Group Plocy و Auditing در ویندوز سرور
در این مقاله به معرفی و آشنایی Group Plocy و Auditing در ویندوز سرور میپردازیم.
در این جلسه درباره ی Group Policy صحبت خواهیم کرد. شما به واسطه ی Group Policy میتوانید سیاست های مدیریتی و امنیتی را اعمال کنید. با gpedit.msc وارد کنسول آن میشویم. یا میتوانیم با MMC بیاییم snap in آن را Add بکنیم. به این کنسول، Local Group Policy گفته میشود. یعنی به صورت Local به یک کامپیوتر اعمال میشود. در محیط دومین ما Active Directory Group Policy داریم. ما همین Group Policy ای که در Local Group Policy داریم را هم در Active Directory Group Policy داریم که به میتواند به تمام کامپیوترهای دومین اعمال شود. با gpedit.msc وارد Local Group Policy میشویم:
یک کنسول دیگر داریم به صورت زیر:
که مخفف Security Policy است که کنسول آن به صورت زیر است:
بخش های امنیتی Local Group Policy در اینجا هم هست و secpol چیزی اضافه تر از gpedit ندارد و بخشی از آن است. Icon هم دارد:
ولی برای gpedit در بالا پنجره ای نداریم.
Group Policy دو بخش دارد:
– تنظیمات Computer Configuration
– تنظیمات User Configuration
طبیعتا Policy های مدیریتی و امنیتی ای که قرار است به User ها اعمال شود در User Configuration است و Policy های مدیریتی و امنیتی ای که به صورت کلی به این OS قرار است اعمال شود فارغ از اینکه با چه User ای لاگین کرده باشد در قسمت Computer Configuration قرار دارد.
تنظیمات User Configuration به تمام User های روی یک کامپیوتر اعمال میشود. تنظیمات Computer Configuration هم به OS سیستم اعمال میشود. یعنی نمیتوانیم بگوییم علی اگر روی این کامپیوتر لاگین کرد این Policy ها بهش اعمال شود و رضا لاگین کرد یک policy دیگر به آن اعمال شود. یه همچین چیزی در حالت WorkGroup امکان پذیر نیست.
برای مثال Password Policy در dreil down زیر است:
اگر یک user پسوردش را چندبار اشتباه وارد کند سیستم اکانتش را lock میکند (Disable نمیکند، disable کردن با lock کردن فرق دارد). مادامی که اکانت Lock شده است، حتی اگر کاربر واقعی هم بیاید و پسورد درست را وارد بکند باز هم پسورد Lock است. در پنجره ی بالا میتوانیم کانفیگ کنیم که چندبار کاربر پسورد غلط زد اکانت lock شود (Account Lockout Policy). Account Lockout Duration میگوید وقتی اکانت lock شد چقدر lock بماند. اگر این عدد را صفر بگذاریم یعنی اکانت Lock شده دیگه در یک Gap یا Period زمانی Automatically از Lock خارج نشود و همیشه Lock بماند تا زمانی که ادمین بیاد دستی از حالت Lock خارجش کند.
گزینه سوم Reset Account lockout counter after است. برای مثال threshold روی 3 است. یعنی کاربر تا 3 بار میتواند پسورد غلط وارد کند و بار چهارم Lock میشود (اگر این عدد روی صفر تنظیم شود یعنی اکانت هیچوقت lock نشود که اصلا نباید اینطور باشد). حالا اگر کاربر یکبار پسورد اشتباه بزند counter میشود 1، اگر برای بار دوم اشتباه بزند counter آن میشود 2. حالا این گزینه میگوید اگر بین بار دوم و بار سوم مثلا 30 دقیقه صبر کرد دوست داری گناه های قبلیش رو ببخشیم؟ یعنی Counter دوباره به 1 برگردد و از اول بشمرد.
تنظیم گزینه های Account Settings Group Ploicy :
Threshold روی 3 باشد، Duration روی 1440 دقیقه باشد (24 ساعت)، یعنی سه بار غلط زد یک روز Lock اش کن. مگر اینکه بین بار سوم و چهارم (حالا هرچقدر که Threshold هست) 700 دقیقه طرف وایستاد. یعنی counter را روی 700 دقیقه میگذاریم یعنی نصفه روز وایسته.
ما یک بخش مهم داریم به نام Audit Policy:
Auditing در معنی لغوی یعنی ممیزی کردن. حالا Audit Policy یعنی چی؟ برای مثال تصور کنید ما یک شیء ارزشمند در یک اتاق داریم و انواع و اقسام Protection را برایش گذاشتیم اما بالاخره آن را میدزدند. چه طوری پیدا کنیم کار کی بوده؟ مثلا با دوربین.
ما در ویندوز یه چیزی شبیه همین دوربین مدار بسته داریم که بهش میگن Audit Policy. شما با استفاده از Audit policy میتوانید بگویید سیستم روی بخش های مختلف که ما مشخص میکنیم یک نظارت لحظه ای داشته باشد و در صورتی که کسی به یک Resource ای دسترسی پیدا کرد و موفقیت آمیز بود یا خواست دسترسی پیدا بکند اما نتوانست آن را ثبت بکند و Log آن را به ما بدهد. حالا به ترتیب همه را توضیح میدهیم. |
Audit Account Logon Event:
تمامی event هایی که مربوط به login کاربر را ثبت میکند. حالا login کاربر میتواند موفق باشد میتواند ناموفق باشد. روی این گزینه در صورتی که کلیک راست کنید و Properties بگیرید میتوانید مشخص کنید لاگین هایی که موفق بود یا نا موفق بود یا هردو ثبت میشود.
سوال اینجاست که Log ها کجا ثبت میشود؟ ما در ویندوز یک کنسولی داریم به نام event viewer .
اون بخش هایی که ما میخواهیم ببنیم Windows Log است که در آن سه section مهم داریم.
تمامی Log های مربوط به Auditing در بخش Security قابل رویت است (هر نوع Log ای که به امنیت برمیگردد). کلیه Log هایی که مربوط به OS است در بخش System ثبت میشود. مثلا یک سرویس را خواستیم Run کنیم و نشد، یک درایور زمان اجرا شدنش fail شد. تمامی Log هایی هم که مربوط به Application های کاربردی است (مثلا زمان کار با فتوشاپ یه مشکلی در نرم افزار پیش می آید). میتوانیم بیاییم ببینیم مشکل نرم افزار چی بوده که به مشکل خورده و TroubleShooting میکنیم.
برای مثال در Log زیر نوشته شده که Administrator از پای چه کامپیوتری log های سیستم را پاک کرده است:
با Command زیر میتوانیم وارد Event Viewer بشویم:
Eventvwr.msc
به تصویر log زیر نگاه کنید:
اونایی که به عکس کلید است یعنی کار موفقیت آمیز بوده و اونایی که به شکل قفل است یعنی طرف خواسته کاری بکنه و نتونسته. برای مثال Log زیر برای یک Logon ناموفق بوده :
که میگه Ali روی این کامپیوتر با این اسم میخواسته لاگین کنه که نتونسته.
اون Process ای که فرآیند login را انجام میدهد winlogon.exe است.
تمام فرآیندهایی که توسط Auditing ، Log میشود به صورت لحظه به لحظه است و به این شکل نیست که یک کاری انجام بشود و آخرش بگوید این کار شده (1- علی رفت آب خورد 2- علی بلند شد، رفت کنار یخچال، درب یخچالو باز کرد، آب خورد) فرایند مانند حالت دوم مثال است. هر کدام از مراحل در یک Log جداگانه ثبت میشود. یعنی ممکن است برای یک logon ناموفق چندین log تولید شود. به همین دلیل حجم log تولیدی بسیار زیاد است و با چشم بررسی کردن این log ها کار سختی است. امروزه نرم افزارهایی که کارشون Log خوندن است را استفاده میکنیم که Log Analyzer نام دارند. مثلا میگوید توی سه ماه گذشته چقدر logon ناموفق داشتیم و چه کسانی logon ناموفق داشتند.
- نکته: Audit Policy جزء تنظیمات امنیتی محسوب میشود و در کنسول msc هم هست.
- Audit Account Management:
هرکسی که بتواند Account Managenet ای را انجام بدهد یا بخواهد انجام دهد و نتواند در اینجا ثبت میشود.
- Audit Directory Service Access:
اگر کسی به سرویس Active Directory دسترسی پیدا کند در اینجا ثبت میشود. در اینجا منظور از directory، اکتیو دایرکتوری است.
- Audit logon events:
فرق این گزینه با گزینه ی اول که Audit account logon event بود در چیست؟
دو کامپیوتر A و B را تصور کنید. با علی روی A لاگین میکنیم. وقتی میشینیم پشت یک سیستم و Interactively log-in میکنیم میشود گزینه اول. یعنی اگر میخواهید Audit لاگین های interactively را ببینید باید گزینه اول را ببینید. اما با یک User دیگر از روی A میخواهیم روی کامپیوتر B لاگین کنیم. به این صورت که مثلا دوتا بک اسلش میزنیم و IP ی B را میزنیم و اونم یه باکس باز میکنه که Username و Password را بزن. این کار یعنی داریم روی آن سیستم لاگین میکنیم ولی Interactively logon نیستیم. این نوع لاگین ها در این گزینه ثبت میشود. در این مورد ممکن است کلی لاگین ناموفق مربوط به SSPI logon ثبت شده باشد (credential خودش را میفرستد اول بعد اگر نشد به شما میگوید credential را وارد کنید).
نکته: پروتکل Authentication در حالت Workgroup، NTLM است (از پای یک کامپیوتر دوتا بک اسلش میزنید به یک Pc دیگر وصل میشوید).
Audit Privilege use:
در یک سیستم فقط Administrator هست که حق هرکاری را دارد. هرکسی بتواند از حقوق ادمین استفاده کند میشود privilege use. مثلا کاربر عادی حق عوض کردن تایم را ندارد ولی اگر این حق را بهش بدهیم میشود privilege use.
Audit System event:
یعنی دسترسی به event ها چه موفق باشد چه ناموفق.
Audit process tracking:
مربوط به programmer هاست.
Audit Object Access:
برای مثال ما میخواهیم ببینیم چه کسی میاد فایل ها را پاک میکند؟ یک فایل نا مربوطی را در در File Server گذاشتند، میخواهیم ببینیم چه کسی گذاشته؟ یک فایلی Edit شده داخلش، میخواهیم ببینیم کار کی بوده؟ هرچیزی که تغییر میکند در اینجا ثبت میشود.
Object Access از حالت هایی است که Configuration آن دو تیکه ای است. Object هرچیزی میتواند باشد (فایل، فولدر، یک object در اکتیو دایرکتوری و …). شما ابتدا Object Access را از اینجا Success یا Failure بودنش را فعال میکنید،بعد میروید روی آن object ای که مورد نظرتان است (زیرا صدها فایل و فولدر و object های دیگر وجود دارد و نباید روی همه فعال باشد زیرا تا یک حجمی لاگ ها را میتوان ثبت کرد و اگر بخواهد اونقدر زیاد باشد که هارد را پرد بکند سیستم به Blue page مواجه میشود و یک تنظیم امنیتی به یک نا امنی تبدیل میشود) آن را فعال میکنید. لاگ در صورتی ثبت خواهد شد که هر دومرحله انجام شود. به این صورت که اول باید قابلیت را از این منو فعال کنیم و سپس بریم روی object مورد نظر بگوییم که میخواهیم این را حواست بهش باشد.
خب حالا نشان میدهیم که چطور میشود از آن استفاده کرد:
ابتدا این ویژگی را از منوی Audit object access فعال میکنیم:
بهترین حالت این است که در اینجا هم success را در نظر بگیریم هم failure آن را. بعد روی هر object ای که میخواهیم بگوییم حالا تو فقط success یا failure را حواست باشه. بعد به object مورد نظر که در اینجا برای مثال یک فولدر است میرویم:
روی Add کلیک میکنیم:
برای مثال اینجا میتوانیم بگوییم اگر این گروه ها یا User ها آمدند خواستند دسترسی پیدا کنند log بگیر.
از set principal ، User یا گروه ای که میخواهیم را مشخص میکنیم و خواست چی کار کنه لاگ بگیریم:
برای مثال میگوییم اگر Authenticated User خواست چیزی را پاک کند و عملش هم موفقیت آمیز بود لاگ بگیر:
ضمنا میگوییم اگر Authenticated user خواست write کند و فقط فولدر درست کند اونم لاگ بگیر:
نکته: میخواهیم Event Viewer را با دسترسی ادمین باز کنیم:
همه ی این لاگ ها در بخش security ئه event viewer ثبت میشود. برای مثال ما یک فایل را پاک کردیم. به لاگ های آن مراجعه میکنیم و برای اینکه آن را پیدا کنیم اسم فایل را Find میکنیم:
در اینجا gpedit قسمت auditing را میبندیم.
امیدوتریم با خواندن این مقاله Group Plocy و Auditing در ویندوز سرور را به درستی یاد گرفته باشید.
Group Plocy و Auditing در ویندوز سرور نویسنده : مهندس محمد آجورلو
دیدگاهها