当考虑到网络安全监控问题时,大部分IT专家都会想到IDS/IPS系统(入侵检测/入侵预防系统)。目前市面上有大量的硬件和软件解决方案是针对如何发现和捕获数据流中的不良进程(即IDS),或者是让恶意进程更难以完成攻击企业网络的活动(即IPS)。现在,微软的用户可以通过系统中心拥有提升任何IDS 或IPS系统的工具了,这就是微软系统中心操作管理器(SCOM)中提供的审核收集服务(ACS)。
ACS是对任何IDS或IPS系统的补足。ACS可以针对Windows或Linux系统上运行的安全策略,生成一致性评估报告。比如一个常见的针对特权成员组的策略,如Domain Admins组,应该尽量控制成员人数并受到严格控制。ACS可以定期查看该组成员人数,确保符合策略要求。ACS还可以根据需求生成一些可供法庭使用的证据报告。
部署 ACS
如果企业已经部署了系统中心操作管理器 (SCOM),那么就可以立即安装ACS。在Windows系统中,SCOM 2012中的ACS部署过程与在SCOM 2007 R2中完全一致。另外,SCOM 2012也可以直接支持Linux和UNIX系统的安全事件审计,而在SCOM 2007 R2中,这个功能必须通过安装插件的形式实现。所以,不论你采用的是什么版本的SCOM,都可以实现针对Windows系统和Linux/UNIX系统的ACS部署。
对于 ACS的管理同样是在基本的SCOM管理服务器和代理框架下进行的。你可以指定一个SCOM管理服务器作为ACS控制器,并建立一个专用的SQL数据库。然后就可以将ACS报表上传到SCOM管理组的报表服务器中。最后,在SCOM控制台里以任务的方式激活SCOM所管理的计算机上的审计代理组件(forward)并将ACS forwarder指向ACS控制器。
ACS审计数据被保存在数据库中,并可以通过报表形式被访问。图A右侧显示出了Windows系统默认的审计报表项目。对于 Linux/UNIX 系统,默认的报表包括forensic以及不成功的登录尝试、账户管理活动、管理员活动,以及特权登录报告等。
图A SCOM中自带的审计报告项目
将数据导入 ACS
默认情况下, Windows系统中审计的项目不多,因为计算机的安全日志中记载的事件不多。当使用安全策略后,审计的效果就会显示出来。在活动目录域环境中,我们使用的是组策略。对于工作组计算机,本地安全策略可以被手动导入或导出到其它工作组计算机。Windows系统的域和本地安全策略有九项内容可以被设定为审计项目,如图B所示,图中显示的是推荐为“安全级别”的安全策略。
图B Windows域和本地安全策略中可以被审计的类型
在图B中,Policy Settings列里的Success, Failure,或Not Defined等设置值都是默认的“安全级别”所推荐的设置。一般来说,将其应用到活动目录的域和域控制器组策略中都是不错的选择,而且不会导致过多的审计活动出现。另外,建议大家新建一个组策略,设定域控制器和成员服务器安全日志的最大容量。一般来说,推荐域控制器设置安全日志的最小容量是160MB,成员服务器的安全日志容量是16MB。
运行 ACS Reports查看审计数据
默认情况下,ACS将审计的数据保留14天,第15天的凌晨2点,保留期之前的数据会被清理。我们可以在SCOM控制台中查看审计数据,也可以设定SCOM自动将审计报表发布到网络文件共享服务器,以便归档或不登录控制台时查看。图C显示的是审计报表界面:一项安全审计报告,内容是最近两天特权用户的登录情况。
图C
在建立了与图B所示的安全策略类似的策略后, ACS所提供的大多数审计报表,都会包含大量对网络安全管理有意义的数据。其它一些报表,如forensic报表,可以用来重构服务器之间的用户登录活动。除了图 C所示的特权用户登录情况报表外,下面几个ACS默认的报表也非常有价值:
Access Violation:不成功的登录尝试活动
Account Management:域和内置管理员更改活动
System Integrity: 审计日志清理活动(通常视为可疑活动)
Usage: 敏感的安全组活动