Audit speciálních skupin ve Windows Vista a Windows Server 2008
Ve Windows Vista a Server 2008 byla zavedena nová funkce, umožnující monitorovat prihlášení uživatele – clena nekteré sledované skupiny, na zvoleném pocítaci. Tato funkce (Special Groups) používá záznam v Registry, jde o seznam identifikátoru SID sledovaných skupin. Událost je zaznamenána, pokud jsou splneny následující podmínky:
- nekterý z identifikátoru SID sledovaných skupin byl pridán do prístupového tokenu uživatele, který se práve prihlásil. (Prístupový token obsahuje bezpecnostní informace pro prihlášení – identifikuje uživatele, jeho clenství ve skupinách a oprávnení.)
- Audit je nastaven tak, že je povolena kategorie Special Logon.
Identifikátory SID zjistíme napríklad pomocí nástroje PsGetSid, nebo jiným zpusobem. Napríklad príkazem whoami /groups získáme výpis skupin vcetne identifikátoru SID podle clenství práve prihlášeného uživatele:
Group Name Type SID Attributes
====================================== ================ ============================================= ==================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
SIN\Domain Admins Group S-1-5-21-3904952036-1413160497-612250345-512 Mandatory group, Enabled by default, Enabled group
SIN\Enterprise Admins Group S-1-5-21-3904952036-1413160497-612250345-519 Group used for deny only
Mandatory Label\Medium Mandatory Level Unknown SID type S-1-16-8192 Group used for deny only
Záznam v Registry vytvoríme pro skupiny Administrators – lokální skupina, doménové skupiny SIN\Domain Admins a SIN\Enterprise Admins následujícím zpusobem:
- Spustíme Regedit
- Vyhledáme klíc HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit
- Vytvoríme novou položku – Edit | New | String Value.
- Jméno položky je SpecialGroups, v poli Value data uvedemeidentifikátory SID skupin, v našem príkladu to jsou S-1-5-32-544;S-1-5-21-3904952036-1413160497-612250345-512;S-1-5-21-3904952036-1413160497-612250345-519. Jako oddelovac používáme stredník:
Nejsou uvádena žádná omezení poctu SID, které mužete zaznamenat v této položce. Kontrolujeme podmínku nastavení kategorie auditu, zajímá nás kategorie Special Logon
C:\Windows\system32>auditpol /get /category:* | find /i "special logon" Special Logon Success
Jakmile se prihlásí clen nekteré sledované skupiny, je v protokolu Security Log zaznamenána událost 4964:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2.7.2009 14:28:58
Event ID: 4964
Task Category: Special Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: FAMULO.sin.cz
Description:
Special groups have been assigned to a new logon.
Subject:
Security ID: SYSTEM
Account Name: FAMULO$
Account Domain: SIN
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
New Logon:
Security ID: SIN\dcadmin
Account Name: dcadmin
Account Domain: SIN
Logon ID: 0x2b15ab
Logon GUID: {df9e79ad-2e42-74b2-1cd6-04b0395035d4}
Special Groups Assigned:
SIN\Domain Admins
SIN\Enterprise Admins
(Viz clánek 947223 – Description of the Special Groups feature in Windows Vista and in Windows Server 2008 )
Znacky Technorati: audit,windows 2008,vista