Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Informacje w tym temacie objaśniają ulepszenia inspekcji zabezpieczeń wprowadzone w systemie Windows Server 2012 i nowe ustawienia inspekcji, które należy wziąć pod uwagę podczas wdrażania dynamicznej kontroli dostępu w przedsiębiorstwie. Rzeczywiste wdrożone ustawienia zasad inspekcji zależą od celów, które mogą obejmować zgodność z przepisami, monitorowanie, analizę kryminalistyczną i rozwiązywanie problemów.
Note
Szczegółowe informacje na temat planowania i wdrażania ogólnej strategii inspekcji zabezpieczeń dla przedsiębiorstwa wyjaśniono w temacie Planowanie i wdrażanie zaawansowanych zasad inspekcji zabezpieczeń. Aby uzyskać więcej informacji na temat konfigurowania i wdrażania zasad inspekcji zabezpieczeń, zobacz Przewodnik krok po kroku dotyczący zasad inspekcji zabezpieczeń zaawansowanych.
Następujące funkcje inspekcji zabezpieczeń w systemie Windows Server 2012 mogą być używane z dynamiczną kontrolą dostępu w celu rozszerzenia ogólnej strategii inspekcji zabezpieczeń.
Zasady inspekcji oparte na wyrażeniach. Dynamiczna kontrola dostępu umożliwia tworzenie docelowych zasad inspekcji przy użyciu wyrażeń opartych na oświadczeniach użytkowników, komputerów i zasobów. Można na przykład utworzyć politykę audytu, aby śledzić wszystkie operacje odczytu i zapisu na plikach o dużym wpływie na biznes, wykonywane przez pracowników, którzy nie mają wysokiego poziomu bezpieczeństwa. Zasady audytu oparte na wyrażeniach można tworzyć bezpośrednio dla pliku lub folderu lub centralnie za pomocą Zasad grupy. Aby uzyskać więcej informacji, zobacz Auditowanie dostępu do zasobów globalnych za pomocą zasad grupy.
Dodatkowe informacje z inspekcji dostępu do obiektów. Inspekcja dostępu do plików nie jest nowością w systemie Windows Server 2012. Dzięki odpowiednim zasadom inspekcji systemy operacyjne Windows i Windows Server generują zdarzenie inspekcji za każdym razem, gdy użytkownik uzyskuje dostęp do pliku. Istniejące zdarzenia dostępu do plików (4656, 4663) zawierają informacje o atrybutach pliku, do którego uzyskiwano dostęp. Te informacje mogą być używane przez narzędzia filtrowania dzienników zdarzeń, aby ułatwić identyfikowanie najbardziej odpowiednich zdarzeń inspekcji. Aby uzyskać więcej informacji, zobacz Audit Handle Manipulation oraz Audit Security Accounts Manager.
Więcej informacji na temat zdarzeń logowania użytkownika. Dzięki odpowiednim zasadom inspekcji systemy operacyjne Windows generują zdarzenie inspekcji za każdym razem, gdy użytkownik loguje się do komputera lokalnie lub zdalnie. W systemie Windows Server 2012 lub Windows 8 można również monitorować oświadczenia użytkowników i urządzeń skojarzone z tokenem zabezpieczającym użytkownika. Przykłady mogą obejmować uprawnienia działu, firmy, projektu i bezpieczeństwa. Zdarzenie 4626 zawiera informacje o roszczeniach użytkowników i roszczeniach urządzeń, które mogą być używane przez narzędzia do zarządzania dziennikami inspekcji do korelowania zdarzeń logowania użytkowników ze zdarzeniami dostępu do obiektów, co umożliwia filtrowanie zdarzeń na podstawie atrybutów plików i atrybutów użytkownika. Aby uzyskać więcej informacji na temat inspekcji logowania użytkowników, zobacz Inspekcja logowania.
Śledzenie zmian dla nowych typów zabezpieczanych obiektów. Śledzenie zmian w zabezpieczanych obiektach może być ważne w następujących scenariuszach:
Śledzenie zmian dla centralnych zasad dostępu i centralnych reguł dostępu. Centralne zasady dostępu i centralne reguły dostępu definiują centralne zasady, które mogą służyć do kontrolowania dostępu do krytycznych zasobów. Każda zmiana tych zmian może mieć bezpośredni wpływ na uprawnienia dostępu do plików, które są przyznawane użytkownikom na wielu komputerach. W związku z tym śledzenie zmian centralnych zasad dostępu i centralnych reguł dostępu może być ważne dla twojej organizacji. Ponieważ centralne zasady dostępu i centralne reguły dostępu są przechowywane w usługach Active Directory Domain Services (AD DS), można przeprowadzić inspekcję prób ich modyfikacji, takich jak inspekcja zmian w innych zabezpieczanych obiektach w usługach AD DS. Aby uzyskać więcej informacji, zobacz Inspekcja dostępu do usługi katalogowej.
Śledzenie zmian definicji w słowniku oświadczeń. Definicje oświadczeń obejmują nazwę oświadczenia, opis i możliwe wartości. Każda zmiana definicji oświadczenia może mieć wpływ na uprawnienia dostępu do krytycznych zasobów. W związku z tym śledzenie zmian definicji oświadczeń może być ważne dla organizacji. Podobnie jak centralne zasady dostępu i centralne reguły dostępu, definicje oświadczeń są przechowywane w usługach AD DS; w związku z tym mogą być poddawane inspekcji, jak każdy inny zabezpieczany obiekt w usługach AD DS. Aby uzyskać więcej informacji, zobacz Inspekcja dostępu do usługi katalogowej.
Śledzenie zmian atrybutów plików. Atrybuty pliku określają, która centralna reguła dostępu ma zastosowanie do pliku. Zmiana atrybutów pliku może potencjalnie wpłynąć na ograniczenia dostępu do pliku. W związku z tym ważne może być śledzenie zmian atrybutów pliku. Zmiany atrybutów plików można śledzić na dowolnym komputerze, konfigurując zasady inspekcji zmian zasad autoryzacji. Aby uzyskać więcej informacji, zobacz Inspekcja zmian zasad autoryzacji i Inspekcja dostępu do obiektów dla systemów plików. W systemie Windows Server 2012 zdarzenie 4911 rozróżnia zmiany zasad atrybutów plików od innych zdarzeń zmiany zasad autoryzacji.
Śledzenie zmian dla centralnych zasad dostępu skojarzonych z plikiem. Zdarzenie 4913 wyświetla identyfikatory zabezpieczeń (SID) starych i nowych centralnych zasad dostępu. Każda centralna zasada dostępu ma również przyjazną nazwę użytkownika, którą można wyszukać przy użyciu tego identyfikatora zabezpieczeń. Aby uzyskać więcej informacji, zobacz Inspekcja zmian zasad autoryzacji.
Śledzenie zmian atrybutów użytkownika i komputera. Podobnie jak pliki, obiekty użytkownika i komputera mogą mieć atrybuty, a zmiany w tych atrybutach mogą mieć wpływ na zdolność użytkownika do uzyskiwania dostępu do plików. W związku z tym warto śledzić zmiany atrybutów użytkownika lub komputera. Obiekty użytkowników i komputerów są przechowywane w usłudze AD DS, dlatego można przeprowadzić inspekcję zmian ich atrybutów. Aby uzyskać więcej informacji, zobacz DS Access.
Przygotowanie zmiany zasad. Zmiany centralnych zasad dostępu mogą mieć wpływ na decyzje kontroli dostępu na wszystkich komputerach, na których są wymuszane zasady. Luźne zasady mogą przyznać więcej dostępu niż jest to pożądane, a zbyt restrykcyjne zasady mogą wygenerować nadmierną liczbę połączeń pomocy technicznej. W związku z tym przed wymuszeniem zmiany w centralnej polityce dostępu może być niezwykle cenne potwierdzenie zmian. W tym celu system Windows Server 2012 wprowadza koncepcję "inscenizacji". Inscenizacja umożliwia użytkownikom zweryfikowanie proponowanych zmian zasad przed ich wymuszeniem. Aby użyć etapowania zasad, proponowane zasady są wdrażane razem z wymuszonymi, ale zasady etapowane nie udzielają ani nie odmawiają uprawnień. Zamiast tego system Windows Server 2012 rejestruje zdarzenie inspekcji (4818) za każdym razem, gdy wynik sprawdzania dostępu, który korzysta z zasad etapowych, różni się od wyniku sprawdzania dostępu, który korzysta z wymuszonych zasad.