Active Directory Etki Alanı Hizmetlerini bir dakika içinde denetleyin. Kaynak erişim denetimi

Bazen bir soruyu cevaplamamızı gerektiren olaylar olur "bunu kim yaptı?" Bu "nadiren, ancak uygun bir şekilde" olabilir, bu nedenle sorunun cevabına önceden hazırlanmalısınız.

Hemen hemen her yerde tasarım departmanları, muhasebe departmanları, geliştiriciler ve bir dosya sunucusunda veya iş istasyonlarından birinde ortak (Paylaşılan) bir klasörde depolanan belge grupları üzerinde birlikte çalışan diğer çalışan kategorileri vardır. Birisi bu klasörden önemli bir belgeyi veya dizini silebilir ve bunun sonucunda tüm ekibin çalışması kaybolabilir. Bu durumda, sistem yöneticisinin önünde birkaç soru ortaya çıkar:

Sorun ne zaman ve ne zaman ortaya çıktı?

Bu zamana en yakın hangi yedek kopyadan veriler geri yüklenmelidir?

Belki tekrar olabilecek bir sistem arızası vardı?

Windows'un bir sistemi var Denetim, belgelerin ne zaman, kim tarafından ve hangi program yardımıyla silindiğini takip etmenizi ve kaydetmenizi sağlar. Varsayılan olarak, Denetim etkin değildir - izlemenin kendisi, sistem gücünün belirli bir yüzdesini gerektirir ve her şeyi arka arkaya kaydederseniz yük çok ağır olur. Ayrıca, tüm kullanıcı eylemleri bizi ilgilendirmeyebilir, bu nedenle Denetim politikaları, yalnızca bizim için gerçekten önemli olan olayların izlenmesini sağlamamıza izin verir.

Denetim sistemi tüm işletim sistemlerinde yerleşiktir MicrosoftpencerelerNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Ne yazık ki, Windows Home sistemlerinde denetim çok gizlidir ve yapılandırılması çok zordur.

Özelleştirmek için neye ihtiyacınız var?

Denetimi etkinleştirmek için, paylaşılan belgelere erişim sağlayan bilgisayarda yönetici haklarıyla oturum açın ve komutu çalıştırın. Başlangıç→Çalıştırmak→gpedit.msc. Bilgisayar Yapılandırması bölümünde, klasörü genişletin Windows Ayarları→ Güvenlik ayarları→ Yerel Politikalar→ Denetim Politikaları:

Politikaya çift tıklayın Denetim nesnesi erişimi (Nesne Erişim Denetimi) ve onay kutusunu seçin Başarı. Bu parametre, dosyalara ve kayıt defterine başarılı erişimi izlemek için bir mekanizma sağlar. Aslında, yalnızca başarılı dosya veya klasör silme girişimleriyle ilgileniyoruz. Yalnızca doğrudan izlenen nesnelerin depolandığı bilgisayarlarda Denetimi etkinleştirin.

Yalnızca Denetim ilkesini etkinleştirmek yeterli değildir, ayrıca erişimi izleyeceğimiz klasörleri de belirlememiz gerekir. Genellikle bu tür nesneler, ortak (paylaşılan) belge klasörleri ve üretim programlarına veya veritabanlarına (muhasebe, depo vb.) sahip klasörlerdir - yani, birkaç kişinin çalıştığı kaynaklar.

Dosyayı kimin sileceğini önceden tahmin etmek imkansızdır, bu nedenle Herkes için izleme belirtilir. Herhangi bir kullanıcı tarafından izlenen nesneleri silmeye yönelik başarılı girişimler günlüğe kaydedilir. Gerekli klasörün özelliklerini arayın (bu tür birkaç klasör varsa, sırayla hepsi) ve sekmede Güvenlik → Gelişmiş → Denetim konu takibi ekle Herkes başarılı erişim girişimleri Silmek ve Alt Klasörleri ve Dosyaları Sil:

Birçok olay günlüğe kaydedilebilir, bu nedenle günlüğün boyutunu da ayarlamanız gerekir. Güvenlik(Güvenlik) hangisinde kaydedilecek. İçin
bu komutu çalıştır Başlangıç→ Çalıştırmak→ olayvwr. msc. Görünen pencerede Güvenlik günlüğünün özelliklerini çağırın ve aşağıdaki parametreleri belirtin:

Maksimum Günlük Boyutu = 65536 KB(iş istasyonları için) veya 262144 KB(sunucular için)

Olayların üzerine gerektiği gibi yazın.

Aslında, bu rakamların kesinliği garanti edilmez, ancak her bir özel durum için ampirik olarak seçilir.

pencereler 2003/ DP)?

Tıklamak Başlangıç→ Çalıştırmak→ eventvwr.msc Güvenlik. görüş→ Filtre

• Olay Kaynağı: Güvenlik;
• Kategori: Nesne Erişimi;
• Olay Türleri: Başarı Denetimi;
• Olay Kimliği: 560;

Her kaydın içindeki aşağıdaki alanlara dikkat ederek filtrelenmiş olaylar listesini gözden geçirin:

• Nesneİsim. Aradığınız klasör veya dosyanın adı;
• resimDosyaİsim. Dosyanın silindiği programın adı;
• Erişim. İstenen haklar kümesi.

Program, sistemden aynı anda birkaç tür erişim talep edebilir - örneğin, Silmek+ senkronize et veya Silmek+ Okumak_ Kontrol. Bizim için önemli bir hak Silmek.

Peki, belgeleri kim sildi (pencereler 2008/ manzara)?

Tıklamak Başlangıç→ Çalıştırmak→ eventvwr.msc ve görüntülemek için günlüğü açın Güvenlik. Günlük, doğrudan sorunla ilgili olmayan olaylarla doldurulabilir. Güvenlik günlüğüne sağ tıklayın ve görüş→ Filtre ve görünümü aşağıdaki kriterlere göre filtreleyin:

• Olay Kaynağı: Güvenlik;
• Kategori: Nesne Erişimi;
• Olay Türleri: Başarı Denetimi;
• Olay Kimliği: 4663;

Tüm silme işlemlerini kötü niyetli olarak yorumlamak için zaman ayırın. Bu işlev genellikle normal program çalışması sırasında kullanılır - örneğin, komutu yürütürken Kaydetmek(Kaydetmek), paket programlar MicrosoftOfisönce yeni bir geçici dosya oluşturun, belgeyi bu dosyaya kaydedin ve ardından dosyanın önceki sürümünü silin. Benzer şekilde, birçok veritabanı uygulaması, başlangıçta geçici bir kilit dosyası oluşturur. (. lck), sonra programdan çıkarken kaldırın.

Uygulamada, kötü niyetli kullanıcı davranışlarıyla da karşılaştım. Örneğin, belirli bir şirketin çatışan bir çalışanı işten çıkarıldığında, ilgili olduğu dosya ve klasörleri silerek çalışmasının tüm sonuçlarını yok etmeye karar verdi. Bu tür olaylar açıkça görülebilir - güvenlik günlüğünde saniyede onlarca, yüzlerce giriş oluştururlar. Tabii ki, belgelerin kurtarılması Gölgekopyalar(Gölge Kopyalar) ya da günlük olarak otomatik olarak oluşturulan bir arşiv zor değil ama aynı zamanda "Bunu kim yaptı?" sorularına da cevap verebildim. ve "Bu ne zaman oldu?"

İyi günler arkadaşlar ve meslektaşlar. Bugün, sonuçta, dosya sunucularınızdaki değişiklikleri nasıl izleyeceğiniz, yani dosyaya kimin ve ne yaptığı hakkında konuşacağız; yanlışlıkla silip silmediğiniz; bir nedenden dolayı gereksiz bir dosya oluşturdu, vb. Tabii ki, en az üç şey bu konuyla yakından ilgilidir: dosya topunu belgelemek, dosya filtrelerinin kullanımı (belirli bir dosya türünü yasaklayan) ve depolama boyutunu sınırlamak için bir sistem (kota sistemi). Ancak bu şeyler bir makalenin sınırlarının çok ötesine geçecek. Konu talep edilirse, gelecekte bu konularla ilgili makaleler görünecektir.

Daha önce benzer şeyler yapmış deneyimli yöneticiler için burada yeni bir şey bulamayacaksınız. Denetim teknolojileri uzun zamandır var. Sadece deneyimlerimi paylaşacağım ve bence alan ağındaki dosya sunucularında basitçe gerekli olan bazı şeyler hakkında fikrimi söyleyeceğim.

Öncelikle Grup İlkesi üzerinden gelişmiş denetimi etkinleştirip gerekli sunuculara uygulamamız gerekiyor. Windows Server 2008 R2 test sunucusunda yapacağım, ağımdaki her şeyi 2012 R2'de yaptım. İlke ve arayüz kabaca aynıdır. Genel olarak, denetim sistemi Windows Server 2000 günlerinden beri ortaya çıkmıştır (belki NT'de bile ama önemli değil), birçok yönetici tarafından aktif olarak kullanılmakta ve uygulanmaktadır. 2008 versiyonu ile Gelişmiş denetim de hizmet vermeye başlamıştır. Doğrudan güçlü yenilikleri fark edene kadar hem eski denetimi hem de yeni denetimi kullandım. Ancak genel olarak, yeni denetim, yönetim ve ortamlarda daha esnektir. Bu teknolojinin ana avantajı, yalnızca ihtiyaç duyduğumuz kaynağı denetleme yeteneğidir. Buradan, neredeyse tüm güvenlik olayları, gereksiz hiçbir şeyin olmadığı, ihtiyacımız olan sırayla günlükte görüntülenir. Bu nedenle, derginin boyutu önemli ölçüde daha küçüktür.

Grup ilkelerinin yönetiminde, grup ilkeleri bölümüne gidin ve orada yeni bir GPO oluşturun:

Beni aradılar, Tamam'a tıkladılar. Şimdi yeni nesnenin özelliklerine gitmemiz gerekiyor. Denetim ve diğer güvenlikle ilgili her şey neredeyse her zaman bilgisayarın yapılandırmasındadır, bu yüzden hemen oraya gidiyoruz (ekran görüntüsüne bakın):

Güvenlik ayarlarında, güvenlik günlüğü ayarlarını ("Olay günlüğü" bölümünde) "düzeltmemiz" ve denetimin kendisini yapılandırmamız ("Gelişmiş denetim ilkesi yapılandırması" bölümünde) gerekir:

Minimum düzeyde açıklayacağım, çünkü her şey tamamen bireyseldir. Boyutu belirledik (gözler için 100-200 MB, büyük olasılıkla, ağ klasörünün boyutuna ve kullanıcı sayısına bağlı olarak), etkinlikler için maksimum depolama süresini (benim için 2 hafta yeterli), yöntemi belirledik. "güne göre" kaydetme otomatik olarak değiştirilir. Bence burada karmaşık bir şey yok. Şimdi bir denetim kuralım, bizim için en önemli şey:

Nasıl ulaşılır: En iyi ekran görüntüsünde gözlerinizle görülür. Lütfen bir dosya paylaşımını denetleyecek olmamıza rağmen, yine de “Dosya sistemi denetimi”ni seçmemiz gerektiğini unutmayın. Şimdi nedenini açıklamaya çalışacağım. Gerçek şu ki, daha mantıklı görünen "Paylaşılan bir dosya kaynağı hakkında denetim bilgileri"ni seçerseniz, TÜM olayların TÜM ağ klasörlerinin çok (tekrar ediyorum - "çok") ayrıntılı bir denetimi, dahil. sadece görüntülemeler, ağ senkronizasyonları, okuma özellikleri ve daha pek çok olay. Kişisel olarak, günlüğüm şu şekilde büyüdü: gün boyunca bir saat = 50-100 MB günlük, sıfır etkinlikle gece = 30 MB. Genel olarak, bu onay kutusunu etkinleştirmemenizi şiddetle tavsiye ederim. Belirli bir klasör ve belirli olaylarla ilgileniyoruz (değiştir / oluştur / sil), bu nedenle dosya sistemini seçiyoruz. Bu an (bir denetim seçme süreci) internette çok az tanımlanıyor, her şey yüzeysel olarak gösteriliyor. Resmi eğitimde bile, tüm nüansların bir açıklamasını bulamadım. Olay türü “başarılı”dır (dosya ve klasörle yapılan işlem başarılı olduğunda), ancak “başarısızlıkları” da denetleyebilirsiniz, yani. hakların yokluğunda bir şeyler yapmaya çalışır. Burada zaten kendiniz görün.

Şimdi politikayı optimize edelim. İlk olarak sunucuya uyguluyoruz. Benim durumumda, her şeyi bir etki alanı denetleyicisinde yapıyorum ve bu nedenle Etki Alanı Denetleyicileri OU'suna başvuruyorum. Dosya hizmetleri bir etki alanı denetleyicisinde çalışıyor ve bu iyi bir şey değil. Ama nedense öyle oldu. Politikanın diğer sunuculara uygulanmaması için “kimliği doğrulanmış” olanları kaldırıyoruz (diğer etki alanı denetleyicilerine ihtiyacım var):

"Ekle" ye tıklayın, "Bilgisayarlar" nesnelerinin türünü belirtin ve sunucumuzun adını buraya yazın:

Politikayı daha da iyi cilalayalım. İlke zorlamayı hızlandırmak için Microsoft, her zaman hangi yapılandırmaların uygulanacağını ve hangilerinin uygulanmayacağını belirtmenizi önerir. Aksi takdirde, hem bilgisayarın hem de kullanıcının yapılandırmaları uygulanmaya çalışılır. Politikamız bilgisayara uygulanır, böylece bunu politika durumunda belirtebiliriz. Technete'de bu şekilde etki alanı denetleyicisini kaldırdığımızı yazıyorlar.

Politika kontrolü. Sonuçların kontrol edilmesi: İlk kısım yapılır. Şimdi dosya sunucusuna gidiyoruz. Klasörün ağ paylaşımı için yapılandırıldığından emin olun:

Ve "Güvenlik" sekmesine veya daha doğrusu "ek" bölümüne gidin:

"Denetim" sekmesiyle ilgileniyoruz:

Hiçbir şey yapılandırılmadığı için şimdi orada boş. Şimdi SACL (Sistem Erişim Kontrol Listeleri) dediğimiz şeyi ekleyeceğiz. NTFS ACL'den farklıdır, çünkü bu sadece bir denetimdir, aslında klasöre herhangi bir hak vermiyoruz, bu yüzden bu listeyi klasöre gerçek erişim listesi olarak değerlendirmemelisiniz. Unutma, bu tamamen farklı. Bu nedenle, Herkes grubunu ekliyorum ve gerekli denetim kriterini veriyorum:

"Devralınan denetim öğeleri ekle ..." onay kutusunun işaretini kaldırırım, gelecekte kullanışlı olabilir. Sonuçta, gelecekte başka bir toptaki ağ paylaşımlarının denetimini yapabiliriz. Onay kutusunu bırakırsanız, sorun değil.

Denetim türüne göre kendiniz görün. Dosya değişiklikleri üzerinde bir denetime ihtiyacım var, bunu daha da esnek hale getirebilirsiniz, ancak sunucu yükündeki artışı ve günlüğün boyutunu hatırlamanız gerekir.

Bir klasör için denetim ayarları bir süre için uygulanabilir (durum uygulama penceresi görünür). Tüm bu işlemlerden sonra üçüncü kısma geçelim - doğrulama.

Yeni politikayı dosya sunucusuna uyguluyoruz ve uygulanıp uygulanmadığına bakıyoruz (gpupdate / force ve gpresult / r komutları):

Benim için çalıştı. Şimdi güvenlik günlüğüne gidip temizliyorum:

Şimdi eğlenceli kısım geliyor. Ağ üzerinden başka bir bilgisayardan klasöre erişmeye ve bir şeyi değiştirmeye çalışıyorum. Teorik olarak bundan hemen sonra “kim yaptı / ne yaptı / ne zaman” gibi bir olay ortaya çıkıyor:

Etkinlikte her şey görüntülenir. Ancak çok fazla olay olduğunda, günlüğü kullanmak o kadar uygun değildir. Bu nedenle, günlüğü uygun bir biçimde (csv, txt, evtx, xml) kaydetmeniz ve önceden oluşturulmuş dosyaya daha fazla işkence yapmanız önerilir. Bu kadar. Denetimi kullanın, meslektaşlar. Elinizde birinin suçlu olduğuna dair kanıt olduğunda, bu çok faydalıdır ve yönetici için bir yeri güçlü bir şekilde kapsar.

Güncellendi: Arkadaşlar, denetimin sunucuyu yüklediğini anlamalısınız, bununla birlikte performans biraz düşebilir. Kişisel deneyimime göre, bir haftalık çalışmadan sonra sunucuya gitmenizi ve günlüğün boyutunu ve ayrıca olay türünü kontrol etmenizi öneririm. Aniden dergi çok büyüdü ve GPO'daki boyutunuz yeterli değil. Veya denetim tamamen çalışmayı durdurdu. Genel olarak, denetim çalışmasını en azından ara sıra izleyin.

Arkadaşlar! Bize katılın

En iyi araç grup ilkeleridir (izlenen sunucuların kuruluş birimleri için geçerlidir). Her sunucu için benzer yerel politikalar kullanmak mümkündür.

"Bilgisayar Ayarları \ Windows Ayarları \ Güvenlik Ayarları \ Gelişmiş denetim ilkesi yapılandırması \ sistem denetim ilkeleri \ nesne erişimi \ denetim dosya sistemi" => "denetim olayları: başarı" etkinleştirildi.

Başarısız dosya erişim girişimlerini izlemeniz pek olası değildir. Bunun mümkün olduğunu inkar etmiyorum. Ancak daha sık olarak, dosyayı kimin sildiğini (veya yüklediğini) bulmanız gerekir.

2. Belirli klasörlerde denetim kurma

Ardından, doğrudan verileri depolayan sunucularda, gezgini kullanarak, izlemek istediğiniz klasörün özelliklerine giderek, izlemek istediğiniz grup için denetim ayarlarını etkinleştirin. Örneğin, Herkes, olası herhangi bir kullanıcı ve hizmetteki değişiklikleri izlemek istiyorsak:

"Alt klasörleri ve dosyayı sil - Başarılı"

"Sil - Başarılı"

"Dosya oluştur / veri yaz - Başarılı"

"Klasör oluştur / veri ekle - Başarılı"

3. Olayları izleme

Bundan sonra, yukarıdaki klasörlerden dosya ve alt dizinler oluştururken ve silerken, Güvenlik Olay Günlüğünde sunucunun günlüklerinde (dosyaların depolandığı yer) olaylar görünecektir.

İki olayı kullanarak bir operasyondaki belirli katılımcıları izleyebilirsiniz:

Olay Kimliği: 4660
Açıklama: Bir nesne silindi.

• Dosyanın silindiğini gösterir.
• Silme işlemini gerçekleştiren kişinin hesabını içerir
• Dosya adı içermez. Sadece onun Sap Kimliği

Olay Kimliği: 4663
Açıklama: Bir nesneye erişme girişiminde bulunuldu.

• Bir dosyaya erişim girişimini bildirir.
• İşlemi gerçekleştiren kişinin hesabını içerir.
• Tutamaç Kimliğini ve Dosya Adını (Nesne Adı) içerir
• Erişim maskesi - erişim maskesi - dosyaya hangi amaçlarla erişim girişiminde bulunulduğunu tanımlar

Erişim maskesi türleri:

Erişim türü	altıgen	Açıklama
ReadData (veya ListDirectory)	0 × 1	ReadData - bir dosya veya dizin nesnesinden veri okuma. Liste Dizini - dizin içeriğini görüntüleme.
WriteData (veya AddFile)	0 × 2	WriteData - bir dosyaya veri yazma. Dosya Ekle - bir dizinde dosya oluşturma.
AppendData (veya AddSubdirectory veya CreatePipeInstance)	0 × 4	Veri Ekle - bir dosyaya veri ekleme. Ek olarak WriteData bayrağını içermediği sürece mevcut verilerin üzerine yazmaz. Alt Dizin Ekle - alt dizinler oluşturma.
SİLMEK	0 × 10000	Bir nesneyi kaldırma.

Anahtar bilgi kaynağı - Olaylar 4663:

Bölüm Ders nesne üzerinde işlemlerin gerçekleştirildiği hesapla ilgili bilgileri içerir.

Nesne- dosya bilgileri (yol, ad, tanıtıcı)

İşlem bilgisi dosya ile hangi işlemin işlem yaptığı hakkında bilgi içerir.

Bölümde Erişim Talebi Bilgisi erişim türü ve erişim maskesi hakkında bilgi yayınlanır.

NS dosya oluşturma belirtilen klasörde, Güvenlik Olay Günlüğünde kimliği olan bir çift olay görünür 4663 , ilk maskeli 0x2, ikinci maskeli 0x4.

NS dosya silme kimlikli etkinlik görünür 4663 ve erişim maskesi 0x10000 ve ayrıca olay 4660 ... 4660 olayı tarafından hangi dosyanın silindiğini belirlemek için, aynı tanıtıcıya sahip olan önceki olay 4663'ü bulabilirsiniz.

Günlükleri analiz etmek için aracı kullanabilirsiniz Günlük Ayrıştırıcı https://www.microsoft.com/en-us/download/details.aspx?id=24659 ve örneğin şöyle bir istek:

LogParser.exe -i: evt "SELECT TimeGenerated, EventID, Extract_Token (Strings, 1, '|') AS User, Extract_Token (Strings, 6, '|') AS File, Extract_Token (Strings, 7, '|') AS HandleID 'C:\'DEN 111.docx.txt'E \ *.evtx 'WHERE (STRCNT (Strings,' 111.docx ')> 0) ORDER BY TimeGenerated DESC "

"111.docx" arama dizesidir ve C: \ \ *.evtx - EVTX formatında indirilen günlük dosyalarının yolu. LogParser diğer biçimleri de anlar.

İyi günler!. Henüz alan adınızda Sherlock Holmes'a dönüşmediyseniz, şimdi tam zamanı. Sistemlerde her dakika izlenmesi ve kayıt altına alınması gereken binlerce değişiklik meydana gelmektedir. Yapı ne kadar büyük ve karmaşık olursa, yönetim ve veri ifşasında hata olasılığı o kadar yüksek olur. Değişikliklerin (başarılı veya başarısız) sürekli analizi olmadan, gerçekten güvenli bir ortam oluşturamazsınız. Sistem yöneticisi her zaman cevap vermeli, kim, ne zaman ve ne değişti, hakların kime devredildiği, neyin değişiklik durumunda oldu(başarılı veya başarısız), eski ve yeni parametrelerin değerleri nelerdir, sisteme kim giriş yapabilir veya kaynağa erişemez, verileri kim silmiş vb.

Değişim denetimi, BT altyapı yönetiminin ayrılmaz bir parçası haline geldi, ancak kuruluşlar genellikle teknik sorunlar nedeniyle denetime her zaman dikkat etmiyor. Sonuçta, neyin ve nasıl izleneceği tam olarak belli değil ve belgeler bu konuda her zaman yardımcı olmuyor. İzlenmesi gereken olayların sayısı zaten kendi içinde karmaşıktır, veri hacimleri büyüktür ve standart araçlar kolaylıkları ve izleme görevini basitleştirme yetenekleri ile ayırt edilmez. Uzman, denetimi bağımsız olarak yapılandırmalı, optimum denetim parametrelerini ayarlamalı, ayrıca sonuçların analizi ve seçilen olaylarla ilgili raporların oluşturulması omuzlarına düşmektedir. Ağ üzerinde Active Directory/GPO, Exchange Server, MS SQL Server, sanal makineler vb. birçok hizmetin çalıştığı ve çok sayıda olay oluşturduğu düşünüldüğünde, bunlardan gerçekten gerekli olanları seçmek çok zordur. , sadece açıklamaları takip ederek.

Sonuç olarak, yöneticiler yedekleme önlemlerini yeterli buluyor ve sorun olması durumunda basitçe eski ayarlara geri dönmeyi tercih ediyor. Bir denetim uygulama kararı, genellikle yalnızca büyük olaylardan sonra verilir. Ardından, Windows Server 2008 R2 örneğini kullanarak Active Directory denetimini yapılandırma sürecini ele alacağız, makalede açıklanan tüm adımlar Windows Server'ın daha yeni sürümleri için de geçerli olacaktır.

Active Directory Etki Alanını Kim Denetlemeli?

Her zaman en acil soru, kuruluşun etki alanında meydana gelen güvenlik olaylarının toplanması ve analizinin kimin sorumluluk alanında olduğudur. Kural olarak, Rusya'daki çoğu şirkette, çünkü:

• Küçük
• Fazladan personel kiralamak için yeterli paraya sahip olmamak
• Gerekli değil

o zaman onlar için Active Directory, dosya sunucusu, posta denetimi hiç önemli değil, yalnızca meydana gelen ve ciddi bir soruşturma gerektiren bir olay şeklinde gerçekten ihtiyaç duyulduğunda gerekli hale geliyor. Orta düzey ve üst düzey şirketlerde, kural olarak, olayların denetimi zaten kuruludur ve ya sistem yöneticisi işlemlere dahil olur ya da şirketin başkanı çoğunlukla yaşlı bir pre- devlet kurumlarından atılmış emekli amca. Bir hükümetimiz var, ne mutlu emeklilerin iyi ve zengin yaşaması.

İşletim sistemi aracılığıyla Active Directory denetimi

Windows Server 2008 R2 ve üzeri işletim sistemlerinde, Windows Server 2003 gibi öncekilere göre güvenlik politikaları ile yapılandırılan denetim alt sisteminin yetenekleri güncellenmiş ve izlenen parametre sayısı artırılmıştır. 53'e kadar. Eski işletim sistemlerinde, yalnızca dizin hizmeti olaylarının denetlenmesini etkinleştirmeyi ve devre dışı bırakmayı denetleyen Dizin hizmeti erişimini denetle ilkesi vardı. Artık denetimi kategori düzeyinde yönetebilirsiniz. Örneğin, Active Directory denetim ilkeleri, her biri belirli ayarlarla kategorilere ayrılmıştır:

• Dizin Hizmeti Erişimi
• Oturum açma denetimi
• Sistem olaylarını denetleme
• Süreç takibi
• Ayrıcalıkların kullanımını denetleme
• Hesap ve grup yönetimi
• Dizin Hizmeti Değişiklikleri
• Dizin Hizmeti Çoğaltma
• Ayrıntılı Dizin Hizmeti Çoğaltma

Dizin Hizmeti Erişimini Denetleme genel denetim ilkesini etkinleştirdiğinizde, dizin hizmetleri ilkesinin tüm alt kategorileri otomatik olarak etkinleştirilir.
Windows Server 2008 R2'deki denetim, tüm nesneleri oluşturma, değiştirme, taşıma ve geri yükleme girişimlerini izler. Günlük, değiştirilen özniteliğin önceki ve mevcut değerlerini ve işlemi gerçekleştiren kullanıcının hesabını kaydeder. Ancak, nesneler oluşturulurken öznitelikler için varsayılan parametreler kullanıldıysa, değerleri günlüğe kaydedilmez.

Active Directory Etki Alanında Denetim Politikasını Etkinleştirme

AD etki alanının başlangıçta nesnelerinin tüm yönleriyle daha uygun yönetimi için icat edilmiş olması mantıklıdır ve kurumsal bilgi güvenliği denetimi de bir istisna değildir. Sistem yöneticisi, hem bilgisayarlara hem de etki alanı denetleyicilerine uygulanacak grup ilkeleri aracılığıyla tüm etki alanı veya orman düzeyinde tüm ayarları yapacaktır. Bununla ilgili araçlardan ayırabilirim, bunlar:

• Küresel Denetim Politikası (GAP);
• Sistem erişim kontrol listesi (SACL) - denetimin gerçekleştirileceği işlemleri tanımlar;
• şemalar - olay listesinin son oluşumu için kullanılır.

Varsayılan olarak, istemci sistemler için denetim devre dışıdır, sunucu sistemleri için Active Directory alt kategorisi etkindir ve geri kalanı devre dışıdır. "Dizin hizmeti erişimini denetleme" genel politikasını etkinleştirmek için, "Grup İlkesi Yönetimi Düzenleyicisi" ni aramanız ve politikayı etkinleştireceğiniz ve kontrol edilen olayları ayarlayacağınız Güvenlik Ayarları / Yerel İlkeler / Denetim İlkesi şubesine gitmeniz gerekir (başarı, arıza).

Ayrıca ek, daha incelikli ve seçici bir AD denetim modu vardır, bu modu politikada da bulabilirsiniz:

Bilgisayar Yapılandırması - İlkeler - Windows Ayarları - Güvenlik Ayarları - Gelişmiş Denetim İlkesi Yapılandırması - Hesap Yönetimi

İçinde bölümler bulacaksınız:

1. Hesap girişi
2. Hesap Yönetimi
3. Detaylı izleme
4. Dizin Hizmeti (DS) Erişimi
5. Giriş çıkış
6. Nesnelere erişim
7. Politika değişikliği
8. ayrıcalıkları kullanma
9. sistem
10. Küresel nesnelere erişimi denetleme

İkinci uygulama seçeneği, yapılandırmak için komut satırı yardımcı programını kullanmaktır. denetim pol, yüklü parametrelere sahip GAP'lerin tam listesini alın. Auditpol ile sadece şu komutu girin:

Auditpol / liste / alt kategori: *

Gördüğünüz gibi, auditpol komutunun sonucu, herhangi bir denetim ayarı veya herhangi bir güvenlik olayı olmamasıdır.

"Dizin hizmeti erişimi" politikasını şu komutla etkinleştiriyoruz:

Auditpol / set / alt kategori: "dizin hizmeti değişiklikleri" / başarı: etkinleştir

Komutun detayları, auditpol / h olarak çalıştırılarak elde edilebilir.

Beklememek için domain controller politikasını güncelleyelim:

Denetim İlkesi Alt Kategori Dizini hizmeti erişimi, Olay Görüntüleyici konsolu, Windows Günlükleri - Güvenlik sekmesi kullanılarak görüntülenebilen Güvenlik Günlüğü 4662 olayları oluşturur.

Olayları görüntülemeye alternatif olarak PowerShell Get-EventLog cmdlet'ini kullanabilirsiniz. Örneğin:

Get-EventLog güvenliği | ? ($ _. olay kimliği -eq 4662)

Get-EventLog cmdlet'i, olayları belirli ölçütlere göre filtrelemek için 14 parametre alabilir: After, AsBaseObject, AsString, Before, ComputerName, EntryType, Index, InstanceID, List, LogName, Message, Newest, Source ve UserName.

Ek olarak, 5136 (öznitelik değişikliği), 5137 (öznitelik oluşturma), 5138 (öznitelik silme iptali) ve 5139 (öznitelik hareketi) bir dizi başka olay günlüğe kaydedilir.
Olay Görüntüleyici konsolunda belirli olayları seçmenin rahatlığı için filtreler ve özel görünümlerin yanı sıra diğer sunuculardan günlük verileri toplamanıza izin veren bir abonelik kullanılır.

Etkinlik koleksiyoncuları

Etki alanı denetleyicilerinizde her saniye oluşturulan milyonlarca olayı incelemenin her zaman uygun olmadığını kabul edin, çünkü bu gibi durumlarda bilgi güvenliği denetimini kolaylaştırmak için hayatınızı basitleştirebilirsiniz. Birkaç çözüm seçeneği var, aşağıdakileri vurgulamak istiyorum:

• Şahsen, Active Directory'yi denetlemek için, ihtiyaç duyduğum sunuculardan bir tanesine, sözde toplayıcı sunucuya tüm olayların yeniden yönlendirilmesini kullanıyorum, görevleri yapılandırdığım tüm sunuculardan günlükleri toplamayı içeriyor. Bu işlevsellik de yaygındır, kişisel olarak Windows Server 2016'da uygulanan yeniden yönlendirilmiş bir günlük toplayıcıya sahibim, ancak bu gerekli değil.

• İkinci uygulama Zabbix izleme sistemidir. Tamamen ücretsizdir, ancak düzgün bir şekilde yapılandırılması için biraz terlemeniz gerekir, ancak bunu yaptığınızda kontrolünüz altında çok kullanışlı bir Active Directory etki alanı denetleme aracına sahip olursunuz. İşte tetikleyicilerden birinin uygulanmasına bir örnek, "Hesapla giriş başarılı" olayı hakkında bilgi gösterecek, aşağıda 4624 kimlik numarasının bundan sorumlu olduğunu göreceksiniz (Daha fazlasını https:/ /habr.com/post/ 215509 /)

• Bir başka harika çözüm de Netwrix Active Directory Change Reporter ürününün uygulanması olacaktır. Bu, bilgi sistemlerinin güvenliğini ve Active Directory'nin etki alanı altyapısını denetlemek için mega harika bir harmanlayıcıdır. Bu ürün yalnızca 30 dakikada devreye girer ve görevlerini yerine getirmeye hazırdır (Daha fazla ayrıntıyı buradan okuyabilirsiniz http://itband.ru/2011/09/audit-adds/).

Windows Server 2008 R2'de Active Directory Olay Denetleme Olaylarının Listesi

Aşağıda, bilgi sistemlerinin güvenliğini denetlemek için gerekli olan en yaygın ve daha çok kullanılan olayları yazmaya çalıştım, mevcut olanların tümünü kesinlikle incelemek istiyorsanız, gelişmiş denetime adanmış Microsoft portalını ziyaret etmenizi tavsiye ederim, burada bağlantının kendisi mi https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4723

Kimlik bilgilerini kontrol etme

1. 4774 Oturum açma için bir hesap eşlendi.
2. 4775 Bir oturum açma hesabı eşlenemedi.
3. 4776 Bir etki alanı denetleyicisi hesabının kimlik bilgilerini doğrulama girişiminde bulunuldu.
4. 4777 Bir etki alanı denetleyicisi hesabı için kimlik bilgileri doğrulanamıyor.

Bilgisayar hesap yönetimi

1. 4741 Bir bilgisayar hesabı oluşturuldu.
2. 4742 Bir bilgisayar hesabı değiştirildi.
3. 4743 Bir bilgisayar hesabı silindi.

Dağıtım gruplarını yönetme

1. 4744 Güvenliği devre dışı bırakılmış bir yerel grup oluşturuldu.
2. 4745 Güvenliği devre dışı bırakılmış bir yerel grup değiştirildi.
3. 4746 Güvenliği devre dışı bırakılmış bir yerel gruba bir kullanıcı eklendi.
4. 4747 Güvenliği devre dışı bırakılmış bir yerel gruptan bir kullanıcı silindi.
5. 4748 Güvenliği devre dışı bırakılmış bir yerel grup silindi.
6. 4749 Güvenliği devre dışı bırakılmış bir genel grup oluşturuldu.
7. 4750 Güvenliği devre dışı bırakılmış bir genel grup değiştirildi.
8. 4751 Güvenliği devre dışı bırakılmış bir genel gruba bir kullanıcı eklendi.
9. 4752 Güvenliği devre dışı bırakılmış bir genel gruptan bir kullanıcı silindi.
10. 4753 Güvenliği devre dışı bırakılmış bir genel grup silindi.
11. 4759 Güvenliği devre dışı bırakılmış bir evrensel grup oluşturuldu.
12. 4760 Güvenliği devre dışı bırakılmış bir evrensel grup değiştirildi.
13. 4761 Güvenliği devre dışı bırakılmış bir evrensel gruba bir üye eklendi.
14. 4762 Güvenliği devre dışı bırakılmış bir evrensel gruptan bir kullanıcı silindi.

Diğer hesap yönetimi etkinlikleri

1. 4739 Bir etki alanı politikası değiştirildi.
2. 4782 Erişmek için bir hesabın şifresinin karması.
3. 4793 Parola ilkesi denetimi API'si çağrıldı.

Güvenlik grubu yönetimi

1. 4727 Güvenliği etkinleştirilmiş bir genel grup oluşturuldu.
2. 4728 Güvenliği etkinleştirilmiş bir genel gruba bir kullanıcı eklendi.
3. 4729 Bir kullanıcı, güvenliği etkinleştirilmiş bir genel gruptan kaldırıldı.
4. 4730 Güvenliği etkinleştirilmiş bir genel grup silindi.
5. 4731 Güvenliği etkinleştirilmiş bir yerel grup oluşturuldu.
6. 4732 Güvenliği etkinleştirilmiş bir yerel gruba bir kullanıcı eklendi.
7. 4733 Bir kullanıcı, güvenliği etkinleştirilmiş bir yerel gruptan kaldırıldı.
8. 4734 Güvenliği etkinleştirilmiş bir yerel grup silindi.
9. 4735 Güvenliği etkinleştirilmiş bir yerel grup değiştirildi.
10. 4737 Güvenliği etkinleştirilmiş bir genel grup değiştirildi.
11. 4754 Güvenliği etkinleştirilmiş bir evrensel grup oluşturuldu.
12. 4755 Güvenliği etkinleştirilmiş bir evrensel grup değiştirildi.
13. 4756 Güvenliği etkinleştirilmiş bir evrensel gruba bir kullanıcı eklendi.
14. 4757 Bir kullanıcı, güvenliği etkinleştirilmiş bir evrensel gruptan kaldırıldı.
15. 4758 Güvenliği etkinleştirilmiş bir evrensel grup silindi.
16. 4764 Bir grup türü değiştirildi.

Kullanıcı hesabı yönetimi

1. 4720 Bir kullanıcı hesabı oluşturuldu.
2. 4722 Bir kullanıcı hesabı etkinleştirildi.
3. 4724 Kullanıcı parolasını sıfırla.
4. 4725 Bir kullanıcı hesabı devre dışı bırakıldı.
5. 4726 Bir kullanıcı hesabı silindi.
6. 4738 Bir kullanıcı hesabı değiştirildi.
7. 4765 Bir hesaba SID günlüğü eklendi.
8. 4766 SID günlüğü hesaba eklenemedi.
9. 4767 Kullanıcı hesabının kilidi açıldı.
10. 4780 Yöneticiler grubunun üyesi olan hesaplara bir ACL yüklendi.
11. 4781 Bir hesap adı değiştirildi.
12. 4794 Dizin hizmetleri geri yükleme modunu ayarlama girişiminde bulunuldu.
13. 5376 Kimlik Bilgileri Yöneticisi: Kimlik bilgileri kaydedildi.
14. 5377 Kimlik Bilgileri Yöneticisi: Kimlik bilgileri bir yedekten geri yüklendi.

Diğer olaylar

1. 1102 Güvenlik günlüğü temizlendi
2. 4624 Giriş başarılı
3. 4625 Giriş başarısız

Denetim Politikası dalında, diğer özellikler de etkinleştirilir (bkz. Şekil 1): oturum açma / oturum kapatma denetimi, hesap yönetimi denetimi, nesnelere erişim, politika değişiklikleri vb. Örneğin, paylaşılan bir klasör örneğini kullanarak nesnelere erişim denetimi ayarlayalım. Bunu yapmak için, yukarıda açıklandığı gibi Denetim nesnesi erişim politikasını etkinleştirin, ardından klasörü seçin ve Güvenlik alt öğesine gittiğimiz Klasör Özellikleri menüsünü çağırın ve Gelişmiş düğmesine tıklayın. Şimdi açılan ".. için ek güvenlik ayarları" penceresinde, Denetim sekmesine gidin ve Düzenle düğmesini ve ardından Ekle'yi tıklayın ve denetimin gerçekleştirileceği hesabı veya grubu belirtin. Ardından, izlenen olayları (yürütme, okuma, dosya oluşturma vb.) ve sonucu (başarı veya başarısızlık) not ederiz. "Uygula" listesini kullanarak denetim politikasının kapsamını belirtiyoruz. Değişiklikleri onaylıyoruz.

Artık belirtilen tüm işlemler güvenlik günlüğünde görüntülenecektir.
Çok sayıda nesneyle denetim kurmayı basitleştirmek için, parametreleri üst nesneden devral onay kutusunu etkinleştirmelisiniz. Ayarların alındığı ana nesne, Devralınan kaynak alanında gösterilecektir.
Günlükte kaydedilen olaylar üzerinde daha fazla kontrol, Güvenlik Ayarları / Yerel İlkeler / Gelişmiş Denetim İlkesi Yapılandırması'nda yapılandırılan Granüler Denetim İlkesi uygulanarak sağlanır. Burada 10 alt nokta var:

• Hesap Oturum Açma - Denetim kimlik bilgileri, Kerberos kimlik doğrulama hizmetleri, Kerberos hizmet bileti işlemleri, diğer oturum açma olayları.
• Hesap Yönetimi - uygulama gruplarının, bilgisayar ve kullanıcı hesaplarının, güvenlik ve dağıtım gruplarının yönetiminin denetlenmesi;
• Ayrıntılı izleme - RPC ve DPAPI olayları, süreç oluşturma ve sonlandırma;
• DS Erişimi - Dizin hizmetine erişimi, değişikliği, çoğaltmayı ve ayrıntılı çoğaltmayı denetleyin;
• Oturum Açma / Oturum Kapatma - Hesap kilitleme, oturum açma ve oturum kapatma, IPSec kullanımı, NPS sunucusunu denetle;
• Nesnelere erişim - çekirdek nesnelerinin denetimi, tanımlayıcılarla çalışma, uygulamalar tarafından oluşturulan olaylar, sertifika hizmetleri, dosya sistemi, paylaşılan klasörler, filtreleme platformu;
• İlke değişiklikleri - denetim ilkesi, kimlik doğrulama, yetkilendirme, filtreleme platformu, MPSSVC koruma hizmeti kuralları ve diğerlerinde yapılan değişiklikler;
• Hakların kullanımı - çeşitli veri kategorilerine erişim haklarının denetimi;
• Sistem - Sistem bütünlüğünü, güvenlik durumu değişiklikleri ve uzantılarını, IPSec sürücüsünü ve diğer olayları denetleyin;
• Global Nesne Erişim Denetimi - Dosya sistemi ve kayıt denetimi denetimi.

Kullanıcı hesabı yönetimi denetiminin etkinleştirilmesi, şunları izlemenize olanak tanır: parola ve izinler dahil olmak üzere hesapların oluşturma, değiştirme, silme, engelleme, etkinleştirme ve diğer ayarları. Pratikte nasıl çalıştığını görelim - Kullanıcı Hesabı Yönetimi alt kategorisini seçin ve etkinleştirin. Auditpol için komut şöyle görünür:

auditpol / set / alt kategori: "Kullanıcı Hesabı Yönetimi" / başarı: etkinleştir / hata: etkinleştir
gpudate / kuvvet

Konsoldaki denetim sistemi Olayı görüntülemek, 4719 numaralı olay numarasını hemen gösterecek ve politikanın adını ve yeni değerleri gösteren denetim ayarlarının değiştirilmesi

Bir etkinlik oluşturmak için Active Directory Kullanıcıları ve Bilgisayarları konsolunu açın ve herhangi bir hesabın ayarlarından birini değiştirin - örneğin, kullanıcıyı bir güvenlik grubuna ekleyin. Olay Görüntüleyici konsolunda aynı anda birkaç olay oluşturulacaktır: güvenlik grubunun bileşimindeki değişiklikleri ve yeni bir güvenlik grubu hesabının eklenmesini gösteren 4732 ve 4735 numaralı olaylar (Şekil 8'de mor renkle vurgulanmıştır).
Yeni bir hesap oluşturalım - sistem birkaç olay oluşturur: 4720 (yeni bir hesap oluşturma), 4724 (hesap şifresini sıfırlama girişimi), 4738 kodlu birkaç olay (hesabı değiştirme) ve son olarak 4722 (yeni bir hesap etkinleştirme). Denetim verilerine göre yönetici, özniteliğin eski ve yeni değerini izleyebilir - örneğin, hesap oluşturulduğunda UAC değeri değişir.

Düzenli bir denetim sisteminin dezavantajları

Standart işletim sistemi araçları genellikle yalnızca temel analiz araçları setleri sunar. Resmi belgeler (http://technet.microsoft.com/ru-ru/library/dd772623(WS.10).aspx), aracın kendi yeteneklerini çok benzer bir şekilde açıklar, pratik olarak parametrelerin seçiminde çok az yardımcı olur. değişikliklerin izlenmesi gerekir. Sonuç olarak, bu sorunun çözümü tamamen denetimin teknik yönlerini tam olarak anlaması gereken sistem yöneticisinin omuzlarına düşer ve eğitim düzeyine bağlıdır, bu da hata olasılığının yüksek olduğu anlamına gelir. Ayrıca, sonucun analizi, çeşitli raporların inşası omuzlarına düşüyor.
Belirli olayların kolay seçimi için Olay Görüntüleyici Konsolu arayüzü, filtreler ve özel görünümler oluşturmanıza olanak tanır. Veri seçimi için parametreler olarak şunları belirtebilirsiniz: tarih, günlük ve olay kaynağı, düzey (kritik, uyarı, hata vb.), kod, kullanıcı veya bilgisayar ve anahtar sözcükler. Bir kuruluş, denetimin kişisel olarak yapılandırılması gereken gruplar ve departmanlar halinde birleştirilmiş çok sayıda kullanıcıya sahip olabilir, ancak bu seçenek arayüzde sağlanmaz.

Kurallar özel görünümde tetiklenirse, bir görev oluşturabilirsiniz (görevi olaya bağla menüsü): programı başlatın, bir e-posta mesajı gönderin veya masaüstünde bir mesaj görüntüleyin.

Ancak yine, bildirimlerin uygulanması, özellikle olayların seçimi tamamen yöneticiye aittir.
Değiştirilen özniteliği önceki değere geri almak gerekirse, bu eylem manuel olarak gerçekleştirilir - konsol yalnızca parametrelerin değerini görüntüler.

Bazı güvenlik standartları, denetim süreci sırasında toplanan verilerin uzun bir süre (örneğin, 7 yıla kadar SOX) saklanmasını gerektirir. Bunu sistem vasıtası ile uygulamak mümkündür ama çok zordur. Güvenlik günlüğünün (ve diğerlerinin) boyutu 128 MB ile sınırlıdır ve çok sayıda olayla, birkaç saat sonra verilerin üzerine yazılabilir (yani kaybolabilir). Bunu önlemek için, Olay Görüntüleyicide, günlük boyutunu artırabileceğiniz ve “Dolu olduğunda günlüğü arşivle. Olayların üzerine yazmayın ”.

Ancak şimdi birçok arşivde olay arama sorununu çözmek gerekecek. Düzenli denetim sisteminin dezavantajlarının, grup politikalarının sınırlı izleme yeteneklerini içermesi de dikkate değerdir. Bu değişikliğin gerçeği standart yollarla izlenebilmesine rağmen, değiştirilen parametrelerin değerleri kaydedilmez ve bu nedenle tam olarak neyin değiştirildiği ve yeni değerin ne olduğu sorusuna cevap vermek imkansızdır. Bazı durumlarda bu yeterlidir, ancak buna tam teşekküllü bir denetim demek zordur .. Hala sorularınız var, yorumlara yazın.

İşin amacı: Kaynaklara erişim denetimiyle çalışırken pratik beceriler edinin.

İş yoğunluğu:

Olayların denetimi.

Nesneler için denetleme seçenekleri.

Denetim öğelerini uygulamak için nesneleri seçme.

Devralmanın dosya ve klasörleri denetleme üzerindeki etkisi.

Olay günlüğünün görüntülenmesi.

Teorik bilgiler. Denetim: genel bakış

Denetim- belirli türdeki olayları sunucunun veya iş istasyonunun güvenlik günlüğüne kaydederek kullanıcı eylemlerini izlemek.

Belirli bilgisayarları, kullanıcıları ve işletim sistemi olaylarını denetlemek, ağ yönetiminin gerekli bir parçasıdır. Dosyalar, klasörler, paylaşılan klasörler, yazıcılar ve Active Directory nesneleri için Özellikler penceresinde denetim seçeneklerini ayarlayabilirsiniz. Denetim, kullanıcının korumalı dosya ve klasörlere erişme girişimleri gibi güvenlik olaylarını izlemenize ve kaydetmenize olanak tanır. Denetim etkinleştirildiğinde, bu nesneye her erişim girişiminde bulunulduğunda girişler Windows 2000 güvenlik günlüğüne yazılır. Bu, denetimin amacını, denetlenecek faaliyetleri ve denetlenecek tam faaliyet türlerini tanımlar. Denetim ayarlandıktan sonra, belirli nesnelere kullanıcı erişimini izleyebilir ve güvenlik açıklarını analiz edebilirsiniz. Denetim kayıtları, belirli eylemleri kimin gerçekleştirdiğini ve yetkisiz eylemleri kimin gerçekleştirmeye çalıştığını gösterir.

Kullanım kalıpları, güvenlik sorunları ve ağ trafiği eğilimleri için denetim hedeflerini seçin ve olay günlüklerini görüntüleyin. Ama her şeyi kontrol etme isteğine karşı koy. Olay denetimi ne kadar çok etkinleştirilirse, günlükler o kadar büyük olur. Büyük olay günlüklerini görüntülemek zor bir iştir ve sonunda sıkıcı hale gelir. Bu nedenle, yöneticiye gereksiz yük bindirmeden ağınızı koruyacak bir denetim politikası planlamak önemlidir. Ayrıca denetime dahil edilen her olayın sistem üzerindeki verimsiz yükün artmasına neden olduğu unutulmamalıdır.

Olayların denetimi.

Denetime dahil edilen her olay her zaman bir şey söyler, ancak bu her zaman ihtiyacınız olan şey değildir. Örneğin, başarılı oturum açmaların ve oturum kapatmaların denetlenmesi, çalınan bir parolanın kullanıldığını tespit edebilir veya yalnızca uygun şekilde yetkilendirilmiş kullanıcıların oturum açıp kapattığını gösteren sonsuz sayfalar sağlayabilir. Ancak, bir bilgisayar korsanı rastgele bir parola tahmin etmeye çalışırsa, başarısız oturum açmaları denetlemek açıkça işe yarayacaktır.

Denetim parametrelerinin ayarlanması, yalnızca NTFS dosya sistemini kullanan bir diskte bulunan dosya ve klasörler için mümkündür.

gelişmeler	Açıklama
Giriş denetimi sisteme	Bir etki alanı denetleyicisi bir oturum açma isteği aldığında tetiklenir.
Erişim denetimi nesnelere	Bir nesneye erişilirken tetiklenir.
Dizin Hizmeti Erişimini Denetleme	Bir Active Directory nesnesine erişildiğinde tetiklenir.
Denetimi değiştir politikacılar	Güvenliği, kullanıcı haklarını veya denetimi etkileyen bir ilke değişikliği olduğunda tetiklenir.
kullanmak ayrıcalıklar	Bir işlemi gerçekleştirmek için herhangi bir kullanıcı hakkı kullanıldığında etkinleştirilir.
izleme süreçler	Uygulama, izlemenin başlatıldığı bir etkinlik yürütürken tetiklenir.
Sistem olaylarını denetleme	Bilgisayar yeniden başlatıldığında veya kapatıldığında veya sistem güvenliğini etkileyen başka bir olay olduğunda tetiklenir.
Oturum açma olaylarını denetleme	Bir kullanıcı oturum açtığında veya kapattığında tetiklenir.
yönetmek muhasebe kayıtlar	Bir kullanıcı hesabı veya grubu oluşturulduğunda veya değiştirildiğinde tetiklenir.