我需要在 Microsoft Windows 网络环境中实施变更控制和审计。我的问题是关于审计方法,或者更好的是审计对网络环境所做的更改。这从所有 Active Directory 更改开始。我还想将其扩展到网络设备(例如防火墙、路由器、交换机)和服务器。
通过对网络变化的自动审核,我们可以验证已提交的变更控制及其准确性。
您对在这个领域表现出色的软件有什么建议吗?
答案1
对于 Active Directory 部分,您可能需要了解一个功能/方面。
Windows 2008 引入了审核对象创建、删除、移动和修改的功能。信息包括执行可审核事件的人员以及对象的 DN。在修改的情况下,会记录两个事件,这实际上为您提供了当前值和以前的值。
使用以下命令在 DC 上启用此功能:
auditpol /set /subcategory:"directory service changes" /success:enable
您还需要在 AD 用户和计算机中启用成功审核,通常在域级别。
当您将其与事件日志转发相结合时,结果将是非常强大和方便的功能。例如,我们配置我们的 dc 将事件 ID 5136-5139,5141 转发到中央实用程序服务器上的“转发事件”事件日志。
一个简单的从收集服务器到 DC 的拉取订阅,使用高度选择性的 XPath 查询来过滤噪音,可以轻松地将您所需的内容带到一个位置,在那里可以存档、报告或导入到另一个报告系统。以下是此类查询的示例:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[( (EventID >= 5136 and EventID <= 5139) or EventID=5141) and TimeCreated[timediff(@SystemTime) <= 3600000]]]</Select>
<Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress>
</Query>
</QueryList>
需要配置一些内容才能使订阅正常工作。有些可以在组策略中完成。
更多信息:
AD DS 审核分步指南
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx
配置计算机以转发和收集事件
http://technet.microsoft.com/en-us/library/cc748890.aspx
适用于 Windows 的快速而粗略的大型事件
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx
答案2
我听说过绊线,尽管我从来没有接触过它。