ADAudit Plus to wyróżnione wieloma nagrodami rozwiązanie scentralizowanej architektury inspekcji rejestrowania, pozwalające administratorom środowiska Microsoft Windows na wyświetlanie, monitorowanie, archiwizowanie i otrzymywanie alertów w czasie rzeczywistym wraz z dokładnymi raportami z inspekcji wydarzeń dzienników zabezpieczeń Windows. Dziennik zabezpieczeń zawiera ustalone przez zasady inspekcji systemu zapisy wydarzeń związanych z zabezpieczeniami. Administratorzy mogą wykrywać i śledzić próby oraz udane działania nieautoryzowane oraz rozwiązywać problemy. Przykłady wydarzeń bezpieczeństwa obejmują wydarzenia uwierzytelniania, wydarzenia inspekcji, nieautoryzowane wydarzenia. Są one przechowywane w dziennikach zabezpieczeń systemu operacyjnego.
Konieczność przestrzegania wymagań zgodności z zasadami bezpieczeństwa, takimi jak ustawa SOX, PCI-DSS, FISMA, GLBA, HIPAA etc. wymaga, aby administratorzy zaimplementowali bezpieczny proces ochrony przed próbami i udanym dostępem nieautoryzowanym. Ciągłe monitorowanie poufnych informacji sieciowych jest krytyczne dla każdej firmy, niezależnie od tego, czy musi ona przestrzegać określonych norm, czy też nie. Dzienniki zdarzeń zabezpieczeń Windows to jedno ze źródeł, przy pomocy których można śledzić i logować próby logowania. Ręczna kontrola każdego urządzenia z systemem Windows jest pracochłonna i praktycznie niemożliwa, co uzasadnia regularną zautomatyzowaną inspekcję i monitorowanie dzienników zdarzeń.
Krytyczne dzienniki zdarzeń zabezpieczeń Windows wymagające inspekcji | |
4768 / 4771 | Sukces / niepowodzenie logowania do konta |
4624 / 4625 | Sukces / niepowodzenie logowania lokalnego |
4647 | Wylogowanie zainicjowane przez użytkownika |
4778 / 4779 | Sesja usług terminalowych połączona ponownie/rozłączona |
5136 / 5137 | Modyfikacja/tworzenie/przenoszenie obiektu AD |
5139 / 5141 | Obiekt AD przeniesiony/usunięty |
4670 | Zmiana pozwoleń ze starymi i nowymi atrybutami |
4663 / 4659, 4660 | Dostęp/usuwanie plików |
Gigantyczna liczba rejestrowanych wydarzeń oznacza, że analizowanie dziennika zdarzeń zabezpieczeń może być bardzo czasochłonnym zadaniem. Aby przeprowadzać inspekcję sukcesów, inspekcję niepowodzeń, albo nie przeprowadzać w ogóle inspekcji tego typu wydarzenia musisz zdefiniować wymaganą zaawansowaną zasadę inspekcji w lokalnych ustawieniach zabezpieczeń, dzięki czemu zbierane będą wyłącznie dzienniki zdarzeń potrzebnych do inspekcji, gwarantując dzięki temu, że przestrzeń dyskowa nie wypełni się zbyt szybko niepożądanymi dziennikami.
Poniżej znajdują się wydarzenia zabezpieczeń, których inspekcja jest zalecana, znajdujące się w ustawieniach zaawansowanych zasad inspekcji: Dla kontrolerów domeny | dla serwerów plików Windows | dla serwerów członkowskich Windows | Dla stacji roboczych Windows
Poniżej podano różne kategorie zaawansowanych zasad inspekcji | |
Logowanie do konta | Dokumentuje próby uwierzytelnienia danych konta w kontrolerze domeny lub lokalnym menedżerze konta zabezpieczeń (SAM). |
Zarządzanie kontami | Monitoruje zmiany grup i kont komputera i użytkownika. |
Szczegółowe śledzenie | Monitoruje działania poszczególnych aplikacji i użytkowników na tym komputerze. |
Dostęp do usług katalogowych | Wyświetla szczegółowy dziennik inspekcji prób uzyskania dostępu i modyfikacji obiektów w usługach domenowych Active Directory (AD DS). |
Logowanie/wylogowanie | Śledzi próby zalogowania na komputer, interakcyjnie lub przez sieć. Wydarzenia te są szczególnie użyteczne do śledzenia działań użytkowników oraz identyfikowania potencjalnych ataków na zasoby sieciowe. |
Dostęp do obiektów | Śledzi próby uzyskania dostępu do określonych obiektów lub typów obiektów w sieci lub w komputerze. |
Zmiana zasad | Śledzi zmiany oraz próby zmiany ważnych zasad zabezpieczeń w lokalnym systemie lub w sieci. |
Wykorzystanie uprawnień | Śledź uprawnienia udzielane w sieci użytkownikom lub komputerom w celu zakończenia zdefiniowanych zadań. |
System | Monitoruj na poziomie systemowym zmiany komputera, które nie są uwzględnione w innych kategoriach i mają potencjalne implikacje związane z zabezpieczeniami. |
Inspekcja dostępu do obiektów globalnych | Administratorzy mogą definiować systemowe listy kontroli dostępu (SACL) dla każdego typu obiektu dla systemu plików lub dla rejestru. |