Desativar auditoria de atributos específicos do ldap

Navegue suas respostas
4

Estou trabalhando em algumas auditorias para o PCI-DSS, notavelmente "Audit Directory Service Access". Isso cria um enorme volume de logs, baseado principalmente em algumas propriedades recorrentes específicas acessadas da mesma maneira.

Eu consegui identificar esses atributos por meio do TechNet. Nenhum dos que estou tendo problemas está visível na interface do usuário de auditoria em Usuários e Computadores do AD.

Estou a pensar que posso editar as definições do esquema em adsiedit e desativar a herança? Parece contraintuitivo, mas deve funcionar.

    
por Tim Brigham 16.11.2016 / 23:06

1 resposta

3

O que você deseja é modificar o atributo searchFlags do atributo de esquema que precisa ter a auditoria suprimida.

Guia passo-a-passo de auditoria do AD DS link

"Esquema

"Para evitar a possibilidade de um número excessivo de eventos serem gerados, há um controle adicional no esquema que você pode usar para criar exceções para o que é auditado.

"Por exemplo, se você quiser ver quais valores foram alterados como resultado de todas, exceto algumas modificações de atributos em um objeto de usuário, você pode definir um sinalizador no esquema para os atributos que não deseja que sejam auditados. A propriedade searchFlags de cada atributo define o comportamento, como se o atributo é indexado ou replicado para o catálogo global.A propriedade searchFlags possui sete bits definidos no momento.

"Se o bit 8 (indexação baseada em zero, valor 256) for definido para um atributo, o AD DS não registrará eventos de alteração quando modificações forem feitas no atributo. Isso se aplica a todos os objetos que contêm esse atributo."

    
por 16.11.2016 / 23:27

Tags

Melhor maneira de determinar se os IPs em uma sub-rede estão ativos ou inativos no Linux Como diminuir o intervalo de replicação entre sites do AD abaixo de 15 minutos?