A vezérelt erőforrásokhoz történő hozzáférés és az engedélyezési házirendek módosításainak figyelése lehetőséget nyújt a lehetséges biztonsági problémák nyomon követésére, segíti a felhasználói felelősség ellenőrzését, és bizonyítékot szolgáltat biztonsági problémák esetén.

Naplózási típusok

Az Engedélyezéskezelővel kétféle naplózás hajtható végre: futásidejű naplózás és az engedélyezési tároló módosításainak naplózása.

Futásidejű naplózás

A futásidejű naplózásnak két típusa van:

  • Futásidejű alkalmazásinicializálás-naplózás, amely az alkalmazás megnyitásakor generálja a naplót.

  • Futásidejű ügyfélkörnyezeti és hozzáférés-ellenőrzési naplózás, amely ügyfélkörnyezet létrehozásakor generálja a naplózást, valamint akkor, ha az ügyfél hozzáférés-ellenőrzést kér. A hozzáférések ellenőrzése a Platform SDK kiadvány Authorization (Engedélyezés) részében ismertetett AccessCheck hozzáférés-ellenőrzési metóduson alapul. Az engedélyezéssel kapcsolatos alkalmazásprogramozási felületekről (API-k) az Engedélyezés (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=64031) című cikk nyújt részletes tájékoztatást.

Beállíthatja a sikeres vagy a sikertelen műveletek, illetve mindkét típus futásidejű naplózását.

Engedélyezési tároló módosításainak naplózása

Ha bekapcsolja az engedélyezési tároló módosításainak naplózását, az engedélyezési tároló minden módosításakor naplók jönnek létre. A naplók az összes eseményt tartalmazzák, a sikereseket és a sikerteleneket is.

Az Engedélyezéskezelő módosításainak naplózásához az Engedélyezéskezelő támogatja az NTFS fájlrendszert (XML-alapú engedélyezési tárolókhoz), az Active Directory tartományszolgáltatásokat (AD DS), az Active Directory Lightweight Directory-szolgáltatásokat (AD LDS) és a Microsoft SQL Server adatbázis-kezelőt.

Naplózási események megkeresése

Az Engedélyezéskezelő által generált naplózási események megtekintéséhez nyissa meg az eseménynaplókat a megfelelő számítógépen:

  • A futásidejű naplózási eseményeket az alkalmazást futtató ügyfélszámítógép biztonsági naplója tartalmazza.

  • Az engedélyezési tároló módosításainak naplózási eseményeit a tárolót tartalmazó számítógép biztonsági naplója tartalmazza.

    • XML-alapú engedélyezési tároló esetén a naplóbejegyzések az XML-fájlt tartalmazó számítógép eseménynaplójában találhatók.

    • Az AD DS vagy AD LDS szolgáltatást használó engedélyezési tárolók esetében a tartományvezérlő vagy az éppen hozzáférhető AD LDS-kiszolgáló eseménynaplójában találhatók a naplóbejegyzések.

    • SQL-alapú engedélyezési tároló esetén az SQL Server kiszolgálót futtató számítógép eseménynaplójában találhatók.

A naplózás elérhetősége

A naplózás elérhetősége a következőktől függ:

  • Az engedélyezési tároló típusától, amely AD DS-, AD LDS-, XML- vagy SQL-alapú lehet.

  • A naplózás konfigurációjának szintjétől, amely lehet az engedélyezési tároló, az alkalmazások vagy a hatókörök szintje.

Az alábbi táblázat a két naplózási típus elérhetőségét ismerteti.

Szint Futásidejű naplózás elérhető a következőben Futásidejű naplózás konfigurálható ezen a szinten a következőben Engedélyezési tároló módosításainak naplózása

Engedélyezési tároló
  • XML

  • AD DS és AD LDS

  • SQL Server
  • XML

  • AD DS és AD LDS

  • SQL Server
  • XML

  • AD DS és AD LDS

  • SQL Server

Alkalmazás
  • XML

  • AD DS és AD LDS

  • SQL Server
  • XML

  • AD DS és AD LDS

  • SQL Server
  • AD DS és AD LDS

  • SQL Server

Hatókör
  • XML

  • AD DS és AD LDS

  • SQL Server

Nem érhető el (alkalmazás szintjén lett konfigurálva)
  • AD DS és AD LDS

  • SQL Server

A naplózás használatához a Naplózás lapon be kell jelölnie a megfelelő jelölőnégyzetet. A futásidejű naplózás bekapcsolásához jelölje be a Futásidejű alkalmazásinicializálási naplózás jelölőnégyzetet. Az engedélyezési tárolóban bekövetkező módosítások naplózásának bekapcsolásához jelölje be Az ügyfélkontextus és hozzáférés-ellenőrzés futásidejű naplózása jelölőnégyzetet.

A rendszer beállítása a naplózás engedélyezéséhez

Mielőtt megvalósítaná a naplózást, meg kell állapítania egy naplóházirendet. A naplózási házirend határozza meg azokat a biztonsággal kapcsolatos eseményeket, amelyeket naplózni kell. Alapértelmezés szerint a Windows első telepítésekor az összes naplózási kategória letiltott.

A naplózandó alkalmazások és hatókörök beállításához rendelkeznie kell a Naplózás és biztonsági napló kezelése joggal azon a számítógépen, amelyen az engedélyezési tároló található. Ez akkor végezhető el, ha a beépített Rendszergazdák csoport tagjaként jelentkezik be, vagy rákérdezés esetén megadja a rendszergazda jelszavát.

Ha az engedélyezési tároló XML-alapú, be kell állítania az objektum-hozzáférés naplózását. Ha az engedélyezési tároló AD DS- vagy AD LDS-alapú, be kell állítania a címtárszolgáltatás elérésének naplózását.

Futásidejű ügyfélkörnyezet és hozzáférés-ellenőrzési naplózás generálásához az Engedélyezéskezelőt használó alkalmazások felhasználóinak a Biztonsági naplózás létrehozása joggal kell rendelkezniük. Ha az alkalmazás felhasználói nem rendelkeznek ezzel a joggal, a naplózási események nem lesznek rögzítve.

Objektum-hozzáférés naplózásának engedélyezése

Alapértelmezés szerint az objektum-hozzáférés naplózása ki van kapcsolva. A naplózás bekapcsolásához csoportházirendet kell használnia a tartomány, tartományvezérlő vagy más alkalmazható szervezeti egység szintjén AD DS vagy AD LDS szolgáltatásokban. A helyi biztonsági házirend is használható.

Ha az XML-alapú engedélyezési tároló tartományvezérlőn található, az Alapértelmezett tartományvezérlői biztonsági beállítások csoportházirend-objektum a legmegfelelőbb hely az objektum-hozzáférés naplózásának bekapcsolására. Ha az XML-alapú engedélyezési tároló munkaállomáson vagy tagkiszolgálón található, az adott számítógép helyi csoportházirend-objektumának módosításával állítson be helyi biztonsági házirendet, de ne felejtse el, hogy ez a beállítás csak a csoportházirend-objektum biztonsági beállításainak következő frissítéséig érvényes. Ez akkor lehet hasznos, ha a naplózást csak egy alkalommal szeretné futtatni. Ha azonban rendszeres biztonsági naplózást szeretne végezni, az Active Directory tartományi szolgáltatások segítségével egy másik, a számítógépre vonatkozó csoportházirend-objektumot kell módosítania.

Az objektum-hozzáférés naplózásának engedélyezéséhez állítsa be a következő objektumokat:

  • Helyi számítógép esetén

    1. Nyissa meg a helyi csoportházirend-szerkesztőt.

    2. A konzolfán kattintson duplán a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.

    3. Kattintson az Objektumhasználat naplózása elemre.

    4. A jobb oldali ablaktáblában jelölje be A következő házirend-beállítások megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.

  • Csak tartományvezérlők esetén

    1. Kattintson a Start menüre, majd a Minden program elemre, kattintson a Felügyeleti eszközök parancsra, végül kattintson duplán a Tartományvezérlő biztonsági házirendje elemre.

    2. A konzolfán kattintson duplán a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.

    3. Kattintson az Objektumhasználat naplózása elemre.

    4. A jobb oldali ablaktáblában jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.

  • Tartomány vagy szervezeti egység esetén

    1. Nyissa meg a csoportházirend-kezelő konzolt.

    2. Kattintson a jobb gombbal a formázni kívánt csoportházirend-objektumra, majd kattintson a Szerkesztés parancsra.

    3. A konzolfán kattintson duplán a Számítógép konfigurációja, a Házirendek, a Biztonsági beállítások, a Helyi házirend, majd a Naplórend elemre.

    4. Kattintson az Objektumhasználat naplózása elemre.

    5. A jobb oldali ablaktáblában jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.

További szempontok

  • A tartományi házirend-beállítások szerkesztéséhez telepítenie kell a csoportházirend-kezelő konzolt. A csoportházirend-kezelő konzol a Windows Server 2008 kiegészítő szolgáltatása, melyet a Kiszolgálókezelő segítségével tud telepíteni.

  • Ha a helyi csoportházirend-objektumot szerkeszti, A következő házirend-beállítások megadása jelölőnégyzet nem jelenik meg a helyi csoportházirend-szerkesztőben. A jelölőnégyzet csak az Active Directory tartományi szolgáltatásokban tárolt csoportházirend-objektumok szerkesztésekor érhető el.

  • Ha a Sikeres és a Sikertelen jelölőnégyzet nem használható, A következő házirend-beállítás megadása jelölőnégyzetet valószínűleg olyan biztonsági házirendben jelölték be, amely az AD DS szerkezet magasabb szintjén érvényes. Ilyenkor meg kell állapítania, hol található a bejelölt A következő házirend-beállítás megadása jelölőnégyzet, és törölnie kell belőle a jelet. A beállítás megkereséséhez tekintse át az adott számítógépre vonatkozó csoportházirend-objektumokat.

Címtár-hozzáférés naplózásának engedélyezése

Alapértelmezés szerint a címtárszolgáltatás hozzáférésének naplózása ki van kapcsolva. A naplózás bekapcsolásához csoportházirendet kell használnia az AD DS-tartomány, a tartományvezérlő vagy más alkalmazható szervezeti egységek szintjén.

Az objektum-hozzáférés naplózásának engedélyezéséhez bontsa ki a következő csomópontokat: Számítógép konfigurációja, A Windows beállításai, Biztonsági beállítások, Helyi házirendek, Naplórend, majd kattintson duplán a Címtárszolgáltatás hozzáférésének naplózása parancsra.

Jelölje be A következő házirend-beállítás megadása, a Sikeres, majd a Sikertelen jelölőnégyzetet.

További szempontok

  • Ha a Sikeres és a Sikertelen jelölőnégyzet nem használható, A következő házirend-beállítás megadása jelölőnégyzetet valószínűleg olyan biztonsági házirendben jelölték be, amely az AD DS magasabb szintjén érvényes. Ilyenkor meg kell állapítania, hol található a bejelölt A következő házirend-beállítás megadása jelölőnégyzet, és törölnie kell belőle a jelet. A beállítás megkereséséhez tekintse át a tartományvezérlőre vonatkozó csoportházirend-objektumokat.

  • A csoportházirend-objektumok módosítását követően a gpupdate parancs futtatásával azonnal érvénybe léptetheti a változtatásokat.

Örökléssel engedélyezett naplózás

Az örökléssel bekapcsolt naplózás minden esetben lezajlik, függetlenül a helyi beállítástól. Az AD DS által tárolt engedélyezési tárolók esetében a naplózási házirend örökölhető az AD DS szolgáltatásban található szülő szervezeti egységtől. Az XML-alapú engedélyezési tárolóknál az XML-fájlt tartalmazó mappa naplózási házirendje van érvényben.

Tartalom