1. дома
  2. Вопрос и ответ
  3. В ActiveDirectory, как события аудита безопасности передаются в журнал событий контроллера домена? Как механизм масштабируется?

В ActiveDirectory, как события аудита безопасности передаются в журнал событий контроллера домена? Как механизм масштабируется?

2016-10-18 11 views
5

В многодоменном режиме я хочу собирать события аудита доступа к файлам безопасности в центральном месте.В ActiveDirectory, как события аудита безопасности передаются в журнал событий контроллера домена? Как механизм масштабируется?

В ActiveDirectory можно включить аудит доступа к файлам в контроллере домена, создав объект групповой политики. Кроме того, на другом компьютере с файловым сервером, который является членом одного из доменов, SACL должен быть настроен на объекты файловой системы, которые я хочу пройти аудит (и которые включены в общий сетевой ресурс).

После этого события доступа к файлу записываются и как-то магически передаются в журнал событий контроллера домена.

Я действительно хотел бы знать:

  • Как и когда эти события переданы? Является ли передача зашифрованной?
  • Можно ли напрямую выбрать другой (дополнительный) приемник этих событий, кроме контроллера домена? Я знаю, что позже можно переслать эти события журналов, но по умолчанию они пересылаются контроллеру домена? Существует ли неявная переадресация?
  • Сколько трафика будет создано в отношении сетевой нагрузки?

источник

2016-10-18 mischka

+0

По моему опыту, существует два распространенных подхода: первым из них является запись службы Windows, которая будет собирать события из журнала безопасности Windows на каждом DC и отправлять эти события в общий репозиторий. Второй подход - создать драйвер файловой системы в режиме ядра, реализовать его на всех файловых серверах, которые вы хотите контролировать. Драйвер будет перехватывать входящие запросы файловой системы и регистрировать соответствующие события. Также сервисы Windows должны быть установлены на одном и том же ресурсе, который будет отправлять события в общий репозиторий. Этот подход может занять до 1 года разработки и много BSOD. – oldovets

+0

Но все это встроенные функции Windows, почему бы вам написать собственное программное обеспечение? – mischka

+0

Мысль об этом с точки зрения программистов, если ваша цель - мониторинг в реальном времени (близко к реальному времени в случае сбора журнала событий).Конечно, вы можете использовать встроенные функции, такие как подписки на события (если все ваши контроллеры домена - 2008 или выше), или вы можете настроить автоматическое резервное копирование журнала и переместить все резервные копии в общий репозиторий через e. г. расписание. Почему эти встроенные функции не соответствуют вашим потребностям? – oldovets

ответ

-1

Первое, что требуется контроллеру домена - это сервер, имеющий Active Directory (своего рода база данных организации). Активный каталог идентифицировал каждый компонент/ресурсы, подключенные к домену, будь то логический (пользовательский) и физический (компьютер и принтер) в качестве объекта. Этот объект имеет свойства, известные как схема. Эта схема была каталогом в репозиториях, известных как GC (глобальный каталог), но gc имеет только частичную информацию, чтобы ресурсы могли быть расположены. Теперь, придя к этой политике. Существует два объекта GPO и OU. GPO - это набор политик, которые вы можете применять в подразделении или более высоком блоке группировки. Посмотрим, как происходит общение. Опять же, существует два широко используемых термина 1. репликация и 2. LDAP Query.

Репликация выполняется между контроллером, что позволяет сократить сетевой трафик и повысить доступность ресурсов, подключенных к серверу. При репликации вся информация о ресурсах синхронизируется с сервером. Чтобы обеспечить целостность системы безопасности, есть сертификат (который дает идентификацию, а также механизм шифрования) и делегирование (предоставление прав).

LDAP - это протокол, через который пользователь прошел аутентификацию. Таким образом, LDAP имеет запрос, который похож на другой язык запросов. Ну, весь этот запрос был в конечном счете зарегистрирован на сервере.

Объект GPO был реплицирован на ресурсы или вы можете применить принудительно. Если вы хотите сделать это немедленно.

источник

2016-11-03 14:43:54 user2090820

+0

Не могли бы вы предоставить источник информации о том, что передача зашифрован? Какой алгоритм используется? – mischka

+0

@mischka, пожалуйста, перейдите по ссылке: https://technet.microsoft.com/en-us/library/a8f53a9b-f3f6-4b13-8253-dbf183a5aa62.aspx – user2090820

+0

@mischka эта ссылка сообщит механизм сертификации https: // msdn.microsoft.com/en-us/library/bb727098.aspx – user2090820

 Смежные вопросы

  • Нет связанных вопросов^_^