Windows Server 2008 / Vista - Security Auditing

Pri zkoumání možností nastavení kategorií a podkategorií auditu na systémech Vista a Server 2008 jsem narazil na následující clánky, které mohou pomoci pri úvahách, jakým zpusobem audit v techto systémech nastavit. Nevhodné nastavení muže generovat zbytecne velký pocet zapisovaných událostí. Audit konfigurujeme z príkazové rádky príkazem AuditPol. Aktuální nastavení auditu na systému si zobrazíme (jako Administrátor) príkazem /get:

auditpol /get /category:*

 Zmenu auditu konkrétní podkategorie dosáhneme príkazem /set:

auditpol /set /subcategory:"Registry" /success:enable
auditpol /set /subcategory:"Directory Service Changes" /success:enable

širší souvislosti a príklady použití dobre popisuje clánek Magazínu Technetu Auditing and Compliance in Windows Server 2008 (Rob Campbell and Joel Yoker)

Clánek zamerený na audit zmen objektu Active Directory s podrobnými príklady - audit zaznamená nejen kdo zmenu provedl, ale i puvodní a novou hodnotu zmeneného atributu: AD DS Auditing Step-by-Step Guide (This guide includes a description of the new Active Directory® Domain Services (AD DS) auditing feature in Windows Server® 2008. It also provides procedures to implement this new feature.)

No a konecne použití zásad skupiny - group policy - k detailnímu nastavení auditu popisuje clánek KB 921469 - je dostupný i v ceštine: Použití zásad skupiny ke konfiguraci podrobného auditu zabezpecení pro pocítace se systémy Windows Vista a Windows Server 2008 v doméne systému Windows Server 2008, Windows Server 2003 nebo Windows 2000.

Aktualizace 8. 1. 2009: Eric Fitzgerald se zabývá "ladením" auditu (prístup k objektum) ve svém clánku Minimizing Directory Service Audit Event Noise.