Управление групповыми политиками безопасности и аудита

Назначение групповых политик безопасности и аудита — управление атрибутами политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита и политики KDC (Key Distribution Center) на контроллерах домена Эллес, а также параметрами безопасности, которые управляют сменой пароля машинной учетной записи на контроллерах домена Эллес. На рядовых участниках домена данные политики и параметры автоматически отключаются и игнорируются.

Настройки, применяемые в рамках политик и параметров безопасности, хранятся в файле MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf в подкаталоге соответствующего объекта GPO в SysVol в формате ini. Настройки подкатегорий событий в рамках расширенной политики аудита хранятся в файле MACHINE/Microsoft/Windows NT/Audit/Audit.csv.

Серверное расширение (SSE) для политик и параметров безопасности распространяется в виде административного шаблона в формате ADMX (см. подраздел «Установка административных шаблонов на контроллере домена»).

Клиентские расширения (CSE) для политик и параметров безопасности — gp_access_ext, gp_krb_ext, gp_reg_conf_ext, gp_audit_ext и gp_kdc_ext. Политики паролей и блокировки учетных записей (System Access) обеспечивают применение правил использования паролей и блокировки учетных записей через соответствующие атрибуты LDAP непосредственно в базе данных Эллес на контроллере домена. Политика KDC управляет поддержкой расширения PKINIT Freshness. Политики Kerberos (Kerberos Policy) хранятся в кэше групповых политик и загружаются непосредственно службой inno-samba при запуске. Параметры безопасности обеспечивают установку конфигурационных параметров Эллес, отвечающих за смену пароля машинной учетной записи контроллера домена.

В Табл. 1 приведено соответствие атрибутов групповой политики настройкам в редакторе групповых политик Group Policy Management Editor (GPME) в составе RSAT на участнике домена под управлением ОС Windows и атрибутам LDAP / настройкам в конфигурации Эллес.

Табл. 1. Соответствие между атрибутами, параметрами и настройками
Настройка в GPME	Атрибут/параметр в CSE	Атрибут LDAP / настройка в smb.conf	Описание
Политика паролей (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Password Policy → Политика паролей)
Enforce password history (Вести журнал паролей)	`PasswordHistorySize`	`pwdHistoryLength`	Количество новых уникальных паролей, по достижении которого для учетной записи может повторно использоваться введенный ранее пароль
Maximum password age (Максимальный срок действия пароля)	`MaximumPasswordAge`	`maxPwdAge`	Максимальный срок использования пароля до его смены (в днях)
Minimum password age (Минимальный срок действия пароля)	`MinimumPasswordAge`	`minPwdAge`	Минимальный срок использования пароля до его смены (в днях)
Minimum password length (Минимальная длина пароля)	`MinimumPasswordLength`	`minPwdLength`	Минимальная длина пароля
Password must meet complexity requirements (Пароль должен отвечать требованиям сложности)	`PasswordComplexity`	`pwdProperties`	Соответствие требованиям к сложности пароля
Политика блокировки учетных записей (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Account Lockout Policy → Политика блокировки учетных записей)
Account lockout duration (Продолжительность блокировки учетной записи)	`LockoutDuration`	`lockoutDuration`	Продолжительность блокировки учетной записи (в минутах)
Account lockout threshold (Пороговое значение блокировки)	`LockoutBadCount`	`lockoutThreshold`	Количество неуспешных попыток входа до блокировки учетной записи
Reset account lockout counter after (Время до сброса счетчика блокировки)	`ResetLockoutCount`	`lockOutObservationWindow`	Время до сброса счетчика неуспешных попыток входа (в минутах)
Политика Kerberos (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Kerberos Policy → Политика Kerberos)
Maximum lifetime for service ticket (Максимальный срок жизни билета службы)	`MaxServiceAge`	`kdc:service_ticket_lifetime`	Максимальный период действия сервисного билета для аутентификации Kerberos (в минутах)
Maximum lifetime for user ticket (Максимальный срок жизни билета пользователя)	`MaxTicketAge`	`kdc:user_ticket_lifetime`	Максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах)
Maximum lifetime for user ticket renewal (Максимальный срок жизни для возобновления билета пользователя)	`MaxRenewAge`	`kdc:renewal_lifetime`	Максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях)
Параметры безопасности (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Local Policies/Локальные политики → Security Options/Параметры безопасности)
Maximum tolerance for computer clock synchronization (Максимальная погрешность синхронизации часов компьютера)	`MaxClockSkew`	`kdc:clock_skew`	Максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах)
Параметры безопасности (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Local Policies/Локальные политики → Security Options/Параметры безопасности)
Domain member: Disable machine account password changes (Член домена: отключить изменение пароля учетных записей компьютера)	`DomainMember:DisablePasswordChange`	`dcpwd:disable password change`	Отключение автоматического обновления пароля машинной учетной записи контроллера домена
Domain member: Maximum machine account password age (Член домена: максимальный срок действия пароля учетной записи компьютера)	`DomainMember:MaximumPasswordAge`	`dcpwd:machine password maximum age`	Период действия пароля машинной учетной записи контроллера домена в днях
Net Logon (путь в GPME: Computer Configuration/Конфигурация компьютера → Administrative Templates/Административные шаблоны → System/Система → Net Logon → Set scavenge interval/Установка интервала очистки)
Set scavenge interval (Установка интервала очистки)	`DomainMember:ScavengeInterval`	`mtsrv:run_interval_update_dc_password`	Периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена в секундах
Конфигурация расширенной политики аудита (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Advanced Audit Policy Configuration/Конфигурация расширенной политики аудита → Audit Policies / Политики аудита)
Доступ к службе каталогов (DS) (DS Access)
Audit Directory Service Access (Аудит доступа к службе каталогов)	`AuditDirectoryServiceAccess`	`advanced_audit:directory_service_access`	Регистрация событий, связанных с попытками доступа к объектам службы каталогов
Audit Directory Service Changes (Аудит изменения службы каталогов)	`AuditDirectoryServiceChanges`	`advanced_audit:directory_service_changes`	Регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов
Audit Directory Service Replication (Аудит репликации службы каталогов)	`AuditDirectoryServiceReplication`	`advanced_audit:directory_service_replication`	Регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена
Audit Detailed Directory Service Replication (Аудит подробной репликации службы каталогов)	`AuditDetailedDirectoryServiceReplication`	`advanced_audit:detailed_directory_service_replication`	Регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации
Управление учетными записями (Audit Account Management)
Audit Application Group Management (Аудит управления группами приложений)	`AuditApplicationGroupManagement`	`advanced_audit:application_group_management`	Регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.)
Audit Computer Account Management (Аудит управления учетными записями компьютеров)	`AuditComputerAccountManagement`	`advanced_audit:computer_account_management`	Регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.)
Audit Distribution Group Management (Аудит управления группами распространения)	`AuditDistributionGroupManagement`	`advanced_audit:distribution_group_management`	Регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.)
Audit Security Group Management (Аудит управления группами безопасности)	`AuditSecurityGroupManagement`	`advanced_audit:security_group_management`	Регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.)
Audit User Account Management (Аудит управления учетными записями пользователей)	`AuditUserAccountManagement`	`advanced_audit:user_account_management`	Регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.)
Audit Other Account Management Events (Аудит других событий управления учетными записями)	`AuditOtherAccountManagementEvents`	`advanced_audit:other_account_management_events`	Регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей)
Вход учетной записи (Account Logon)
Audit Credential Validation (Аудит проверки учетных данных)	`AuditCredentialValidation`	`advanced_audit:credential_validation`	Регистрация событий, связанных с проверкой учетных данных при входе пользователей в систему
Audit Kerberos Authentication Service (Аудит службы проверки подлинности Kerberos)	`AuditKerberosAuthenticationService`	`advanced_audit:kerberos_authentication_service`	Регистрация событий, связанных с запросами билетов TGT (Ticket Granting Ticket) для аутентификации Kerberos
Audit Kerberos Service Ticket Operations (Аудит операций с билетами службы Kerberos)	`AuditKerberosServiceTicketOperations`	`advanced_audit:kerberos_service_ticket_operations`	Регистрация событий, связанных с запросами и продлениями сервисных билетов Kerberos
Audit Other Account Logon Events (Аудит других событий входа учетных записей)	`AuditOtherAccountLogonEvents`	`advanced_audit:other_account_logon_events`	Регистрация событий, связанных с ответами на запросы проверки учетных данных при входе пользователей в систему, которые не покрываются другими категориями
Использование привилегий (Privilege Use)
Audit Non Sensitive Privilege Use (Аудит использования привилегий, не затрагивающих конфиденциальные данные)	`AuditNonSensitivePrivilegeUse`	`advanced_audit:non_sensitive_privilege_use`	Регистрация событий, связанных с использованием процессом или пользователем привилегий, которые не затрагивают конфиденциальные данные
Audit Sensitive Privilege Use (Аудит использования привилегий, затрагивающих конфиденциальные данные)	`AuditSensitivePrivilegeUse`	`advanced_audit:sensitive_privilege_use`	Регистрация событий, связанных с использованием процессом или пользователем привилегий, которые затрагивают конфиденциальные данные
Audit Other Privilege Use Events (Аудит других событий использования привилегий)	`AuditOtherPrivilegeUseEvents`	`advanced_audit:other_privilege_use_events`	Регистрация событий, связанных с использованием процессом или пользователем привилегий, которые не охвачены более специфическими политиками аудита
Политика KDC (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Administrative Templates/Административные шаблоны → System/Система → KDC/KDC)
KDC support for PKInit Freshness Extension	`PKInitFreshness`	`kdc:pkinit_freshness`	Поддержка расширения PKINIT Freshness. Соответствует ключу реестра `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters\PKINITFreshness` в Active Directory и параметру в конфигурации Kerberos `pkinit_require_freshness`. См. также примечание о приоритетности применения данной настройки по сравнению с конфигурацией в krb5.conf и параметром `kdc:pkinit_freshness` в smb.conf

Добавление групповой политики

Для задания или изменения настроек политик паролей, блокировки учетных записей, Kerberos, аудита или смены пароля машинной учетной записи контроллера домена с помощью групповой политики используется следующий формат вызова:

samba-tool gpo manage security set <gpo> <setting> <value> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.

Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения.

Поддерживаются следующие настройки:

атрибуты политики паролей:
- MinimumPasswordAge — минимальный срок использования пароля до его смены (в днях);
  Возможные значения:
  
  0 — пароль может быть сменен сразу после его установки;
  
  1–998 — пароль может быть сменен через указанное количество дней.
  
  Дополнительные условия:
  
  если MaximumPasswordAge больше 0, значение MinimumPasswordAge должно быть меньше его;
  
  если значение MaximumPasswordAge равно 0, параметр MinimumPasswordAge может иметь любое значение в рамках допустимого диапазона.
- MaximumPasswordAge — максимальный срок использования пароля до его смены (в днях);
  Возможные значения:
  
  0 — срок действия пароля неограничен;
  
  1–999 — срок действия пароля в днях.
- MinimumPasswordLength — минимальная длина пароля;
  Возможные значения:
  
  0 — пароль не требуется;
  
  1–14 — минимальное количество символов в пароле.
- PasswordComplexity — соответствие требованиям к сложности пароля;
  Возможные значения:
  
  on|1 (соответствует Enabled/Включен в GPME) — пароль должен соответствовать следующим требованиям:
  
  не содержит полностью значение атрибута samAccountName или displayName учетной записи (без учета регистра);
  
  содержит символы как минимум из трех из следующих категорий:
  
  прописные буквы;
  
  строчные буквы;
  
  цифры от 0 до 9;
  
  специальные символы ~!@#$%^&*_-+=`\|\()\{}[]:;"'<>,.?/
  
  символы Unicode, классифицируемые как буквенно-цифровые, но не имеющие регистра.
  
  off|0 (соответствует Disabled/Отключен в GPME) — пароль может не соответствовать требованиям к сложности.
- PasswordHistorySize — количество уникальных новых паролей, которое должно смениться после использования определенного пароля, чтобы его можно было установить для учетной записи повторно;
  Возможные значения:
  
  0 — один и тот же пароль может использоваться многократно без ограничений;
  
  1-24 — количество смен пароля перед тем, как его можно будет использовать повторно.
атрибуты политики блокировки учетных записей:
- LockoutBadCount — количество неуспешных попыток входа до блокировки учетной записи;
  Возможные значения:
  
  0 — учетная запись не блокируется;
  
  1-999 — количество неуспешных попыток входа, по достижении которого учетная запись блокируется.
  
  Если LockoutBadCount больше 0, значение атрибута LockoutDuration должно быть больше значения атрибута ResetLockoutCount или равно ему.
- LockoutDuration — продолжительность блокировки учетной записи (в минутах);
  Возможные значения:
  
  0 — учетная запись блокируется до тех пор, пока она не будет разблокирована вручную администратором;
  
  1-99999 — период в минутах, в течение которого учетная запись будет заблокирована перед автоматической разблокировкой.
  
  Если LockoutBadCount больше 0, значение атрибута LockoutDuration должно быть больше значения атрибута ResetLockoutCount или равно ему.
- ResetLockoutCount — время до сброса счетчика неуспешных попыток входа (в минутах);
  
  Возможные значения — 1-999 (минуты).
  
  Если LockoutBadCount больше 0, значение атрибута ResetLockoutCount должно быть меньше значения атрибута LockoutDuration или равно ему.
атрибуты политики Kerberos:
- MaxRenewAge — максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях);
  
  Возможные значения:
  - 0 — неограниченный период действия билета;
  - 1-999 — период для возобновления билета в днях.
- MaxServiceAge — максимальный период действия сервисного билета для аутентификации Kerberos (в минутах);
  Возможные значения:
  
  0 — неограниченный период действия билета;
  
  10-999 — период действия билета в минутах.
  
  Значение MaxServiceAge должно быть больше 10 минут, а также — меньше значения атрибута MaxTicketAge или равно ему.
  
  По истечении срока действия сервисного билета необходимо возобновить существующий билет или запросить новый.
- MaxTicketAge — максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах);
  Возможные значения:
  
  0 — неограниченный период действия билета;
  
  1-999 — период действия билета в часах.
  
  По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.
- MaxClockSkew — максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах);
  
  Возможный диапазон значений: от 1 минуты до 999 минут.
параметры смены пароля машинной учетной записи контроллера домена:
- DomainMember:DisablePasswordChange — отключение автоматического обновления пароля машинной учетной записи контроллера домена;
  Возможные значения:
  
  1 — автоматическое обновление отключено;
  
  0 — автоматическое обновление включено.
- DomainMember:MaximumPasswordAge — период действия пароля машинной учетной записи контроллера домена (в днях);
  
  Возможный диапазон значений: от 1 дня до 999 дней.
- DomainMember:ScavengeInterval — периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена (в секундах).
  
  Возможный диапазон значений: от 1 до 86400 секунд.

параметры расширенной политики аудита:

доступ к службе каталогов (DS):

AuditDirectoryServiceAccess — регистрация событий, связанных с попытками доступа к объектам службы каталогов;

В текущей версии Эллес в рамках подкатегории реализован вывод для события аудита Windows 4662 («Выполнена операция над объектом» / "An operation was performed on an object").

AuditDirectoryServiceChanges — регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.
AuditDirectoryServiceReplication — регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.
AuditDetailedDirectoryServiceReplication — регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток доступа к службе каталогов;
failure|2 — регистрация только неуспешных попыток доступа к службе каталогов;
all|3 — регистрация успешных и неуспешных попыток доступа к службе каталогов.

управление учетными записями:

AuditApplicationGroupManagement — регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

AuditComputerAccountManagement — регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4741 («Создана учетная запись компьютера» / "A computer account was created");
4742 («Изменена учетная запись компьютера» / "A computer account was changed");
4743 («Удалена учетная запись компьютера» / "A computer account was deleted").

AuditDistributionGroupManagement — регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4744 («Создана локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was created");
4745 («Изменена локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was changed");
4746 («Добавлен пользователь к локальной группе с отключенной проверкой безопасности» / "A member was added to a security-disabled local group");
4747 («Удален пользователь из локальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled local group");
4748 («Удалена локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was deleted");
4749 («Создана глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was created");
4750 («Изменена глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was changed");
4751 («Добавлен пользователь к глобальной группе с отключенной проверкой безопасности» / "A member was added to a security-disabled global group");
4752 («Удален пользователь из глобальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled global group");
4753 («Удалена глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was deleted");
4759 («Создана универсальная группа с отключенной проверкой безопасности» / "A security-disabled universal group was created");
4760 («Изменена универсальная группа с отключенной проверкой безопасности» / "A security-disabled universal group was changed");
4761 («Член добавлен к универсальной группы с отключенной проверкой безопасности» / "A member was added to a security-disabled universal group");
4762 («Удален пользователь из универсальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled universal group");
4764 («Изменен тип группы» / "A group’s type was changed").

AuditSecurityGroupManagement — регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4727 («Создана глобальная группа с включенной безопасностью» / "A security-enabled global group was created");
4728 («Добавлен пользователь к глобальной группе с включенной безопасностью» / "A member was added to a security-enabled global group");
4729 («Удален пользователь из глобальной группы с включенной безопасностью» / "A member was removed from a security-enabled global group");
4730 («Удалена глобальная группа с включенной безопасностью» / "A security-enabled global group was deleted");
4731 («Создана локальная группа с включенной безопасностью» / "A security-enabled local group was created");
4732 («Добавлен пользователь в локальную группу с включенной безопасностью» / "A member was added to a security-enabled local group");
4733 («Удален пользователь из локальной группы с включенной безопасностью» / "A member was removed from a security-enabled local group");
4734 («Удалена локальная группа с включенной безопасностью» / "A security-enabled local group was deleted");
4735 («Изменена локальная группа с включенной безопасностью» / "A security-enabled local group was changed");
4737 («Изменена глобальная группа с включенной безопасностью» / "A security-enabled global group was changed");
4754 («Создана универсальная группа с включенной безопасностью» / "A security-enabled universal group was created");
4755 («Изменена универсальная группа с включенной безопасностью» / "A security-enabled universal group was changed");
4756 («Добавлен пользователь к универсальной группе с включенной безопасностью» / "A member was added to a security-enabled universal group");
4757 («Удален пользователь из универсальной группы с включенной безопасностью» / "A member was removed from a security-enabled universal group");
4758 («Удалена универсальная группа с включенной безопасностью» / "A security-enabled universal group was deleted");
4764 («Изменен тип группы» / "A group’s type was changed").

AuditUserAccountManagement — регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4720 («Учетная запись пользователя создана» / "A user account was created");
4723 («Изменен пароль учетной записи» / "An attempt was made to change an account’s password");
4724 («Сброс пароля пользователя» / "An attempt was made to reset an account’s password");
4726 («Учетная запись пользователя удалена» / "A user account was deleted");
4738 («Изменена учетная запись пользователя» / "A user account was changed");
4740 («Учетная запись пользователя заблокирована» / "A user account was locked out").

AuditOtherAccountManagementEvents — регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей);

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток управления учетной записью;
failure|2 — регистрация только неуспешных попыток управления учетной записью;
all|3 — регистрация успешных и неуспешных попыток управления учетной записью.

вход учетной записи:

AuditCredentialValidation — регистрация событий, связанных с проверкой учетных данных при входе пользователей в систему;

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4776 («Предпринята попытка проверить учетные данные для учетной записи на контроллере домена» / "The domain controller attempted to validate the credentials for an account");
4777 («Не удается проверить учетные данные для учетной записи на контроллере домена» / "The domain controller failed to validate the credentials for an account").

Фактически событие не используется. Вместо него формируется событие 4776.

AuditKerberosAuthenticationService — регистрация событий, связанных с запросами билетов TGT (Ticket Granting Ticket) для аутентификации Kerberos;

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4768 («Запрошен билет проверки подлинности Kerberos (TGT)» / "A Kerberos authentication ticket (TGT) was requested");
4771 («Не удалось выполнить предварительную проверку подлинности Kerberos» / "Kerberos preauthentication failed").

AuditKerberosServiceTicketOperations — регистрация событий, связанных с запросами и продлениями сервисных билетов Kerberos;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.
AuditOtherAccountLogonEvents — регистрация событий, связанных с ответами на запросы проверки учетных данных при входе пользователей в систему, которые не покрываются другими категориями;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток управления учетной записью;
failure|2 — регистрация только неуспешных попыток управления учетной записью;
all|3 — регистрация успешных и неуспешных попыток управления учетной записью.

использование привилегий:

AuditNonSensitivePrivilegeUse — регистрация событий, связанных с использованием следующих привилегий, определяющих типы системных операций, которые может выполнять процесс или пользователь:

SeAddUsersPrivilege ("Add users and groups to the domain" / «Добавление пользователей и групп в домен») — позволяет создавать новые учетные записи пользователей и групп в домене или на локальном компьютере;
SeChangeNotifyPrivilege ("Bypass traverse checking" / «Обход перекрестной проверки») — позволяет обходить проверки безопасности при обходе каталогов (аудит операции доступен, когда установлен флаг SAMBA_FULL_PRIVILEGE_AUDITING);
SeCreateGlobalPrivilege ("Create global objects" / «Создание глобальных объектов») — позволяет создавать объекты в глобальном пространстве имен в диспетчере объектов;
SeCreatePagefilePrivilege ("Create a page file" / «Создание файла подкачки») — позволяет создавать файл подкачки на диске и управлять им;
SeDiskOperatorPrivilege ("Manage disk shares" / «Управление общими папками») — позволяет управлять дисковыми ресурсами, включая создание, удаление и изменение общих папок;
SeIncreaseBasePriorityPrivilege ("Increase scheduling priority" / «Увеличение приоритета выполнения») — позволяет процессу повышать свой приоритет выполнения выше базового уровня, давая ему больше процессорного времени;
SeIncreaseQuotaPrivilege ("Adjust memory quotas for a process" / «Настройка квот памяти для процесса») — позволяет процессу увеличивать собственный набор рабочих страниц в памяти или выделять больше виртуальной памяти, чем обычно разрешено для процессов;
SeMachineAccountPrivilege ("Add workstations to domain" / «Добавление рабочих станций к домену») — позволяет добавлять компьютеры в домен и управлять их учетными записями;
SeManageVolumePrivilege ("Perform volume maintenance tasks" / «Выполнение задач по обслуживанию томов») — позволяет выполнять низкоуровневые операции управления дисковыми томами;
SePrintOperatorPrivilege ("Manage printers" / «Управление принтерами») — позволяет управлять принтерами на локальном компьютере или в домене;
SeSystemEnvironmentPrivilege ("Modify firmware environment values" / «Изменение значений среды встроенного ПО») — позволяет изменять системные переменные среды;
SeSystemProfilePrivilege ("Profile system performance" / «Профилирование производительности системы) — позволяет собирать данные о производительности системы, профилировать работу ядра и драйверов в режиме ядра для анализа и оптимизации работы системы, а также для отладки;
SeProfileSingleProcessPrivilege ("Profile single process" / «Профилирование одного процесса») — позволяет профилировать один процесс, то есть анализировать его производительность и поведение, измерять время выполнения инструкций, потребление ресурсов и т. п.;
SeRemoteShutdownPrivilege ("Force shutdown from a remote system" / «Принудительное удаленное завершение работы» — позволяет удаленно завершать работу или перезагружать компьютер в сети;
SeShutdownPrivilege ("Shut down the system" / «Завершение работы системы») — позволяет пользователям или службам безопасно выключать компьютер или перезагружать его, даже если у них нет полных административных прав;
SeSystemtimePrivilege ("Change the system time" / «Изменение системного времени)» — позволяет изменять дату и время на компьютере;
SeUndockPrivilege ("Remove computer from docking station" / «Отключение компьютера от стыковочного узла») — позволяет отсоединять системные устройства, такие как док-станции или USB-устройства, без необходимости полного выхода из системы или специальных прав администратора;

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows 4673 («Была вызвана привилегированная служба» / "A privileged service was called") и 4674 («Операция была предпринята для привилегированного объекта» / "An operation was attempted on a privileged object").

AuditSensitivePrivilegeUse — регистрация событий, связанных с использованием следующих привилегий, определяющих типы системных операций, которые может выполнять процесс или пользователь:
- SeBackupPrivilege ("Back up files and directories" / «Архивация файлов и каталогов») — позволяет пользователю или процессу обходить стандартные разрешения безопасности (ACL) и читать любые файлы и каталоги на диске для целей резервного копирования (аудит операции доступен, когда установлен флаг SAMBA_FULL_PRIVILEGE_AUDITING);
- SeImpersonatePrivilege ("Impersonate a client after authentication" / «Олицетворять клиента после проверки подлинности») — позволяет процессу представляться или имитировать контекст безопасности (учетную запись) другого процесса или пользователя, который его вызвал, например, при создании сетевого соединения или доступе к ресурсам;
- SeLoadDriverPrivilege ("Load and unload device drivers" / «Загрузка и выгрузка драйверов устройств»") — позволяет процессу загружать и выгружать драйверы устройств (файловые системы и другие драйверы), а также получать доступ к системным ресурсам, связанным с драйверами;
- SeRestorePrivilege ("Restore files and directories" / «Восстановление файлов и каталогов») — позволяет пользователю или процессу обходить стандартные разрешения безопасности (ACL) и выполнять запись в любые файлы и каталоги на диске для целей восстановления данных из резервных копий (аудит операции доступен, когда установлен флаг SAMBA_FULL_PRIVILEGE_AUDITING);
- SeDebugPrivilege ("Debug programs" / «Отладка программ») — позволяет пользователю или процессу отлаживать другие процессы, присоединяться к ним и управлять ими, даже если он не является их владельцем, давая доступ к их памяти и состоянию (аудит операции доступен, когда установлен флаг SAMBA_FULL_PRIVILEGE_AUDITING);
- SeSecurityPrivilege ("Manage auditing and security log" / «Управление журналом аудита и безопасности») — позволяет управлять журналом аудита безопасности, включая его очистку и изменение политики аудита;
- SeTakeOwnershipPrivilege ("Take ownership of files or other objects" / «Смена владельцев файлов и других объектов») — позволяет пользователю стать владельцем любых файлов или других объектов в системе, даже если у него нет прямых прав на них;
- SeEnableDelegationPrivilege ("Enable computer and user accounts to be trusted for delegation" / «Разрешение доверия к учетным записям компьютеров и пользователей при делегировании») — позволяет объекту (пользователю или компьютеру) делегировать свои учетные данные для аутентификации других служб в домене;

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows 4673 («Была вызвана привилегированная служба» / "A privileged service was called") и 4674 («Операция была предпринята для привилегированного объекта.» / "An operation was attempted on a privileged object").

AuditOtherPrivilegeUseEvents — регистрация информационного события в ОС Windows, которое генерируется диспетчером транзакций файловой системы при изменении статуса какой-либо транзакции (например, при ее завершении, откате или подтверждении);

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток использования привилегий;
failure|2 — регистрация только неуспешных попыток использования привилегий;
all|3 — регистрация успешных и неуспешных попыток использования привилегий.

атрибуты политики KDC:

PKInitFreshness — режим поддержки расширения PKINIT Freshness.

Возможные значения:

-1 (по умолчанию) — атрибут не установлен (режим Not Configured; используется значение параметра pkinit_require_freshness из системной конфигурации Kerberos в файле /etc/krb5.conf);

Поскольку по умолчанию pkinit_require_freshness = false, без дополнительной настройки сервер KDC на контроллере домена Эллес будет работать в режиме поддержки расширения PKINIT Freshness (режим Supported). В этом режиме KDC генерирует подтверждающий актуальность запроса токен (freshness token), но не требует его наличия в ответе от клиента:

если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
если клиент не поддерживает расширение PKINIT Freshness и не вернет токен, сервер KDC обработает запрос штатно, без ошибки.

0 — расширение PKINIT Freshness отключено (режим Disabled);

KDC не формирует и не отправляет клиенту freshness token и не ожидает его в последующем PKINIT-запросе.
1 — расширение PKINIT Freshness включено, но его использование не является обязательным (режим Supported);

KDC генерирует и отправляет клиенту freshness token:
- если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
- если клиент не поддерживает расширение PKINIT Freshness и не вернет токен, сервер KDC обработает запрос штатно, без ошибки.
2 — расширение PKINIT Freshness включено и его использование является обязательным (режим Required).

KDC отправляет клиенту freshness token и требует его возврата:
- если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
- если клиент не поддерживает расширение PKINIT Freshness или не включит токен в ответный запрос, KDC отклонит запрос и вернет ошибку.

Настройка PKInitFreshness, заданная в объекте групповой политики (GPO), имеет более высокий приоритет по сравнению с параметрами, указанными в файлах smb.conf и krb5.conf. При обновлении политик (например, при выполнении samba-gpupdate) значение, определенное в GPO, автоматически применяется на контроллере домена и записывается в параметр kdc:pkinit_freshness в smb.conf.

Если после применения групповой политики администратор вручную изменит kdc:pkinit_freshness в smb.conf, то эта локальная настройка будет иметь приоритет на данном контроллере домена, но будет переопределена при следующем изменении значения в GPO и вызове утилиты samba-gpupdate.

Настройки, указанные в krb5.conf, имеют более низкий приоритет и используются только при отсутствии значений в GPO и smb.conf.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример задания максимального периода действия TGT-билета с помощью групповой политики:

Добавьте атрибут MaxTicketAge с требуемым значением в объект GPO (в примере используется Default Domain Policy):
```
samba-tool gpo manage security set {31B2F340-016D-11D2-945F-00C04FB984F9} \
   MaxTicketAge 10
```

Для проверки доступности политики на машине с ролью server role = active directory domain controller используйте утилиту samba-gpupdate:

sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Policy
=================================================================
  CSE: gp_krb_ext
  -----------------------------------------------------------
    Policy Type: Kerberos Policy
    -----------------------------------------------------------
    [ MaxTicketAge ] = 10
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

Обновите политики на машине:
```
sudo /app/inno-samba/sbin/samba-gpupdate --force
```
Для проверки применения политики, например, используйте инструмент для работы с БД:
```
sudo tdbdump /app/inno-samba/var/cache/gpo.tdb \
 -k 'kdc:user_ticket_lifetime'; echo
10
```

Пример изменения периодичности смены пароля машинной учетной записи контроллера домена (DC2 в примере):

Добавьте параметр DomainMember:MaximumPasswordAge с требуемым значением в объект GPO (в примере используется Default Domain Controller Policy):
```
samba-tool gpo manage security set {6AC1786C-016F-11D2-945F-00C04fB984F9} \
   'DomainMember:MaximumPasswordAge' 25
```

sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Controller Policy
=================================================================
  CSE: gp_reg_conf_ext
  -----------------------------------------------------------
    Policy Type: Registry Values
    -----------------------------------------------------------
    [ DomainMember:MaximumPasswordAge ] = 25
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

Обновите политики на машине:
```
sudo /app/inno-samba/sbin/samba-gpupdate --force
```

Для проверки применения политики по истечении установленного периода проверьте значение атрибута pwdLastSet контроллера домена:

ldbsearch -H ldap://DC2.elles.inno.tech -b "CN=DC2,OU=Domain Controllers,DC=elles,DC=inno,DC=tech -s base pwdLastSet --use-kerberos=required \
| sed -ne 's/^pwdLastSet: //p' \
| awk '{dat=($0/10000000)-11644473600;print strftime("%c",dat)}'

Пример настройки параметров аудита использования привилегий:

Получите GUID объекта групповой политики (GPO), который будет использоваться при настройке (в примере используется предварительно созданный объект GPO с отображаемым именем "Privilege Use Policy"):
```
gpo="Privilege Use Policy"
guid=$(samba-tool gpo listall | grep -B1 "$gpo" | grep -oE '\{[A-F0-9-]\+\}' | head -n1)
echo $guid
{536A0757-6090-46D4-9464-495F8D4ABE02}
```

Измените значения параметров аудита использования привилегий. Например:

mode="all"
name="AuditOtherPrivilegeUseEvents"
samba-tool gpo manage security set $guid $name $mode
name="AuditSensitivePrivilegeUse"
samba-tool gpo manage security set $guid $name $mode
name="AuditNonSensitivePrivilegeUse"
samba-tool gpo manage security set $guid $name $mode

Проверьте текущие значения параметров в GPO:

samba-tool gpo manage security list $guid

AuditOtherPrivilegeUseEvents = all
AuditSensitivePrivilegeUse = all
AuditNonSensitivePrivilegeUse = all

Примените изменения:

samba-gpupdate --force | grep -i "privilege_use"

2025-12-11 12:11:02.064|[I63705]| advanced_audit:other_privilege_use_events was changed from b'2' to 3 | {}
2025-12-11 12:11:02.064|[I14215]| advanced_audit:sensitive_privilege_use was changed from b'2' to 3 | {}
2025-12-11 12:11:02.064|[I89865]| advanced_audit:non_sensitive_privilege_use was changed from b'2' to 3 | {}

Обновление политик аудита в Эллес выполняется с периодичностью, установленной конфигурационным параметром audit:policies_refresh_interval в smb.conf. По умолчанию интервал обновления составляет 300 секунд (5 минут).

Получение информации о групповой политике

Для получения информации об объекте GPO, задающем настройки политики паролей, блокировки учетных записей, Kerberos, аудита или смены пароля машинной учетной записи контроллера домена, в SysVol используется следующий формат вызова:

samba-tool gpo manage security list <gpo> [options]

Подкоманда выводит список настроек, установленных в объекте GPO.

В выводе подкоманды могут содержаться следующие настройки:

атрибуты политики паролей:
- MinimumPasswordAge — минимальный срок использования пароля до его смены (в днях);
- MaximumPasswordAge — максимальный срок использования пароля до его смены (в днях);
- MinimumPasswordLength — минимальная длина пароля;
- PasswordComplexity — соответствие требованиям к сложности пароля;
- PasswordHistorySize — количество уникальных новых паролей, которое должно смениться после использования определенного пароля, чтобы его можно было установить для учетной записи повторно;
атрибуты политики блокировки учетных записей:
- LockoutBadCount — количество неуспешных попыток входа до блокировки учетной записи;
- LockoutDuration — продолжительность блокировки учетной записи (в минутах);
- ResetLockoutCount — время до сброса счетчика неуспешных попыток входа (в минутах);
атрибуты политики Kerberos:
- MaxRenewAge — максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях);
- MaxServiceAge — максимальный период действия сервисного билета для аутентификации Kerberos (в минутах);
- MaxTicketAge — максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах);
- MaxClockSkew — максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах);
параметры смены пароля машинной учетной записи контроллера домена:
- DomainMember:DisablePasswordChange — отключение автоматического обновления пароля машинной учетной записи контроллера домена;
- DomainMember:MaximumPasswordAge — период действия пароля машинной учетной записи контроллера домена (в днях);
- DomainMember:ScavengeInterval — периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена (в секундах);
параметры расширенной политики аудита:
- доступ к службе каталогов (DS):
  - AuditDirectoryServiceAccess — регистрация событий, связанных с попытками доступа к объектам службы каталогов;
  - AuditDirectoryServiceChanges — регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов;
  - AuditDirectoryServiceReplication — регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена;
  - AuditDetailedDirectoryServiceReplication — регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации;
- управление учетными записями:
  - AuditApplicationGroupManagement — регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);
  - AuditComputerAccountManagement — регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.);
  - AuditDistributionGroupManagement — регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);
  - AuditSecurityGroupManagement — регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.);
  - AuditUserAccountManagement — регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.);
  - AuditOtherAccountManagementEvents — регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей);
- вход учетной записи:
  - AuditCredentialValidation — регистрация событий, связанных с проверкой учетных данных при входе пользователей в систему;
  - AuditKerberosAuthenticationService — регистрация событий, связанных с запросами билетов TGT (Ticket Granting Ticket) для аутентификации Kerberos;
  - AuditKerberosServiceTicketOperations — регистрация событий, связанных с запросами и продлениями сервисных билетов Kerberos;
  - AuditOtherAccountLogonEvents — регистрация событий, связанных с ответами на запросы проверки учетных данных при входе пользователей в систему, которые не покрываются другими категориями;
- использование привилегий:
  - AuditNonSensitivePrivilegeUse — регистрация событий, связанных с использованием следующих привилегий, определяющих типы системных операций, которые может выполнять процесс или пользователь;
  - AuditSensitivePrivilegeUse — регистрация событий, связанных с использованием следующих привилегий, определяющих типы системных операций, которые может выполнять процесс или пользователь;
  - AuditOtherPrivilegeUseEvents — регистрация информационного события в ОС Windows, которое генерируется диспетчером транзакций файловой системы при изменении статуса какой-либо транзакции (например, при ее завершении, откате или подтверждении);

атрибуты политики KDC:
- PKInitFreshness — режим поддержки расширения PKINIT Freshness.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения настроек, применяемых в рамках групповой политики безопасности:

samba-tool gpo manage security list {31B2F340-016D-11D2-945F-00C04FB984F9}
MaxTicketAge = 10