none
Безопасность DC - чтение Security Event Log. RRS feed

  • Вопрос

  • Добрый день.

    Для работы некого ПО от Cisco, на всех DC необходимо сделать определенные настройки, чтобы доменный пользователь мог читать локальный евент лог. Вот описание процедуры настройки - http://www.cisco.com/en/US/docs/security/ibf/cda_10/Install_Config_guide/cda_wrkng.html#wp1053922. Плюс, еще некая правка реестра - https://supportforums.cisco.com/thread/2154073.

    В итоге, напрягает, что обычному пользователю даются непонятные права на системные компоненты доменного контроллера.

    Кто-нибудь смог бы посмотреть инструкции по ссылкам выше и дать оценку, насколько эти настройки безопасны?

    5 сентября 2013 г. 8:54

Ответы

  • Эта учетная запись предназначена для аудита, и способна читать события журнала "безопасность". Это значит, что она может только их читать, и ничего более. Действия, которые производятся для этого, устанавливают доступ для конкретного приложения по определенному GUID. Это не означает, что учетка из обычных Domain users способна логиниться на Ваши контроллеры и выполнять всякие нехорошие действия, запускать остнастки и все сломать. Если чтение журнала безопасности (и ничего кроме) Вас не удовлетворяют, и события в данном журнале, а так же компрометация информации противоречит Вашей политике безопасности, можете отказаться от использования ПО.
    5 сентября 2013 г. 13:57
    Отвечающий

Все ответы

  • Вы создаете служебную учетную запись, а не используете для ПО от cisco учетную запись Марии Ивановны, правда? В таком случае, задайте служебной учетной записи необходимые права, разрешения,и установите стойкий пароль. И в таком случае действительно, все настройки, которые перечислены Вами, будут безопасны.
    5 сентября 2013 г. 9:05
    Отвечающий
  • Пароль этой учетной записи доступен сотрудникам другого отдела, не доменным администраторам.
    5 сентября 2013 г. 9:59
  • Хорошо, заведите для аудита еще одну учетную запись, задокументируйте.

    Это же не проблема.

    5 сентября 2013 г. 10:03
    Отвечающий
  • Прошу пояснить.

    Меня интересует, насколько опасно иметь учетную запись, имеющую расширенные права на всех доменных контроллреах, учитывая, что доступ к этой записи имеют сотрудники с низким уровнем доверия, не являющиеся доменными администраторами?

    5 сентября 2013 г. 10:44
  • Эта учетная запись предназначена для аудита, и способна читать события журнала "безопасность". Это значит, что она может только их читать, и ничего более. Действия, которые производятся для этого, устанавливают доступ для конкретного приложения по определенному GUID. Это не означает, что учетка из обычных Domain users способна логиниться на Ваши контроллеры и выполнять всякие нехорошие действия, запускать остнастки и все сломать. Если чтение журнала безопасности (и ничего кроме) Вас не удовлетворяют, и события в данном журнале, а так же компрометация информации противоречит Вашей политике безопасности, можете отказаться от использования ПО.
    5 сентября 2013 г. 13:57
    Отвечающий