2009/11/19 Domenico Viggiani <[email protected]>: > Vedo che hai scelto la strada più semplice, come ho fatto io. > Il concetto di autenticazione del dominio Windows, in effetti, è un po' > "allargato" :-) e ci sono moltissime entry per qualsiasi cosa venga > effettuata ma, se ci pensi, è giusto così: un "accesso" non deve per forza > essere interattivo (terminal server o console) ma ci sono anche quelli a > condivisioni file, stampanti, semplici accessi in rete delle macchine del > dominio, etc.
per esepio ecco un articolo per iniziare ad approfondire (Audit Account Logon Events ): http://technet.microsoft.com/en-us/library/bb742435.aspx bisogna avere un'idea delle basi del funzionamento di kerberos (premetto che ne ho giusto un'idea.. perdonate le imprecisioni): l'evento più significativo per i nostri scopi è quello con id = 672 (authentication ticket granted), che in caso di autenticazione riuscita fornisce tra le altre cose l'utente e l'indirizzo IP del client questo evento da solo non rappresenta l'accesso a un servizio (p.es. ad una share di rete o a un desktop remoto), questi sono tracciati dagli eventi 673 (service ticket granted) come facevate notare, gli eventi generati sono tantissimi in un dominio con molti utenti, però se vengono filtrati restringendo a "eventi relativi ai sysadmin che accedono a sistemi con dati personali" restano solo quelli rilevanti. Mi pare però che l'aspetto del filtraggio potrebbe essere un po' delicato.. per esempio.. un sysadmin si logga sulla workstation X e poi monta una share del server A (che non contiene dati personali) e successivamente si collega con rdp al computer B (che contiene dati personali).. ora.. l'evento 672 al momento dell'autenticazione su X non dice ancora quale attività il sysadmin va a svolgere, poi immagino che ci siano due eventi 673 dei quali uno solo è rilevante dal nostro punto di vista. in definitiva che fare? - cercare di filtrare solo gli eventi relativi agli accessi a risorse "sensibili", per i soli sysadmin - loggare tutti gli eventi 672 e 673 indipendemente dal servizio per i soli sysadmin - loggare tutti gli eventi 672 e 673 per tutti gli utenti (un sacco di eventi) - loggare tutti gli eventi del registro Protezione (un grosso sacco) Le ultime due possibilità sono un po' della serie "lo faccio solo per rispondere ai requisiti, poi saranno cavoli di chi li deve interpretare". Mi chiedo se questo approccio non porti a problemi di altro tipo in caso di "incidenti".. nel log ci possono andare anche degli eventi extra? Inoltre se si vuole generare una sola riga per ogni accesso a una risorsa "sensibile" con utente, client, servizio, orario bisogna effettuare una pre-elaborazione degli eventi generati dai domain controller che metta in relazione gli eveni 672 e 673 attraverso l'utente in un certo range temporale.. giusto? ah già poi ci sarebbero gli eventi di logoff :-) Così ad occhio una cosa fatta bene non mi pare del tutto scontata. Registrare tutto invece è banale ma davvero bruttino e non ci scommetteri sul fatto che passi. Qualcuno conosce una "giusta via di mezzo".. già sperimenata? -- Ciao, P. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
