Zaawansowane zasady audytu umożliwiają szczegółową kontrolę ustawień audytu w usłudze Active Directory. Ustawienia te umożliwiają monitorowanie i śledzenie zmian w usłudze Active Directory, takich jak aktywność użytkowników, zmiany członkostwa w grupach, zmiany zasad grupy itp.
W tym wpisie pokażę, jak skonfigurować ustawienia zaawansowanych zasad audytu w usłudze Active Directory.
Krok konfiguracji zaawansowanej polityki audytu
- Otwórz konsolę zarządzania zasadami grupy (Group Management Policy)
- Przejdź do jednostki organizacyjnej kontrolera domeny, rozwijając kontener Las (Forest) i domeny (Domains). Kliknij prawym przyciskiem myszy i wybierz edycję w polu Domyślne zasady kontrolerów domeny (Default Domain Controllers Policy). Opcjonalnie możesz utworzyć nowy obiekt zasad grupy zamiast modyfikować domyślny.
- W obszarze Konfiguracja komputera kliknij Zasady – Ustawienia systemu Windows – Ustawienia zabezpieczeń – Zaawansowana konfiguracja zasad audytu – Zasady audytu (Policies – Windows Settings – Security Settings – Advanced Audit Policy Configuration – Audit Policy).
- Skonfiguruj zasady audytu zgodnie ze swoimi wymaganiami. Poniżej znajdziesz zalecane ustawienia.
Zalecane zaawansowane ustawienia zasad audytu
Poniższe ustawienia zasad audytu opierają się na podstawowym poziomie zabezpieczeń systemu Windows Server 2022.
| Ścieżka polityki | Nazwa ustawień zasad | Ustawienia zdarzeń audytu |
|---|---|---|
| Account Logon | Audit Credential Validation | Failure |
| Account Logon | Audit Kerberos Authentication Service | Success and Failure |
| Account Logon | Audit Kerberos Service Ticket Operations | Failure |
| Account Logon | Audit Other Account Logon Events | |
| Account Management | Audit Application Group Management | |
| Account Management | Audit Computer Account Management | Success |
| Account Management | Audit Distribution Group Management | |
| Account Management | Audit Other Account Management Events | Success |
| Account Management | Audit Security Group Management | Success |
| Account Management | Audit User Account Management | Success and Failure |
| Detailed Tracking | Audit DPAPI Activity | |
| Detailed Tracking | Audit PNP Activity | Success |
| Detailed Tracking | Audit Process Creation | Success |
| Detailed Tracking | Audit Process Termination | |
| Detailed Tracking | Audit RPC Events | |
| Detailed Tracking | Audit Token Right Adjusted | |
| DS Access | Audit Detailed Directory Service Replication | |
| DS Access | Audit Directory Service Access | Failure |
| DS Access | Audit Directory Service Changes | Success |
| DS Access | Audit Directory Service Replication | |
| Global Object Access Auditing | File system | |
| Global Object Access Auditing | Registry | |
| Logon/Logoff | Audit Access Right | |
| Logon/Logoff | Audit Account Lockout | Failure |
| Logon/Logoff | Group Membership | Success |
| Logon/Logoff | IPsec Extended Mode | |
| Logon/Logoff | IPsec Main Mode | |
| Logon/Logoff | IPsec Quick Mode | |
| Logon/Logoff | Audit Logoff | |
| Logon/Logoff | Audit Logon | Success and Failure |
| Logon/Logoff | Audit Network Policy Server | |
| Logon/Logoff | Audit Other Logon/Logoff Events | Success and Failure |
| Logon/Logoff | Special Logon | Success |
| Logon/Logoff | Audit User / Device Claims | |
| Object Access | Audit Application Generated | |
| Object Access | Audit Central Access Policy Staging | |
| Object Access | Audit Certification Services | |
| Object Access | Audit Detailed File Share | Failure |
| Object Access | Audit File Share | Success and Failure |
| Object Access | Audit File System | |
| Object Access | Audit Filtering Platform Connection | |
| Object Access | Audit Filtering Platform Packet Drop | |
| Object Access | Audit Handle Manipulation | |
| Object Access | Audit Kernel Object | |
| Object Access | Audit Other Object Access Events | Success and Failure |
| Object Access | Audit Registry | |
| Object Access | Audit Removable Storage | Success and Failure |
| Object Access | Audit SAM | |
| Policy Change | Audit Audit Policy Change | Success |
| Policy Change | Audit Authentication Policy Change | Success |
| Policy Change | Audit Authorization Policy Change | |
| Policy Change | Audit Filtering Platform Policy Change | |
| Policy Change | Audit MPSSVC Rule-Level Policy Change | Success and Failure |
| Policy Change | Audit Other Policy Change Events | Failure |
| Privilege Use | Audit Non-Sensitive Privilege Use | |
| Privilege Use | Audit Other Privilege Use Events | |
| Privilege Use | Audit Sensitive Privilege Use | Success and Failure |
| System | Audit IPsec Driver | |
| System | Audit Other System Events | Success and Failure |
| System | Audit Securty State Change | Success |
| System | Audit Security System Extension | Success |
| System | Audit System Integrity | Success and Failure |
Przykład konfiguracji jedngo z audytów:
Sprawdź ustawienia zasad audytu
Ustawienia zasad audytu możesz szybko sprawdzić za pomocą poniższego polecenia.
|
1 |
auditpol.exe /get /category:* |
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
