Ansichten:
Hinweis
Hinweis
Das Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Das UserSet-Element repräsentiert eine Gruppe von Benutzern. Auf einem Windows-System arbeitet es mit Benutzern, die lokal auf dem System sind - dieselben Benutzer, die im MMC-Snap-In "Lokale Benutzer und Gruppen" angezeigt werden. Beachten Sie, dass es sich hierbei um lokale Benutzer handelt, wenn der Agent auf etwas anderem als einem Domänencontroller läuft. Auf einem Domänencontroller wird ein UserSet-Element alle Domänenbenutzer auflisten, was bei extrem großen Domänen möglicherweise nicht ratsam ist.
Auf Unix-Systemen sind die überwachten Benutzer diejenigen, die von den APIs "getpwent_r()" und "getspnam_r()" konfiguriert wurden, um zurückzukehren. Auf AIX-Systemen sind die überwachten Benutzer speziell diejenigen, die in der /etc/passwd-Datei aufgeführt sind.

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
onChange
Wird in Echtzeit überwacht
No
false
true, false

Entitätensatzattribute

Dies sind die Attribute der Entität, die überwacht werden können:

Allgemeine Attribute

  • cannotChangePassword: Wahr oder falsch, ob der Benutzer berechtigt ist, sein Passwort zu ändern.
  • disabled: Wahr oder falsch, ob das Konto deaktiviert wurde. Auf Windows-Systemen spiegelt dies das Kontrollkästchen "Deaktiviert" für den Benutzer wider. Auf Unix-Systemen ist dies wahr, wenn das Benutzerkonto abgelaufen ist oder wenn das Passwort abgelaufen ist und die Benutzer die Inaktivitätsfrist für die Änderung überschritten haben.
  • fullName: Der Anzeigename des Benutzers.
  • groups: Eine durch Kommas getrennte Liste der Gruppen, zu denen der Benutzer gehört.
  • homeFolder: Der Pfad zum Home-Ordner oder Verzeichnis.
  • lockedOut: Wahr oder falsch, was angibt, ob der Benutzer entweder explizit oder aufgrund zu vieler fehlgeschlagener Passwortversuche gesperrt wurde.
  • passwordHasExpired: Wahr oder falsch, ob das Passwort des Benutzers abgelaufen ist. Beachten Sie, dass dieses Attribut unter Windows nur auf Windows XP und neueren Betriebssystemen verfügbar ist.
  • passwordLastChanged: Der Zeitstempel der letzten Änderung des Benutzerpassworts. Dieser wird vom Agenten als Anzahl der Millisekunden seit dem 1. Januar 1970 UTC aufgezeichnet. Server- und Workload Protection gibt den Zeitstempel basierend auf diesem Wert in lokaler Zeit wieder. Beachten Sie, dass auf Unix-Plattformen die Auflösung dieses Attributs einen Tag beträgt, sodass die Zeitkomponente des wiedergegebenen Zeitstempels bedeutungslos ist. (Nicht von AIX unterstützt.)
  • passwordNeverExpires: Wahr oder falsch, ob das Passwort nicht abläuft.
  • user: Der Name des Benutzers, wie er dem Betriebssystem bekannt ist. Zum Beispiel "Administrator" oder "root".

Windows-exklusive Attribute

  • description: Die Hauptgruppe, zu der der Benutzer gehört.
  • homeDriveLetter: Der Laufwerksbuchstabe, dem ein Netzlaufwerk als Benutzer-Heimverzeichnis zugeordnet ist.
  • logonScript: Der Pfad zu einem Skript, das jedes Mal ausgeführt wird, wenn sich der Benutzer anmeldet.
  • profilePath: Ein Netzwerkpfad, wenn roaming oder obligatorische Windows-Benutzerprofile verwendet werden.

Linux-, AIX- und Solaris-Attribute

  • group: Die primäre Gruppe, zu der der Benutzer gehört.
  • logonShell: Der Pfad zum Shell-Prozess für den Benutzer.
  • passwordExpiredDaysBeforeDisabled: Die Anzahl der Tage, nachdem das Passwort des Benutzers abläuft, bis das Konto deaktiviert wird. Auf Solaris bezieht sich dieses Attribut auf die Anzahl der inaktiven Tage, bevor der Benutzer deaktiviert wird. (Nicht von AIX unterstützt.)
  • passwordExpiry: Das Datum, an dem das Benutzerkonto abläuft und deaktiviert wird.
  • passwordExpiryInDays: Die Anzahl der Tage, nach denen das Kennwort des Benutzers geändert werden muss.
  • passwordMinDaysBetweenChanges: Die minimale Anzahl von Tagen, die zwischen Passwortänderungen erlaubt sind.
  • passwordWarningDays: Die Anzahl der Tage, bevor das Passwort des Benutzers abläuft, an denen der Benutzer gewarnt wird.

Kurzzeichenattribute

  • Standard:
    • PasswortKannNichtGeändertWerden
    • deaktiviert
    • Gruppen
    • homeFolder
    • Passwort ist abgelaufen
    • PasswortZuletztGeändert
    • Passwort läuft nie ab
    • Benutzer
    • logonScript (nur Windows)
    • profilePath (nur Windows)
    • Gruppe (nur Linux)
    • logonShell (nur Linux)
    • PasswortablaufInTagen (nur Linux)
    • passwordMinDaysBetweenChanges (nur Linux)

Bedeutung von "Schlüssel"

Der Schlüssel ist der Benutzername. Dies ist kein hierarchisches EntitySet. Muster werden nur auf den Benutzernamen angewendet. Daher ist das "**"-Muster nicht anwendbar.
Das folgende Beispiel überwacht alle Benutzererstellungen oder -löschungen. (Beachten Sie, dass Attribute ausdrücklich ausgeschlossen sind, sodass die Gruppenmitgliedschaft nicht verfolgt wird):
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
Das folgende Beispiel würde die Erstellung und Löschung des "jsmith"-Kontos sowie alle Änderungen an den STANDARD-Attributen des Kontos nachverfolgen (da das STANDARD-Set für dieses EntitySet automatisch enthalten ist, wenn keine spezifische Attributliste angegeben ist):
<UserSet>
<include key="jsmith" />
</UserSet>

Unterelemente

Einbeziehen und Ausschließen

Siehe Integritätsüberwachungsregeln Sprache für eine allgemeine Beschreibung der erlaubten Attribute und Unterelemente von Include.

Besondere Attribute von Einschließen und Ausschließen für Benutzergruppen

Verschiedene andere Attribute des Benutzers können in Ein- und Ausschlussfunktionstests verwendet werden. Diese Tests vergleichen einen Wert mit dem Wert eines Benutzerattributs; beachten Sie die Plattformunterstützung für verschiedene Attribute - nicht alle Attribute sind plattformübergreifend oder sogar in Plattformversionen verfügbar, daher ist die Verwendung dieser Tests in Ein- und Ausschlusselementen von begrenztem Nutzen. Die Funktionstests unterstützen Unix-Glob-Muster mit * und ?, und es gibt keine Normalisierung von Pfadtrennzeichen oder anderen Zeichen - es handelt sich um einen einfachen Abgleich mit dem Wert des Attributs.
  • Deaktiviert: Entspricht true oder false dem deaktivierten Attribut des Benutzers. Das folgende Beispiel überwacht Benutzer mit einer primären Gruppe von entweder "users" oder "daemon":
<UserSet>
<include disabled="true"/>
</UserSet>
  • Gruppe: Führt eine Wildcard-Übereinstimmung mit der primären Gruppe des Benutzers durch. Dieser Test ist nur auf Unix-Systemen anwendbar. Das folgende Beispiel würde Benutzer mit einer primären Gruppe von entweder "users" oder "daemon" überwachen.
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet>
  • LockedOut: Führt einen Abgleich mit dem lockedOut-Attribut des Benutzers durch, um festzustellen, ob es wahr oder falsch ist.
  • PasswordHasExpired: Führt einen Abgleich mit dem Attribut passwordHasExpired des Benutzers durch, um festzustellen, ob es wahr oder falsch ist.
  • PasswordNeverExpires: Stimmt mit dem Attribut passwordNeverExpires des Benutzers überein, entweder wahr oder falsch.