Простая система аудита удаления файлов и папок для Windows Server

Продолжаем публиковать шпаргалки по настройке аудита различных систем, в прошлый раз мы говорили об AD habrahabr.ru/company/netwrix/blog/140569 , сегодня обсудим файловые серверы. Надо сказать, что чаще всего мы выполняем именно настройки аудита файловых серверов – в ходе пилотных инсталляций у заказчиков. Ничего сложного в этой задаче нет, всего лишь три простых шага:

Как сделать файлы и папки доступными в автономном режиме

  1. Когда компьютер подключен к сети, найдите файл или папку, которые нужно сделать доступными автономно.
  2. Щелкните файл или папку правой кнопкой мыши и выберите Всегда доступны автономно.
  • Чтобы убедиться, что файл или папка доступны в автономном режиме, щелкните файл или папку правой кнопкой мыши и проверьте, поставлен ли флажок доступны автономно.
  • Если доступ к файлу или папке в автономном режиме больше не нужен, щелкните файл или папку правой кнопкой мыши, а затем снимите флажок доступны автономно.

Теоретические сведения. Аудит: обзор

Аудит – отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности сервера или рабочей станции.

Аудит определённых компьютеров, пользователей и событий операционной системы является необходимой частью администрирования сети. Установка параметров аудита возможна в окне свойств файлов, папок, общих папок, принтеров и объектов службы каталогов Active Directory. Аудит позволяет отслеживать и записывать события, связанные с безопасностью, такие как попытки доступа пользователей к защищенным файлам и папкам. После включения аудита в журнал безопасности Windows 2000 заносятся записи при любой попытке доступа к этому объекту. При этом определяется объект аудита, действия, подвергаемые аудиту, и точные типы действий для аудита. После установки аудита можно отслеживать доступ пользователей к определенным объектам и анализировать недостатки системы безопасности. Записи аудита показывают, кто выполнял какие-либо действия и кто пытался выполнить какие-либо неразрешенные действия.

Выберите объекты аудита и, просматривая журналы событий, отслеживайте характеристики их использования, проблемы системы безопасности и тренды сетевого трафика. Но не поддавайтесь искушению контролировать всё на свете. Чем больше событий включается аудит, тем больше становятся журналы. Просмотр огромных журналов событий – тяжёлая работа, а конце концов это надоедает. Поэтому важным моментом является планирование политики аудита, которая будет защищать вашу сеть без излишне большой нагрузки на администратора. Кроме того, следует помнить, что каждое включённое в аудит событие приводит к увеличению непроизводительной нагрузки в системе.

Azure Active Directory

Azure Active Directory (Azure AD) — облачная служба управления удостоверениями и доступом. Она нужна для создания учетных записей пользователей и управления ими и применяется в облачных сервисах Microsoft, таких как Azure, Office 365, SharePoint. Если в AD для аутентификации пользователей служит Kerberos, то здесь в той же роли используется OAuth 2.0.

Синхронизация AD и Azure AD происходит по трем сценариям.

  1. Сценарий синхронизации каталога. Он позволяет синхронизировать с облаком новые учетные записи пользователей и групп, при этом логин у пользователя синхронизируется с AD, а пароль придется сменить, так как он не синхронизируется.
  2. Сценарий синхронизации паролей дает возможность пользователям логиниться в облачный сервис с паролем от локальной учетной записи AD. При этом синхронизируется логин и хеш пароля.
  3. Сценарий единого входа обеспечивает проверку подлинности пользователей в локальном каталоге AD и позволяет реализовать сценарий единого входа с использованием корпоративных учетных данных — за счет синхронизации токенов доступа.

Про атаку на сценарий единого входа много рассказать не могу, и для него нужны права администратора. Так как пароль в данном случае передается между Azure AD Connect и Azure ServiceBus в открытом виде, то есть возможность его перехватить. FileAzureadHookDLL позволяет внедрить DLL и получить пароль пользователя во время соединения. В качестве параметра данное приложение принимает PID процесса AzureADConnectAuthenticationAgentService[*].

Azure Active Directory

Сценарий синхронизации паролей

Для нас особенно интересен сценарий синхронизации паролей (PHS). Для синхронизации данных в AD есть приложение Azure AD Connect, которое извлекает данные из AD и передает их в AAD. За синхронизацию отвечает служба DCSync.

Читайте также:  15 расширенных задач, которые PowerShell может выполнять в Windows 10

Схема синхронизации AzureAD Connect

При создании соединения на хосте заводится новая база данных, при этом используется LocalDB для SQL Server. Мы можем просмотреть информацию о работающем экземпляре с помощью инструмента

Пример работы

База данных поддерживает Azure AD Sync — в ней хранятся метаданные и конфигурации для службы. Зашифрованный пароль находится в таблице _management_agent в поле encrypted_configuration, и для его расшифровки используется библиотека C:\Program Files\Microsoft Azure AD Sync\Binn\ Расшифровывать можно при помощи

Пример работы скрипта

Azure Active Directory

Как видишь из конфигурации безопасности, если получится скомпрометировать сервер с Azure AD Connect и получить доступ либо к ADSyncAdmins, либо к локальным группам администраторов, то открывается возможность заполучить учетку, которая может выполнять DCSync.

Конфигурации безопасности

Сценарий синхронизации каталога

В этом сценарии к одной и той же учетной записи в AD и AAD применяются разные пароли, что делает неактуальной атаку на сессию синхронизации. Но так как остальные учетные данные в случае синхронизации будут совпадать, мы можем провести разведку для AAD, и ее результаты в большинстве будут актуальны для AD.

Для удобства будем использовать Azure CLI, это инструмент для Linux, который используют в сетях Windows. Начинаем с команды az login — она сгенерирует локальные токены OAuth, откроет окно браузера на странице авторизации, и ты сможешь войти под уже имеющимся пользователем. Следующая команда позволяет получить список пользователей, параметр output определяет формат представления данных, а query — какие данные выводить.

az ad user list —output=json —query='[].{UPN:userPrincipalName,Name:displayName,Email:mail,UserId:mailNickname,Enabled:accountEnabled}’

Вот некоторые другие возможности.

Azure Active Directory

Список групп:

az ad group list —output=json —query='[].{Group:displayName,Description:description}’

Список пользователей в определенной группе:

az ad group member list —output=json —query='[].{UPN:userPrincipalName, Name:displayName, UserId:mailNickname, Enabled:accountEnabled}’ —group='<group name>’

Читайте также:  CentOS 7 и 8 настройка сервера после установки

Список приложений:

az ad app list —output=json —query='[].{Name:displayName,URL:homepage}’

Все службы:

Azure Active Directory

az ad sp list —output=json —query='[].{Name:displayName,Enabled:accountEnabled,URL:homepage}’

Информация о конкретной службе:

az ad sp list —output=json —display-name='<display name>’

Используйте Windows / File Explorer, чтобы удалить подключенный сетевой диск из Windows

Если вам нужно удалить ранее созданное сопоставление дисков, первое, что вам нужно сделать, это открыть Проводник, если вы используете Windows 10 или Windows 8.1, или Проводник Windows, если вы используете Windows 7. Затем в левой части окна выберите Это ПК, если вы используете Windows 10 или Windows 8.1, и компьютер, если вы используете Windows 7.

Независимо от используемой операционной системы все подключенные диски будут доступны в группе « Расположение сети » под жесткими дисками и другими аналогичными устройствами, такими как устройства CD / DVD или USB-накопители.

Чтобы удалить сопоставление диска с сетевым расположением, щелкните его правой кнопкой мыши и выберите « Отключить» .

Чтобы удалить сопоставление диска сетевой папке или FTP-сайту, щелкните правой кнопкой мыши и выберите « Удалить» .

Удаленные подключенные диски перестанут отображаться. Чтобы восстановить их, вам придется создать их снова.