1. Zuhause
  2. Frage und Antwort
  3. Wie werden in ActiveDirectory Sicherheitsüberwachungsereignisse an das Ereignisprotokoll des Domänencontrollers übertragen? Wie skaliert der Mechanismus?

Wie werden in ActiveDirectory Sicherheitsüberwachungsereignisse an das Ereignisprotokoll des Domänencontrollers übertragen? Wie skaliert der Mechanismus?

2016-10-18 1 views
5

In einer Multi-Domain-Einstellung möchte ich Audit-Ereignisse für Sicherheitsdateizugriffe an einem zentralen Ort sammeln.Wie werden in ActiveDirectory Sicherheitsüberwachungsereignisse an das Ereignisprotokoll des Domänencontrollers übertragen? Wie skaliert der Mechanismus?

In ActiveDirectory ist es möglich, die Überwachung des Dateizugriffs auf dem Domänencontroller durch Erstellen eines Gruppenrichtlinienobjekts zu aktivieren. Darüber hinaus muss auf einem anderen Computer mit Dateiserver, der Mitglied einer der Domänen ist, eine SACL für die Dateisystemobjekte konfiguriert werden, die überwacht werden sollen (und die in einer Netzwerkfreigabe enthalten sind).

Sobald dies geschehen ist, werden die Dateizugriffsereignisse aufgezeichnet und irgendwie magisch in das Ereignisprotokoll des Domänencontrollers übertragen.

Ich würde wirklich gerne wissen:

  • Wie und wann werden diese Ereignisse übertragen? Ist die Übertragung verschlüsselt?
  • Ist es möglich, einen anderen (zusätzlichen) Empfänger dieser Ereignisse direkt neben dem Domänencontroller auszuwählen? Ich weiß, dass es möglich ist, diese Protokollereignisse später weiterzuleiten, aber werden sie standardmäßig an den Domänencontroller weitergeleitet? Ist eine implizite Weiterleitung konfiguriert?
  • Wie viel Verkehr wird in Bezug auf die Netzwerklast generiert?

Quelle

2016-10-18 mischka

+0

Meiner Erfahrung nach gibt es zwei gängige Ansätze: Der erste besteht darin, einen Windows-Dienst zu schreiben, der Ereignisse aus dem Windows-Sicherheitsprotokoll auf jedem DC sammelt und diese Ereignisse an ein gemeinsames Repository sendet. Der zweite Ansatz besteht darin, den Kernel-Modus-Dateisystemtreiber zu erstellen und ihn auf allen Dateiservern zu implementieren, die Sie überwachen möchten. Der Treiber wird eingehende Dateisystemanforderungen abfangen und entsprechende Ereignisse protokollieren. Auch Windows-Dienste sollten auf der gleichen Freigabe installiert werden, die Ereignisse an ein gemeinsames Repository sendet. Dieser Ansatz kann bis zu 1 Jahr Entwicklungszeit beanspruchen und viele BSODs – oldovets

+0

Aber das sind alles eingebaute Windows-Funktionen, warum würden Sie Ihre eigene Software schreiben? – mischka

+0

Denke darüber aus der Sicht des Programmierers nach, ob dein Ziel eine Echtzeitüberwachung ist (im Falle einer Ereignisprotokollerfassung nahezu in Echtzeit).Natürlich können Sie in Funktionen wie Ereignisabonnements verwenden gebaut (wenn alle DCs 2008 oder höher) oder Sie können die automatische Sicherung konfigurieren einzuloggen und alle Backups auf einem gemeinsamen Repository per E bewegen. G. Aufgabe planen Warum diese eingebauten Funktionen nicht Ihren Bedürfnissen entsprechen? – oldovets

Antwort

-1

Das erste, was Domänencontroller ist der Server mit Active Directory (eine Art von Organisationsdatenbank). Das Active Directory identifizierte alle Komponenten/Ressourcen, die mit der Domäne verbunden sind, ob logisch (Benutzer) und physisch (Computer und Drucker) als Objekt. Dieses Objekt verfügt über Eigenschaften, die als Schema bezeichnet werden. Dieses Schema wurde in Repositorys als GC (Globaler Katalog) katalogisiert, aber GC hat nur Teilinformationen, so dass Ressourcen gefunden werden können. Nun zu diesen Richtlinien. Es gibt zwei Dinge, GPO und OU. Das Gruppenrichtlinienobjekt besteht aus Richtlinien, die Sie auf Organisationseinheit oder eine höhere Gruppierungseinheit anwenden können. Mal sehen, wie Kommunikation passiert. Auch hier gibt es zwei häufig verwendete Begriffe: 1. Replikation und 2. LDAP-Abfrage.

Die Replikation erfolgt zwischen dem Controller, so dass der Netzwerkverkehr reduziert werden kann und eine höhere Verfügbarkeit für Ressourcen, die mit dem Server verbunden sind. Bei der Replikation wurden alle Ressourceninformationen mit dem Server synchronisiert. Um die Sicherheitsintegrität zu gewährleisten, gibt es ein Zertifikat (das Identifikation sowie einen Verschlüsselungsmechanismus gibt) und Delegierung (die Bereitstellung von Rechten).

LDAP ist das Protokoll, über das der Benutzer authentifiziert wurde. So hat LDAP eine Abfrage, die ähnlich wie eine andere Abfragesprache ist. Nun, all diese Abfrage wurde letztendlich auf dem Server protokolliert.

Gruppenrichtlinienobjekt wurde auf Ressourcen repliziert oder Sie können zwangsweise anwenden. Wenn du es sofort machen willst.

Quelle

2016-11-03 14:43:54 user2090820

+0

Könnten Sie bitte eine Quelle für die Information, dass die Übertragung bereitstellen ist verschlüsselt? Welcher Algorithmus wird verwendet? – mischka

+0

@mischka nehmen Sie bitte auf folgenden Link: https://technet.microsoft.com/en-us/library/a8f53a9b-f3f6-4b13-8253-dbf183a5aa62.aspx – user2090820

+0

@mischka diesen Link wird Mechanismus der Zertifizierung https sagen: // msdn.microsoft.com/en-us/library/bb727098.aspx – user2090820

Verwandte Themen

 Verwandte Themen