Секреты Windows: статьи о реестре, rundll32.exe, программах
Глава 7. Механизмы безопасности. 7.4. Работа с DACL и SACL объекта - Работа с SACL Дата: 6 сентября 2009, воскресенье
Новые сайты:
http://root.co.ua - Статьи (новичкам, настройка, администрирование), советы по работе с Linux. Описание ошибок, команд, файлов и каталогов файловой системы. Зарегистрированные пользователи могут добавлять материалы сайта в Избранное.
Системный список управления доступом (SACL) определяет пользователей, для которых установлен аудит доступа к данному объекту, а также параметры установленного аудита. Список SACL также состоит из ACE, которые могут быть двух типов: ACE системного аудита и ACE объекта системного аудита. Каждый ACE содержит SID пользователя или группы, GUID-объекта, а также флаги наследования.
Возможно, вы уже встречались и с SACL. Именно SACL изменяется при помощи вкладки АУДИТ диалога ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ (данный диалог отображается после нажатия на кнопку ДОПОЛНИТЕЛЬНО, расположенную на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА).
Следует также заметить, что аудит, который вы назначаете, не будет работать до тех пор, пока вы не включите ведение соответствующего типа аудита при помощи раздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ ПОЛИТИКА АУДИТА оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Только после этого действия в журнале БЕЗОПАСНОСТЬ оснастки ПРОСМОТР СОБЫТИЙ (консоль eventvwr.msc) будут появляться записи аудита.
Основной программой для установки аудита при помощи командной строки является программа auditpol.exe. Основных вариантов синтаксиса данной программы девять.
auditpol.exe /get опции. Отображение сведений об аудите. Опции данного синтаксиса представлены в таблице 7.42.
auditpol.exe /get /option параметр. Отображает значение данного параметра реестра. Все параметры, которые может изменять и просматривать данная программа, имеют тип DWORD и находятся в ветви реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa. В таблице 7.43 перечислены возможные параметры.
auditpol.exe /set опции /success:enable|disable /failure:enable|disable. Установка аудита. Опции данного синтаксиса представлены в таблице 7.42.
auditpol.exe /set /option параметр /value:enable|disable. Изменяет значение данного параметра реестра. В таблице 7.43 перечислены возможные параметры.
auditpol.exe /list /user|/category|/subcategory. Отображает список пользователей, для которых назначен аудит, список доступных категорий или подкатегорий аудита. При использовании дополнительной опции /r также будет отображен CLSID номер категории или подкатегории, который можно использовать в командах вместо названия категории.
auditpol.exe /backup /file:«имя файла». Архивировать политики аудита в файл.
auditpol.exe /restore /file:«имя файла». Восстановить политики аудита из файла.
auditpol.exe /clear. Очистить политики аудита, а также значения параметров ветви HKLM\SYSTEM\CurrentControlSet\Control\Lsa.
auditpol.exe /remove /user:«имя или SID пользователя»|/allusers. Удалить политики аудита для данной учетной записи либо для всех учетных записей.
Таблица 7.42. Опции программы auditpol.exe
/user: «имя или SID пользователя». Пользователь, аудит доступа которого определяется.
/category: «* или категория». Категория аудита, которая определяется. Список возможных категорий представлен в таблице 7.41.
/subcategory: «подкатегория». Подкатегория аудита, которая определяется.
/sd. Установить дескриптор безопасности, используемый для делегирования доступа к политике аудита.
Таблица 7.43. Параметры, изменяемые опцией /option программы auditpol.exe
CrashOnAuditFail. См. описание параметра для раздела Конфигурация компьютера/Параметры безопасности/Локальные политики/Параметры безопасности.
*FullPrivilegeAuditing. См. описание параметра для раздела Конфигурация компьютера/Параметры безопасности/Локальные политики/Параметры безопасности.
AuditBaseObjects. См. описание параметра для раздела Конфигурация компьютера/Параметры безопасности/Локальные политики/Параметры безопасности.
AuditBaseDirectories. Определяет, будет ли использоваться расширенный аудит доступа к каталогам.
*данный параметр имеет тип BINARY.
Таблица 7.44. Категории аудита
Вход учетной записи. Аудит событий аутентификации пользователей в системе. Подкатегории представлены в таблице 7.42.
Вход/выход. Аудита событий входа/выхода, а также регистрации в системе, которые позволяют определить протекание всего сеанса регистрации. Подкатегории представлены в таблице 7.43.
Доступ к объектам. Аудит доступа к объектам (файлам, папкам, принтерам, разделам реестра, системным службам и т.д.). Подкатегории представлены в таблице 7.44.
Доступ к службе каталогов (DS). Аудит изменения объектов Active Directory (не только файлов, папок, но и учетных записей пользователей и групп) и их свойств. Подкатегории представлены в таблице 7.45.
Изменение политики. Аудит изменения настроек безопасности операционной системы. Подкатегории представлены в таблице 7.46.
Использование прав. Аудит использования привилегий. Некоторые привилегии могут использоваться очень часто, поэтому для них событие генерируется при первом использовании. Подкатегории представлены в таблице 7.47.
Подробное отслеживание. Аудит отслеживания работы процессов и служб. Подкатегории представлены в таблице 7.48.
Система. Аудит слежения за событиями системы безопасности Windows. Подкатегории представлены в таблице 7.49.
Учетные записи. Аудит изменения настроек учетных записей пользователей. Подкатегории представлены в таблице 7.50.
Таблица 7.45. Подкатегории категории Вход учетной записи
События билета Kerberos
Другие события входа учетных записей
Проверка учетных данных
Таблица 7.46. Подкатегории категории Вход/выход
Выход из системы
Блокировка учетной записи
Блокировка диалога входа при неправильном вводе пароля пользователя.
Основной режим IPsec
Быстрый режим IPsec
Расширенный режим IPsec
Специальный вход
Другие события входа и выхода
Вход в систему
Таблица 7.47. Подкатегории категории Доступ к объектам
Файловая система
Реестр
Объект-задание
SAM
Аудит использования объектов базы данных локальной безопасности SAM.
Службы сертификации
Создано приложением
Работа с дескриптором
Файловый ресурс общего доступа
Отбрасывание пакета платформой фильтрации
Подключение платформы фильтрации
Другие события доступа к объекту
Таблица 7.48. Подкатегории категории Доступ к службе каталогов (DS)
Изменения службы каталогов
Репликация службы каталогов
Подробная репликация службы каталогов
Доступ к службе каталогов
Таблица 7.49. Подкатегории категории Изменение политики
Изменение политики проверки подлинности
Изменение политики авторизации
Изменение политики правила уровня MPSSVC
Изменение политики платформы фильтрации
Другие события изменения политики
Аудит изменения политики
Таблица 7.50. Подкатегории категории Использование прав
Использование прав, не затрагивающее конфиденциальные данные
Другие события использования прав
Использование прав, затрагивающее конфиденциальные данные
Таблица 7.51. Подкатегории категории Подробное отслеживание
Завершение процесса
Активность DPAPI
События RPC
Создание процесса
Таблица 7.52. Подкатегории категории Система
Расширение системы безопасности
Целостность системы
Драйвер IPSEC
Другие системные события
Изменение состояния безопасности
Таблица 7.53. Подкатегории категории Учетные записи
Управление учетной записью компьютера
Управление группой безопасности
Управление группой распространения
Управление группой приложений
Другие события управления учетной запись
Управление учетными записями