Door toezicht te houden op de toegang tot beheerde bronnen en op alle wijzigingen die in het autorisatiebeleid worden aangebracht, hebt u de mogelijkheid om eventuele beveiligingsproblemen op te sporen, kunt u gebruikers gemakkelijker aanspreken op hun verantwoordelijkheid en beschikt u over bewijs indien de beveiliging wordt doorbroken.
Typen controles
In Autorisatiebeheer kunt u twee soorten controles gebruiken: controle in runtime en controle van wijzigingen in het autorisatiearchief.
Controle in runtime
Controle in runtime heeft twee aspecten:
-
De initialisatie van toepassingen kan in runtime worden gecontroleerd. Dergelijke controles worden gegenereerd wanneer toepassingen worden geopend.
-
Er kunnen clientcontext- en toegangscontroles in runtime worden uitgevoerd. Deze controles worden gegenereerd wanneer een clientcontext wordt gemaakt en telkens wanneer de client vraagt om een toegangscontrole. Toegangscontroles zijn gebaseerd op de methode AccessCheck. Deze methode wordt beschreven in de sectie Authorization van de Platform SDK. Zie
Autorisatie (https://go.microsoft.com/fwlink/?linkid=64031) voor meer informatie over API's (Application Programming Interfaces) die verband houden met autorisatie (deze pagina is mogelijk in het Engels).
U kunt controles in runtime zo configureren dat geslaagde pogingen, mislukte pogingen of beide worden vastgelegd in een logboekbestand.
Controle van wijzigingen in het autorisatiearchief
Wanneer u controle van wijzigingen in het autorisatiearchief instelt, worden controles gegenereerd telkens wanneer het autorisatiearchief wordt gewijzigd. Alle gebeurtenissen en geslaagde en mislukte pogingen worden bij de controle vastgelegd in een logboekbestand.
Voor de controle op wijzigingen in het autorisatiearchief ondersteunt Autorisatiebeheer het NTFS-bestandssysteem (voor autorisatiearchieven op basis van XML), AD DS (Active Directory Domain Services), AD LDS (Active Directory Lightweight Directory Services) en Microsoft SQL Server.
Zoeken naar controlegebeurtenissen
Als u controlegebeurtenissen wilt weergeven die zijn gegenereerd door Autorisatiebeheer, moet u de gebeurtenislogboeken op de desbetreffende computer weergeven:
-
Controlegebeurtenissen in runtime worden vastgelegd in het beveiligingslogboek van de clientcomputer waarop de toepassing wordt uitgevoerd.
-
Controlegebeurtenissen voor wijzigingen in het autorisatiearchief worden vastgelegd in het beveiligingslogboek van de computer waarop het archief zich bevindt.
-
Voor een XML-autorisatiearchief zijn de controlerecords te vinden in Logboeken van de computer waarop het XML-bestand is opgeslagen.
-
Voor een autorisatiearchief dat gebruikmaakt van AD DS of AD LDS, zijn de controlerecords te vinden in Logboeken van de domeincontroller of AD LDS-server die wordt geopend.
-
Voor een SQL-autorisatiearchief zijn de controlerecords te vinden in Logboeken van de computer die als host optreedt voor SQL Server.
-
Voor een XML-autorisatiearchief zijn de controlerecords te vinden in Logboeken van de computer waarop het XML-bestand is opgeslagen.
Beschikbaarheid van controle
De beschikbaarheid van controle hangt af van de volgende vragen:
-
Of het autorisatiearchief is gebaseerd op AD DS, AD LDS, XML of SQL.
-
Wordt de controle geconfigureerd op het niveau van het autorisatiearchief, de toepassing of het bereik?
In de volgende tabel vindt u een beschrijving van de beschikbaarheid van de twee typen controles.
| Niveau | Controle in runtime is beschikbaar in | Controle in runtime kan op dit niveau worden geconfigureerd in | Controle van wijzigingen in het autorisatiearchief is beschikbaar in |
|---|---|---|---|
|
Autorisatiearchief |
|
|
|
|
Toepassing |
|
|
|
|
Bereik |
|
Niet beschikbaar (geconfigureerd op toepassingsniveau) |
|
Als u controle wilt gebruiken, moet u het bijbehorende selectievakje op het tabblad Controlebeleid inschakelen. U schakelt controle in runtime in door het selectievakje Initialisatie van toepassingen in runtime controleren in te schakelen. U schakelt controle van wijzigingen in het autorisatiearchief in door het selectievakje Clientcontext en -toegang in runtime controleren in te schakelen.
Het systeem configureren zodat controle is toegestaan
Voordat u controle kunt implementeren, moet eerst een controlebeleid instellen. Een controlebeleid bevat de categorieën van beveiligingsgebeurtenissen die u wilt controleren. Wanneer Windows voor het eerst wordt geïnstalleerd, zijn alle controlecategorieën standaard uitgeschakeld.
Als u wilt configureren welke toepassing en bereiken moeten worden gecontroleerd, moet u de bevoegdheid Controle- en beveiligingslogboek beheren hebben op de computer waarop het autorisatiearchief zich bevindt. Dit kan doorgaans als u bent aangemeld als lid van de ingebouwde groep Administrators of door een beheerderswachtwoord op te geven wanneer u hierom wordt gevraagd.
Als het autorisatiearchief is gebaseerd op XML, moet u controle van objecttoegang opgeven. Als het autorisatiearchief is gebaseerd op AD DS of AD LDS, moet u controle van Active Directory-toegang opgeven.
Als u de controle van de clientcontext en de toegangscontrole in runtime wilt genereren, moeten gebruikers van toepassingen die Autorisatiebeheer gebruiken, de bevoegdheid Beveiligingscontroles genereren krijgen. Als gebruikers van de toepassing deze bevoegdheid niet hebben, worden er geen controlegebeurtenissen geregistreerd.
Controle van objecttoegang inschakelen
Controle van objecttoegang is standaard uitgeschakeld. Als u deze controle wilt inschakelen, kunt u dit doen via Groepsbeleid op het niveau van het domein, de domeincontroller of een andere toepasselijke organisatie-eenheid in AD DS of AD LDS. U kunt ook het lokale beveiligingsbeleid gebruiken.
Als het XML-autorisatiearchief zich op een domeincontroller bevindt, is het groepsbeleidsobject Standaardbeleid voor domeincontrollers de meest geschikte plaats om controle van objecttoegang in te schakelen. Als het XML-autorisatiearchief zich op een werkstation of lidserver bevindt, kunt u het lokale groepsbeleidsobject voor die computer bewerken om het lokale beveiligingsbeleid in te stellen, maar deze instellingen zijn slechts van toepassing totdat de beveiligingsinstellingen voor het Groepsbeleid opnieuw worden vernieuwd. Dit kan handig zijn als u de controles maar één keer genereert. Als u echter van plan bent om de beveiligingscontroles regelmatig te genereren, moet een ander groepsbeleid bewerken, dat op de computer wordt toegepast via AD DS.
Als u controle van objecttoegang wilt inschakelen, kunt u de volgende objecten configureren:
-
Voor een lokale computer
-
Open de Lokale groepsbeleidsobjecteditor.
-
Dubbelklik in de consolestructuur op Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen, Lokaal beleid en Controlebeleid.
-
Klik op Objecttoegang controleren.
-
Schakel in het detailvenster het selectievakje Deze beleidsinstellingen vastleggen in, schakel het selectievakje Geslaagd in en schakel vervolgens het selectievakje Mislukte pogingen in.
-
Open de Lokale groepsbeleidsobjecteditor.
-
Alleen voor domeincontrollers
-
Klik op Start, wijs Alle programma's en Systeembeheer aan en dubbelklik vervolgens op Beveiligingsbeleid voor domeincontroller.
-
Dubbelklik in de consolestructuur op Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen, Lokaal beleid en Controlebeleid.
-
Klik op Objecttoegang controleren.
-
Schakel in het detailvenster het selectievakje Deze beleidsinstellingen vastleggen in, schakel het selectievakje Geslaagd in en schakel vervolgens het selectievakje Mislukte pogingen in.
-
Klik op Start, wijs Alle programma's en Systeembeheer aan en dubbelklik vervolgens op Beveiligingsbeleid voor domeincontroller.
-
Voor een domein of organisatie-eenheid
-
Open de GPMC (Group Policy Management Console).
-
Klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt controleren en klik vervolgens op Bewerken.
-
Dubbelklik in de consolestructuur op Computerconfiguratie, Beleidsregels, Beveiligingsinstellingen, Lokaal beleid en Controlebeleid.
-
Klik op Objecttoegang controleren.
-
Schakel in het detailvenster het selectievakje Deze beleidsinstellingen vastleggen in, schakel het selectievakje Geslaagd in en schakel vervolgens het selectievakje Mislukte pogingen in.
-
Open de GPMC (Group Policy Management Console).
Aanvullende overwegingen
-
U moet de GPMC installeren om op een domein gebaseerde beleidsinstellingen te bewerken. De GPMC is een extra functie van Windows Server 2008 die u kunt installeren met behulp van Serverbeheer.
-
Als u het lokale groepsbeleidsobject bewerkt, wordt het selectievakje Deze beleidsinstellingen vastleggen niet weergegeven in de Lokale groepsbeleidsobjecteditor. Dit selectievakje wordt alleen weergegeven als u groepsbeleidsobjecten bewerkt die zijn opgeslagen in AD DS.
-
Als de selectievakjes Geslaagd en Mislukte pogingen niet beschikbaar zijn, is het selectievakje Deze beleidsinstellingen waarschijnlijk ingeschakeld via beveiligingsbeleid dat op een hoger niveau in de AD DS-structuur actief is. In dit geval moet u nagaan waar het selectievakje Deze beleidsinstellingen vastleggen is ingeschakeld en het selectievakje daar uitschakelen. U kunt deze instelling opzoeken door te kijken in de groepsbeleidsobjecten die van toepassing zijn op deze computer.
Controle van Active Directory-toegang inschakelen
Controle van Active Directory-toegang is standaard uitgeschakeld. Als u deze controle wilt inschakelen, kunt u dit doen via Groepsbeleid op het niveau van het domein, de domeincontroller of een andere toepasselijke organisatie-eenheid in AD DS.
Als u controle van objecttoegang wilt inschakelen, kunt u de volgende knooppunten uitvouwen: Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen, Lokaal beleid, Controlebeleid en vervolgens dubbelklikken op Directoryservice-toegang controleren.
Schakel het selectievakje Deze beleidsinstellingen vastleggen in, schakel het selectievakje Geslaagd in en schakel vervolgens het selectievakje Mislukte pogingen in.
Verdere overwegingen
-
Als de selectievakjes Geslaagd en Mislukte pogingen niet beschikbaar zijn, is het selectievakje Deze beleidsinstellingen vastleggen waarschijnlijk ingeschakeld via beveiligingsbeleid dat op een hoger niveau in AD DS actief is. In dit geval gaat u na waar het selectievakje Deze beleidsinstellingen vastleggen is ingeschakeld en schakelt u het selectievakje daar uit. U kunt deze instelling opzoeken door te kijken in de groepsbeleidsobjecten die van toepassing zijn op de domeincontroller.
-
Nadat u de groepsbeleidsobjecten hebt bewerkt, voert u de opdracht gpupdate uit om ervoor te zorgen dat de wijzigingen onmiddellijk van kracht worden.
Controle die is ingeschakeld door overname
Controles die zijn ingesteld door overname vinden plaats ongeacht de lokale instelling. Bij een autorisatiearchief dat is opgeslagen in een AD DS, kan controlebeleid bijvoorbeeld worden overgenomen van een bovenliggende organisatie-eenheid in AD DS. In het geval van een XML-autorisatiearchief geldt het controlebeleid van de map met het XML-bestand.