none
Атрибуты файла SAM RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Подскажите может кто сталкивался с такой проблемой.

    У нас в организации установлен Server 2012 и теперь когда мы добавляем в локальную группу учетные записи или группы, то в файле SAM (который находится в директории c:\Windows\System32\config) не отображается атрибут "дата изменения", но мы, с помощью Procmon.exe, видим что обращения к этому файлу есть.

    Такой проблемы на наблюдалось когда у нас был установлен Server 2008 R2 и на Windows 7 такой проблемы нет.

    Что такого изменилось в Server 2012 из-за чего мы не можем проводить аудит добавления учетных записей в локальные группы?

    27 сентября 2016 г. 8:13

Ответы

  • Аудит настраивается в политиках которые вам указали в первом ответе. Это едино верный метод аудита. Смотреть изменения файла не является оптимальным, так как кроме даты вы ничего не увидите.

    Если вам удобнее смотреть файлы можете настроить действие в журнале, писать в файл и будете видеть всегда дату когда появлялось событие в последний раз.

    Во втором ответе Антона говорилось не про файлы а про кусты реестра


    The opinion expressed by me is not an official position of Microsoft

    30 сентября 2016 г. 5:53
    Модератор

Все ответы

  • Спасибо за ответ. Но Sam файл используется как триггер для того чтобы удалить учетные записи не входящий в список доверенных.

    Необходимо понять, каким образом и где на Сервере 2012 происходят изменения, которые однозначно говорят, что в локальных группах произошли изменения.


    • Изменено Alex-82 27 сентября 2016 г. 9:10
    27 сентября 2016 г. 9:08
  • Спасибо за ответ. Но Sam файл используется как триггер для того чтобы удалить учетные записи не входящий в список доверенных.

    Необходимо понять, каким образом и где на Сервере 2012 происходят изменения, которые однозначно говорят, что в локальных группах произошли изменения.


    Добрый день.

    C:\WINDOWS\system32\config.

    Кусты реестра без расширения приведены в следующем списке.

            SAM

            SECURITY

            SOFTWARE

            SYSTEM

    Подробную информацию о кустах реестра см. на веб-узле Microsoft.


    Я не волшебник, я только учусь MCP, MCTS. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера и IT Reviews


    27 сентября 2016 г. 9:25
    Модератор
  • Ни в одном из этих файлов не происходит ни каких изменений (в том числе и "даты изменения" файла) при добавлении учетных записей в локальные группы.
    27 сентября 2016 г. 9:44
  • Проблема более чем актуальна. Помогите коллеги!

    Почему так сильно отличается Server 2008 от Server-a 2012. В одном записывается изменение (после добавления учетной записи в локальные группы) в файл SAM в другом нет. На Server-е 2012 файл SAM изменяется только после перезагрузки сервера.

    29 сентября 2016 г. 15:42
  • Аудит настраивается в политиках которые вам указали в первом ответе. Это едино верный метод аудита. Смотреть изменения файла не является оптимальным, так как кроме даты вы ничего не увидите.

    Если вам удобнее смотреть файлы можете настроить действие в журнале, писать в файл и будете видеть всегда дату когда появлялось событие в последний раз.

    Во втором ответе Антона говорилось не про файлы а про кусты реестра


    The opinion expressed by me is not an official position of Microsoft

    30 сентября 2016 г. 5:53
    Модератор
  • Кусты реестра это те же файлы только вид сбоку.

    Дело не в удобно или не удобно, а дело в том, что начиная с Windows 7 при изменении членства в локальных группах всегда производилось запись в SAM файл и в атрибутах можно было посмотреть дату изменения этого файла.

    На данный же момент на Server-е 2012 производилось запись в SAM файл, но в атрибутах нет даты изменения. Вопрос, почему? Как теперь кроме аудита определить, что прошли изменения в локальных группах.

    Еще раз повторюсь. SAM файл используется, как триггер для того чтобы удалять из локальных групп не доверенные учетные записи. Если настроить аудит, то необходимо будет все равно  использовать какой-нибудь триггер для того чтобы производить удаление не доверенных учетных записей из локальных групп.


    • Изменено Alex-82 30 сентября 2016 г. 7:05
    30 сентября 2016 г. 6:56
  • Если задача удалять не доверенных то вам в политики, если вам нужен аудит то вам в логи. Почему вы зациклились на файлах (явно решение довольно костыльное) не пойму
    PS C:\Windows\system32> cd c:\Windows\System32\config\
    PS C:\Windows\System32\config> ls .\SAM | fl *
    
    
    PSPath            : Microsoft.PowerShell.Core\FileSystem::C:\Windows\System32\config\SAM
    PSParentPath      : Microsoft.PowerShell.Core\FileSystem::C:\Windows\System32\config
    PSChildName       : SAM
    PSDrive           : C
    PSProvider        : Microsoft.PowerShell.Core\FileSystem
    PSIsContainer     : False
    VersionInfo       : File:             C:\Windows\System32\config\SAM
                        InternalName:
                        OriginalFilename:
                        FileVersion:
                        FileDescription:
                        Product:
                        ProductVersion:
                        Debug:            False
                        Patched:          False
                        PreRelease:       False
                        PrivateBuild:     False
                        SpecialBuild:     False
                        Language:
    
    BaseName          : SAM
    Mode              : -a---
    Name              : SAM
    Length            : 262144
    DirectoryName     : C:\Windows\System32\config
    Directory         : C:\Windows\System32\config
    IsReadOnly        : False
    Exists            : True
    FullName          : C:\Windows\System32\config\SAM
    Extension         :
    CreationTime      : 22.08.2013 16:25:30
    CreationTimeUtc   : 22.08.2013 13:25:30
    LastAccessTime    : 16.09.2016 0:30:02
    LastAccessTimeUtc : 15.09.2016 21:30:02
    LastWriteTime     : 16.09.2016 0:30:02
    LastWriteTimeUtc  : 15.09.2016 21:30:02
    Attributes        : Archive




    The opinion expressed by me is not an official position of Microsoft


    30 сентября 2016 г. 7:18
    Модератор
  • Проблема заключается в том, что мы не можем использовать политики AD. У информационной безопасности есть свой сервер и в локальных группах нам не нужны администраторы домена. На сервере 2008 этой проблемы не возникало. Мы знали, что изменился файл SAM и это значит что поменялось членство в группах после чего запускалась программа и удаляла все учётные записи которые отличаются от доверенных. Все элегантно и более чем просто.

    Когда установили Server 2012 оказалось что это уже не так.

    Сервер перезагружался 29.09.2016 в 15:42. Наш SAM файл:

    PSPath            : Microsoft.PowerShell.Core\FileSystem::C:\Windows\System32\config\SAM
    PSParentPath      : Microsoft.PowerShell.Core\FileSystem::C:\Windows\System32\config
    PSChildName       : SAM
    PSDrive           : C
    PSProvider        : Microsoft.PowerShell.Core\FileSystem
    PSIsContainer     : False
    VersionInfo       : File:             C:\Windows\System32\config\SAM
                        InternalName:
                        OriginalFilename:
                        FileVersion:
                        FileDescription:
                        Product:
                        ProductVersion:
                        Debug:            False
                        Patched:          False
                        PreRelease:       False
                        PrivateBuild:     False
                        SpecialBuild:     False
                        Language:

    BaseName          : SAM
    Mode              : -a---
    Name              : SAM
    Length            : 262144
    DirectoryName     : C:\Windows\System32\config
    Directory         : C:\Windows\System32\config
    IsReadOnly        : False
    Exists            : True
    FullName          : C:\Windows\System32\config\SAM
    Extension         :
    CreationTime      : 22.08.2013 17:25:30
    CreationTimeUtc   : 22.08.2013 13:25:30
    LastAccessTime    : 29.09.2016 15:42:51
    LastAccessTimeUtc : 29.09.2016 12:42:51
    LastWriteTime     : 29.09.2016 15:42:51
    LastWriteTimeUtc  : 29.09.2016 12:42:51
    Attributes        : Archive



    • Изменено Alex-82 30 сентября 2016 г. 8:21
    30 сентября 2016 г. 8:20
  • Вам 2 человека указали на явный, а не косвенный признак изменения членства в группах. Можем подождать еще пол дня и таких будет уже 3, но мы я так понимаю и дальше будем обсуждать файл?

    Настройте правильно аудит, 1 раз и на 3 - 5 лет забудьте про этот геморрой. 

    Если хотите не эфективные костыли то прикрутите скрипт который будет выкидывать всех несанкционированных пользователей из необходимых групп раз в 5 минут. В чем принципиальная необходимость использование именно такого костыля?

    ПС Вывод команды который я приводил ранее, был получен на машине которая так же сегодня перезагружалась. Учитывая ваши косвенные подозрение что файл был изменен в связи с перезагрузкой противоречит тому что мой вывод инфы свидетельствует о том же. Косвенные признаки они таки косвенные... Если вам нужно проверять добавление в группы - аудит, удаление из групп не санкционированных политики или скрипты вам в помощь (вопрос еще в том как несанкционированные пользователи туда попадают)


    The opinion expressed by me is not an official position of Microsoft


    30 сентября 2016 г. 8:34
    Модератор
  • Настройка аудита не решает поставленную перед нами задачу. "Костыль", как вы выразились, является использование стандартной системы, ее функционал позволяющий решить задачу без применения средств администрирования.

    Вопрос заключался в том, что для использования того же метода работы (скрипта уже давно написан и работает) нужен триггер по событию, которое раньше заключалось в изменении файла SAM, а на сервере 2012 сейчас используется какой-то другой подход при работе с локальными группами.

    Чтобы развеять косвенные подозрение мне необходим ответ специалиста, который поможет разбираться, как работает local security database (она же SAM) на сервере 2012. Для этого я и написал свой вопрос на этот форум.

    30 сентября 2016 г. 9:57
  • Не воспринимайте слово костыль как оскорбление, такие решения встречаются довольно часто, но эти решения создают как правило проблем больше в будущем чем решает задач сейчас...

    Довольно часто администраторы решают подобные задачи, но найти единомышленников которые решают задачи таким экстравагантным методом будет практически не реальной задачей...

    Можете попробовать написать на англоязычный форум, возможно там получится найти человека который сможет вам помочь, но к сожалению у меня так и не вышло понять в чем ваш вопрос (не понимаю какую вы инфу хотите получить)


    The opinion expressed by me is not an official position of Microsoft

    30 сентября 2016 г. 18:05
    Модератор