Πώς να ενεργοποιήσετε τον έλεγχο πρόσβασης. Για ελεγκτές τομέα ή από σταθμό εργασίας με εγκατεστημένο το πακέτο Εργαλείων διαχείρισης. Καθορισμός λεπτομερούς πολιτικής ελέγχου

Κατηγορία ελέγχου Πρόσβαση αντικειμένου ελέγχου Τα Windows 2000 είναι μια σημαντική πηγή πληροφοριών σχετικά με τις ενέργειες των χρηστών του δικτύου σε επίπεδο λειτουργικού συστήματος. Χρησιμοποιώντας αυτήν την κατηγορία, μπορείτε να προσδιορίσετε την πηγή, την ώρα και τη μέθοδο πρόσβασης σε αρχεία, φακέλους, κλειδιά μητρώου και εκτυπωτές. Συσχετίζοντας συμβάντα πρόσβασης αντικειμένου με αντίστοιχα συμβάντα εγγραφής ή εκτέλεσης διεργασιών, μπορείτε να μάθετε συγκεκριμένες λεπτομέρειες της περιόδου λειτουργίας κατά την οποία έγινε η προσπάθεια πρόσβασης ή να μάθετε από ποια εφαρμογή ο χρήστης προσπάθησε να ανοίξει ένα αντικείμενο.

Έλεγχος σε δύο επίπεδα

Για να παρακολουθείτε την πρόσβαση σε αντικείμενα, πρέπει να ελέγξετε τα Windows 2000 τόσο σε επίπεδο συστήματος όσο και σε επίπεδο αντικειμένου. Πρέπει πρώτα να ενεργοποιήσετε την κατηγορία πρόσβασης αντικειμένου ελέγχου για συμβάντα επιτυχίας και αποτυχίας. (Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης της πολιτικής ελέγχου συστήματος, ανατρέξτε στο άρθρο "Έλεγχος συμβάντων καταγραφής στα Windows 2000." Για μια πλήρη λίστα άρθρων αυτού του συγγραφέα σχετικά με τα αρχεία καταγραφής ασφαλείας των Windows 2000 και των Windows NT, ανατρέξτε στην πλαϊνή γραμμή "Σε προηγούμενα θέματα " - σημείωση του συντάκτη.) Στη συνέχεια, είναι απαραίτητο να διασφαλιστεί ο έλεγχος του ελεγχόμενου αντικειμένου. Κάθε αντικείμενο έχει δύο ACL (λίστες ελέγχου πρόσβασης): έναν οριοθέτη ACL (DACL) και ένα σύστημα ACL (SACL).

Οθόνη 1. Απλοποιημένη προβολή αντικειμένου DACL.

Λίστα DACL.Το DACL παραθέτει τους χρήστες που έχουν πρόσβαση σε ένα αντικείμενο και πώς μπορούν να έχουν πρόσβαση σε αυτό. (Ο όρος ACL χρησιμοποιείται συχνά αντί για DACL.) Για να ανοίξετε το DACL ενός αντικειμένου από την Εξερεύνηση των Windows (για φακέλους και αρχεία) ή στο παράθυρο Εκτυπωτές (για εκτυπωτές), κάντε δεξί κλικ στο αντικείμενο, επιλέξτε Ιδιότητες και μεταβείτε στην Ασφάλεια καρτέλα (βλ. Οθόνη 1). Αυτή η καρτέλα παρέχει μια απλοποιημένη προβολή του DACL, δηλαδή εμφανίζει δικαιώματα μόνο για έναν χρήστη ή ομάδα. Για να δείτε την πλήρη λίστα DACL, κάντε κλικ στο κουμπί Για προχωρημένους. Ανοίγει το πλαίσιο διαλόγου Ρυθμίσεις ελέγχου πρόσβασης του αντικειμένου, που φαίνεται στην Εικόνα 2.

Λίστα SACL.Το SACL παραθέτει τις ενέργειες σε ένα αντικείμενο που υπόκεινται σε έλεγχο των Windows 2000 Το SACL ενός αντικειμένου αποτελείται από στοιχεία ελέγχου πρόσβασης (ACE). Το στοιχείο ACE καθορίζει τους τύπους πρόσβασης που καταγράφονται στο αρχείο καταγραφής ασφαλείας των Windows 2000 όταν ένας συγκεκριμένος χρήστης ή ομάδα αποκτά πρόσβαση σε ένα αντικείμενο. Μια ειδική σημαία για κάθε ACE υποδεικνύει εάν το στοιχείο είναι μια επιτυχημένη ή ανεπιτυχής προσπάθεια πρόσβασης. Για πρόσβαση στο SACL ενός αντικειμένου, ανοίξτε το πλαίσιο διαλόγου Ρυθμίσεις ελέγχου πρόσβασης και μεταβείτε στην καρτέλα Έλεγχος. Κάθε στοιχείο στην ενότητα Καταχωρήσεις Ελέγχου είναι ACE. Το Σχήμα 3 δείχνει το SACL για το παράδειγμα αρχείου (payroll.xls) που θα ελέγξουν τα Windows 2000 για επιτυχείς προσπάθειες εγγραφής και ανεπιτυχείς προσπάθειες ανάγνωσης που έγιναν από μέλη της ομάδας Everyone.

Οθόνη 3: Αντικείμενο SACL.

Έλεγχος προσπαθειών πρόσβασης σε ένα αντικείμενο

Τα Windows 2000 εκτελούν έλεγχο πρόσβασης τη στιγμή που ένας χρήστης επιχειρεί να αποκτήσει πρόσβαση σε ένα αντικείμενο μέσω ενός προγράμματος εφαρμογής. Όταν ένας χρήστης αποκτά πρόσβαση σε ένα αντικείμενο από μια εφαρμογή, το πρόγραμμα ζητά από τα Windows 2000 μια λαβή για το αντικείμενο. Χρησιμοποιώντας μια λαβή, μια εφαρμογή εκτελεί λειτουργίες σε ένα αντικείμενο. Πριν από την παροχή μιας λαβής, τα Windows 2000 αντιστοιχίζουν το DACL του αντικειμένου με τον λογαριασμό χρήστη που εκτελεί την εφαρμογή και τους τύπους πρόσβασης (για παράδειγμα, εγγραφή ή ανάγνωση) που ζητούνται από την εφαρμογή. Στη συνέχεια, τα Windows 2000 καθορίζουν εάν η πολιτική ελέγχου συστήματος επιτρέπει την καταγραφή των αποτελεσμάτων αυτής της σύγκρισης. Για παράδειγμα, εάν μια προσπάθεια πρόσβασης είναι ανεπιτυχής, το σύστημα καθορίζει εάν μια πολιτική ελέγχου είναι ενεργοποιημένη για την καταγραφή αποτυχημένων προσβάσεων αντικειμένων.

Εάν η πολιτική ελέγχου συστήματος καθορίζει ότι το αποτέλεσμα θα καταγραφεί, τα Windows 2000 επεξεργάζονται το SACL του αντικειμένου. Το σύστημα εξετάζει κάθε στοιχείο ACE που σχετίζεται με το αποτέλεσμα και καθορίζει ποια στοιχεία προσδιορίζουν τον λογαριασμό χρήστη που εκτελεί την εφαρμογή και τυχόν ομάδες στις οποίες ανήκει ο χρήστης. Στη συνέχεια, τα Windows 2000 εξετάζουν τους τύπους πρόσβασης που καθορίζονται σε αυτά τα ACE. Εάν τουλάχιστον ένας τύπος πρόσβασης στο ACE αντιστοιχεί σε οποιονδήποτε από τους τύπους πρόσβασης που ζητούνται από την εφαρμογή, τότε τα Windows 2000 δημιουργούν το αναγνωριστικό συμβάντος 560 "Object Open" με τον κατάλληλο τύπο συμβάντος (Έλεγχος αποτυχίας ή Έλεγχος επιτυχίας). Στο συμπληρωματικό πρόγραμμα προβολής συμβάντων της Κονσόλας διαχείρισης της Microsoft (MMC), τα μηνύματα σχετικά με την ανεπιτυχή ολοκλήρωση μιας λειτουργίας υποδεικνύονται με ένα εικονίδιο λουκέτου και οι εγγραφές σχετικά με την επιτυχή ολοκλήρωση μιας λειτουργίας υποδεικνύονται με ένα εικονίδιο κλειδιού.

Ας υποθέσουμε ότι ο χρήστης Harold συνεργάζεται με το Microsoft Excel και προσπαθεί να ανοίξει το αρχείο payroll.xls. Το Excel ζητά από τα Windows 2000 μια λαβή για το payroll.xls. Τα Windows 2000 συγκρίνουν το DACL του αρχείου με το λογαριασμό του Harold και το αίτημα ανάγνωσης από το Excel. Σύμφωνα με το DACL, ο Χάρολντ δεν έχει άδεια ανάγνωσης payroll.xls. Όπως δείχνει το σχήμα 2, μόνο οι διαχειριστές και η ομάδα HR έχουν πρόσβαση στο payroll.xls και ο Harold δεν είναι μέλος καμίας από αυτές τις ομάδες. Τα Windows 2000 καθορίζουν ότι η πολιτική ελέγχου του συστήματος είναι να καταγράφει αποτυχημένες προσπάθειες πρόσβασης σε ένα αντικείμενο, επομένως εξετάζει το SACL του payroll.xls και εξετάζει κάθε ACE που ελέγχει αποτυχημένες προσπάθειες πρόσβασης. Τα Windows 2000 καθορίζουν ποια από αυτά τα ACE παραπέμπουν στον λογαριασμό του Harold ή στην ομάδα στην οποία ανήκει. Όπως δείχνει η οθόνη 3, το SACL του αντικειμένου περιέχει ένα ACE που εκχωρεί την αποτυχημένη λειτουργία ανάγνωσης στην ομάδα Everyone, επομένως τα Windows 2000 καταγράφουν το αναγνωριστικό συμβάντος 560 (δείτε Εικόνα 4).

Οθόνη 4. Το Αναγνωριστικό συμβάντος 560 απέτυχε απόπειρα πρόσβασης.

Ας πούμε ότι ο χρήστης Sally προσπαθεί επίσης να ανοίξει το payroll.xls από το Excel. Επειδή η Sally είναι μέλος της ομάδας HR, έχει άδεια ανάγνωσης και εγγραφής στο αρχείο payroll.xls. Η πολιτική ελέγχου συστήματος έχει ρυθμιστεί ώστε να καταγράφει επιτυχημένες προσπάθειες πρόσβασης σε αντικείμενα και το SACL του αρχείου περιέχει ένα ACE που σχετίζεται με επιτυχημένες εγγραφές και την ομάδα Everyone, επομένως τα Windows 2000 καταγράφουν το αναγνωριστικό συμβάντος 560 (δείτε Εικόνα 5).

Οθόνη 5. Επιτυχής πρόσβαση Αναγνωριστικό συμβάντος 560.

Δεν είναι δύσκολο να κατανοήσετε τα πεδία της εκδήλωσης με ID 560. Η τιμή της παραμέτρου Object Server είναι πάντα Security. Το πεδίο Τύπος αντικειμένου προσδιορίζει το αντικείμενο ελέγχου - ένα αρχείο, φάκελο, κλειδί μητρώου, εκτυπωτή ή υπηρεσία. Τα Windows 2000 συμπληρώνουν το πεδίο New Handle ID μόνο εάν έχει παραχωρηθεί πρόσβαση στο αντικείμενο. Εάν ο χρήστης δεν έχει τα κατάλληλα δικαιώματα, δεν εκχωρείται πρόσβαση και τα Windows 2000 δεν δημιουργούν αναγνωριστικό χειρισμού. Το Αναγνωριστικό λειτουργίας είναι απλώς ένας αριθμός που αυξάνεται κατά ένα για κάθε λειτουργία που εκτελείται στην υπηρεσία καταλόγου Active Directory (AD).

Θεωρητικά, χρησιμοποιώντας το πεδίο Αναγνωριστικό διεργασίας, μπορείτε να υπολογίσετε την εφαρμογή μέσω της οποίας ο χρήστης άνοιξε το αντικείμενο. Ωστόσο, το αντίστοιχο Αναγνωριστικό συμβάντος 592 (νέα διαδικασία), που δημιουργήθηκε από την κατηγορία Παρακολούθηση διαδικασίας ελέγχου, εμφανίζει το αναγνωριστικό διαδικασίας σε διαφορετική μορφή από όλα τα άλλα συμβάντα των Windows 2000 Σύμφωνα με ορισμένες αναφορές, οι προγραμματιστές της Microsoft θα επιδιορθώσουν αυτό το πρόβλημα σε εκδόσεις των Windows XP και Windows Server - γνωστό ως Whistler. Για συμβάντα που αντιπροσωπεύουν έμμεση πρόσβαση σε αντικείμενα, το Αναγνωριστικό διεργασίας προσδιορίζει την εφαρμογή διακομιστή και όχι το πρόγραμμα-πελάτη μέσω του οποίου ο χρήστης άνοιξε το αντικείμενο. Εάν ένας χρήστης ανοίξει ένα αρχείο σε έναν κοινόχρηστο κατάλογο, το Αναγνωριστικό διεργασίας δείχνει τη διαδικασία συστήματος ως το πρόγραμμα που άνοιξε το αντικείμενο. Για να ελέγξετε αυτές τις πληροφορίες, μπορείτε να ανοίξετε τη Διαχείριση εργασιών, να μεταβείτε στην καρτέλα Διεργασίες και να δείτε το αναγνωριστικό διεργασίας στη στήλη PID.

Τα πεδία Primary User Name και Primary Domain προσδιορίζουν τον λογαριασμό χρήστη που απέκτησε απευθείας πρόσβαση στο αντικείμενο. Όταν ένας χρήστης αποκτά πρόσβαση σε ένα αντικείμενο από τον τοπικό του υπολογιστή μέσω μιας εφαρμογής επιτραπέζιου υπολογιστή όπως το Microsoft Word ή το Excel, τα πεδία Πρωτεύον όνομα χρήστη και Κύριος τομέας υποδεικνύουν τον λογαριασμό υπολογιστή και τα πεδία Όνομα χρήστη πελάτη και τομέας πελάτη υποδεικνύουν τον λογαριασμό χρήστη. Για παράδειγμα, η οθόνη 6 εμφανίζει το αναγνωριστικό συμβάντος 560, το οποίο καταγράφηκε όταν ο χρήστης John συνδέθηκε σε μια μονάδα δίσκου δικτύου στον διακομιστή αρχείων Tecra και άνοιξε το budget.doc. Στη συνέχεια, το πεδίο Primary User Name περιέχει το όνομα TECRA$, που αντιστοιχεί στον λογαριασμό διακομιστή αρχείων στον τομέα. Το όνομα χρήστη πελάτη προσδιορίζει τον John ως χρήστη από την πλευρά του πελάτη.

Οθόνη 6: Αναγνωριστικό συμβάντος έμμεσης πρόσβασης 560.

Τα πεδία Primary Logon ID και Client Logon ID περιέχουν το αναγνωριστικό σύνδεσης που εκχωρήθηκε κατά την εγγραφή στο λογαριασμό του χρήστη που είχε πρόσβαση στο αντικείμενο. Για να προσδιορίσετε σε ποια περίοδο σύνδεσης έγινε πρόσβαση, θα πρέπει να δείτε το Αναγνωριστικό συμβάντος 540 (απομακρυσμένη σύνδεση) ή το Αναγνωριστικό συμβάντος 528 (όλες οι άλλες συνδέσεις) με αυτό το αναγνωριστικό (αυτά τα συμβάντα περιγράφονται με περισσότερες λεπτομέρειες στο άρθρο "Παρακολούθηση συμβάντων σύνδεσης στα Windows 2000". ) Εάν ο χρήστης ανοίξει απευθείας ένα αντικείμενο στον τοπικό υπολογιστή του, τότε το Primary Logon ID του συμβάντος με ID 560 αντιστοιχεί στο Logon ID του συμβάντος με ID 528, που καταγράφηκε από τα Windows 2000 όταν ο χρήστης εγγράφηκε στο σύστημα. το πεδίο Client Logon ID παραμένει κενό. Εάν ένας χρήστης αποκτήσει πρόσβαση σε ένα αρχείο σε απομακρυσμένο μηχάνημα, το πεδίο Πρωτεύον αναγνωριστικό σύνδεσης του αναγνωριστικού συμβάντος 560 προσδιορίζει τη συνεδρία που σχετίζεται με τον λογαριασμό τοπικού υπολογιστή και το πεδίο Αναγνωριστικό σύνδεσης πελάτη του Αναγνωριστικού συμβάντος 528 αντιστοιχεί στο Κύριο αναγνωριστικό σύνδεσης.

Το πεδίο Accesses καθορίζει τους τύπους πρόσβασης που ζητούνται από την εφαρμογή. Ορισμένοι τύποι πρόσβασης είναι συγκεκριμένοι για μια συγκεκριμένη κατηγορία αντικειμένων, ενώ άλλοι ισχύουν για οποιοδήποτε αντικείμενο. Ο Πίνακας 1 παραθέτει και περιγράφει τους πιο συνηθισμένους τύπους πρόσβασης.

Όταν ένας χρήστης ανοίγει ένα αρχείο ή φάκελο, το πεδίο Accesses καταγράφει τους τύπους πρόσβασης που παραχωρούνται στον χρήστη και είναι συγκεκριμένοι για αυτόν τον φάκελο ή το αρχείο. Αυτοί οι τύποι πρόσβασης αντιστοιχούν στα ειδικά δικαιώματα που αναφέρονται στο αρχείο DACL. Οι παράμετροι ReadAttributes και WriteAttributes υποδεικνύουν ότι ο χρήστης έχει ανοίξει το αρχείο με τη δυνατότητα αλλαγής των ιδιοτήτων του (μόνο για ανάγνωση, αρχειοθετημένο, κρυφό, σύστημα). Το ReadEA και το WriteEA ισχύουν για εκτεταμένα χαρακτηριστικά αρχείων που ορίζονται από συγκεκριμένες εφαρμογές. Για να δείτε τα εκτεταμένα χαρακτηριστικά ενός αρχείου, πρέπει να ανοίξετε την Εξερεύνηση των Windows και να κάνετε δεξί κλικ στο αρχείο. Αφού επιλέξετε Ιδιότητες, μεταβείτε στην καρτέλα Προσαρμοσμένη και, στη συνέχεια, στην καρτέλα Σύνοψη.

Ο τύπος AppendData σημαίνει ότι ο χρήστης έχει το δικαίωμα να προσαρτήσει δεδομένα στο ανοιχτό αρχείο. Τα ReadData και WriteData σημαίνουν ότι ο χρήστης που ανοίγει το αρχείο έχει τη δυνατότητα να διαβάσει ή να αλλάξει τα δεδομένα του. Εάν έχει οριστεί η λειτουργία ελέγχου εκκίνησης του εκτελέσιμου αρχείου, τα Windows 2000 καταγράφουν την εκτέλεση πρόσβασης κάθε φορά που εκκινείται το πρόγραμμα.

Οι ίδιοι τύποι πρόσβασης - με μικρές διαφορές - χρησιμοποιούνται από τα Windows 2000 για τον έλεγχο της εργασίας με φακέλους. Το AppendData υποδηλώνει ότι ο χρήστης έχει δημιουργήσει έναν υποφάκελο εντός του φακέλου. Τα Windows 2000 καταχωρούν τον τύπο WriteData όταν δημιουργείται ένα νέο αρχείο σε έναν φάκελο. Για να προσδιορίσετε το όνομα του νέου αρχείου ή υποφακέλου, πρέπει να δείτε το επόμενο συμβάν με ID 560 που αντιστοιχεί στο νέο θυγατρικό αντικείμενο. Τα Windows 2000 καταχωρούν τον τύπο ReadData εάν ο χρήστης προβάλλει τα περιεχόμενα ενός φακέλου (για παράδειγμα, με την εντολή Dir ή μέσω της Εξερεύνησης των Windows).

Τελειώνοντας την εργασία με ένα αντικείμενο

Όταν ένας χρήστης ανοίγει ένα αντικείμενο από μια εφαρμογή, τα Windows 2000 καταγράφουν το αναγνωριστικό συμβάντος 560 και όταν το αντικείμενο είναι κλειστό, το λειτουργικό σύστημα καταγράφει το αναγνωριστικό συμβάντος 562 (η λαβή είναι κλειστή). Τα πεδία της εκδήλωσης με ID 562 συμπίπτουν εν μέρει με τα πεδία της εκδήλωσης με ID 560.

Οθόνη 7. Αναγνωριστικό συμβάντος 562.

Θα πρέπει να δώσετε προσοχή στο πεδίο New Handle ID για το συμβάν με ID 560 (βλ. Εικόνα 5) και στο πεδίο Handle ID για το συμβάν με ID 562 (βλ. Εικόνα 7). Τα Windows 2000 δημιουργούν ένα διαφορετικό Handle ID για κάθε ανοιχτό αντικείμενο. Έτσι, συσχετίζοντας το αναγνωριστικό συμβάντος 560 και το αναγνωριστικό συμβάντος 562 με το ίδιο αναγνωριστικό Hand-le, μπορείτε να προσδιορίσετε πόσο καιρό το αντικείμενο παρέμεινε ανοιχτό. Από το συμπληρωματικό πρόγραμμα προβολής συμβάντων, ανοίξτε το συμβάν με ID 560 και θυμηθείτε το Handle ID του συμβάντος. Στη συνέχεια, πρέπει να κάνετε δεξί κλικ στο αρχείο καταγραφής ασφαλείας και να επιλέξετε Προβολή, Εύρεση συναρτήσεων. Στο πεδίο Αναγνωριστικό συμβάντος, πληκτρολογήστε την τιμή 562 και στο πεδίο Περιγραφή, την τιμή Αναγνωριστικό χειρισμού. Εάν το πρόγραμμα προβολής συμβάντων εμφανίζει πρώτα νέα αντικείμενα, θα πρέπει να αλλάξετε την κατεύθυνση αναζήτησης σε Επάνω και, στη συνέχεια, κάντε κλικ στην επιλογή Εύρεση επόμενου.

Όχι μόνο αρχεία

Η κατηγορία κλάσης αντικειμένου ελέγχου χρησιμοποιείται όχι μόνο για τον έλεγχο της πρόσβασης σε αρχεία. Για παράδειγμα, χρησιμοποιώντας το πρόγραμμα regedt32, μπορείτε να εκτελέσετε έλεγχο των κλειδιών μητρώου και στη συνέχεια να ελέγξετε την πρόσβαση σε κλειδιά και στοιχεία μητρώου. Οι εγγραφές μητρώου δεν έχουν τα δικά τους DACL ή SACL. Όπως οι λειτουργίες ελέγχου πρόσβασης, οι λειτουργίες ελέγχου διενεργούνται μέσω του γονικού κλειδιού μητρώου. Τα Windows 2000 καταγράφουν τους τύπους πρόσβασης που αντιστοιχούν στα δικαιώματα στο DACL του κλειδιού και περιγράφουν τα δικαιώματα που καθορίζονται στο Αναγνωριστικό συμβάντος 560. Εάν η πρόσβαση σε ένα κλειδί μητρώου προκαλεί το Αναγνωριστικό συμβάντος 560, τα Windows 2000 ορίζουν το πεδίο Τύπος αντικειμένου σε Κλειδί. Η τιμή στο πεδίο Όνομα αντικειμένου ξεκινά με REGISTRY, ακολουθούμενη από τον κλάδο και την υπόλοιπη διαδρομή προς την ενότητα. Για παράδειγμα, το δευτερεύον κλειδί HKEY_LOCAL_MACHI-NESOFTWAREAcme εμφανίζεται ως REGISTRYMACHINESOFT-WAREAcme.

Από το μενού Ρυθμίσεις, Εκτυπωτές μπορείτε να αποκτήσετε πρόσβαση στα SACL του εκτυπωτή και στο μητρώο. Για να γίνει αυτό, αρκεί να εκτελέσετε τις ίδιες λειτουργίες όπως κατά την πρόσβαση στο SACL ενός αρχείου ή φακέλου, αλλά το σημείο εκκίνησης δεν θα είναι η Εξερεύνηση των Windows, αλλά το μενού Ρυθμίσεις, Εκτυπωτές.

Στο άρθρο της Microsoft "Παρακολούθηση και έλεγχος για τελικά συστήματα" ( http://www.microsoft.com/technet/security/monito.asp) δηλώνει ότι μπορείτε να ελέγξετε τις υπηρεσίες συστήματος, αλλά στην πραγματικότητα αυτό δεν συμβαίνει. Ακόμα κι αν η λειτουργία ελέγχου είναι ενεργοποιημένη στην υπηρεσία SACL (χρησιμοποιώντας την πολιτική ομάδας μέσω του ComputerConfiguration, των Windows Settings, των Security Settings, των System Services), τα Windows 2000 δεν καταγράφουν πληροφορίες σχετικά με την εκκίνηση, τη διακοπή ή τον τερματισμό της υπηρεσίας στο αρχείο καταγραφής ασφαλείας. Τα αναγνωριστικά συμβάντων τεκμηριώνονται για ορισμένες άλλες λειτουργίες (όπως η διαγραφή ενός αντικειμένου), αλλά αυτός ο μηχανισμός δεν είναι ακόμη λειτουργικός.

Κληρονομικότητα SACL

Στα Windows 2000, η ​​κληρονομικότητα SACL ακολουθεί το ίδιο μοτίβο με το DACL. Από προεπιλογή, οι καταχωρήσεις SACL μεταβιβάζονται αυτόματα από τους γονικούς φακέλους και τα κλειδιά μητρώου σε θυγατρικά αντικείμενα. Για παράδειγμα, εάν ενεργοποιήσετε τον έλεγχο αποτυχημένων εγγραφών σε έναν φάκελο, όλα τα αρχεία και οι υποφάκελοι κληρονομούν αυτό το στοιχείο SACL. Υπάρχουν πολλά επίπεδα διαμόρφωσης για κληρονομικότητα SACL.

Παιδικό επίπεδο.Για να αποκλείσετε τη διάδοση των καταχωρήσεων γονικού SACL σε ένα θυγατρικό αντικείμενο, ανοίξτε το παράθυρο Ρυθμίσεις ελέγχου πρόσβασης του θυγατρικού αντικειμένου, μεταβείτε στην καρτέλα Έλεγχος και καταργήστε την επιλογή του πλαισίου ελέγχου Να επιτρέπεται η μετάδοση κληρονομικών εγγραφών ελέγχου από γονέα σε αυτό το αντικείμενο. Στη συνέχεια, πρέπει να κάνετε κλικ στο OK ή στο Apply. Εάν κάποια κληρονομήσιμα στοιχεία SACL έχουν ήδη μεταβιβαστεί σε ένα θυγατρικό αντικείμενο μέχρι να καταργήσετε την επιλογή του πλαισίου ελέγχου, τα Windows 2000 θα σας ζητήσουν να επιβεβαιώσετε εάν θέλετε να τα καταργήσετε ή να δημιουργήσετε αντίγραφά τους χωρίς μεταβίβαση.

επίπεδο γονέα.Για να ενεργοποιήσετε την κληρονομικότητα σε θυγατρικά αντικείμενα, ανοίξτε το πλαίσιο διαλόγου Ρυθμίσεις ελέγχου πρόσβασης του γονικού αντικειμένου, το οποίο δείχνει η Εικόνα 8, μεταβείτε στην καρτέλα Έλεγχος και επιλέξτε το πλαίσιο ελέγχου Επαναφορά ελέγχου σε όλα τα θυγατρικά αντικείμενα και ενεργοποίηση της διάδοσης κληρονομούμενων εγγραφών ελέγχου. Όταν κάνετε κλικ στο OK ή στο Apply, το λειτουργικό σύστημα απενεργοποιεί τον έλεγχο σε όλα τα θυγατρικά αντικείμενα και καταργεί το πλαίσιο ελέγχου, έτσι ώστε ο διαχειριστής να μπορεί επιλεκτικά να αποκλείσει την κληρονομικότητα σε θυγατρικά αντικείμενα. Αυτή η λειτουργία επαναφοράς είναι χρήσιμη εάν ο διαχειριστής δεν γνωρίζει ποια λειτουργία κληρονομικότητας έχει οριστεί στο σύστημα και θέλει να ξεκινήσει από την αρχή.

Μπορείτε επίσης να ελέγξετε το βάθος κληρονομικότητας και να καθορίσετε το τελευταίο παιδί που επηρεάζεται από κάθε στοιχείο SACL. Για να επεξεργαστείτε μια μεμονωμένη καταχώρηση SACL, ανοίξτε το πλαίσιο διαλόγου Access Control Settings του γονικού αντικειμένου, μεταβείτε στην καρτέλα Auditing, επιλέξτε την καταχώριση και ανοίξτε το παράθυρο Auditing Entry κάνοντας κλικ στο κουμπί View/Edit, όπως φαίνεται στο Σχήμα 9 δύο τρόποι υλοποίησης παιδικών αντικειμένων. Η αναπτυσσόμενη λίστα Apply onto καθορίζει τους τύπους αντικειμένων στα οποία μεταβιβάζεται η εγγραφή ελέγχου. Από προεπιλογή, η τιμή Αυτός ο φάκελος, οι υποφάκελοι και τα αρχεία επιλέγεται από τη λίστα, αλλά ο χρήστης μπορεί να επιλέξει οποιονδήποτε συνδυασμό αυτών των αντικειμένων. (Η οθόνη 9 δείχνει ότι έχετε επιλέξει να ελέγξετε μόνο τις αποτυχημένες αναγνώσεις αρχείων και όχι φακέλων.) Μπορείτε να χρησιμοποιήσετε το πλαίσιο ελέγχου Εφαρμογή αυτών των εγγραφών ελέγχου σε αντικείμενα και/ή κοντέινερ σε αυτό το κοντέινερ για να προσδιορίσετε εάν τα Windows 2000 θα γράφουν καταχωρήσεις σε αντικείμενα που βρίσκονται απευθείας μέσα στο φάκελο ή θα διαδώσει αναδρομικά αυτήν την καταχώρηση σε όλα τα θυγατρικά επίπεδα κάτω από αυτό το σημείο.

Πώς να κάνετε καλύτερο έλεγχο

Ποια στρατηγική να επιλέξετε για τον έλεγχο αντικειμένων; Αρχικά, εάν πρέπει να ελέγξετε έναν συγκεκριμένο κατάλογο ή κλειδί μητρώου σε πολλούς υπολογιστές, πρέπει να χρησιμοποιήσετε πολιτικές ομάδας. Για παράδειγμα, για να εξετάσετε αποτυχημένες εγγραφές στον κατάλογο \%systemroot% σε όλους τους υπολογιστές σε έναν τομέα, ανοίξτε το συμπληρωματικό πρόγραμμα Active Directory Users and Computers MMC και κάντε δεξί κλικ στη ρίζα του τομέα. Στη συνέχεια, επιλέγοντας Ιδιότητες, πρέπει να μεταβείτε στην καρτέλα Πολιτική ομάδας. Αφού ελέγξετε το στοιχείο Προεπιλεγμένο αντικείμενο ομάδας πολιτικής τομέα (GPO), κάντε κλικ στο κουμπί Επεξεργασία και μεταβείτε στις Διαμόρφωση υπολογιστή, Ρυθμίσεις Windows, Ρυθμίσεις ασφαλείας, Σύστημα αρχείων. Κάντε δεξί κλικ στο Σύστημα αρχείων και επιλέξτε Προσθήκη αρχείου. Στη συνέχεια, εισάγετε από το πληκτρολόγιό σας

%systemroot%

και κάντε κλικ στο OK. Ένα παράθυρο διαλόγου αδειών παρόμοιο με αυτό που εμφανίζεται στην οθόνη 1 θα εμφανιστεί στην οθόνη σας Για να ξεκινήσετε τη διαδικασία ελέγχου αντικειμένων, πρέπει να επαναλάβετε τα βήματα που περιγράφηκαν προηγουμένως. Ταυτόχρονα, πρέπει να δοθεί ιδιαίτερη προσοχή στον καθορισμό του εύρους του ελέγχου. Δεν συνιστάται ο περιορισμός του κύκλου των ατόμων που ελέγχονται, καθώς οι χάκερ χρησιμοποιούν συχνά τους κωδικούς πρόσβασης άλλων ανθρώπων. Επομένως, θα πρέπει να καθορίσετε την ομάδα Everyone στη λίστα ελέγχου ώστε να καλύπτει όλους τους χρήστες. Ωστόσο, είναι επιθυμητό να περιοριστούν οι τύποι πρόσβασης και τα αντικείμενα που μπορούν να ελεγχθούν. Η διαδικασία ελέγχου αντικειμένων δημιουργεί μεγάλο όγκο δεδομένων. Για να μην γεμίσει το αρχείο καταγραφής ασφαλείας με άχρηστες πληροφορίες, είναι προτιμότερο να εστιάσετε σε έναν μικρό αριθμό τύπων πρόσβασης σε μερικά αντικείμενα.

Μπορεί να φαίνεται στους άπειρους διαχειριστές ότι στην πραγματικότητα δεν υπάρχει τόση δραστηριότητα του συστήματος όπως υποδηλώνουν τα συμβάντα πρόσβασης αντικειμένου ελέγχου. Λάβετε υπόψη ότι τα Windows 2000 δεν ελέγχουν τις πραγματικές λειτουργίες (όπως η ανάγνωση και η εγγραφή) σε αντικείμενα. Αντίθετα, ελέγχονται τα αιτήματα πρόσβασης αντικειμένων που προέρχονται από εφαρμογές. Επομένως, το πεδίο Accesses του συμβάντος με ID 560 υποδεικνύει μόνο τον τύπο πρόσβασης που θα μπορούσε να λάβει ο χρήστης, αλλά όχι το γεγονός ότι ο χρήστης εκτέλεσε οποιεσδήποτε λειτουργίες. Το πρόβλημα επιδεινώνεται από τα προγράμματα εφαρμογών που ζητούν αυτόματα όλους τους τύπους πρόσβασης, ανεξάρτητα από το αν ο χρήστης τα χρειάζεται. Αξιωματούχοι της Microsoft λένε ότι τα Windows 2000 ενδέχεται τελικά να περιλαμβάνουν έλεγχο των πραγματικών λειτουργιών αντί για δυνατότητες πρόσβασης.

Χρησιμοποιώντας την κατηγορία Πρόσβαση αντικειμένου ελέγχου, μπορείτε να λύσετε μια σειρά από δύσκολα προβλήματα: για παράδειγμα, μάθετε εάν έγιναν προσπάθειες μη εξουσιοδοτημένης πρόσβασης σε δεδομένα και ποιος θα μπορούσε να αλλάξει ένα συγκεκριμένο αρχείο. Παρά τις δυσκολίες ανάλυσης περιττών δεδομένων καταγραφής, αυτή η κατηγορία έχει μια άξια θέση στο οπλοστάσιο του διαχειριστή.

Όπως είπα προηγουμένως, αξίζει να φροντίσετε αυτές τις μέρες την ασφάλεια των λογαριασμών χρηστών και το απόρρητο των πληροφοριών της επιχείρησής σας. Σε προηγούμενα άρθρα σχετικά με τις τοπικές πολιτικές ασφαλείας, μάθατε για τεχνικές χρήσης τοπικών πολιτικών ασφαλείας και πολιτικών λογαριασμού που μπορείτε να χρησιμοποιήσετε για να βελτιώσετε σημαντικά την ασφάλεια των λογαριασμών χρηστών σας. Τώρα που έχετε διαμορφώσει σωστά τις πολιτικές ασφαλείας λογαριασμού, θα είναι πολύ πιο δύσκολο για τους εισβολείς να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών. Αλλά μην ξεχνάτε ότι η εργασία σας για τη διασφάλιση της ασφάλειας της υποδομής του δικτύου σας δεν τελειώνει εκεί. Όλες οι προσπάθειες εισβολής και ο αποτυχημένος έλεγχος ταυτότητας των χρηστών σας πρέπει να καταγράφονται, ώστε να γνωρίζετε εάν πρέπει να ληφθούν πρόσθετα μέτρα ασφαλείας. Η επαλήθευση τέτοιων πληροφοριών προκειμένου να προσδιοριστεί η δραστηριότητα στην επιχείρηση ονομάζεται έλεγχος.

Η διαδικασία ελέγχου χρησιμοποιεί τρία στοιχεία ελέγχου: την πολιτική ελέγχου, τις ρυθμίσεις ελέγχου σε αντικείμενα και το αρχείο καταγραφής "Ασφάλεια", όπου καταγράφονται συμβάντα που σχετίζονται με την ασφάλεια, όπως σύνδεση/αποσύνδεση συστήματος, χρήση προνομίων και πρόσβαση σε πόρους. Σε αυτό το άρθρο θα εξετάσουμε τις πολιτικές ελέγχου και την επακόλουθη ανάλυση των γεγονότων στο αρχείο καταγραφής "Ασφάλεια".

Πολιτική Ελέγχου

Μια πολιτική ελέγχου διαμορφώνει το σύστημα ενός συγκεκριμένου χρήστη και ομάδας για έλεγχο δραστηριότητας. Για να διαμορφώσετε τις πολιτικές ελέγχου, στο πρόγραμμα επεξεργασίας διαχείρισης πολιτικής ομάδας, πρέπει να ανοίξετε τον κόμβο Διαμόρφωση υπολογιστή/Διαμόρφωση Windows/Ρυθμίσεις ασφαλείας/Τοπικές πολιτικές/Πολιτική ελέγχου. Να θυμάστε ότι από προεπιλογή η ρύθμιση της πολιτικής ελέγχου για τους σταθμούς εργασίας έχει οριστεί σε "Απροσδιόριστος". Συνολικά, μπορείτε να διαμορφώσετε εννέα πολιτικές ελέγχου, οι οποίες φαίνονται στην παρακάτω εικόνα:

Ρύζι. 1. Κόμβος "Πολιτική ελέγχου"

Ακριβώς όπως και με άλλες πολιτικές ασφαλείας, για να διαμορφώσετε τον έλεγχο πρέπει να ορίσετε μια ρύθμιση πολιτικής. Αφού κάνετε διπλό κλικ με το αριστερό κουμπί του ποντικιού σε οποιαδήποτε από τις επιλογές, τσεκάρετε την επιλογή "Καθορίστε τις ακόλουθες ρυθμίσεις πολιτικής"και καθορίστε επιλογές για επιτυχία, αποτυχία ή και τους δύο τύπους συμβάντων ελέγχου.

Ρύζι. 2. Ιδιότητες της πολιτικής ελέγχου «Πρόσβαση στην υπηρεσία καταλόγου ελέγχου»

Μόλις διαμορφωθεί η πολιτική ελέγχου, τα συμβάντα θα καταγράφονται στο αρχείο καταγραφής ασφαλείας. Μπορείτε να δείτε αυτά τα συμβάντα στο αρχείο καταγραφής ασφαλείας. Ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε πολιτική ελέγχου:

Έλεγχος σύνδεσης. Η τρέχουσα πολιτική καθορίζει εάν το λειτουργικό σύστημα ενός χρήστη στον υπολογιστή του οποίου εφαρμόζεται αυτή η πολιτική ελέγχου ελέγχει κάθε προσπάθεια σύνδεσης ή αποσύνδεσης χρήστη. Για παράδειγμα, όταν ένας χρήστης συνδέεται με επιτυχία σε έναν υπολογιστή, δημιουργείται ένα συμβάν σύνδεσης λογαριασμού. Τα συμβάντα αποσύνδεσης δημιουργούνται κάθε φορά που τερματίζεται ένας συνδεδεμένος λογαριασμός χρήστη. Έλεγχος επιτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε επιτυχημένη προσπάθεια σύνδεσης. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε αποτυχημένη προσπάθεια σύνδεσης.

Έλεγχος πρόσβασης αντικειμένου. Αυτή η πολιτική ασφαλείας ελέγχει τις προσπάθειες πρόσβασης χρήστη σε αντικείμενα που δεν σχετίζονται με την υπηρεσία καταλόγου Active Directory. Τέτοια αντικείμενα περιλαμβάνουν αρχεία, φακέλους, εκτυπωτές και κλειδιά μητρώου συστήματος, τα οποία καθορίζονται από τις δικές τους λίστες στη λίστα ελέγχου πρόσβασης συστήματος (SACL). Ένας έλεγχος δημιουργείται μόνο για αντικείμενα που έχουν καθορισμένες λίστες ελέγχου πρόσβασης, υπό την προϋπόθεση ότι ο ζητούμενος τύπος πρόσβασης και ο λογαριασμός που υποβάλλει το αίτημα ταιριάζουν με τις ρυθμίσεις σε αυτές τις λίστες.

Έλεγχος πρόσβασης στην υπηρεσία καταλόγου. Με αυτήν την πολιτική ασφαλείας, μπορείτε να προσδιορίσετε εάν τα συμβάντα που καθορίζονται στη λίστα ελέγχου πρόσβασης συστήματος (SACL), την οποία μπορείτε να επεξεργαστείτε στο πλαίσιο διαλόγου, θα ελεγχθούν. "Προηγμένες επιλογές ασφαλείας"Ιδιότητες αντικειμένου Active Directory. Ένας έλεγχος δημιουργείται μόνο για αντικείμενα για τα οποία έχει καθοριστεί μια λίστα ελέγχου πρόσβασης συστήματος, με την προϋπόθεση ότι ο ζητούμενος τύπος πρόσβασης και ο λογαριασμός που υποβάλλει το αίτημα ταιριάζουν με τις παραμέτρους αυτής της λίστας. Αυτή η πολιτική είναι κάπως παρόμοια με την πολιτική "Έλεγχος πρόσβασης αντικειμένου". Ο έλεγχος επιτυχίας σημαίνει τη δημιουργία μιας εγγραφής ελέγχου κάθε φορά που ένας χρήστης αποκτά πρόσβαση με επιτυχία σε ένα αντικείμενο Active Directory για το οποίο έχει οριστεί ένα SACL. Έλεγχος αποτυχίας σημαίνει τη δημιουργία μιας εγγραφής ελέγχου κάθε φορά που ένας χρήστης δεν έχει πρόσβαση σε ένα αντικείμενο της υπηρεσίας καταλόγου Active Directory που έχει καθορισμένο SACL.

Έλεγχος αλλαγής πολιτικής. Αυτή η πολιτική ελέγχου καθορίζει εάν το λειτουργικό σύστημα ελέγχει κάθε προσπάθεια αλλαγής της εκχώρησης δικαιωμάτων χρήστη, του ελέγχου, του λογαριασμού ή της πολιτικής εμπιστοσύνης. Οι επιτυχίες ελέγχου σημαίνει τη δημιουργία αρχείου ελέγχου κάθε φορά που αλλάζουν επιτυχώς οι πολιτικές εκχώρησης δικαιωμάτων χρήστη, οι πολιτικές ελέγχου ή οι πολιτικές εμπιστοσύνης. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου κάθε φορά που αποτυγχάνει η προσπάθεια αλλαγής των πολιτικών εκχώρησης δικαιωμάτων χρήστη, πολιτικών ελέγχου ή πολιτικών εμπιστοσύνης.

Αλλαγές προνομίων ελέγχου. Χρησιμοποιώντας αυτήν την πολιτική ασφαλείας, μπορείτε να προσδιορίσετε εάν θα ελεγχθεί η χρήση των προνομίων και δικαιωμάτων χρήστη. Επιτυχίες ελέγχου σημαίνει δημιουργία αρχείου ελέγχου για κάθε επιτυχή χρήση ενός δικαιώματος χρήστη. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε ανεπιτυχή χρήση δικαιώματος χρήστη.

Έλεγχος παρακολούθησης διαδικασίας. Η τρέχουσα πολιτική ελέγχου καθορίζει εάν το λειτουργικό σύστημα ελέγχει συμβάντα που σχετίζονται με τη διαδικασία, όπως η δημιουργία και ο τερματισμός της διαδικασίας, η ενεργοποίηση προγράμματος και η έμμεση πρόσβαση αντικειμένων. Ο έλεγχος επιτυχίας σημαίνει τη δημιουργία αρχείου ελέγχου για κάθε επιτυχημένο συμβάν που σχετίζεται με μια παρακολουθούμενη διαδικασία. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε αποτυχημένο συμβάν που σχετίζεται με την παρακολουθούμενη διαδικασία.

Έλεγχος συμβάντων συστήματος. Αυτή η πολιτική ασφαλείας είναι ιδιαίτερα πολύτιμη επειδή με αυτήν την πολιτική μπορείτε να μάθετε εάν ο υπολογιστής του χρήστη έχει υπερφορτωθεί, εάν το μέγεθος του αρχείου καταγραφής ασφαλείας έχει υπερβεί το όριο προειδοποίησης, εάν τα συμβάντα που παρακολουθήθηκαν χάθηκαν λόγω αποτυχίας ελέγχου και ακόμη και αν έχουν γίνει αλλαγές που θα μπορούσαν να επηρεάσουν την ασφάλεια του συστήματος ή το αρχείο καταγραφής ασφαλείας έως και την αλλαγή της ώρας του συστήματος. Έλεγχος επιτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε επιτυχημένο συμβάν συστήματος. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε συμβάν συστήματος που αποτυγχάνει.

Έλεγχος συμβάντων σύνδεσης. Με αυτήν την πολιτική ελέγχου, μπορείτε να καθορίσετε εάν το λειτουργικό σύστημα θα εκτελεί έλεγχο κάθε φορά που αυτός ο υπολογιστής ελέγχει για διαπιστευτήρια. Όταν χρησιμοποιείται αυτή η πολιτική, δημιουργείται ένα συμβάν για τοπικές και απομακρυσμένες συνδέσεις χρηστών. Τα μέλη τομέα και οι υπολογιστές εκτός τομέα είναι αξιόπιστα από τους τοπικούς τους λογαριασμούς. Όταν ένας χρήστης προσπαθεί να συνδεθεί σε έναν κοινόχρηστο φάκελο του διακομιστή, ένα συμβάν απομακρυσμένης σύνδεσης εγγράφεται στο αρχείο καταγραφής ασφαλείας, αλλά τα συμβάντα αποσύνδεσης δεν καταγράφονται. Έλεγχος επιτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε επιτυχημένη προσπάθεια σύνδεσης. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε αποτυχημένη προσπάθεια σύνδεσης.

Έλεγχος διαχείρισης λογαριασμού. Αυτή η τελευταία πολιτική θεωρείται επίσης πολύ σημαντική επειδή είναι ο τρόπος με τον οποίο μπορείτε να προσδιορίσετε εάν κάθε συμβάν ελέγχου λογαριασμού σε έναν υπολογιστή πρέπει να ελεγχθεί. Το αρχείο καταγραφής ασφαλείας θα καταγράφει δραστηριότητες όπως η δημιουργία, η μετακίνηση και η απενεργοποίηση λογαριασμών, καθώς και η αλλαγή κωδικών πρόσβασης και ομάδων. Έλεγχος επιτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε επιτυχημένο συμβάν διαχείρισης λογαριασμού. Έλεγχος αποτυχίας σημαίνει δημιουργία αρχείου ελέγχου για κάθε συμβάν διαχείρισης λογαριασμού που αποτυγχάνει.

Όπως μπορείτε να δείτε, όλες οι πολιτικές ελέγχου είναι σε κάποιο βαθμό πολύ παρόμοιες και αν ορίσετε έλεγχο όλων των πολιτικών για κάθε χρήστη στον οργανισμό σας, αργά ή γρήγορα θα μπερδευτείτε σε αυτές. Ως εκ τούτου, είναι απαραίτητο να καθοριστεί πρώτα τι ακριβώς χρειάζεται για τον έλεγχο. Για παράδειγμα, για να βεβαιωθείτε ότι γίνεται συνεχώς πρόσβαση σε έναν από τους λογαριασμούς σας μέσω εικασίας κωδικού πρόσβασης, μπορείτε να καθορίσετε έναν έλεγχο αποτυχημένων προσπαθειών σύνδεσης. Στην επόμενη ενότητα θα δούμε ένα απλό παράδειγμα χρήσης αυτών των πολιτικών.

Παράδειγμα χρήσης πολιτικής ελέγχου

Ας υποθέσουμε ότι έχουμε έναν τομέα testdomain.com, στον οποίο υπάρχει ένας χρήστης με λογαριασμό DImaN.Vista. Σε αυτό το παράδειγμα, θα εφαρμόσουμε μια πολιτική σε αυτόν τον χρήστη και θα δούμε ποια συμβάντα καταγράφονται στο αρχείο καταγραφής ασφαλείας όταν ένα μη εξουσιοδοτημένο άτομο επιχειρεί να αποκτήσει πρόσβαση στο σύστημα. Για να αναπαραγάγετε αυτήν την κατάσταση, ακολουθήστε τα εξής βήματα:

συμπέρασμα

Σε αυτό το άρθρο, συνεχίσαμε τη μελέτη μας για τις πολιτικές ασφαλείας, δηλαδή, εξετάσαμε τις ρυθμίσεις πολιτικής ελέγχου με τις οποίες μπορείτε να διερευνήσετε τις προσπάθειες εισβολής και τον αποτυχημένο έλεγχο ταυτότητας των χρηστών σας. Λαμβάνονται υπόψη και οι εννέα πολιτικές ασφαλείας που είναι υπεύθυνες για τον έλεγχο. Επίσης, χρησιμοποιώντας το παράδειγμα, μάθατε πώς λειτουργούν οι πολιτικές ελέγχου χρησιμοποιώντας την πολιτική "Έλεγχος συμβάντων σύνδεσης". Έγινε εξομοίωση της κατάστασης της μη εξουσιοδοτημένης εισόδου στον υπολογιστή ενός χρήστη και ακολούθησε έλεγχος του αρχείου καταγραφής ασφαλείας του συστήματος.

Οποιοσδήποτε διαχειριστής των Windows έχει αντιμετωπίσει μια κατάσταση όπου οι θυμωμένοι χρήστες θέλουν να μάθουν ποιος ακριβώς διέγραψε το πολύ σημαντικό αρχείο ετήσιας αναφοράς σε έναν κοινόχρηστο φάκελο σε έναν διακομιστή αρχείων. Αυτές οι πληροφορίες μπορούν να ληφθούν μόνο εάν ελέγξετε τη διαγραφή αρχείων και φακέλων στον διακομιστή αρχείων, διαφορετικά το μόνο που μένει είναι να επαναφέρετε το διαγραμμένο αρχείο από ένα αντίγραφο ασφαλείας (τα κάνετε ήδη;) και να σηκώσετε τα χέρια σας.

Όμως, ακόμη και με ενεργοποιημένο τον έλεγχο διαγραφής αρχείων, η εύρεση κάτι στα αρχεία καταγραφής μπορεί να είναι προβληματική. Πρώτον, είναι αρκετά δύσκολο να βρεθεί η επιθυμητή καταχώριση ανάμεσα σε χιλιάδες συμβάντα (τα Windows δεν διαθέτουν κανένα λογικό μέσο αναζήτησης για ένα συμβάν ενδιαφέροντος με δυνατότητα ευέλικτου φιλτραρίσματος) και δεύτερον, εάν το αρχείο έχει διαγραφεί εδώ και πολύ καιρό , αυτό το συμβάν μπορεί απλώς να μην βρίσκεται στο αρχείο καταγραφής, επειδή αντικαταστάθηκε από νεότερους.

Σε αυτό το άρθρο θα δείξουμε ένα παράδειγμα οργάνωσης χρησιμοποιώντας ενσωματωμένα εργαλεία των Windows συστήματα για τον έλεγχο της διαγραφής αρχείων και φακέλων σε έναν κοινόχρηστο κατάλογο δικτύου(διακομιστής αρχείων) με συμβάντα που καταγράφονται σε ξεχωριστή βάση δεδομένων MySQL.

Χάρη στην παρουσία μιας βάσης δεδομένων με πληροφορίες για όλα τα διαγραμμένα αρχεία, ο διαχειριστής θα μπορεί να απαντήσει στις ερωτήσεις:

• Ποιος διέγραψε το αρχείο και πότε;
• Από ποια εφαρμογή διαγράφηκε το αρχείο;
• Σε ποιο χρονικό σημείο πρέπει να επαναφέρετε το αντίγραφο ασφαλείας;

Πρώτα απ 'όλα, στον διακομιστή αρχείων των Windows πρέπει να ενεργοποιήσετε τον έλεγχο συμβάντων, ο οποίος διασφαλίζει ότι οι πληροφορίες σχετικά με τη διαγραφή αρχείων καταγράφονται στο αρχείο καταγραφής του συστήματος. Έχουμε ήδη συζητήσει αυτή τη διαδικασία στο άρθρο.

Ο έλεγχος μπορεί να ενεργοποιηθεί μέσω μιας γενικής πολιτικής Πρόσβαση αντικειμένου ελέγχουστην ενότητα πολιτικών Ρυθμίσεις ασφαλείας -> Τοπική πολιτική -> Πολιτική ελέγχου

Ή (κατά προτίμηση) μέσω GPO: Ρυθμίσεις ασφαλείας -> Προηγμένη ρύθμιση παραμέτρων πολιτικής ελέγχου -> Πρόσβαση αντικειμένου -> Σύστημα αρχείων ελέγχου.

Συμβουλή. Η διεξαγωγή ενός ελέγχου επιβάλλει πρόσθετο κόστος στους πόρους του συστήματος. Πρέπει να χρησιμοποιείται με προσοχή, ειδικά για διακομιστές αρχείων με μεγάλη φόρτωση.

Στις ιδιότητες του φακέλου κοινόχρηστου δικτύου (Ασφάλεια -> Για προχωρημένους -> Έλεγχος), διαγραφή αρχείων στα οποία θέλουμε να παρακολουθήσουμε, για την ομάδα Ολοιενεργοποιήστε τον έλεγχο συμβάντων διαγραφής φακέλων και αρχείων ( Διαγράφωυποφακέλουςκαιαρχεία).

Συμβουλή. Ο έλεγχος της διαγραφής αρχείου σε έναν συγκεκριμένο φάκελο μπορεί επίσης να ενεργοποιηθεί μέσω του PowerShell:

$Path = "D:\Public"
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete,DeleteSubdirectoriesAndFiles", "none", "none", "Success")
$Acl = Get-Acl -Διαδρομή $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

Όταν ένα αρχείο διαγραφεί επιτυχώς, εμφανίζεται ένα συμβάν Αναγνωριστικό συμβάντος στο αρχείο καταγραφής ασφαλείας του συστήματος 4663 από την πηγή Έλεγχος ασφαλείας των Microsoft Windows. Η περιγραφή του συμβάντος περιέχει πληροφορίες σχετικά με το όνομα του διαγραμμένου αρχείου, τον λογαριασμό με τον οποίο πραγματοποιήθηκε η διαγραφή και το όνομα της διαδικασίας.

Έτσι, τα συμβάντα που μας ενδιαφέρουν γράφονται στο αρχείο καταγραφής, ήρθε η ώρα να δημιουργήσουμε έναν πίνακα στον διακομιστή MySQL που θα αποτελείται από τα ακόλουθα πεδία:

• Ονομα διακομιστή
• Όνομα απομακρυσμένου αρχείου
• Χρόνος διαγραφής
• Το όνομα του χρήστη που διέγραψε το αρχείο

Το ερώτημα MySQL για τη δημιουργία ενός τέτοιου πίνακα θα μοιάζει με αυτό:

CREATE TABLE track_del (αναγνωριστικό INT NOT NULL AUTO_INCREMENT, διακομιστής VARCHAR(100), όνομα_αρχείου VARCHAR(255), dt_time DATETIME, όνομα_χρήστη VARCHAR(100), ΚΥΡΙΟ ΚΛΕΙΔΙ (ID));

Σενάριο για τη συλλογή πληροφοριών από το αρχείο καταγραφής συμβάντων. Φιλτράρουμε το αρχείο καταγραφής κατά ID συμβάντος 4663 για την τρέχουσα ημέρα

$event = $_.ToXml()
if ($event)
{




}
}

Το ακόλουθο σενάριο θα γράψει τα δεδομένα που λαμβάνονται στη βάση δεδομένων MySQL στον απομακρυσμένο διακομιστή:

$Connection.Open()
$sql = Νέο αντικείμενο MySql.Data.MySqlClient.MySqlCommand
$sql.Connection = $Σύνδεση
$σήμερα = ημερομηνία λήψης -Ημερομηνία DisplayHint -UΜορφοποίηση %Y-%m-%d
Get-WinEvent -FilterHashTable @(LogName="Security";starttime="$today";id=4663) | Για κάθε (
$event = $_.ToXml()
if ($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$File = $event.Event.EventData.Data."#text"

$File = $File.Replace('\','|')
$User = $event.Event.EventData.Data."#text"
$Computer = $event.Event.System.computer
$sql.CommandText = "INSERT INTO track_del (server,file_name,dt_time,user_name) VALUES ("$Computer","$File","$Time","$User")"
$sql.ExecuteNonQuery()
}
}
$Reader.Close()
$Connection.Close()

Τώρα, για να μάθετε ποιος διέγραψε το αρχείο " έγγραφο1 - Αντιγραφή.DOC", απλώς εκτελέστε το ακόλουθο σενάριο στην κονσόλα PowerShell.

$DeletedFile = "%document1 - Copy.DOC%"
Set-ExecutionPolicy RemoteSigned
Add-Type –Διαδρομή 'C:\Program Files (x86)\MySQL\MySQL Connector Net 6.9.8\Assemblies\v4.5\MySql.Data.dll"
$Connection = @(ConnectionString="server=10.7.7.13;uid=posh;pwd=P@ssw0rd;database=aduser")
$Connection.Open()
$MYSQLCommand = Νέο αντικείμενο MySql.Data.MySqlClient.MySqlCommand
$MYSQLDataAdapter = Νέο αντικείμενο MySql.Data.MySqlClient.MySqlDataAdapter
$MYSQLDataSet = Σύστημα νέου αντικειμένου.Data.DataSet
$MYSQLCommand.Connection=$Σύνδεση
$MYSQLCommand.CommandText="SELECT user_name,dt_time from track_del where file_name LIKE "$DeletedFile""
$MYSQLDataAdapter.SelectCommand=$MYSQLCommand
$NumberOfDataSets=$MYSQLDataAdapter.Fill($MYSQLDataSet, "δεδομένα")
foreach ($DataSet σε $MYSQLDataSet.tables)
{
write-host "User:" $DataSet.user_name "at:" $DataSet.dt_time
}
$Connection.Close()

Στην κονσόλα παίρνουμε το όνομα χρήστη και την ώρα διαγραφής του αρχείου.

Σημείωση. Επειδή Ανακαλύφθηκε ένα πρόβλημα: ο χαρακτήρας "\" δεν είναι γραμμένος στη βάση δεδομένων, τον αντικαταστήσαμε με "|". Αντίστοιχα, εάν πρέπει να καθορίσετε την πλήρη διαδρομή προς ένα αρχείο, όταν επιλέγετε από τη βάση δεδομένων, μπορείτε να εκτελέσετε μια αντίστροφη αντικατάσταση $DataSet.file_name.Replace('|','\'). Ευχαριστώ τον Alex Kornev για τη σημείωση!

Το σενάριο για την απόρριψη δεδομένων από το αρχείο καταγραφής στη βάση δεδομένων μπορεί να εκτελεστεί μία φορά στο τέλος της ημέρας σύμφωνα με τον προγραμματιστή ή να αντιστοιχιστεί στο συμβάν διαγραφής (), το οποίο είναι πιο εντατικό σε πόρους. Όλα εξαρτώνται από τις απαιτήσεις του συστήματος.

Συμβουλή.Πρέπει να βεβαιωθείτε ότι το αρχείο καταγραφής ασφαλείας είναι αρκετά μεγάλο ώστε να περιέχει όλα τα συμβάντα της ημέρας. Διαφορετικά, θα πρέπει να εκτελείτε εργασίες για να επαναφέρετε τα δεδομένα από το αρχείο καταγραφής στη βάση δεδομένων συχνότερα από μία φορά την ημέρα ή ακόμη και σε έναν κανόνα. Για σταθμό εργασίας Μέγιστο μέγεθος αρχείου καταγραφήςκατά κανόνα, αξίζει να ρυθμίσετε τουλάχιστον 64 MB, στα βόρεια - 262 Mb. Αφήστε ενεργοποιημένη την επιλογή αντικατάστασης ( Αντικαταστήστε τα συμβάντα όπως απαιτείται).

Εάν το επιθυμείτε, κατ' αναλογία, μπορείτε να αντιδράσετε σε μια απλή ιστοσελίδα σε PHP για να λάβετε πληροφορίες σχετικά με τους ενόχους της διαγραφής αρχείου σε μια πιο βολική μορφή. Το πρόβλημα μπορεί να λυθεί από οποιονδήποτε προγραμματιστή PHP σε 1-2 ώρες.

Σημαντική συμβουλή. Εάν υπάρχουν πληροφορίες στο αρχείο καταγραφής σχετικά με τη διαγραφή ενός αρχείου από έναν χρήστη, μην βιαστείτε να το ερμηνεύσετε ξεκάθαρα ως σκόπιμη ή ακόμη και κακόβουλη. Πολλά προγράμματα (ειδικά τα προγράμματα του MS Office είναι ένοχα για αυτό), κατά την αποθήκευση δεδομένων, δημιουργήστε πρώτα ένα προσωρινό αρχείο, αποθηκεύστε το έγγραφο σε αυτό και διαγράψτε την παλιά έκδοση του αρχείου. Σε αυτήν την περίπτωση, είναι λογικό να καταγράψετε επιπλέον στη βάση δεδομένων το όνομα της διαδικασίας που διέγραψε το αρχείο (το πεδίο Όνομα διεργασίας του συμβάντος) και να αναλύσετε τη διαγραφή του αρχείου λαμβάνοντας υπόψη αυτό το γεγονός. Ή να φιλτράρει εντελώς ριζικά τα συμβάντα από τέτοιες διαδικασίες σκουπιδιών, για παράδειγμα, winword.exe, excel.exe κ.λπ.

Έτσι, έχουμε προτείνει μια ιδέα και ένα συγκεκριμένο γενικό πλαίσιο για ένα σύστημα ελέγχου και αποθήκευσης πληροφοριών σχετικά με απομακρυσμένα αρχεία σε κοινόχρηστα στοιχεία δικτύου, εάν το επιθυμείτε, μπορεί εύκολα να τροποποιηθεί για να ταιριάζει στις ανάγκες σας.

Στόχος της εργασίας:Αποκτήστε πρακτικές δεξιότητες όταν εργάζεστε με ελεγκτική πρόσβαση σε πόρους.

Φόρτο εργασίας:

Έλεγχος εκδήλωσης.

Επιλογές ελέγχου για αντικείμενα.

Επιλογή αντικειμένων για εφαρμογή στοιχείων ελέγχου.

Ο αντίκτυπος της κληρονομικότητας στον έλεγχο αρχείων και φακέλων.

Δείτε το αρχείο καταγραφής συμβάντων.

Θεωρητικές πληροφορίες. Έλεγχος: επισκόπηση

Ελεγχος– παρακολούθηση ενεργειών χρήστη καταγράφοντας ορισμένους τύπους συμβάντων στο αρχείο καταγραφής ασφαλείας διακομιστή ή σταθμού εργασίας.

Ο έλεγχος συγκεκριμένων υπολογιστών, χρηστών και συμβάντων λειτουργικού συστήματος είναι απαραίτητο μέρος της διαχείρισης του δικτύου. Η ρύθμιση παραμέτρων ελέγχου είναι δυνατή στο παράθυρο ιδιοτήτων για αρχεία, φακέλους, κοινόχρηστους φακέλους, εκτυπωτές και αντικείμενα υπηρεσίας καταλόγου Active Directory. Ο έλεγχος σάς επιτρέπει να παρακολουθείτε και να καταγράφετε συμβάντα ασφαλείας, όπως οι προσπάθειες των χρηστών να αποκτήσουν πρόσβαση σε προστατευμένα αρχεία και φακέλους. Αφού ενεργοποιήσετε τον έλεγχο, οι εγγραφές εγγράφονται στο αρχείο καταγραφής ασφαλείας των Windows 2000 κάθε φορά που γίνεται προσπάθεια πρόσβασης σε αυτό το αντικείμενο. Αυτό καθορίζει τι ελέγχεται, τις δραστηριότητες που ελέγχονται και τους ακριβείς τύπους δραστηριοτήτων που θα ελεγχθούν. Μόλις εγκατασταθεί ο έλεγχος, μπορείτε να παρακολουθείτε την πρόσβαση των χρηστών σε ορισμένα αντικείμενα και να αναλύετε τα κενά ασφαλείας. Τα αρχεία ελέγχου δείχνουν ποιος πραγματοποίησε ενέργειες και ποιος επιχείρησε να εκτελέσει μη εξουσιοδοτημένες ενέργειες.

Επιλέξτε στόχους ελέγχου και προβάλετε αρχεία καταγραφής συμβάντων για να παρακολουθείτε μοτίβα χρήσης, ζητήματα ασφάλειας και τάσεις κυκλοφορίας δικτύου. Αλλά αντισταθείτε στον πειρασμό να ελέγξετε τα πάντα. Όσο περισσότερο είναι ενεργοποιημένος ο έλεγχος συμβάντων, τόσο μεγαλύτερα γίνονται τα αρχεία καταγραφής. Η διέλευση από τεράστια αρχεία καταγραφής συμβάντων είναι σκληρή δουλειά και τελικά γίνεται βαρετή. Επομένως, είναι σημαντικό να σχεδιάσετε μια πολιτική ελέγχου που θα προστατεύει το δίκτυό σας χωρίς να επιβαρύνει αδικαιολόγητα τον διαχειριστή. Επιπλέον, θα πρέπει να θυμόμαστε ότι κάθε γεγονός που περιλαμβάνεται στον έλεγχο οδηγεί σε αύξηση του μη παραγωγικού φορτίου στο σύστημα.

Έλεγχος εκδήλωσης.

Κάθε γεγονός που περιλαμβάνεται σε έναν έλεγχο πάντα σας λέει κάτι, αλλά δεν είναι πάντα αυτό που θέλετε. Για παράδειγμα, ο έλεγχος επιτυχημένων συνδέσεων και αποσύνδεσης μπορεί να αποκαλύψει τη χρήση κλεμμένου κωδικού πρόσβασης ή μπορεί απλώς να παρέχει ατελείωτες σελίδες που δείχνουν σωστά εξουσιοδοτημένους χρήστες που συνδέονται και αποχωρούν από το σύστημα. Ωστόσο, ο έλεγχος των αποτυχημένων συνδέσεων είναι σαφώς χρήσιμος εάν ένας χάκερ προσπαθεί να μαντέψει τον κωδικό πρόσβασης τυχαία.

Η ρύθμιση παραμέτρων ελέγχου είναι δυνατή μόνο για αρχεία και φακέλους που βρίσκονται σε δίσκο που χρησιμοποιεί το σύστημα αρχείων NTFS.

εκδηλώσεις	Περιγραφή
Έλεγχος σύνδεσης στο σύστημα	Ενεργοποιείται όταν ένας ελεγκτής τομέα λαμβάνει ένα αίτημα σύνδεσης.
Έλεγχος πρόσβασης σε αντικείμενα	Πυροδοτείται όταν γίνεται πρόσβαση σε ένα αντικείμενο.
Έλεγχος πρόσβασης στην υπηρεσία καταλόγου	Ενεργοποιείται όταν γίνεται πρόσβαση σε ένα αντικείμενο Active Directory.
Αλλαγή ελέγχου πολιτικοί	Ενεργοποιείται όταν συμβαίνει μια τροποποίηση πολιτικής που επηρεάζει την ασφάλεια, τα δικαιώματα χρήστη ή τον έλεγχο.
χρήση προνόμια	Ενεργοποιείται όταν ένα δικαίωμα χρήστη χρησιμοποιείται για την εκτέλεση μιας λειτουργίας.
παρακολούθησης διαδικασίες	Ενεργοποιείται όταν η εφαρμογή εκτελεί μια λειτουργία για την οποία έχει ξεκινήσει η παρακολούθηση.
Έλεγχος συμβάντων συστήματος	Ενεργοποιείται κατά την επανεκκίνηση ή τον τερματισμό λειτουργίας του υπολογιστή ή όταν συμβαίνει κάποιο άλλο συμβάν που επηρεάζει την ασφάλεια του συστήματος.
Έλεγχος συμβάντων σύνδεσης	Ενεργοποιείται όταν ο χρήστης συνδέεται ή αποχωρεί από το σύστημα.
διαχείριση λογιστική εγγραφές	Ενεργοποιείται όταν δημιουργείται ή τροποποιείται ένας λογαριασμός χρήστη ή ομάδα.

Γεια σε όλους!

Συνεχίζουμε να δημοσιεύουμε φύλλα εξαπάτησης σχετικά με τη ρύθμιση ελέγχων διαφόρων συστημάτων, την τελευταία φορά που μιλήσαμε για το AD habrahabr.ru/company/netwrix/blog/140569, σήμερα θα συζητήσουμε τους διακομιστές αρχείων. Πρέπει να πούμε ότι τις περισσότερες φορές πραγματοποιούμε ρυθμίσεις ελέγχου για διακομιστές αρχείων - κατά τη διάρκεια πιλοτικών εγκαταστάσεων με πελάτες. Δεν υπάρχει τίποτα περίπλοκο σε αυτό το έργο, μόνο τρία απλά βήματα:

• Ρύθμιση ελέγχου σε κοινόχρηστα αρχεία
• Διαμόρφωση και εφαρμογή γενικών και λεπτομερών πολιτικών ελέγχου
• Αλλαγή ρυθμίσεων αρχείου καταγραφής συμβάντων

Εάν διαθέτετε μεγάλο αριθμό κοινόχρηστων αρχείων, στα οποία η πρόσβαση απαιτείται συχνά από τους υπαλλήλους, συνιστούμε να παρακολουθείτε μόνο τις αλλαγές σε ελεγμένα αντικείμενα. Η παρακολούθηση όλων των συμβάντων μπορεί να οδηγήσει σε μεγάλο αριθμό περιττών δεδομένων στα αρχεία καταγραφής που δεν είναι ιδιαίτερα σημαντικό.

Ρύθμιση ελέγχου σε πόρους αρχείων

Καθιέρωση μιας γενικής πολιτικής ελέγχου

Για να παρακολουθείτε τις αλλαγές στον διακομιστή αρχείων, πρέπει να διαμορφώσετε μια πολιτική ελέγχου. Προτού ρυθμίσετε μια πολιτική, βεβαιωθείτε ότι ο λογαριασμός σας είναι μέλος της ομάδας διαχειριστών ή ότι έχετε δικαιώματα διαχείρισης ελέγχου και καταγραφής συμβάντων στο συμπληρωματικό πρόγραμμα Πολιτικής ομάδας.

Καθορισμός λεπτομερούς πολιτικής ελέγχου

Ρύθμιση αρχείων καταγραφής συμβάντων

Για να ελέγχετε αποτελεσματικά τις αλλαγές, είναι απαραίτητο να διαμορφώσετε τα αρχεία καταγραφής συμβάντων, δηλαδή να ορίσετε το μέγιστο μέγεθος αρχείου καταγραφής. Εάν το μέγεθος είναι ανεπαρκές, τα συμβάντα ενδέχεται να αντικατασταθούν πριν φτάσουν στη βάση δεδομένων που χρησιμοποιείται από την εφαρμογή ελέγχου αλλαγών.

Τέλος, θα θέλαμε να σας προσφέρουμε ένα σενάριο που χρησιμοποιούμε οι ίδιοι κατά τη ρύθμιση του ελέγχου σε διακομιστές αρχείων. Το σενάριο ρυθμίζει τον έλεγχο σε όλα τα κοινόχρηστα στοιχεία για κάθε υπολογιστή σε ένα δεδομένο OU. Με αυτόν τον τρόπο, δεν χρειάζεται να ενεργοποιήσετε μη αυτόματα τις ρυθμίσεις σε κάθε κοινόχρηστο αρχείο.

Πριν εκτελέσετε το σενάριο, πρέπει να επεξεργαστείτε τη γραμμή 19 - εισαγάγετε τις απαιτούμενες τιμές αντί για "your_ou_name" και "your_domain". Το σενάριο πρέπει να εκτελεστεί σε λογαριασμό που έχει δικαιώματα διαχειριστή τομέα.

Μπορείτε να λάβετε το σενάριο στη γνωσιακή μας βάση ή να αποθηκεύσετε το ακόλουθο κείμενο στο αρχείο .ps1:

#import-module activedirectory #$path = $args; # \\fileserver\share\folder $account = "Όλοι" # $args; $flavor = "Επιτυχία,Αποτυχία" #$args; $flags = " ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership " $inheritance = "ContainerInherit, ObjectInherit" "N-FaceInherit" "$oneearch" =Computer = your_ou_name,DC=your_domain,DC=your_domain" | select -exp DNSHostName foreach ($comp σε $comps) ( $shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 AND name like "%[^$]" | select -exp name foreach ( $share σε $shares) ( $path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Access,Audit") $ace = νέο-αντικείμενο System.Security.AccessControl.FileSystemAuditRule($account, $flags, $inheritance, $propagation, $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ) )