Når du overvåger adgangen til styrede ressourcer og eventuelle ændringer af autorisationspolitikken, kan du spore mulige sikkerhedsproblemer, sikre brugeransvarlighed og skaffe beviser i tilfælde af brud på sikkerheden.

Overvågningstyper

I Authorization Manager kan du bruge to typer overvågning: overvågning i kørselstid og overvågning af ændringer af autorisationslageret.

Overvågning i kørselstid

Der er to aspekter ved overvågning i kørselstid:

  • Overvågning af programinitialisering i kørselstid, som udløser overvågningshændelser, når et program åbnes.

  • Overvågning af klientkontekst og adgangskontrol i kørselstid, som udløser overvågningshændelser, når der oprettes en klientkontekst, og hver gang klienten anmoder om adgangskontrol. Adgangskontrol er baseret på metoden AccessCheck, der er beskrevet i afsnittet Autorisation under Platform SDK. Du kan finde flere oplysninger om autorisationsrelaterede API'er (Application Programming Interfaces) under Autorisation. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?linkid=64031).

Du kan konfigurere overvågning i kørselstid til at logføre vellykket adgang, mislykket adgang eller begge.

Overvåge ændringer af autorisationslageret

Når du aktiverer overvågning af ændringer af autorisationslageret, udløses der en overvågningshændelse, hver gang autorisationslageret redigeres. Overvågningshændelsen logfører alle hændelser, vellykkede ændringer og mislykkede ændringer.

I forbindelse med overvågning af ændringer i autorisationslageret understøtter Authorization Manager NTFS-filsystemet (for XML-baserede autorisationslagre), Active Directory-domænetjenester (AD DS), Lightweight-katalogtjenester i Active Directory (AD LDS), og SQL Server.

Finde overvågningshændelser

Du kan få vist overvågningshændelser, der udløses af Authorization Manager, i hændelsesloggene på den pågældende computer:

  • Overvågningshændelser, der udløses i kørselstid, logføres i sikkerhedslogfilen på den klientcomputer, hvor programmet kører.

  • Overvågningshændelser for ændringer i autorisationslageret findes i sikkerhedsloggen på den computer, hvor lageret opbevares.

    • I tilfælde af et XML-baseret autorisationslager findes overvågningsposterne i Logbog på den computer, hvor XML-filen rent fysisk er gemt.

    • I tilfælde af et autorisationslager, der bruger AD DS eller AD LDS, findes overvågningsposterne i Logbog på den domænecontroller eller AD LDS-server, der åbnes.

    • I tilfælde af et SQL-baseret autorisationslager findes overvågningsposterne i Logbog på den computer, der er vært for SQL Server.

Overvågningstilgængelighed

Tilgængeligheden af overvågning afhænger af følgende:

  • Om autorisationslageret er baseret på AD DS, AD LDS, XML eller SQL.

  • Om overvågning er konfigureret på autorisationslagerniveau, programniveau eller områdeniveau.

I følgende tabel beskrives tilgængeligheden af de to overvågningstyper.

Niveau Overvågning i kørselstid er tilgængelig i Overvågning i kørselstid kørsel kan konfigureres på dette niveau i Overvågning af ændringer i autorisationslageret er tilgængelig i

Autorisationslager
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server

Program
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server
  • AD DS og AD LDS

  • SQL Server

Område
  • XML

  • AD DS og AD LDS

  • SQL Server

Ikke tilgængelig (konfigureret på programniveau)
  • AD DS og AD LDS

  • SQL Server

Hvis du vil bruge overvågning, skal du markere det relevante afkrydsningsfelt under fanen Overvågning. Hvis du vil aktivere overvågning i kørselstid, skal du markere afkrydsningsfeltet Overvågning af initialisering af runtime-program. Hvis du vil aktivere overvågning af ændringer i autorisationslagre, skal du markere afkrydsningsfeltet Runtime-klientkontekst og overvågning af adgangskontrol.

Konfigurere systemet til at tillade overvågning

Før du opretter overvågning, skal du fastlægge en overvågningspolitik. En overvågningspolitik angiver de kategorier af sikkerhedsrelaterede hændelser, du vil overvåge. Når Windows installeres første gang, er alle overvågningskategorier som standard deaktiveret.

Hvis du vil konfigurere, hvilket program og område der skal overvåges, skal du have rettigheden Administrer overvågning og sikkerhedslog på den computer, hvor autorisationslageret er gemt. Derudover skal du som regel logge på som medlem af gruppen Indbyggede administratorer eller angive en adgangskode, når du bliver bedt om det.

Hvis autorisationslageret er baseret på XML, skal du angive overvågning af objektadgang. Hvis autorisationslageret er baseret på AD DS eller AD LDS, skal du angive overvågning af adgang til katalogtjenesten.

Hvis du vil oprette overvågning af klientkontekst og adgangskontrol i kørselstid, skal brugere af programmer, der bruger Authorization Manager, tildeles rettigheden Generer sikkerhedsovervågninger. Hvis brugere af programmet ikke er tildelt denne rettighed, registreres der ingen overvågningshændelser.

Aktivere overvågning af objektadgang

Overvågning af objektadgang er som standard slået fra. Hvis du vil slå funktionen til, skal du bruge gruppepolitik på niveauet for domæne, domænecontroller eller anden organisationsenhed i AD DS eller AD LDS. Du kan også bruge den lokale sikkerhedspolitik.

Hvis det XML-baserede autorisationslager er placeret på en domænecontroller, er gruppepolitikobjektet Politik for de domænecontrollere, der anvendes som standard det mest passende sted at slå overvågning af objektadgang til. Hvis det XML-baserede autorisationslager er placeret på en arbejdsstation eller medlemsserver, kan du redigere det lokale gruppepolitikobjekt for den pågældende computer for at angive lokal sikkerhedspolitik, men indstillingerne gælder kun indtil sikkerhedsindstillingerne for gruppepolitik opdateres. Dette kan være praktisk, hvis du kun genererer overvågningerne én gang. Hvis du har tænkt dig at generere sikkerhedsovervågninger jævnligt, skal du redigere et andet gruppepolitikobjekt, som gælder for computeren via AD DS.

Hvis du vil aktivere overvågning af objektadgang, skal du konfigurere følgende objekter:

  • For en lokal computer

    1. Start det lokale redigeringsprogram til gruppepolitik.

    2. I konsoltræet skal du dobbeltklikke på Computerkonfiguration, Windows-indstillinger, Sikkerhedsindstillinger, Lokale politikker og derefter klikke på Overvågningspolitik.

    3. Klik på Overvåg objektadgang.

    4. Marker afkrydsningsfeltet Definer disse politikindstillinger i detaljeruden, marker afkrydsningsfeltet Lykkedes, og marker derefter feltet Mislykkede.

  • Kun for domænecontrollere

    1. Klik på Start, klik på Alle programmer, klik på Administration, og dobbeltklik derefter på Sikkerhedspolitik for domænecontroller.

    2. I konsoltræet skal du dobbeltklikke på Computerkonfiguration, Windows-indstillinger, Sikkerhedsindstillinger, Lokale politikker og derefter klikke på Overvågningspolitik.

    3. Klik på Overvåg objektadgang.

    4. Marker afkrydsningsfeltet Definer disse politikindstillinger i detaljeruden, marker afkrydsningsfeltet Lykkedes, og marker derefter afkrydsningsfeltet Mislykkede.

  • For et domæne eller en organisationsenhed

    1. Åbn GPMC (Group Policy Management Console).

    2. Højreklik på det gruppepolitikobjekt, som du vil overvåge, og klik derefter på Rediger.

    3. I konsoltræet skal du dobbeltklikke på Computerkonfiguration, Politikker, Sikkerhedsindstillinger, Lokale politikker og derefter klikke på Overvågningspolitik.

    4. Klik på Overvåg objektadgang.

    5. Marker afkrydsningsfeltet Definer disse politikindstillinger i detaljeruden, marker afkrydsningsfeltet Vellykkede, og marker derefter afkrydsningsfeltet Mislykkede.

Yderligere overvejelser

  • Hvis du vil kunne redigere domænebaserede politikindstillinger, skal du installere GPMC (Group Policy Management Console). GPMC er en ekstrafunktion i Windows Server 2008, og som du kan installere ved hjælp af Serverstyring.

  • Hvis du redigerer det lokale gruppepolitikobjekt, vises afkrydsningsfeltet Definer disse politikindstillinger ikke i det lokale redigeringsprogram til gruppepolitik. Det vises kun, hvis du redigerer gruppepolitikobjekter, der er gemt i AD DS.

  • Hvis felterne Lykkedes og Mislykkede for overvågning ikke er tilgængelige, er feltet Definer disse politikindstillinger sandsynligvis markeret via sikkerhedspolitik, der fungerer for et højere niveau i AD DS-strukturen. Hvis det er tilfældet, skal du finde ud af, hvor afkrydsningsfeltet Definer disse politikindstillinger er markeret, og fjerne markeringen. Du kan søge efter denne indstilling i de gruppepolitikobjekter, der påvirker denne computer.

Aktivere overvågning af mappeadgang

Overvågning af adgang til katalogtjenester er som standard slået fra. Hvis du vil slå funktionen til, skal du bruge gruppepolitik på niveauet for domæne, domænecontroller eller anden organisationsenhed i AD DS.

Hvis du vil aktivere overvågning af objektadgang, skal du udvide følgende noder: Computerkonfiguration, Windows-indstillinger, Sikkerhedsindstillinger, Lokale politikker, Overvågningspolitik og derefter dobbeltklikke på Overvåg adgang til katalogtjeneste.

Marker afkrydsningsfeltet Definer disse politikindstillinger, marker afkrydsningsfeltet Lykkedes, og marker derefter afkrydsningsfeltet Mislykkede.

Yderligere overvejelser

  • Hvis afkrydsningsfelterne Lykkedes og Mislykkede for overvågning ikke er tilgængelige, er afkrydsningsfeltet Definer disse politikindstillinger sandsynligvis markeret via en sikkerhedspolitik, der fungerer for et højere niveau i AD DS. Hvis det er tilfældet, skal du finde ud af, hvor afkrydsningsfeltet Definer disse politikindstillinger er markeret, og fjerne markeringen. Du kan søge efter denne indstilling i de gruppepolitikobjekter, der påvirker domænecontrolleren.

  • Når du har redigeret gruppepolitikobjekterne, skal du køre kommandoen gpupdate for at sikre, at ændringer træder i kraft med det samme.

Overvågning, der er aktiveret via nedarvning

Enhver overvågning, der er opnået via nedarvning, sker uanset den lokale indstilling. Hvis et autorisationslager f.eks. er lagret i AD DS, kan overvågningspolitik arves fra en overordnet organisationsenhed i AD DS. I forbindelse med et XML-baseret autorisationslager er overvågningspolitik for den mappe, der indeholder XML-filen, tilgængelig.

Indholdsfortegnelse