Local Policies, Audit událostí
Sěě
u J
Be. Šimon Suchomel
Group Policy
o Centralizovaná konfigurace systému
o Používané hlavně v enterprise prostředí
o Ovšem konfigurace běžná pro počítače sloužící konkrétním účelům
o Omezení určitých akcí z hlediska bezpečnosti (knihovny, veřejná místa, kavárna, ...)
Local Group Policy
o Zjednodušená verze GP pro lokální počítač
o Nelze měnit politiky pro určité uživatele, či skupiny
o Dá se obejít přes editor registrů, ?
o Windows Vista umožňuje použití Multiple Local Group Policy Objects
Konfigurace politiky hesel
o Pro zvýšení zabezpečení uživatelských účtů
o Můžeme specifikovat jak dlouho bude heslo platné
o Vynutit minimální délku hesla
o Windows Settings -> Security Settings -> Account Policies -> Password Policy
Možnosti
o  Enforce Password History
•   # hesel držené v historii, 0 - 24, udává kolik nových hesel musí uživatel použít, než použije staré
o  Maximum Password Age
•   # dní možnosti používat stejné heslo, 0 vypnuto o  Minimum Password Age
•   # dní po které nemůžeme heslo změnit o  Minimum Password Length
•   0 - 14, 0 heslo být nemusí
o  Passwords Must Meet Complexity Requirements
•   Musí mít splňovat výše uvedené a musí obsahovat velká písmena, čísla, speciální znaky
Account Lockout Policy
o Systém zamkne účet za určitých okolností o Account Lockout Duration
•  0 až 99,999 minut, 0 navždy
o Account Lockout Threshold
•  Po kolika špatných pokusech zadat heslo se účet zamkne 0 až 999, 0 = nikdy
o Reset Lockout Counter After
•  # minut, než se resetuje čítač špatných zadání, 1 až 99,999
Uživatelská práva - User Rights
o Přiřadit specifická práva uživatelům a skupinám
o Každé právo umožňuje provádět specifické akce
o Práva jsou kumulativní, přiřazovat skupinám a ne uživatelům
o Windows Settings -> Security Settings -> Local Policies -> User Right Assignments
Privilegia = Privileges
o   Privilegium je uživatelské právo, které umožňuje provádět specifické úkony
o  Většinou ovlivňující celý systém než konkrétní objekt
o   Change The System Time
Umožňuje změnit interní čas počítače o   Create A Pagefile
Vytvoření a změna stránkovacího souboru o Force Shutdown From A Remote System o   Shut Down The Systém
Členské servery Administrators, Backup Operators, and Power Users
Doménové řadiče Administrators, Account Operators, Backup Operators, Print Operators, a Server Operators
o  Take Ownership Of Files Or Other Objects
Logon Rights
o Access This Computer From The Network
•  Připojit se k počítači přes síť
o Deny Access To This Computer From The Network
o Log On Locally
•  Přihlásit se použitím lokální klávesnice
Audit událostí
o Umožňuje sledovat aktivity systému a uživatele
o Aktivity se nazývají „events" události
o Použitím auditu systém zapjše události do Security log, které obsahují
•  Jaká akce se stále
•  Jaký uživatel ji vyvolal
•  Úspěch nebo neúspěch a kdy se to stalo
o Politika auditu definuje jaké záznamy v logu budou
o Systém zapíše události do logu na tom počítači, kde se událost vyskytla
Co auditovat?
o Typy událostí
•  Přístup k souborům a adresářům
•  Přihlašování a odhlašování
•  Vypínaní a zapínání počítače
•  Změna uživatelů a skupin
•  Změny v objektech AD
o Úspěch / neúspěch
o Definovat užitečnou auditovací politiku
o Pravidelně kontrolovat security log
Požadavky
o Nejdříve je potřeba nastavit na každém počítači auditovací politiku a poté je možné konfigurovat audit na souborech, adresářích a tiskárnách
o Musíme mít uživatelské právo Manage Auditing And Security Log
o Pro audit souborů a adresářů musí být na NTFS svazku
o 2 fázový proces
Nastavit na každém počítači auditovací politiku Povolit konkrétní audit
Nastavení auditovací politiky
o Windows Settings -> Security Settings -> Local Policies -> Audit Policy
o Account Logon Events
•  Ověření uživatele na DC (jen AD)
o Account Management
•  Operace s účty a skupinami, změna hesla, povolení / zakázání účtu
o Directory Service Access
•  Přístup k objektu AD, k jakým objektům se musí specifikovat
Auditovací politiky
o   Logon Events
Přihlášení/ Odhlášení, připojení/ odpojení přes síť o   Object Access
Přístup k souboru, adresáři, tiskárně o   Policy Change
Změna v user security options, user rights, or audit policies
o   Privilege Use
Uživatel uplatnil právo, např. změna systémového času (nevztahuje se na práva přihlašování a odhlašování)
o   Process Tracking
Program provedl nějakou akci.
o   System Events
Restart nebo vypnutí počítače. Události, které ovlivňují bezpečnost a security log
Aplikace auditu
o Po nastavení politiky je nutný restart
o Auditování souborů a adresářů
•  Záložka Security vlastností složky
• Advanced nastavení, karta Auditing
o Auditování u tiskáren analogicky
Prohlížeč událostí = Event Viewer
o Defaultně 3 logy
•  Application log
o Varováníó chyby a informace jednotlivých programu, specifikuje vývojář programu
•  Security log
o Úspěch či neúspěch audit událostí
•  System log
o Varování, chyby a informace generované systémem
o Eventvwr
o Hleglání, filtrování, správa logů, archivace logu