locked
Доступ к логам безопасности RRS feed

  • Вопрос

  •  Здравствуйте,

    Мне хотелось бы настроить одного пользователя для службы безопасности. То есть у него должен быть доступ на Domain Controller, но мог только читать логи безопасности. Думаю есть 2 варианта:

    1. Открыт ему аккаунт, и дать доступ к DC. Он на прямую будет сидеть и работать там. Но у него должны быть ограниченные права (не знаю как это дать, то есть как настроить). Manage audit logs and events включить что ли?

    2. Через какой нибудь софт или скрипт.

    Я прочитал эти топики http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/d32f906a-7e8b-4246-bfc9-13d99b1961c2   и  http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/c0f5ab08-75a6-488e-b415-435207cc3d80

    При помощи eventvwr.msc смог связаться с логами юзеровских машин, вот толь к логам DC не дал. Потом сделал так: в

    Конфигурация Windows | Параметры безопасности | Локальные политики | Назначение прав пользователей | Управление аудитом и журналом безопасности Manage Auditing and Security Logs

    Добавил свой аккаунт, далее gpupdate /force на DC и у себя. Все равно не получилось, говорит отказано в доступе.

    Прочитал и это, но как то не понял http://support.microsoft.com/default.aspx/kb/323076

    Что посоветуете?

    С уважением,

    tjboard85

     

    11 декабря 2009 г. 5:31

Ответы

  • SDDL - в данном случае нужен для установки нужного вам дескриптора безопасности.
    добавляете запись SDDL (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) сюда правите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\CustomSD
    S-1-5-21-627290517-1637644076-1335778043-17596 - Это SID Пользователя или группы, которому хотите предоставить доступ
    Если все сделаете правильно - то влияние будет предсказуемым - то есть нужный пользователь или группа получат доступ к логам.

    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 6:25
    11 декабря 2009 г. 6:21
    Отвечающий
  • Запись SDDL - это (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    Да
    Как добавим, просто в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\CustomSD  к существующим значениям добавить (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    Тоже да
    Данный метод работает таким образом, то есть он будет со своего компа запускать eventvwr.msc и далее указав ИП DC подключится туда и будет листать логи(в зависимости от уровня доступа - чтение, запись, очистка )?
    И это да
    После этого, он сможет на логи любых машин домена лазить или только на DC'кие?
    Только на той машине, где правили ветку реестра - то есть на отдельном DC
    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 9:19
    11 декабря 2009 г. 6:37
    Отвечающий
  • S-1-5-21-1220945662-879983540-1644491937 - а где RID? - Это похоже на sid домена а не пользователя.
    Узнать sid пользователя можно из его сессиии воспользовавшись утилитой whoami /user
    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 11:04
    11 декабря 2009 г. 10:30
    Отвечающий
  • Эта утилита располагается здесь %windir%\system32\whoami.exe
    так и наберите в командной строке %windir%\system32\whoami.exe /user

    • Помечено в качестве ответа tjboard85 14 декабря 2009 г. 10:02
    11 декабря 2009 г. 11:18
    Отвечающий
  • На XP sp3 нужно запустить whoami.exe /user /SID


    Предварительно установив support tools с дистрибутивного CD
    • Помечено в качестве ответа tjboard85 14 декабря 2009 г. 10:03
    11 декабря 2009 г. 13:00
    Отвечающий

Все ответы

  •  Прочитал и это, но как то не понял http://support.microsoft.com/default.aspx/kb/323076

     

    А что вы там не поняли?
    11 декабря 2009 г. 6:03
    Отвечающий
  •  Прочитал и это, но как то не понял http://support.microsoft.com/default.aspx/kb/323076

     

    А что вы там не поняли?


    Зачем нужен SDDL?
    Что и как повлияеть на процесс настройки SDDL?

    11 декабря 2009 г. 6:15
  • SDDL - в данном случае нужен для установки нужного вам дескриптора безопасности.
    добавляете запись SDDL (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) сюда правите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\CustomSD
    S-1-5-21-627290517-1637644076-1335778043-17596 - Это SID Пользователя или группы, которому хотите предоставить доступ
    Если все сделаете правильно - то влияние будет предсказуемым - то есть нужный пользователь или группа получат доступ к логам.

    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 6:25
    11 декабря 2009 г. 6:21
    Отвечающий
  •  Ivan, спасибо.
    Теперь конкретные вопросы.
    Запись SDDL - это (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    Как добавим, просто в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\CustomSD  к существующим значениям добавить (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    или же надо (A;;0x1;;;User's_SID_value) надо? а как узнать SID группы или юзера?
    Данный метод работает таким образом, то есть он будет со своего компа запускать eventvwr.msc и далее указав ИП DC подключится туда и будет листать логи(в зависимости от уровня доступа - чтение, запись, очистка )? После этого, он сможет на логи любых машин домена лазить или только на DC'кие?

    С уважнием,
    tjboard85

    11 декабря 2009 г. 6:34
  • Запись SDDL - это (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    Да
    Как добавим, просто в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\CustomSD  к существующим значениям добавить (A;;0x1;;;S-1-5-21-627290517-1637644076-1335778043-17596) ?
    Тоже да
    Данный метод работает таким образом, то есть он будет со своего компа запускать eventvwr.msc и далее указав ИП DC подключится туда и будет листать логи(в зависимости от уровня доступа - чтение, запись, очистка )?
    И это да
    После этого, он сможет на логи любых машин домена лазить или только на DC'кие?
    Только на той машине, где правили ветку реестра - то есть на отдельном DC
    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 9:19
    11 декабря 2009 г. 6:37
    Отвечающий
  • Я через прогу Руссиновича - getsid узнал sid user'a.
    1.  SDDL добавил в реестр (со значением этого пользователя) -
    (A;;0x1;;;my_SID)
    2. Запустил, eventwmr.msc и соединился с DC. Все равно говорит - отказано в доступе. 

    З.Ы. как я заметил, любой пользователь может логи с других компов читать(кроме логов Security и кроме всех логов DC'ного)? Почему так?

    11 декабря 2009 г. 9:33
  • 1.  SDDL добавил в реестр (со значением этого пользователя) - (A;;0x1;;;my_SID)
    2. Запустил, eventwmr.msc и соединился с DC. Все равно говорит - отказано в доступе. 

    З.Ы. как я заметил, любой пользователь может логи с других компов читать(кроме логов Security и кроме всех логов DC'ного)? Почему так?

    1. Хм... Попробуйте в маске доступа указать 0х3

    ЗЫ. Ответ все там же. Просто так задумано. Это стандартный шаблон безопасности setu security.inf Есть и усиленные шаблоны безопасности для раб станций, например hisecws.inf - может быть там пользователям не разрешено читать "чужие" логи. Я не исследовал этот вопрос
    11 декабря 2009 г. 9:49
    Отвечающий
  • 1. Хм... Попробуйте в маске доступа указать 0х3
    Пробовал на 3, та же история. Може я где-то что-то пропустил. Или же рестарт компа надо?
    11 декабря 2009 г. 10:16
  • А полностью содержимое этого параметра реестра покажите
    11 декабря 2009 г. 10:23
    Отвечающий
  • CustomCD's value:

    O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x3;;;S-1-5-21-1220945662-879983540-1644491937)
    11 декабря 2009 г. 10:25
  • S-1-5-21-1220945662-879983540-1644491937 - а где RID? - Это похоже на sid домена а не пользователя.
    Узнать sid пользователя можно из его сессиии воспользовавшись утилитой whoami /user
    • Помечено в качестве ответа tjboard85 11 декабря 2009 г. 11:04
    11 декабря 2009 г. 10:30
    Отвечающий
  • S-1-5-21-1220945662-879983540-1644491937 - а где RID?
    То есть, честно говоря, не знаю об RID.

    >>> Узнать sid пользователя можно из его сессиии воспользовавшись утилитой whoami /user

    у меня почему-то whoami не принимает ключи, то есть на все ключи ( /user или /groups или /priv или /logonid) показывает одно и тоже

    C:\Documents and Settings\user_name>Whoami /user
    WhoAmI - DiamondCS Freeware Console Tools (www.diamondcs.com.au)
    ---
    Computer name : pc_name
    Current user  : user_name
    Administrator : Yes
    IP addresses  : 2
        x.x.x.x
       127.0.0.1

    11 декабря 2009 г. 11:12
  • Эта утилита располагается здесь %windir%\system32\whoami.exe
    так и наберите в командной строке %windir%\system32\whoami.exe /user

    • Помечено в качестве ответа tjboard85 14 декабря 2009 г. 10:02
    11 декабря 2009 г. 11:18
    Отвечающий
  • Эта утилита располагается здесь %windir%\system32\whoami.exe
    так и наберите в командной строке %windir%\system32\whoami.exe /user


    Ничего с указанного каталога не запустился. Потом проверил содержимое данного каталога, нет такого инсталл файла у меня на локальном компе.

    А вот на DC нормально запустился и определил sid domain admin'a

    Странно, почему то у меня с XP не запускается и не могу свой sid узнать.

    11 декабря 2009 г. 12:49
  • На XP sp3 нужно запустить whoami.exe /user /SID


    Предварительно установив support tools с дистрибутивного CD
    • Помечено в качестве ответа tjboard85 14 декабря 2009 г. 10:03
    11 декабря 2009 г. 13:00
    Отвечающий
  •  Ivan,
    СПАСИБО большое. Смог со своего компа коннектится, т.е. :
    1. Запстил eventvwr.msc
    2. IP ВС
    3. смог только читать логи безопасность, а остальным доступ запрещен, то что надо :)


    P.S. А можно ему запретить подключится на логи других компов? Ну чтобы кроме DC, не смог бы на другие, меня подключится был дизайбл


    14 декабря 2009 г. 6:37