ADAudit Plus er en prisvindende, centraliseret overvågningsløsning til logging-arkitektur, der gør det muligt for administratorer af Microsoft Windows-miljø at se, overvåge, arkivere og modtage alarmer i realtid sammen med grundige overvågningsrapporter om Windows-sikkerhedsloggen. Sikkerhedsloggen indeholder poster om sikkerhedsrelaterede hændelser, der er specificeret af systemets overvågningspolitik. Administratorer kan registrere og spore forsøgt og vellykket uautoriseret aktivitet og løse problemer. Eksempler på sikkerhedshændelser omfatter godkendelseshændelser, overvågningshændelser, og uautoriserede hændelser. Disse hændelser gemmes i operativsystemernes sikkerhedslogfiler.
Kritiske Windows-sikkerhed hændelseslogge, der skal overvåges | |
4768 / 4771 | Kontologon udført/mislykket |
4624 / 4625 | Lokal logon udført/mislykket |
4647 | Brugerstartet logoff |
4778 / 4779 | Terminal service-session tilsluttet/afbrudt |
5136 / 5137 | AD-objekt ændring/oprettelse/flyt |
5139 / 5141 | AD-objekt flyttet/slettet |
4670 | Tilladelse ændret med gamle og nye attributter |
4663 / 4659, 4660 | Filadgang/-sletning |
Det enorme antal loggbare hændelser betyder, at analyse af sikkerhed-hændelseslogfiler kan være en tidskrævende opgave. Hvis du ønsker at overvåge succeser, fejl eller slet ikke overvåge denne type hændelser, skal du definere den krævede avancerede overvågningspolitik under lokale sikkerhedsindstillinger, så du kun sikrer de nødvendige sikkerhedslogs til overvågning, hvilket sikrer, at diskpladsen fyldes ikke hurtigt med uønskede logfiler.
Her er de anbefalede sikkerhedshændelser, der skal indstilles til overvågning, som er under de avancerede indstillinger for overvågningspolitik: For domænecontrollere | For Windows filservere | For Windows medlemsservere |For Windows arbejdsstationer
Nedenfor vises de forskellige avancerede kategorier for overvågningspolitik | |
Kontologon | Dokumentet forsøger at godkende kontooplysninger på en domænecontroller eller på en lokal Sikkerhedskontohåndtering.. |
Kontostyring | Overvåg ændringerne af bruger- og computerkonti og grupper. |
Detaljeret sporing | Overvåg aktiviteterne i de enkelte applikationer og brugere på denne computer. |
Adgang til Directory Services | Se et detaljeret revisionsspor for forsøg på at få adgang til og redigere objekter i Active Directory domænetjenester. |
Logon/logooff | Spor forsøg på at logge på en computer udført interaktivt eller over et netværk. Disse hændelser er særligt nyttige til at spore brugeraktivitet og identificere potentielle angreb på netværksressourcer. |
Adgang til objekt | Spor forsøg på at få adgang til bestemte objekter eller typer af objekter på et netværk eller en computer. |
Politikændringer | Spor ændringer og forsøg på at ændre vigtige sikkerhedspolitikker på et lokalt system eller netværk. |
Priviligeret brug | Spor tilladelser givet på et netværk til brugere eller computere for at fuldføre definerede opgaver. |
System | Overvåg ændringer på systemniveau i en computer, der ikke er inkluderet i andre kategorier, og som har potentielle sikkerhedsmæssige konsekvenser. |
Overvågning af adgang til globalt objekt | Administratorer kan definere systemadgangskontrollister (SACL'er) pr. objekttype for filsystemet eller for registreringsdatabasen. |