Thursday, July 02, 2009 2:48 PM
StandaJ
Audit speciálních skupin ve Windows Vista a Windows Server 2008
Ve Windows Vista a Server 2008 byla zavedena nová funkce, umožňující monitorovat přihlášení uživatele – člena některé sledované skupiny, na zvoleném počítači. Tato funkce (Special Groups) používá záznam v Registry, jde o seznam identifikátorů SID sledovaných skupin. Událost je zaznamenána, pokud jsou splněny následující podmínky:
- některý z identifikátorů SID sledovaných skupin byl přidán do přístupového tokenu uživatele, který se právě přihlásil. (Přístupový token obsahuje bezpečnostní informace pro přihlášení – identifikuje uživatele, jeho členství ve skupinách a oprávnění.)
- Audit je nastaven tak, že je povolena kategorie Special Logon.
Identifikátory SID zjistíme například pomocí nástroje PsGetSid, nebo jiným způsobem. Například příkazem whoami /groups získáme výpis skupin včetně identifikátorů SID podle členství právě přihlášeného uživatele:
Group Name Type SID Attributes
====================================== ================ ============================================= ==================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
SIN\Domain Admins Group S-1-5-21-3904952036-1413160497-612250345-512 Mandatory group, Enabled by default, Enabled group
SIN\Enterprise Admins Group S-1-5-21-3904952036-1413160497-612250345-519 Group used for deny only
Mandatory Label\Medium Mandatory Level Unknown SID type S-1-16-8192 Group used for deny only
Záznam v Registry vytvoříme pro skupiny Administrators – lokální skupina, doménové skupiny SIN\Domain Admins a SIN\Enterprise Admins následujícím způsobem:
- Spustíme Regedit
- Vyhledáme klíč HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit
- Vytvoříme novou položku – Edit | New | String Value.
- Jméno položky je SpecialGroups, v poli Value data uvedeme identifikátory SID skupin, v našem příkladu to jsou S-1-5-32-544;S-1-5-21-3904952036-1413160497-612250345-512;S-1-5-21-3904952036-1413160497-612250345-519. Jako oddělovač používáme středník:
Nejsou uváděna žádná omezení počtu SID, které můžete zaznamenat v této položce. Kontrolujeme podmínku nastavení kategorie auditu, zajímá nás kategorie Special Logon
C:\Windows\system32>auditpol /get /category:* | find /i "special logon"
Special Logon Success
Jakmile se přihlásí člen některé sledované skupiny, je v protokolu Security Log zaznamenána událost 4964:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2.7.2009 14:28:58
Event ID: 4964
Task Category: Special Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: FAMULO.sin.cz
Description:
Special groups have been assigned to a new logon.
Subject:
Security ID: SYSTEM
Account Name: FAMULO$
Account Domain: SIN
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}
New Logon:
Security ID: SIN\dcadmin
Account Name: dcadmin
Account Domain: SIN
Logon ID: 0x2b15ab
Logon GUID: {df9e79ad-2e42-74b2-1cd6-04b0395035d4}
Special Groups Assigned:
SIN\Domain Admins
SIN\Enterprise Admins
(Viz článek 947223 – Description of the Special Groups feature in Windows Vista and in Windows Server 2008)
