In einer Multi-Domain-Einstellung möchte ich Audit-Ereignisse für Sicherheitsdateizugriffe an einem zentralen Ort sammeln.Wie werden in ActiveDirectory Sicherheitsüberwachungsereignisse an das Ereignisprotokoll des Domänencontrollers übertragen? Wie skaliert der Mechanismus?
In ActiveDirectory ist es möglich, die Überwachung des Dateizugriffs auf dem Domänencontroller durch Erstellen eines Gruppenrichtlinienobjekts zu aktivieren. Darüber hinaus muss auf einem anderen Computer mit Dateiserver, der Mitglied einer der Domänen ist, eine SACL für die Dateisystemobjekte konfiguriert werden, die überwacht werden sollen (und die in einer Netzwerkfreigabe enthalten sind).
Sobald dies geschehen ist, werden die Dateizugriffsereignisse aufgezeichnet und irgendwie magisch in das Ereignisprotokoll des Domänencontrollers übertragen.
Ich würde wirklich gerne wissen:
- Wie und wann werden diese Ereignisse übertragen? Ist die Übertragung verschlüsselt?
- Ist es möglich, einen anderen (zusätzlichen) Empfänger dieser Ereignisse direkt neben dem Domänencontroller auszuwählen? Ich weiß, dass es möglich ist, diese Protokollereignisse später weiterzuleiten, aber werden sie standardmäßig an den Domänencontroller weitergeleitet? Ist eine implizite Weiterleitung konfiguriert?
- Wie viel Verkehr wird in Bezug auf die Netzwerklast generiert?
Meiner Erfahrung nach gibt es zwei gängige Ansätze: Der erste besteht darin, einen Windows-Dienst zu schreiben, der Ereignisse aus dem Windows-Sicherheitsprotokoll auf jedem DC sammelt und diese Ereignisse an ein gemeinsames Repository sendet. Der zweite Ansatz besteht darin, den Kernel-Modus-Dateisystemtreiber zu erstellen und ihn auf allen Dateiservern zu implementieren, die Sie überwachen möchten. Der Treiber wird eingehende Dateisystemanforderungen abfangen und entsprechende Ereignisse protokollieren. Auch Windows-Dienste sollten auf der gleichen Freigabe installiert werden, die Ereignisse an ein gemeinsames Repository sendet. Dieser Ansatz kann bis zu 1 Jahr Entwicklungszeit beanspruchen und viele BSODs – oldovets
Aber das sind alles eingebaute Windows-Funktionen, warum würden Sie Ihre eigene Software schreiben? – mischka
Denke darüber aus der Sicht des Programmierers nach, ob dein Ziel eine Echtzeitüberwachung ist (im Falle einer Ereignisprotokollerfassung nahezu in Echtzeit).Natürlich können Sie in Funktionen wie Ereignisabonnements verwenden gebaut (wenn alle DCs 2008 oder höher) oder Sie können die automatische Sicherung konfigurieren einzuloggen und alle Backups auf einem gemeinsamen Repository per E bewegen. G. Aufgabe planen Warum diese eingebauten Funktionen nicht Ihren Bedürfnissen entsprechen? – oldovets