1. Принцип роботи Авторизація користувачів на базі логів можлива при інтеграції з Windows Server починаючи...
2. Настоянка аудиту входів в систему
3. Налаштування користувача WMI
4. Налаштування інтеграції з Active Directory

Принцип роботи

Авторизація користувачів на базі логів можлива при інтеграції з Windows Server починаючи з версії 2003.

Загальний принцип роботи: Selecta періодично викачує і аналізує логи безпеки Active Directory. На основі отриманих з логів даних будує такі таблиці:

1. Ім'я комп'ютера → логін користувача, який останнім пройшов увійшов в систему на даному комп'ютері;
2. Ім'я комп'ютера → IP-адреса.

При вході користувача в систему, в Selecta створюється нова сесія в яку заноситься:

1. IP-адреса комп'ютера, з якого здійснено вхід в систему;
2. Інформація про користувача (з LDAP);
3. Профіль фільтрації, обчислений на основі груп безпеки, створені учасником.

Після створення сесії трафік користувача буде схильний до фільтрації відповідно до профілю фільтрації.

Список оброблюваних подій

• Логін користувача на комп'ютері, на якому ніхто не зареєстрований: буде створена нова сесія;
• Логін користувача на комп'ютері, на якому вже хтось зареєстрований: сесія попереднього користувача буде видалена, буде створена сесія для нового користувача;
• Адміністратор намагається увійти в систему, за якої ніхто не зареєстрований: буде створена сесія для адміністратора.
• Адміністратор намагається увійти в систему, за якої вже хто то зареєстрований: подія буде розцінено, як спроба виконати дії з правами адміністратора і сесія попереднього користувача змінена не буде.
• Під час роботи користувача були виконані дії від імені адміністратора: сесія користувача не зміниться.
• Користувач був переключений: сесія для комп'ютера буде заміна сесією для нового користувача.
• IP-адреса комп'ютера змінений (по DHCP, або вручну): у поточній сесії користувача буде змінено IP-адреса.

Налаштування

Налаштування включає в себе наступні кроки:

1. Налаштування аудиту входів в систему на AD сервері;
2. Налаштування користувача WMI;
3. Налаштування інтеграції з Active Directory на Selecta.

Настоянка аудиту входів в систему

1. Відкрити редактор групових політик: Пуск → Адміністрування → Локальна політика безпеки (або Виконати → gpedit.msc в Windows);
   
2. Перейти в Локальні політики → Політика аудиту;
3. Для політики Аудит входу в систему включити ведення аудиту доступу: Успіх.

Тепер в журналах безпеки Windows будуть зберігатися логи аудиту призначеного для користувача входу в систему. Для перегляду і налаштування необхідно перейти в Перегляд подій → Журнали Windows → Безпека.

Налаштування користувача WMI

Створіть новий обліковий запис користувача в AD. Створеного користувача потрібно додати в наступні групи безпеки:

• Користувачі DCOM;
• Читачі журналу подій;
• Оператори сервера.

інтеграція використовує WMI Authentication , І необхідно змінити властивості безпеки CIMV2 на сервері AD.

Запустіть Виконати → wmimgmt.msc в Windows, щоб відкрити консоль:

• Натисніть дії → Властивості;
  

• Перейдіть на вкладку Безпека;
• Розкрийте дерево папок Root Виберіть папку CIMV2;
• Натисніть Безпека;

• Натисніть Додати, а потім виберіть раніше створений обліковий запис;
• Для цього облікового запису встановіть прапорці Дозволити для параметрів Включити обліковий запис і Включити віддалено;

• Потім натисніть ОК.

Налаштування інтеграції з Active Directory

У веб-інтерфейсі Selecta в меню Інтеграції → Active Directory необхідно перейти в уже доданий домен і ввести дані створеної раніше облікового запису WMI (логін і пароль). Так само варто вказати частоту збору логів з сервера AD. Використовуйте великі інтервали в разі рідкісних змін конфігурації мережі призначених для користувача комп'ютерів. Після натиснути Логін.

Після застосування налаштувань почнеться збір і обробка логів.