Znak sprawy: pg xf 292/25/12 Załącznik nr 4 do Umowy



Pobieranie 366.45 Kb.
Strona7/8
Data01.05.2016
Rozmiar366.45 Kb.
1   2   3   4   5   6   7   8

1.25Audyt


Bardzo ważnym elementem polityki bezpieczeństwa jest odpowiednio skonfigurowany mechanizm weryfikacji działań wykonywanych w systemie, czyli audyt. To daje informacje o jakości wprowadzonych polityk zabezpieczeń oraz umożliwia śledzenie zmian zachodzących w obrębie całego systemu.

W przypadku systemu Windows Server 2008 R2 występują cztery kategorie zdarzeń związanych z usługa katalogową. Są to:



  • Directory Service Access

  • Directory Service Changes

  • Directory Service Replication

  • Detailed Directory Service Replication

Zamawiający wymaga zapewnienia możliwości audytowania zdarzeń sukcesu, jak i niepowodzenia. Jest to konieczne w celu uzyskania pełnego obrazu sytuacji panującej wewnątrz usługi katalogowej.

1.25.1Partycja schematu usługi katalogowej


Schemat usługi katalogowej będzie audytowany pod kątem:

  • dodawania, usuwania i modyfikacji obiektów (definicji schematu)

  • przenoszenia roli FSMO Schema Master

Audyt będzie skonfigurowany dla następującego obiektu:

CN=Schema,CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 15 Konfiguracja audytu partycji schematu AD

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Create All Child Objects

Delete


Delete All Child Objects

Delete Subtree



Success

This object only

Everyone

Write All Properties

Success

This object and all child objects

Everyone

Change Schema Master

Success

This object only

Everyone

Reanimate Tombstones

Success

This object only

Administrators

All Extended Rights

Success

This object only

Domain Users

All Extended Rights

Success

This object only

1.25.2Partycja konfiguracji usługi katalogowej


Na audyt partycji konfiguracji AD składa się audyt kilku elementów:

  • Atrybutu wellKnownObjects

  • Kontenera Sites

  • KonteneraPartitions

  • dsHeuristics

  • Polityki zapytania domyślnego (Default Query Policy)

Elementy te zostały opisane poniżej.

Atrybut wellKnownObjects


Modyfikacja atrybutu wellKnownObjects jest audytowana poprzez konfigurację audytu dla następującego obiektu:

CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 16 Konfiguracja audytu atrybutu wellKnownObjects partycji konfiguracji

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Write All Properties


Success

This object only

Everyone

Reanimate Tombstones

Success

This object only

Administrators

All Extended Rights

Success

This object only

Domain Users

All Extended Rights

Success

This object only

Kontener Sites


Audyt kontenera Sites umożliwia wykrycie wykonania następujących operacji w usłudze katalogowej:

  • Dodanie lub usunięcie kontrolerów domeny w lesie AD.

  • Dodanie lub usunięcie obiektów zasad grupowych (GPO) aplikowanych do całej lokacji.

  • Uruchomienie na kontrolerach domeny jednej z operacji: Do Garbage Collection, Recalculate Hierarchy, Recalculate Security Inheritance, Check Stale Phantoms.

  • Dodanie, usunięcie i zmodyfikowanie obiektów połączeń lokacji.

  • Dodanie, usuwanie i zmodyfikowanie obiektów połączeń.

Audyt będzie skonfigurowany dla następującego obiektu:

CN=Sites,CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 17 Konfiguracja audytu kontenera Sites

Name

Access

Type

Apply to

Everyone

Create All Child Objects

Delete


Delete All Child Objects

Delete Subtree



Success

This object and all child objects

Everyone

All Extended Rights

Success

Domain Controller

Settings object



Everyone

Write gPlink (property)

Success

Site objects

Everyone

Write gPOptions (property)

Success

Site objects

Everyone

Write siteObject (property)

Success

Subnet objects

Kontener Partitions


Audyt kontenera Partitions umożliwia wykrycie wykonania następujących operacji w usłudze katalogowej:

  • Dodanie i usunięcie domeny (lub odwołania do zewnętrznego katalogu) w lesie.

  • Zmodyfikowanie obowiązujących suffixów UPN

  • Przeniesienie roli FSMO: Domain Naming Master

Audyt będzie skonfigurowany dla następującego obiektu:

CN=Partition,CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 18 Konfiguracji audytu kontenera Partitions

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Write All Properties

Create All Child Objects

Delete

Delete All Child Objects



Delete Subtree

All Extended Rights



Success

This object and all child objects

dsHeuristics


Atrybut dsHeuristics kontroluje na poziomie całego lasu Active Directory charakterystykę wyświetlania obiektów w katalogu – związany jest m.in. z parametrem LIST_OBJECT.

Audyt będzie skonfigurowany dla następującego obiektu:



CN=Directory Service,CN=Windows NT,CN=Services,CN=Partition,CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 19 Konfiguracji audytu atrybutu dsHeuristics

Name

Access

Type

Apply to

Everyone

Write dSHeuristics (property)

Success

This object only

Polityka zapytania domyślnego (Default Query Policy)


Polityka zapytania domyślnego (Default Query Policy) definiuje globalne w skali lasu parametry zarządzające obsługą audytu zapytań LDAP.

Audyt będzie skonfigurowany jest dla obiektu:



CN=Default Query Policy,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 20 Konfiguracji audytu polityk zapytania domyślnego

Name

Access

Type

Apply to

Everyone

Write lDAPAdminLimits

(property)



Success

This object only

1.25.3Partycja domeny usługi katalogowej


W ramach partycji domeny audytowi zostaną poddane następujące elementy:

  • Główny obiekt domeny

  • Kontener Domain Controllers

  • Kontener Infrastructure

Szczegółowe informacje na temat poszczególnych elementów zostały przedstawione poniżej.

Główny obiekt domeny


Po skonfigurowaniu poniższych opcji możliwe będzie śledzenie zdarzeń związanych z:

  • Przenoszeniem roli FSMO PDC Emulator.

  • Dodawaniem i usuwaniem obiektów GPO podpiętych na poziomie domeny.

  • Modyfikacją obowiązujących w domenie Suffix-ów DNS.

  • Modyfikacją uprawnień i atrybutu wellKnownObject dla partycji domeny

Audyt będzie skonfigurowany dla obiektu:

,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 21 Konfiguracji audytu dla głównego obiektu domeny

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Write All Properties


Success

This object only

Administrators

All Extended Rights

Success

This object only

Domain Users

All Extended Rights

Success

This object only

Everyone

Write gPlink

Success

Organizational Unit objects

Everyone

Write gPOptions

Success

Organizational Unit objects

Kontener Domain Controllers


Po skonfigurowaniu poniższych opcji możliwe będzie śledzenie zdarzeń związanych z:

  • Dodawaniem lub usuwaniem kontrolerów domeny.

  • Modyfikacją właściwości kont kontrolerów domeny.

Audyt będzie skonfigurowany dla obiektu:

OU=Domain Controllers,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 22 Konfiguracja audytu dla kontenera Domain Controllers

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Create All Child Objects

Delete


Delete All Child Objects

Delete Subtree



Success

This object only

Everyone

Write All Properties

Success

This object and all child objects

Kontener Infrastructure


Po skonfigurowaniu poniższej opcji możliwe będzie śledzenie wykonania operacji przenoszenia roli FSMO Infrastructure Master.

Audyt będzie skonfigurowany dla obiektu:



CN=Infrastructure,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 23 Konfiguracja audytu dla kontenera Domain Controllers

Name

Access

Type

Apply to

Everyone

All Extended Rights

Write All Properties

Change Infrastructure

Master


Success

This object only

1.25.4Kontener System


W ramach kontenera System audytowi zostaną poddane następujące elementy:

  • Kontener Policies

  • Obiekt AdminSDHolder

  • Obiekt RID Manager$

Szczególowe informacje na temat poszczególnych elementów zostały przedstawione poniżej.

Kontener Policies


Poniższa konfiguracja zapewni możliwość audytowania następujących operacji:

  • Dodawania lub usuwania obiektów GPO.

  • Modyfikacji obiektów GPO.

Audyt będzie skonfigurowany dla obiektu:

CN=Policies,CN=System,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 24 Konfiguracja audytu dla kontenera Policies

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Create groupPolicyContainter Objects

Delete


Delete groupPolicyContainer Objects

Delete Subtree



Success

This object only

Everyone

Modify Permissions

Write All properties



Success

groupPolicyCOntainer

objects

AdminSDHolder


AdminSDHolder jest specjalnym obiektem, w którym zapisany jest szablon deskryptora zabezpieczeń chroniącego wszystkie konta administracyjne.

Audyt będzie skonfigurowany dla obiektu:



CN= AdminSDHolder,CN=System,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 25 . Konfiguracja audytu dla kontenera AdminSDHolder

Name

Access

Type

Apply to

Everyone

Modify Permissions

Modify Owner

Write All Properties


Success

This object only

RID Manager$


Poniższa konfiguracja zapewni możliwość audytowania przenoszenia roli FSMO RID Master.

Audyt będzie skonfigurowany dla obiektu:



CN= RID Manager$,CN=System,DC=pg,DC=gov,DC=pl

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 26 Konfiguracja audytu dla kontenera RID Manager$

Name

Access

Type

Apply to

Everyone

All Extended Rights

Write All Properties

Change Rid Master


Success

This object only

1.25.5Audyt zmian pozostałych obiektów w usłudze katalogowej


Polityka definiująca audyt obejmie nie tylko obiekty systemowe w usłudze katalogowej, ale również inne. Pozwoli to na audyt operacji wykonywanych przez pracowników wsparcia technicznego czy administratorów. Konfiguracja taka może pomóc wyjaśnić wątpliwości w sytuacjach gdy nie wiadomo kto dokonał niepożądanej zmiany w atrybutach obiektów (np. zmiana członkostwa w grupie czy zmiana hasła konta użytkownika).

Audyt zostanie skonfigurowany dla obiektu:



DC=pg,DC=gov,DC=pl

Parametry niezbędne do konfiguracji zostały przedstawione w tabelce poniżej:



Tabela 27 Konfiguracja audytu dla wszystkich obiektów domeny

Name

Access

Type

Apply to

Everyone

Write All Propertie

Modify Permission

Modify Owner


Success

This object only

Everyone

Write gPlink

Write gPOptions



Success

This object only and all

child objects



Administrators

Domain Users



All Extended Rights

Success

This object only

Everyone

Modify Owner

Create/Delete User Objects

Create/Delete InetOrgPerson Objects

Create/Delete Group Objects

Create/Delete Organizational Unit Objects


Success

This object only and all child objects

Everyone

Write property: managedBy

Success

This object only and all

child objects



Everyone

Add/Remove self as member

Success

Group objects

Everyone

Write property: groupType

Success

Group objects

Everyone

Write property: managedBy

Success

Group objects

Everyone

Write property: members

Success

Group objects

Everyone

Change Password

Reset password



Success

User objects

Everyone

Write property: userAccountControl

Success

User objects

Everyone

Write property: accountExpires

Success

User objects

Everyone

Write property: Display Name

Success

User objects

Everyone

Write Public Information

Success

User objects

Everyone

Write Personal Information

Success

User objects

Everyone

Write General Information

Success

User objects

Everyone

Write Phone and Mail Options

Success

User objects

Everyone

Write Logon Information

Success

User objects

Powyższa konfiguracja zapewnia dokładny audyt operacji wykonywanych w domenie. Jednakże może to negatywnie wpłynąć na wydajność systemu. W przypadku występowania takiej sytuacji należy zawęzić zakres obserwowanych atrybutów i operacji do niezbędnego minimum, które nadal będzie spełniało wymogi bezpieczeństwa w Prokuraturze Generalnej.

1.25.6Audyt udziału SYSVOL


W ramach audytu środowiska usługi katalogowej niezbędne jest również audytowanie zasobu SYSVOL. Po wprowadzeniu poniższych zasad możliwe będzie śledzenie:

  • Modyfikacji obiektów zasad grupowych w części, która jest przechowywana w zasobie SYSVOL

  • Modyfikacji zasobów przechowywanych w zasobie NETLOGON

Audyt będzie zdefiniowany na poziomie następującego obiektu w systemie plików:

D:\ SYSVOL\sysvol

Skonfigurowane parametry przedstawione zostały w tabelce poniżej:



Tabela 28 Konfiguracja audytu dla udziau SYSVOL

Name

Access

Type

Apply to

Everyone

Create Files / Write Data

Create Folders / Append Data

Delete Subfolders and Files

Delete


Change Permissions

Take Ownership



Success

This folder, subfolder and files



1   2   3   4   5   6   7   8


©absta.pl 2019
wyślij wiadomość

    Strona główna