通过SCOM实现安全审计

前几天，上方提出了一个需求：安全审计。

简单说一点儿，就是需要能够知道哪个账号再哪台SRV上登录过，哪个账号创建了账号的，以及什么账号删除啊，密码修改啊，等等事件的收集。

有人可能会说，这些要求实现起来很简单啊，在DC上把审核的组策略一开启，就OK了，DC上会自动收集的，到时候查看即可。

的确，这样做，DC是可以收集这些事件的记录，但是，查看和检索起来，方便嘛？信息量少还好说，大了呢？我可亲眼看见一台DC就这样小小的检索了一下ID为4672的全部事件，就立刻死掉的。自然，是这个查询界面死掉了，DC不至于就此死掉。（俺的DC没差劲儿到系统也能死掉的地步。）

每一种产品的出现，必然有它的市场。SCOM的审核收集服务就良好的支持了这样的一个需求。scom也算博大精深吧，我可还没有什么地方都掌握，只是领导提了这样一句，我就针对这一点开始了解scom的这项功能并尽力的将需求解决。

通过市场需求来研究产品，掌握它，发挥它的作用，和自己的才能。

由于公司目前使用的是scom2007，为了配合环境，砍了之前的scom2007r2，重新搭建了scom2007的环境，主要监控一下DC,SQL和一台XP。呵呵。

（不知道有没有朋友做过07升级到R2的项目，我听说是不好搞的，有经验的还请支援一下哦。）

在2007下测试了一番，不过，环境被自己搞乱了。哈哈。也没有及时写报告，所以，又重新搭建了scom2007r2的环境，这次只用了3台win2k8的服务器，一台DC，一台SCOM，一台SQL。

scom搭建的过程就不写了，因为网上大把。照着搭建就行了。其实，这次测试的过程中，个人发现，还是直接去看平台自带的帮助文档或者是ms网站上的library也是一件不错的事情。

 

安装审核收集服务器（ACS）（一下步骤以图所示）

 

  

 

这里的路径是SQL服务器的磁盘路径。

  

 

 

 

 

 

安装完成之后，可以在SQL服务器的磁盘及数据中看到对应的文件及库。

 

 

 

创建数据库之后，还需要手工导入ACS的报表，不然，我们依旧是看不到什么的。SCOM2007也是一样，都需要手工导入ACS的报表。

 

 

下面是以测试环境为例所键入的命令。

报表导入命令执行完成之后，我们需要以网页的方式打开scom的报表页面。

 

 

以上图所示，点击右侧的“显示详细信息”

 进入Audit Reports

 

 进入DB Audit

  选择windows集成安全性，然后点击“应用”。

完成以上步骤后，我们再进入SCOM的控制台，进入报表栏，可以看到相关的审核收集报表。

 

 

接下来，我们需要启用及启动scom的审核收集服务。

我们先找到监控面板下的，选择operations managerà代理à代理运行状况状态，如下图所示：

 

在代理状态一栏中，选择所要收集信息的服务器，并选择右侧的“启用审核收集”，并执行启用。

 

 

启用成功后，我们再执行“启动审核收集”

 

 

但这样并没用能够使SCOM可以收集到我们所需要审核的信息。

首先，scom的数据收集，来源于DC的审核策略的制定，如果域中没有制定任何的审核策略，将scom将无法收集相关信息。

我们需要在DC中启动相关的审核策略。

 

我们首先来启动账户管理的审核策略。

我们来创建两个账号。Hs.zhang和dd，和bob-a的账号，以便尝试验证相关审核收集的信息。并测试删除dd这个账号。

建立完毕后，查询相关报表，即可得到结果。

 

然后我们再定义账号登录事件及登录事件。

接下来再远程登录，修改用户密码等操作，并查询报表中的相关信息。

 

 

至此，可以初步确定SCOM中的审核收集服务的功能。

 不过，这只是对ACS这一项功能的实现做了一个初步的测试而已。

当我们搭建完毕，并通过一些设置得到一些结果之后，便会发现，对于安全审计的工作，还需要进一步的处理。scom只是一个基本数据的收集，但是，我们不可能仅仅将报表导出就OK了的。我们还需要针对不同的报表进行综合的处理。这样才能得到我们审计的目的。scom的报表，只是让我们有据可循罢了。

做管理，千万不能仅仅依靠一个管理平台。我们还需要有后续工作跟进，才能更好的发挥平台的作用。