Windows Server 2008从入门到精通系列
《第二部分:在Windows Server 2008实现活动目录域服务》
第一篇: Windows Server 2008 活动目录审核新特性
作者:王辉(MVP/MCT)
作者注:最近和余勇老大(MVP/MCT)组成了Windows Server 2008学习小组,互相督促,互相学习。今天又看到竹林冷雨兄弟发表了关于Windows Server 2008 Enterprise Core的文章,心有所感,再也不敢起懒惰之心,准备把我学习Windows Server 2008的一些心得和实验步骤整理写成文章,始有此系列。另外还是要说明一下,版权作者所有,未经作者同意严禁转载,如需转载请联系作者,联系方式为chinamct@msn.com。
本系列共10门课:
1. 安装和管理Windows Server 2008
2. 在Windows Server 2008中实现活动目录域服务
3. 在Windows Server 2008中实现活动目录标识与访问
4. 在Windows Server 2008中管理IIS 7.0和Windows媒体服务器
5. 在Windows Server 2008中实现网络基础架构服务
6. 在Windows Server 2008中实现网络访问保护(NAP)
7. 在Windows Server 2008中实现终端服务
8. 在Windows Server 2008中实现存储架构
9. 在Windows Server 2008中实现安全
10. 在Windows Server 2008中实现高可用性和虚拟化
本文为第二部分第一篇,文章将覆盖以下内容:
l 配置Windows Server 2008活动目录审核策略
l 使用新命令行工具配置活动目录审核
l 查看审核事件
众所周知,在Windows Server 2000/2003就提供了审核策略,其中就有针对活动目录访问的审核策略。在我们启用了Directory Service Access这条审核策略并在活动目录对应的容器上启用了审核之后,我们对此容器下的对象做的操作将会被记录在“Event Viewer”下的安全日志里面。通过审核我们可以很清楚的监视活动目录发生的变化,保护活动目录的安全性。
在Windows Server 2008中,活动目录的审核有了新的改进,它把全局的Directory Service Access审核策略划分成了四个子类别,其中有一个新的审核策略子类别就是Directory Service Changes。见下图(1):
图(1)
通过使用Directory Service Changes这个新的子类别,使得我们可以审核用户(或者任何安全主体)的创建,修改,移动及恢复的行为。这个新的审核策略子类别使得我们在对活动目录域服务(ADDS)的审核上有了新的能力:
l 当一个在一个属性上进行了一个成功的修改操作,例如修改用户所属的部门,ADDS将会在日志中记录下来部门这个属性之前的值和当前的值。
l 如果是创建一个对象,在创建对象的过程当中为用户指定的属性的值也将记录下来。例如创建了一个用户,在创建的过程中指定了账户是禁用的,则账户禁用这个属性的值也将会被记录。
l 如果移动一个对象,ADDS将在日志中记录下来该对象之前的位置和之后的位置。如果是跨域移动的话,将会在目标域的域控制器上产生一个对象创建的事件。
l 如果是恢复一个对象,此对象移动到的位置将被记录下来。例如恢复对象到一个特定的组织单位,则该组织单位的位置将在日志中记录下来。
针对以上的行为,ADDS将在日志中记录不同的事件,如下图(2)所示:
图(2)
在这里我做一个总结:在Windows Server 2008中,您可以配置全局的Directory Service Access审核策略,如果您启用了全局Directory Service Access审核策略,也就等于启用了所有的四个子类别审核。也可以在不启用全局的Directory Service Access审核策略的情况下,单独的启用Windows Server 2008特殊的Directory Service Access审核策略的子类别,如Directory Service Changes。子类别之间是互相独立的,如Directory Service Access子类别是禁用的,但不会阻止Directory Service Changes生成事件。
下面我们一起来看一下实现的过程。首先我们先看全局的审核策略的实现。实验中使用的计算机Sea-DC1,此计算机在本系列的之前的文章中有泳道,如果您看过之前文章,应该知道它是一台Windows Server 2008的域控制器。
打开Server Manager,点击Features,可以看到在Sea-DC1上安装了Group Policy Management这一特征。如下图(3)所示:
图(3)
依次展开Group Policy Management到如下图(4)所示的位置,可以看到Default Domain Controller Policy这一策略。
图(4)
选择Default Domain Controller Policy这一策略,右键选择Edit,将打开如下图(5)所示的界面。
图(5)
依次展开到如下图(6)所示的位置。
图(6)
从图(6)中可以看到有9条全局的审核策略,从上向下第3条就是Directory Service Access全局审核策略。启用该策略记录成功的事件,如下图(7)、(8)所示。之前曾经说过,启用这一全局审核策略将会启用全部的四个子类别。
图(7)
图(8)
下面我们为活动目录中特定的容器启用审核,如果这一操作没有做的话,即使您之前配置了Directory Service Access全局审核策略,ADDS(活动目录域服务)也不会在日志的记录事件。
为了在容器上启用审核,需要的容器属性中的Security选项卡进行配置,要想查看Security选项卡,需要打开Active Directory Users and Computers,然后点击View,选择Advanced Features。如下图(9):
图(9)
创建实验用的组织单位Sales。如下图(10)、(11)所示。
图(10)
图(11)
然后打开组织单位Sales属性,点击Security 选项卡。如下图(12)所示。
图(12)
点击Advanced,出现Advanced Setting for Sales窗口,如下图(13)所示。
图(13)
取消Include inheritable auditing entries from object's parent的选择,然后在出现的Windows Security 对话框中选择Remove。如下图(14)所示。
图(14)
添加Domain Users组,我们将审核Domain Users组(也就是所有域用户)对组织单位Sales下的用户对象的操作。如下图(15)~图(19)所示。
图(15)
图(16)
图(17)
图(18)
图(19)
接下来我们来进行测试。在组织单位Sales下面创建测试使用的账户Alice Mutten。如下图(20)、(21)所示。
图(20)
图(21)
然后将Alice Mutten从组织单位Sales移动到一般容器Users下。如下图(22)所示。
图(22)
打开Event Viewer。展开Windows Logs,选择Security如下图(23)所示。
图(23)
对Security类别下的日志进行过滤,使其只显示Event ID为4720的事件。如下图(24)所示。
图(24)
筛选以后,结果如下图(25)所示。
图(25)
查看筛选以后的事件,如下图(26)、(27)所示。
图(26)
图(27)
从图(26)、(27)可以看出创建Alice Mutten已经被记录下来,包括创建时所设置的属性。
重新对Security类别的事件进行筛选,筛选Event ID为4662的事件。如下图(28)所示。
图(28)
筛选以后的结果如下图(29)所示,可以看出,筛选之后的事件的类别都属于Directory Service Access。
图(29)
查看事件详细信息。如下图(30)、(31)所示。
图(30)
图(31)
从图中可以看出,它详细记录了Alice Muten从组织单位Sales移动到Users容器这一事件。
下面我们来看一下如果单独启用DS Access审核子类别的过程。
首先我们关闭全局的审核策略。重新编辑Default Domain Controller policy,将Audit Directory Service Access设置为Not Defined。如下图(32)所示。
图(32)
同时因为默认情况下,本地计算机策略中是启用 Directory Service Access全局审核策略的,所以我们也编辑本地计算机策略中的Audit Directory Service Access全局审核策略,设置为Not Auditing。如下图(33)所示。
图(33)
为了更清楚地观察事件。我将事件日志请空。如下图(34)、(35)所示。
图(34)
图(35)
至此我们就关闭了全局的DS Access审核策略并清空了安全日志。
下面我们启用DS Access审核策略的子类别Directory Service Changes。使DS Access可以把活动目录中安全对象创建、修改、移动、恢复的事件进行记录。而其它事件并不作记录。
要想启用对应的DS Access的子类别,需要使用Auditpol命令。首先我们列出DS Access子类别的信息。如下图(36)所示。
图(36)
接着启用DS Access审核策略的子类别Directory Service Changes,记录成功的事件。如下图(37)所示。
图(37)
查看是否启用Directory Service Changes。如下图(38)所示。
图(38)
从上图可以看出Directory Service Changes审核策略已经生效了。查看日志也可以看到相关的信息。如下图(39)所示。
图(39)
下面我们重新在组织单位Sales下面创建用户对象Bob Smith。如下图(40)、(41)所示。
图(40)
图(41)
在Event Viewer里重新筛选Event ID为5136的事件。如下图(42)所示。
图(42)
筛选以后结果如下图(43)所示,可以看出类别都是Directory Service Changes。
图(43)
查看事件,可以看到Bob Smith用户的创建已经被记录。如下图(44)、(45)所示。
图(44)
图(45)
作者按:本文到此就结束了,请关注《第二篇:可重启动的活动目录域服务》。在下一篇中我将讲解ADDS(活动目录域服务)的可重启特性,通过这一特性,使得大大缩短了因维护活动目录而需要域控制器宕机的时间,提高了可用性。