none
Аудит реестра и каталогов: гибкая настройка RRS feed

  • Вопрос

  • Добрый день, господа!

    На текущий момент времени существует задача: включить и настроить аудит соответствующим образом на конкретных серверах. Серверы находятся в определенном OU, к коему прилинкована политика, в которую и предполагается вносить изменения.

    Итак, что требуется: 1. Включить аудит успехов и отказов в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet для всех привелегированных пользователей, а также в этой же ветке включить только аудит отказов для системных или сервисных УЗ (SYSTEM; Network Service и т.п.), на определенные виды доступа (Set Value; Create Subkey; Create Link; Delete; Write DAC; Write Owner).

    С этим проблем не возникает, мои действия: включаю аудит доступа к объектам, после чего иду в "Конфигурация Компьютера/Конфигурация Windows/ Параметры безопасности/Реестр", там добавляю соответствующую ветвь, и там уже меняю настройки аудита, добавляя соответствующих пользователей и назначая им виды доступа.

    Дальше загвоздка: согласно заданию, нужно исключить аудит успехов только для системных и сервисных УЗ для ветвей типа

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Watchdog

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaCategories и пр.

    Всего 11 ветвей. На текущий момент я вижу только одно решение: снять наследование аудита с дочерних ветвей и конфигурировать каждую из них. Т.е. добавить в политику еще 11 соответствующих параметров (и это только по реестру, а есть еще аналогичная задача по каталогам).

    Собственно, вопрос: нет ли возможности как-то более оптимально подойти к этому вопросу, к примеру, задать общий шаблонный SACL для нескольких ветвей, или единственное решение - все вбивать вручную?

    8 апреля 2013 г. 9:11

Ответы

Все ответы