Інтеграція з AD, авторизація на базі логів безпеки
- Принцип роботи Авторизація користувачів на базі логів можлива при інтеграції з Windows Server починаючи...
- Настоянка аудиту входів в систему
- Налаштування користувача WMI
- Налаштування інтеграції з Active Directory
Принцип роботи
Авторизація користувачів на базі логів можлива при інтеграції з Windows Server починаючи з версії 2003.
Загальний принцип роботи: Selecta періодично викачує і аналізує логи безпеки Active Directory. На основі отриманих з логів даних будує такі таблиці:
- Ім'я комп'ютера → логін користувача, який останнім пройшов увійшов в систему на даному комп'ютері;
- Ім'я комп'ютера → IP-адреса.
При вході користувача в систему, в Selecta створюється нова сесія в яку заноситься:
- IP-адреса комп'ютера, з якого здійснено вхід в систему;
- Інформація про користувача (з LDAP);
- Профіль фільтрації, обчислений на основі груп безпеки, створені учасником.
Після створення сесії трафік користувача буде схильний до фільтрації відповідно до профілю фільтрації.
Список оброблюваних подій
- Логін користувача на комп'ютері, на якому ніхто не зареєстрований: буде створена нова сесія;
- Логін користувача на комп'ютері, на якому вже хтось зареєстрований: сесія попереднього користувача буде видалена, буде створена сесія для нового користувача;
- Адміністратор намагається увійти в систему, за якої ніхто не зареєстрований: буде створена сесія для адміністратора.
- Адміністратор намагається увійти в систему, за якої вже хто то зареєстрований: подія буде розцінено, як спроба виконати дії з правами адміністратора і сесія попереднього користувача змінена не буде.
- Під час роботи користувача були виконані дії від імені адміністратора: сесія користувача не зміниться.
- Користувач був переключений: сесія для комп'ютера буде заміна сесією для нового користувача.
- IP-адреса комп'ютера змінений (по DHCP, або вручну): у поточній сесії користувача буде змінено IP-адреса.
Налаштування
Налаштування включає в себе наступні кроки:
- Налаштування аудиту входів в систему на AD сервері;
- Налаштування користувача WMI;
- Налаштування інтеграції з Active Directory на Selecta.
Настоянка аудиту входів в систему
- Відкрити редактор групових політик: Пуск → Адміністрування → Локальна політика безпеки (або Виконати → gpedit.msc в Windows);
- Перейти в Локальні політики → Політика аудиту;
- Для політики Аудит входу в систему включити ведення аудиту доступу: Успіх.
Тепер в журналах безпеки Windows будуть зберігатися логи аудиту призначеного для користувача входу в систему. Для перегляду і налаштування необхідно перейти в Перегляд подій → Журнали Windows → Безпека.
Налаштування користувача WMI
Створіть новий обліковий запис користувача в AD. Створеного користувача потрібно додати в наступні групи безпеки:
- Користувачі DCOM;
- Читачі журналу подій;
- Оператори сервера.
інтеграція використовує WMI Authentication , І необхідно змінити властивості безпеки CIMV2 на сервері AD.
Запустіть Виконати → wmimgmt.msc в Windows, щоб відкрити консоль:
- Натисніть дії → Властивості;
- Перейдіть на вкладку Безпека;
- Розкрийте дерево папок Root Виберіть папку CIMV2;
- Натисніть Безпека;
- Натисніть Додати, а потім виберіть раніше створений обліковий запис;
- Для цього облікового запису встановіть прапорці Дозволити для параметрів Включити обліковий запис і Включити віддалено;
- Потім натисніть ОК.
Налаштування інтеграції з Active Directory
У веб-інтерфейсі Selecta в меню Інтеграції → Active Directory необхідно перейти в уже доданий домен і ввести дані створеної раніше облікового запису WMI (логін і пароль). Так само варто вказати частоту збору логів з сервера AD. Використовуйте великі інтервали в разі рідкісних змін конфігурації мережі призначених для користувача комп'ютерів. Після натиснути Логін.
Після застосування налаштувань почнеться збір і обробка логів.