auditoría con éxito todos los eventos y no (todos) de diferentes accesos (Especial) en el dominio de IMS (sólo este objeto) para los anuncios incorporado en el grupo (Todos). El valor por defecto de control de acceso de configuración especial significa que el sistema de auditorías múltiples eventos. Para ver esos hechos, puede haga doble clic en la línea de entrada de auditoría o de relieve la línea y haga clic en View / Edit. En el cuadro de diálogo que aparece, verá dos fichas: Objeto y Propiedades Screen2
muestra la ficha por defecto de objetos
Screen3
muestra la pestaña Propiedades por defecto. Las dos pantallas de visualización de eventos de auditoría que se aplican sólo a la raíz del SIV DIT para el grupo Todos.
Como muestra la pantalla 3, AD auditorías de propiedad sólo escribe para el SIV de dominio objeto por defecto. Este defecto tiene sentido si se tiene en cuenta que Microsoft diseñado para AD lee más que escribe. Los usuarios acceder a un DIT o consulta publicado recursos mucho más frecuencia de la que cambiar su contraseña o cambiar el nombre de una impresora. En consecuencia, si el sistema por defecto estaban llenos de auditoría en lugar de acceso de escritura, el registro que contienen los registros de auditoría se llenan rápidamente y entradas individuales serían difíciles de encontrar.
Por las mismas razones, la lista de contenidos, Lista objeto, Lea todas las propiedades, permisos de lectura y casillas de verificación en la pantalla 2 están vacíos. El sistema sólo permite la auditoría de escribir, borrar y modificar los acontecimientos de IMS objetos por defecto.
Usted habrá notado que la pantalla tiene un 3 Leer todas las propiedades casilla de verificación, pero no el correspondiente Escribir todas las propiedades casilla de verificación. NT 5,0 beta 1 tiene un Escribir todas las propiedades casilla de verificación en la ficha Propiedades. Pero en NT 5,0 post-beta 1, los desarrolladores de esta opción se trasladó a la pestaña de objetos (como muestra la pantalla 2) y añadió un duplicado Leer todas las propiedades casilla de verificación. Esta modificación es un buen recordatorio de que el NT 5,0 es todavía pre-software y, por tanto, puede cambiar.
Creación de entradas de auditoría
Para mostrar cómo crear registros de auditoría, he utilizado objeto ejemplos de "Gestión de permisos para NT 5.0s Active Directory" y ha creado un DIT para el SIV de dominio. Este DIT tiene una unidad de organización (OU) de contenedores, TestOU1, que contiene un usuario, testuser1. En otros lugares del DIT, los usuarios por defecto contenedor alberga un grupo de dominio, DataEntryGroup. Testuser1 es miembro de DataEntryGroup.
Supongamos que usted decide que los sistemas de auditoría por defecto de cada escritura y cada modificación es demasiado intenso. En cambio, que desea configurar una simple política de auditoría para supervisar DataEntryGroup. En concreto, que desea una descripción a ir cuando los miembros del grupo de tratar de modificar una o permisos de objetos propietario, pero no debido a la falta de permisos de acceso. Usted quiere aplicar estos eventos para todo el dominio. En otras palabras, que desea controlar estos dos eventos para cada objeto. Para deshabilitar la configuración por defecto y crear una entrada, siga estos nueve pasos.
Open Directory gestión.
Haga clic derecho en IMS dominio en el ámbito panel, y seleccione Propiedades.
Seleccione la ficha Seguridad.
Haga clic en Opciones avanzadas y seleccione la pestaña de auditoría en los valores de control de acceso cuadro de diálogo que aparece.
Resalte la entrada por defecto, y haga clic en Eliminar.
Haga clic en Agregar y seleccione de la DataEntryGroup Añadir usuarios y grupos cuadro de diálogo.
Haga clic en Agregar, en Aceptar para cerrar el cuadro de diálogo. Este paso abre una entrada de auditoría cuadro de diálogo para el SIV de dominio similares a los de 2 y Pantalla Pantalla 3, excepto esta ventana no se han separado Objeto y Propiedades de pestañas.
Seleccione Modificar Modificar los permisos y propietario Error en la columna.
Haga clic en Aceptar para regresar al control de acceso cuadro de diálogo Configuración, y haga clic en Aplicar o en Aceptar para establecer los cambios.
Si usted es manualmente la creación de una auditoría de entrada por primera vez en un servidor, un cuadro de diálogo se abre con el mensaje: La actual política de auditoría para este equipo no tiene activada la auditoría.
Comprobación de la auditoría de registro
Después de haber configurado la política de auditoría para el dominio, usted necesita verificar el registro de auditoría. En MMC, abra Informática de Gestión y ampliar las Herramientas de administración de sistemas en el ámbito panel para mostrar el Visor de eventos. La ampliación del Visor de eventos le ofrece cinco registros a elegir de, usted necesita el registro de seguridad. Al hacer clic en Iniciar sesión de Seguridad muestra el auditado los acontecimientos en el panel de visualización, como la pantalla 4 se muestra
Supongamos que, cuando compruebe el registro de seguridad, te encuentras con que de vez en cuando DataEntryGroup miembros no modifiquen el propietario de un determinado objeto, TestOU1, en el DIT. Para saber lo que está ocurriendo, puede configurar una auditoría en que sólo contenedor. Para configurar esta fiscalización, a través de los nueve pasos para crear una entrada de auditoría, con excepción de sustituir el objeto TestOU1 para el SIV de dominio y elegir a todos los ganadores de auditoría y no escribir, borrar y modificar eventos para TestOU1 y por debajo de cualquier objeto en TestOU1 el DIT. Esta auditoría le permitirá ver todos los aspectos de TestOU1 que la DataEntryGroup miembros están tratando de cambiar.
Supongamos que esta auditoría revela un usuario en particular, testuser1, como el culpable. Una vez comprobados los permisos TestUser1s, a encontrar nada raro, así que decidir que usted necesita para TestUser1s eventos de auditoría. Para configurar esta auditoría, siga los mismos nueve pasos a seguir para configurar el contenedor de auditoría, con excepción sustituto testuser1 para DataEntryGroup y seleccionar todas las casillas de verificación en el éxito y el fracaso de las columnas.
Esta nueva auditoría lugares una pista de auditoría completa sobre testuser1, que le permite mantener una vigilia en cuenta lo que está haciendo propietario. Si TestUser1s acciones son involuntarios (por ejemplo, en una aplicación, haga clic en una clave que pasa a tener una función llamada al margen de la ley que los intentos de hacer cambios) o intencional (por ejemplo, utilizando herramientas de sistema para tratar de cambiar una forma deliberada los permisos de objetos), se puede identificar y resolver el problema de seguridad inmediatamente.
Usted podría preguntarse por qué no todos los eventos de auditoría desde el principio para identificar el problema. Inmediatamente la realización de una auditoría completa podría no ser una buena idea. (I destacó porque tal vez no podría ser apropiado en determinadas situaciones.)
Para las empresas con muchos usuarios, cada evento de auditoría para cada objeto generará miles de entradas en cuestión de minutos. Debido a que el sistema debe registrar cada entrada en el registro de auditoría, la auditoría impone una carga sobre el sistema. Incluso un potente servidor es probable que sufren de una notable disminución en el rendimiento. Además, usted es probable que la productividad sufren como usted busca a través de todos los registros en busca de pistas
Cómo Activar Auditoría con el Editor de Configuración de Seguridad
Editor de Configuración de Seguridad (SCE) en Windows NT 5,0 desempeña tres funciones básicas. En primer lugar, SCE te permite crear plantillas de seguridad. En segundo lugar, SCE le permite aplicar una configuración de las plantillas de seguridad para máquinas. Por último, SCE realiza controles de seguridad en las máquinas mediante la comparación de una configuración de las máquinas existentes con los de la plantilla, se detallan las áreas en las que los valores difieren.
Con el fin de permitir la auditoría, lo que necesitas para crear una nueva política de seguridad de plantilla, se aplican a la máquina, y reiniciar el sistema. Heres cómo llevar a cabo estas tareas con NT 5,0 post-beta 1 (es decir, la construcción de 1773).
En el Microsoft Management Console (MMC), abra Informática de Gestión y ampliar las Herramientas de administración de sistemas en el ámbito panel para mostrar SCE.
En el panel de alcance, ampliar estos temas en la sucesión: SCE, Configuración / Inspección plantillas, y X: \ WINNT \ Seguridad \ Plantillas, donde X es la letra de unidad camino de la unidad en la que ha instalado NT 5,0. Dos actual política de plantillas SCE aparecerá: muestra y sampledc.
Haga clic derecho en la muestra, y seleccione "Guardar como. En el nombre del archivo cuadro de texto, a la nueva plantilla un nombre, como la auditoría. El sistema se añada una. Inf a la extensión de archivo.
Haga clic derecho en X: \ WINNT \ Seguridad \ Plantillas y seleccione Actualizar. El alcance panel mostrará la nueva plantilla.
En el panel de alcance, ampliar estos temas en la sucesión: auditoría-on (o lo que usted nombró la nueva plantilla), las políticas locales, y la política de auditoría. La auditoría atributos será visible en el panel de visualización.
Haga doble clic en Auditoría de acceso a objetos en el panel de visualización para abrir un cuadro de diálogo para modificar la configuración existente.
Seleccione Auditoría intentos exitosos y fallidos intentos de Auditoría. Haga clic en Aceptar. La pantalla resultante tendrá un aspecto similar a la pantalla 1.
Haga clic derecho en el nuevo nombre de la plantilla en el panel de alcance, y haga clic en Guardar.
Haga clic derecho en el nuevo nombre de la plantilla en el panel de alcance, y selecciona Configurar. Haga clic en Aceptar en el cuadro de diálogo que aparece.
Reinicie el servidor.
Después de haber creado esta nueva plantilla de seguridad, es posible modificarla para satisfacer sus necesidades. A continuación, puede utilizar el comando Configurar a aplicarlo en el sistema
[/ URL]
Screen1
muestra anuncios por defecto la configuración de auditoría. En la pantalla 1, es el sistema de auditoría con éxito todos los eventos y no (todos) de diferentes accesos (Especial) en el dominio de IMS (sólo este objeto) para los anuncios incorporado en el grupo (Todos). El valor por defecto de control de acceso de configuración especial significa que el sistema de auditorías múltiples eventos. Para ver esos hechos, puede haga doble clic en la línea de entrada de auditoría o de relieve la línea y haga clic en View / Edit. En el cuadro de diálogo que aparece, verá dos fichas: Objeto y Propiedades Screen2
muestra la ficha por defecto de objetos
Screen3
muestra la pestaña Propiedades por defecto. Las dos pantallas de visualización de eventos de auditoría que se aplican sólo a la raíz del SIV DIT para el grupo Todos.
Como muestra la pantalla 3, AD auditorías de propiedad sólo escribe para el SIV de dominio objeto por defecto. Este defecto tiene sentido si se tiene en cuenta que Microsoft diseñado para AD lee más que escribe. Los usuarios acceder a un DIT o consulta publicado recursos mucho más frecuencia de la que cambiar su contraseña o cambiar el nombre de una impresora. En consecuencia, si el sistema por defecto estaban llenos de auditoría en lugar de acceso de escritura, el registro que contienen los registros de auditoría se llenan rápidamente y entradas individuales serían difíciles de encontrar.
Por las mismas razones, la lista de contenidos, Lista objeto, Lea todas las propiedades, permisos de lectura y casillas de verificación en la pantalla 2 están vacíos. El sistema sólo permite la auditoría de escribir, borrar y modificar los acontecimientos de IMS objetos por defecto.
Usted habrá notado que la pantalla tiene un 3 Leer todas las propiedades casilla de verificación, pero no el correspondiente Escribir todas las propiedades casilla de verificación. NT 5,0 beta 1 tiene un Escribir todas las propiedades casilla de verificación en la ficha Propiedades. Pero en NT 5,0 post-beta 1, los desarrolladores de esta opción se trasladó a la pestaña de objetos (como muestra la pantalla 2) y añadió un duplicado Leer todas las propiedades casilla de verificación. Esta modificación es un buen recordatorio de que el NT 5,0 es todavía pre-software y, por tanto, puede cambiar.
Creación de entradas de auditoría
Para mostrar cómo crear registros de auditoría, he utilizado objeto ejemplos de "Gestión de permisos para NT 5.0s Active Directory" y ha creado un DIT para el SIV de dominio. Este DIT tiene una unidad de organización (OU) de contenedores, TestOU1, que contiene un usuario, testuser1. En otros lugares del DIT, los usuarios por defecto contenedor alberga un grupo de dominio, DataEntryGroup. Testuser1 es miembro de DataEntryGroup.
Supongamos que usted decide que los sistemas de auditoría por defecto de cada escritura y cada modificación es demasiado intenso. En cambio, que desea configurar una simple política de auditoría para supervisar DataEntryGroup. En concreto, que desea una descripción a ir cuando los miembros del grupo de tratar de modificar una o permisos de objetos propietario, pero no debido a la falta de permisos de acceso. Usted quiere aplicar estos eventos para todo el dominio. En otras palabras, que desea controlar estos dos eventos para cada objeto. Para deshabilitar la configuración por defecto y crear una entrada, siga estos nueve pasos.
Open Directory gestión.
Haga clic derecho en IMS dominio en el ámbito panel, y seleccione Propiedades.
Seleccione la ficha Seguridad.
Haga clic en Opciones avanzadas y seleccione la pestaña de auditoría en los valores de control de acceso cuadro de diálogo que aparece.
Resalte la entrada por defecto, y haga clic en Eliminar.
Haga clic en Agregar y seleccione de la DataEntryGroup Añadir usuarios y grupos cuadro de diálogo.
Haga clic en Agregar, en Aceptar para cerrar el cuadro de diálogo. Este paso abre una entrada de auditoría cuadro de diálogo para el SIV de dominio similares a los de 2 y Pantalla Pantalla 3, excepto esta ventana no se han separado Objeto y Propiedades de pestañas.
Seleccione Modificar Modificar los permisos y propietario Error en la columna.
Haga clic en Aceptar para regresar al control de acceso cuadro de diálogo Configuración, y haga clic en Aplicar o en Aceptar para establecer los cambios.
Si usted es manualmente la creación de una auditoría de entrada por primera vez en un servidor, un cuadro de diálogo se abre con el mensaje: La actual política de auditoría para este equipo no tiene activada la auditoría.
Comprobación de la auditoría de registro
Después de haber configurado la política de auditoría para el dominio, usted necesita verificar el registro de auditoría. En MMC, abra Informática de Gestión y ampliar las Herramientas de administración de sistemas en el ámbito panel para mostrar el Visor de eventos. La ampliación del Visor de eventos le ofrece cinco registros a elegir de, usted necesita el registro de seguridad. Al hacer clic en Iniciar sesión de Seguridad muestra el auditado los acontecimientos en el panel de visualización, como la pantalla 4 se muestra
Supongamos que, cuando compruebe el registro de seguridad, te encuentras con que de vez en cuando DataEntryGroup miembros no modifiquen el propietario de un determinado objeto, TestOU1, en el DIT. Para saber lo que está ocurriendo, puede configurar una auditoría en que sólo contenedor. Para configurar esta fiscalización, a través de los nueve pasos para crear una entrada de auditoría, con excepción de sustituir el objeto TestOU1 para el SIV de dominio y elegir a todos los ganadores de auditoría y no escribir, borrar y modificar eventos para TestOU1 y por debajo de cualquier objeto en TestOU1 el DIT. Esta auditoría le permitirá ver todos los aspectos de TestOU1 que la DataEntryGroup miembros están tratando de cambiar.
Supongamos que esta auditoría revela un usuario en particular, testuser1, como el culpable. Una vez comprobados los permisos TestUser1s, a encontrar nada raro, así que decidir que usted necesita para TestUser1s eventos de auditoría. Para configurar esta auditoría, siga los mismos nueve pasos a seguir para configurar el contenedor de auditoría, con excepción sustituto testuser1 para DataEntryGroup y seleccionar todas las casillas de verificación en el éxito y el fracaso de las columnas.
Esta nueva auditoría lugares una pista de auditoría completa sobre testuser1, que le permite mantener una vigilia en cuenta lo que está haciendo propietario. Si TestUser1s acciones son involuntarios (por ejemplo, en una aplicación, haga clic en una clave que pasa a tener una función llamada al margen de la ley que los intentos de hacer cambios) o intencional (por ejemplo, utilizando herramientas de sistema para tratar de cambiar una forma deliberada los permisos de objetos), se puede identificar y resolver el problema de seguridad inmediatamente.
Usted podría preguntarse por qué no todos los eventos de auditoría desde el principio para identificar el problema. Inmediatamente la realización de una auditoría completa podría no ser una buena idea. (I destacó porque tal vez no podría ser apropiado en determinadas situaciones.)
Para las empresas con muchos usuarios, cada evento de auditoría para cada objeto generará miles de entradas en cuestión de minutos. Debido a que el sistema debe registrar cada entrada en el registro de auditoría, la auditoría impone una carga sobre el sistema. Incluso un potente servidor es probable que sufren de una notable disminución en el rendimiento. Además, usted es probable que la productividad sufren como usted busca a través de todos los registros en busca de pistas
Cómo Activar Auditoría con el Editor de Configuración de Seguridad
Editor de Configuración de Seguridad (SCE) en Windows NT 5,0 desempeña tres funciones básicas. En primer lugar, SCE te permite crear plantillas de seguridad. En segundo lugar, SCE le permite aplicar una configuración de las plantillas de seguridad para máquinas. Por último, SCE realiza controles de seguridad en las máquinas mediante la comparación de una configuración de las máquinas existentes con los de la plantilla, se detallan las áreas en las que los valores difieren.
Con el fin de permitir la auditoría, lo que necesitas para crear una nueva política de seguridad de plantilla, se aplican a la máquina, y reiniciar el sistema. Heres cómo llevar a cabo estas tareas con NT 5,0 post-beta 1 (es decir, la construcción de 1773).
En el Microsoft Management Console (MMC), abra Informática de Gestión y ampliar las Herramientas de administración de sistemas en el ámbito panel para mostrar SCE.
En el panel de alcance, ampliar estos temas en la sucesión: SCE, Configuración / Inspección plantillas, y X: \ WINNT \ Seguridad \ Plantillas, donde X es la letra de unidad camino de la unidad en la que ha instalado NT 5,0. Dos actual política de plantillas SCE aparecerá: muestra y sampledc.
Haga clic derecho en la muestra, y seleccione "Guardar como. En el nombre del archivo cuadro de texto, a la nueva plantilla un nombre, como la auditoría. El sistema se añada una. Inf a la extensión de archivo.
Haga clic derecho en X: \ WINNT \ Seguridad \ Plantillas y seleccione Actualizar. El alcance panel mostrará la nueva plantilla.
En el panel de alcance, ampliar estos temas en la sucesión: auditoría-on (o lo que usted nombró la nueva plantilla), las políticas locales, y la política de auditoría. La auditoría atributos será visible en el panel de visualización.
Haga doble clic en Auditoría de acceso a objetos en el panel de visualización para abrir un cuadro de diálogo para modificar la configuración existente.
Seleccione Auditoría intentos exitosos y fallidos intentos de Auditoría. Haga clic en Aceptar. La pantalla resultante tendrá un aspecto similar a la pantalla 1.
Haga clic derecho en el nuevo nombre de la plantilla en el panel de alcance, y haga clic en Guardar.
Haga clic derecho en el nuevo nombre de la plantilla en el panel de alcance, y selecciona Configurar. Haga clic en Aceptar en el cuadro de diálogo que aparece.
Reinicie el servidor.
Después de haber creado esta nueva plantilla de seguridad, es posible modificarla para satisfacer sus necesidades. A continuación, puede utilizar el comando Configurar a aplicarlo en el sistema
[/ URL]
- DuckIT
- Graduate
- Registrado: May 04, 2004
- Mensajes: 155
- Loc: London, UK
- Status: Offline
Junio 8th, 2004, 7:53 am
Wow es que algunos dulce ayudarle a condición de que exista hackeralert! Salvo dijo NT y le dio apoyo a Windows 2000 (NT por supuesto no contaba con una AD) 
Quizá quería decir aunque Windows 2000? ¿Hay alguien que aún utilizan NT? 
También puede probar este programa ( No está seguro de si admite NT ):
http://www.gfi.com/lanselm/lanselmscreenshots.htm
Resulta la auditoría en algo legible. No probado a mí mismo, sino que escuche sus buenos! (libre también en su mayor parte)
S
Quizá quería decir aunque Windows 2000? ¿Hay alguien que aún utilizan NT? También puede probar este programa ( No está seguro de si admite NT ):
http://www.gfi.com/lanselm/lanselmscreenshots.htm
Resulta la auditoría en algo legible. No probado a mí mismo, sino que escuche sus buenos! (libre también en su mayor parte)
S
- kccobra
- Novice
- Registrado: Abr 01, 2004
- Mensajes: 25
- Status: Offline
Junio 8th, 2004, 12:49 pm
Página 1 de 1
Para responder a este tema que necesita para ingresar o registrarse. Es gratis.
Publicar Información
- Total de mensajes en este tema: 4 mensajes
- Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 103 invitados
- No puede abrir nuevos temas en este Foro
- No puede responder a temas en este Foro
- No puede editar sus mensajes en este Foro
- No puede borrar sus mensajes en este Foro
- No puede enviar adjuntos en este Foro
