A vezérelt erőforrásokhoz történő hozzáférés és az engedélyezési házirendek módosításainak figyelése lehetőséget nyújt a lehetséges biztonsági problémák nyomon követésére, segíti a felhasználói felelősség ellenőrzését, és bizonyítékot szolgáltat biztonsági problémák esetén.
Naplózási típusok
Az Engedélyezéskezelővel kétféle naplózás hajtható végre: futásidejű naplózás és az engedélyezési tároló módosításainak naplózása.
Futásidejű naplózás
A futásidejű naplózásnak két típusa van:
-
Futásidejű alkalmazásinicializálás-naplózás, amely az alkalmazás megnyitásakor generálja a naplót.
-
Futásidejű ügyfélkörnyezeti és hozzáférés-ellenőrzési naplózás, amely ügyfélkörnyezet létrehozásakor generálja a naplózást, valamint akkor, ha az ügyfél hozzáférés-ellenőrzést kér. A hozzáférések ellenőrzése a Platform SDK kiadvány Authorization (Engedélyezés) részében ismertetett AccessCheck hozzáférés-ellenőrzési metóduson alapul. Az engedélyezéssel kapcsolatos alkalmazásprogramozási felületekről (API-k) az
Engedélyezés (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=64031) című cikk nyújt részletes tájékoztatást.
Beállíthatja a sikeres vagy a sikertelen műveletek, illetve mindkét típus futásidejű naplózását.
Engedélyezési tároló módosításainak naplózása
Ha bekapcsolja az engedélyezési tároló módosításainak naplózását, az engedélyezési tároló minden módosításakor naplók jönnek létre. A naplók az összes eseményt tartalmazzák, a sikereseket és a sikerteleneket is.
Az Engedélyezéskezelő módosításainak naplózásához az Engedélyezéskezelő támogatja az NTFS fájlrendszert (XML-alapú engedélyezési tárolókhoz), az Active Directory tartományszolgáltatásokat (AD DS), az Active Directory Lightweight Directory-szolgáltatásokat (AD LDS) és a Microsoft SQL Server adatbázis-kezelőt.
Naplózási események megkeresése
Az Engedélyezéskezelő által generált naplózási események megtekintéséhez nyissa meg az eseménynaplókat a megfelelő számítógépen:
-
A futásidejű naplózási eseményeket az alkalmazást futtató ügyfélszámítógép biztonsági naplója tartalmazza.
-
Az engedélyezési tároló módosításainak naplózási eseményeit a tárolót tartalmazó számítógép biztonsági naplója tartalmazza.
-
XML-alapú engedélyezési tároló esetén a naplóbejegyzések az XML-fájlt tartalmazó számítógép eseménynaplójában találhatók.
-
Az AD DS vagy AD LDS szolgáltatást használó engedélyezési tárolók esetében a tartományvezérlő vagy az éppen hozzáférhető AD LDS-kiszolgáló eseménynaplójában találhatók a naplóbejegyzések.
-
SQL-alapú engedélyezési tároló esetén az SQL Server kiszolgálót futtató számítógép eseménynaplójában találhatók.
-
XML-alapú engedélyezési tároló esetén a naplóbejegyzések az XML-fájlt tartalmazó számítógép eseménynaplójában találhatók.
A naplózás elérhetősége
A naplózás elérhetősége a következőktől függ:
-
Az engedélyezési tároló típusától, amely AD DS-, AD LDS-, XML- vagy SQL-alapú lehet.
-
A naplózás konfigurációjának szintjétől, amely lehet az engedélyezési tároló, az alkalmazások vagy a hatókörök szintje.
Az alábbi táblázat a két naplózási típus elérhetőségét ismerteti.
Szint | Futásidejű naplózás elérhető a következőben | Futásidejű naplózás konfigurálható ezen a szinten a következőben | Engedélyezési tároló módosításainak naplózása |
---|---|---|---|
Engedélyezési tároló |
|
|
|
Alkalmazás |
|
|
|
Hatókör |
|
Nem érhető el (alkalmazás szintjén lett konfigurálva) |
|
A naplózás használatához a Naplózás lapon be kell jelölnie a megfelelő jelölőnégyzetet. A futásidejű naplózás bekapcsolásához jelölje be a Futásidejű alkalmazásinicializálási naplózás jelölőnégyzetet. Az engedélyezési tárolóban bekövetkező módosítások naplózásának bekapcsolásához jelölje be Az ügyfélkontextus és hozzáférés-ellenőrzés futásidejű naplózása jelölőnégyzetet.
A rendszer beállítása a naplózás engedélyezéséhez
Mielőtt megvalósítaná a naplózást, meg kell állapítania egy naplóházirendet. A naplózási házirend határozza meg azokat a biztonsággal kapcsolatos eseményeket, amelyeket naplózni kell. Alapértelmezés szerint a Windows első telepítésekor az összes naplózási kategória letiltott.
A naplózandó alkalmazások és hatókörök beállításához rendelkeznie kell a Naplózás és biztonsági napló kezelése joggal azon a számítógépen, amelyen az engedélyezési tároló található. Ez akkor végezhető el, ha a beépített Rendszergazdák csoport tagjaként jelentkezik be, vagy rákérdezés esetén megadja a rendszergazda jelszavát.
Ha az engedélyezési tároló XML-alapú, be kell állítania az objektum-hozzáférés naplózását. Ha az engedélyezési tároló AD DS- vagy AD LDS-alapú, be kell állítania a címtárszolgáltatás elérésének naplózását.
Futásidejű ügyfélkörnyezet és hozzáférés-ellenőrzési naplózás generálásához az Engedélyezéskezelőt használó alkalmazások felhasználóinak a Biztonsági naplózás létrehozása joggal kell rendelkezniük. Ha az alkalmazás felhasználói nem rendelkeznek ezzel a joggal, a naplózási események nem lesznek rögzítve.
Objektum-hozzáférés naplózásának engedélyezése
Alapértelmezés szerint az objektum-hozzáférés naplózása ki van kapcsolva. A naplózás bekapcsolásához csoportházirendet kell használnia a tartomány, tartományvezérlő vagy más alkalmazható szervezeti egység szintjén AD DS vagy AD LDS szolgáltatásokban. A helyi biztonsági házirend is használható.
Ha az XML-alapú engedélyezési tároló tartományvezérlőn található, az Alapértelmezett tartományvezérlői biztonsági beállítások csoportházirend-objektum a legmegfelelőbb hely az objektum-hozzáférés naplózásának bekapcsolására. Ha az XML-alapú engedélyezési tároló munkaállomáson vagy tagkiszolgálón található, az adott számítógép helyi csoportházirend-objektumának módosításával állítson be helyi biztonsági házirendet, de ne felejtse el, hogy ez a beállítás csak a csoportházirend-objektum biztonsági beállításainak következő frissítéséig érvényes. Ez akkor lehet hasznos, ha a naplózást csak egy alkalommal szeretné futtatni. Ha azonban rendszeres biztonsági naplózást szeretne végezni, az Active Directory tartományi szolgáltatások segítségével egy másik, a számítógépre vonatkozó csoportházirend-objektumot kell módosítania.
Az objektum-hozzáférés naplózásának engedélyezéséhez állítsa be a következő objektumokat:
-
Helyi számítógép esetén
-
Nyissa meg a helyi csoportházirend-szerkesztőt.
-
A konzolfán kattintson duplán a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.
-
Kattintson az Objektumhasználat naplózása elemre.
-
A jobb oldali ablaktáblában jelölje be A következő házirend-beállítások megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.
-
Nyissa meg a helyi csoportházirend-szerkesztőt.
-
Csak tartományvezérlők esetén
-
Kattintson a Start menüre, majd a Minden program elemre, kattintson a Felügyeleti eszközök parancsra, végül kattintson duplán a Tartományvezérlő biztonsági házirendje elemre.
-
A konzolfán kattintson duplán a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.
-
Kattintson az Objektumhasználat naplózása elemre.
-
A jobb oldali ablaktáblában jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.
-
Kattintson a Start menüre, majd a Minden program elemre, kattintson a Felügyeleti eszközök parancsra, végül kattintson duplán a Tartományvezérlő biztonsági házirendje elemre.
-
Tartomány vagy szervezeti egység esetén
-
Nyissa meg a csoportházirend-kezelő konzolt.
-
Kattintson a jobb gombbal a formázni kívánt csoportházirend-objektumra, majd kattintson a Szerkesztés parancsra.
-
A konzolfán kattintson duplán a Számítógép konfigurációja, a Házirendek, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.
-
Kattintson az Objektumhasználat naplózása elemre.
-
A jobb oldali ablaktáblában jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.
-
Nyissa meg a csoportházirend-kezelő konzolt.
További szempontok
-
A tartományi házirend-beállítások szerkesztéséhez telepítenie kell a csoportházirend-kezelő konzolt. A csoportházirend-kezelő konzol a Windows Server 2008 kiegészítő szolgáltatása, melyet a Kiszolgálókezelő segítségével tud telepíteni.
-
Ha a helyi csoportházirend-objektumot szerkeszti, A következő házirend-beállítások megadása jelölőnégyzet nem jelenik meg a helyi csoportházirend-szerkesztőben. A jelölőnégyzet csak az Active Directory tartományi szolgáltatásokban tárolt csoportházirend-objektumok szerkesztésekor érhető el.
-
Ha a Sikeres és a Sikertelen jelölőnégyzet nem használható, A következő házirend-beállítás megadása jelölőnégyzetet valószínűleg olyan biztonsági házirendben jelölték be, amely az AD DS szerkezet magasabb szintjén érvényes. Ilyenkor meg kell állapítania, hol található a bejelölt A következő házirend-beállítás megadása jelölőnégyzet, és törölnie kell belőle a jelet. A beállítás megkereséséhez tekintse át az adott számítógépre vonatkozó csoportházirend-objektumokat.
Címtár-hozzáférés naplózásának engedélyezése
Alapértelmezés szerint a címtárszolgáltatás hozzáférésének naplózása ki van kapcsolva. A naplózás bekapcsolásához csoportházirendet kell használnia az AD DS-tartomány, a tartományvezérlő vagy más alkalmazható szervezeti egységek szintjén.
Az objektum-hozzáférés naplózásának engedélyezéséhez bontsa ki a következő csomópontokat: Számítógép konfigurációja, A Windows beállításai, Biztonsági beállítások, Helyi házirendek, Naplórend, majd kattintson duplán a Címtárszolgáltatás hozzáférésének naplózása parancsra.
Jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.
További szempontok
-
Ha a Sikeres és a Sikertelen jelölőnégyzet nem használható, A következő házirend-beállítás megadása jelölőnégyzetet valószínűleg olyan biztonsági házirendben jelölték be, amely az AD DS magasabb szintjén érvényes. Ilyenkor meg kell állapítania, hol található a bejelölt A következő házirend-beállítás megadása jelölőnégyzet, és törölnie kell belőle a jelet. A beállítás megkereséséhez tekintse át a tartományvezérlőre vonatkozó csoportházirend-objektumokat.
-
A csoportházirend-objektumok módosítását követően a gpupdate parancs futtatásával azonnal érvénybe léptetheti a változtatásokat.
Örökléssel engedélyezett naplózás
Az örökléssel bekapcsolt naplózás minden esetben lezajlik, függetlenül a helyi beállítástól. Az AD DS által tárolt engedélyezési tárolók esetében a naplózási házirend örökölhető az AD DS szolgáltatásban található szülő szervezeti egységtől. Az XML-alapú engedélyezési tárolóknál az XML-fájlt tartalmazó mappa naplózási házirendje van érvényben.