Wednesday, August 23rd, 2006...1:03 am

Inspekcja zdarzeń zmian zasad (Policy changes auditing)

Jump to Comments

Dzisiaj na WSS.pl pojawił się krótki w zasadzie wątek dotyczący inspekcji zmian zasad (audit policy changes) dostępnej w ramach zasad inspekcji systemów Windows 2000/XP/2003/Vista. Temat w zasadzie prosty a pytanie wzięło się tylko i wyłącznie z faktu, że autor tego wątku został zmylony przez nazwę ustawienia i próbował osiągnąć cel inny niż to ustawienie realizuje.

Pomimo tego że nazwa opcji sugerować może, że pozwala ona na śledzenie zmian w obiektach GPO opcja ta realizuje śledzenie zmian w zasadach zaaplikowanych w systemie w wyniku edycji któregoś z obiektów zasad obejmujących system.
Nie zostanie więc zarejestrowany fakt zmiany ustawień GPO a fakt zastosowania tych ustawień w ramach lokalnych ustawień systemu, objawiając się odpowiednim wpisem o powodzeniu lub porażce wprowadzenia tego ustawienia.
Domyślnie zasada dotycząca inspekcji zmian zasad włączona jest dla kontrolerów domeny w Windows 2003.

Jak więc można poddać inspekcji zmiany w ustawieniach GPO? Niestety odpowiedź na chwilę obecną jest taka że możliwość inspekcji zmian w GPO przy pomocy mechanizmów systemu jest cokolwiek ograniczona. Jedyny fakt o jakim możemy uzyskać informację zapisaną w Event log to fakty zmiany ustawień GPO przez użytkownika (zakończony powodzeniem lub porażką, w zależności którą kategorie zdarzeń poddajemy inspekcji). Wbrew temu co można by oczekiwać zdarzenie to zostanie zapisane pod kategorią Directory object Access, jako że zanotowany zostanie fakt dostępu do obiektu skojarzonego w GPO w katalogu Active Directory. I tak w przypadku powodzenia wykonania takiej zmiany, przy domyślnych ustawieniach systemu Windows 2003 w event log zapisane zostanie zdarzenie ID 566 zawierające następujące informacje:

Event Type:	Success Audit
Event Source:	Security
Event Category:	Directory Service Access
Event ID:	566
Date:		8/17/2006
Time:		9:12:19 PM
User:		W2K\Administrator
Computer:	ROOTDC
Description:
Object Operation:
Object Server:	DS
Operation Type:	Object Access
Object Type:	groupPolicyContainer
Object Name:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=w2k,DC=pl
Handle ID:	-
Primary User Name:	ROOTDC$
Primary Domain:	W2K
Primary Logon ID:	(0x0,0x3E7)
Client User Name:	Administrator
Client Domain:	W2K
Client Logon ID:	(0x0,0xBF136)
Accesses:	Write Property

Properties:
Write Property
Default property set
versionNumber
groupPolicyContainer

Additional Info:
Additional Info2:
Access Mask:	0x20

Zdarzenie to niesie ze sobą informację o tym, że określony użytkownik dokonał zmiany jednego z atrybutów tego obiektu . w tym przypadku zmiany informacji o numerze wersji GPO. Zmiana ta w zasadzie oznacza że GPO zostało poddane edycji przez określonego użytkownika. Niestety nie znajdziemy tutaj informacji, które z ustawień GPO zostały zmienione. Ponieważ, to co wszyscy określamy jako GPO składa się tak naprawdę z dwóch elementów:

  • obiektu w katalogu Active Directory
  • definicji ustawieÅ„ GPO zapisanych w pliku, w ramach wolumenu SYSVOL

inspekcji można poddać też pliki dotyczące odpowiednich GPO. W ten sposób możliwe będzie uzyskanie informacji o próbach edycji danych znajdujących się w tych plikach w inny sposób niż przez narzędzia dostarczane wraz z systemem. Inspekcja zdarzeń związanych z dostępem do tych plików nie różni się w żaden sposób od inspekcji zdarzeń na dwojonym innym pliku . wymaga uaktywnienia opcji inspekcji dostępu do obiektów i skonfigurowania ustawień inspekcji (SACL) na odpowiednich folderach.
W ten sposób jednak również nie uzyskamy informacji o tym co zostało zmienione w odpowiednich plikach. Pozostaje porównanie tych plików, w ich aktualnych wersjach z wersjami znajdującymi się w ramach kopii zapasowej lub z dokumentacją papierową. Przygotowanie tej ostatniej znacznie ułatwia zastosowanie GPMC, które to narzędzie pozwala na wygenerowanie raportu z ustawień GPO w formacie HTML. Rozwiązanie dalekie od ideału ale pozwala, przy zachowaniu pewnych procedur na udokumentowanie i śledzenie zmian wprowadzonych w GPO w kolejnych ich edycjach.

Inspekcję zmian w GPO taką jaką wszyscy chyba byśmy chcieli posiadać zapewniają na chwilę obecną tylko rozwiązania firm trzecich, takich jak chociażby (bezpłatna kryptoreklama) NetPro.

1 Comment

Leave a Reply