監視對控制資源的存取及對授權原則的任何變更,可方便您追蹤潛在的安全性問題、協助確保使用者應負的責任,以及在發生安全性漏洞時提供證據。

稽核類型

使用授權管理員,您可使用下列兩種模式:執行階段稽核和授權存放區變更稽核。

執行階段稽核

執行階段稽核有兩方面:

  • 執行階段應用程式初始化稽核,會在應用程式開啟時產生稽核。

  • 執行階段用戶端內容和存取檢查稽核,會在建立用戶端內容及每次用戶端呼叫存取檢查時產生稽核。存取檢查以 SDK 平台的授權區段中描述的 AccessCheck 方法為主。如需授權相關之應用程式開發介面 (API) 的相關資訊,請參閱授權 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=64031)。

您可以設定執行階段稽核以記錄成功、失敗或兩者。

授權存放區變更稽核

啟用授權存放區變更稽核,則每次修改授權存放時都會產生稽核。稽核會記錄所有事件,包括成功和失敗的事件。

對於授權存放區變更稽核,[授權管理員] 可支援 NTFS 檔案系統 (以 XML 為基礎的授權存放區)、Active Directory 網域服務 (AD DS)、Active Directory 輕量型目錄服務 (AD LDS) 以及 Microsoft SQL Server。

尋找稽核事件

若要檢視由 [授權管理員] 所產生的稽核事件,請檢視適當電腦上的事件記錄檔。

  • 執行階段稽核事件是記錄在執行應用程式之用戶端電腦的安全性記錄檔中。

  • 授權存放區變更稽核事件則記錄在存放區本身所在之電腦的安全性記錄檔中。

    • 如果是以 XML 為基礎的授權存放區,稽核記錄將位於儲存 XML 檔案之電腦的 [事件檢視器] 中。

    • 如果是使用 AD DS 或 AD LDS 的授權存放區,則稽核記錄會在要存取之網域控制站或 AD LDS 伺服器的 [事件檢視器] 中。

    • 如果是以 SQL 為基礎的授權存放區,稽核記錄就在裝載 SQL Server 之電腦的 [事件檢視器] 中。

稽核可用性

稽核的可用性取決於下列項目:

  • 授權存放是否以 AD DS、AD LDS、XML 或 SQL 為基礎。

  • 稽核是否設定於授權存放等級、應用程式等級或領域等級。

以下表格說明兩種稽核類型的可用性。

等級 執行階段稽核可用於 執行階段稽核可以設定於此等級中 授權存放區變更稽核可用於

授權存放區
  • XML

  • AD DS 與 AD LDS

  • SQL Server
  • XML

  • AD DS 與 AD LDS

  • SQL Server
  • XML

  • AD DS 與 AD LDS

  • SQL Server

應用程式
  • XML

  • AD DS 與 AD LDS

  • SQL Server
  • XML

  • AD DS 與 AD LDS

  • SQL Server
  • AD DS 與 AD LDS

  • SQL Server

領域
  • XML

  • AD DS 與 AD LDS

  • SQL Server

無法使用 (設定於應用程式等級)
  • AD DS 與 AD LDS

  • SQL Server

若要使用稽核,您必須在 [稽核] 索引標籤上選取適當的核取方塊。若要啟用執行階段稽核,請選取 [執行階段應用程式初始化稽核] 核取方塊。若要啟用授權存放區變更稽核,請選取 [執行階段用戶端內容和存取檢查稽核] 核取方塊。

設定系統以允許稽核

在您執行稽核之前,必須先決定稽核原則。稽核原則是指定您要稽核的安全性相關事件的類別目錄。根據預設值,先安裝 Windows 時,所有的稽核類別目錄都會停用。

為了設定要稽核哪些應用程式與領域,您必須在授權存放所在的電腦上具有 [管理稽核及安全性記錄檔] 權限。通常可藉由登入為內建 Administrators 群組的成員,或在提示時提供系統管理員的密碼,以完成這個操作。

如果授權存放是以 XML 為基礎,您必須指定物件存取稽核。如果授權存放是以 AD DS 或 AD LDS 為基礎,則您必須指定目錄服務存取稽核。

為了產生執行階段用戶端內容和存取檢查稽核,使用 [授權管理員] 的應用程式使用者必須被授與 [產生安全性稽核] 權限。如果應用程式的使用者並未持有此特殊權限,將不會記錄任何稽核事件。

啟用物件存取稽核

物件存取稽核預設是關閉狀態。若要將它開啟,您必須使用位於網域、網域控制站或 AD DS 或 AD LDS中可套用之其他組織單位等級的群組原則。您也可以使用本機安全性原則。

如果以 XML 為基礎的授權存放位於網域控制站,則 [預設網域控制站原則] 群組原則物件 (GPO) 是最適合用來開啟物件存取稽核的地方。如果以 XML 為基礎的授權存放位於工作站或成員伺服器上,您可以編輯該電腦的本機 GPO 以設定本機安全性原則,但這些設定必須在下次重新整理群組原則安全性設定後才會生效。如果僅產生一次稽核,這將會很有幫助。然而,如果您計劃定期產生安全性稽核,就應該編輯另一個 GPO 以透過 AD DS 套用到電腦。

若要啟用物件存取稽核,請設定下列物件:

  • 若是本機電腦

    1. 開啟 [本機群組原則編輯器]。

    2. 在主控台樹狀目錄中,依序按兩下 [電腦設定][Windows 設定][安全性設定][本機原則] 以及 [稽核原則]

    3. 按一下 [稽核物件存取]

    4. 在詳細資料窗格中,依序選取 [定義這些原則設定] 核取方塊、[成功] 核取方塊以及 [失敗] 核取方塊。

  • 若是僅針對網域控制站

    1. 依序按一下 [開始][所有程式][系統管理工具],然後按兩下 [網域控制站安全性原則]

    2. 在主控台樹狀目錄中,依序按兩下 [電腦設定][Windows 設定][安全性設定][本機原則] 以及 [稽核原則]

    3. 按一下 [稽核物件存取]

    4. 在詳細資料窗格中,依序選取 [定義這些原則設定] 核取方塊、[成功] 核取方塊以及 [失敗] 核取方塊。

  • 若是網域或組織單位

    1. 開啟 [群組原則管理主控台] (GPMC)。

    2. 在您要稽核的 GPO 上按一下滑鼠右鍵,然後按一下 [編輯]

    3. 在主控台樹狀目錄中,依序按兩下 [電腦設定][原則][安全性設定][本機原則] 以及 [稽核原則]

    4. 按一下 [稽核物件存取]

    5. 在詳細資料窗格中,依序選取 [定義這些原則設定] 核取方塊、[成功] 核取方塊以及 [失敗] 核取方塊。

其他考量

  • 必須安裝 GPMC 才能編輯以網域為基礎的原則設定。GPMC 是 Windows Server 2008 的額外功能,您可以使用伺服器管理員安裝。

  • 如果您正在編輯本機 GPO,[定義這些原則設定] 核取方塊便不會出現在本機群組原則編輯器中。只有在編輯儲存於 AD DS 的 GPO 時才會出現。

  • 如果無法使用 [成功][失敗] 稽核核取方塊,則可能是因為 [定義這些原則設定] 核取方塊已透過安全性原則選取,而且該安全性原則是作用在 AD DS 架構中的較高等級。在這種情況下,您需要找出何處選取了 [定義這些原則設定] 核取方塊,然後按一下以清除此設定。若要找出該設定,請查詢影響該電腦的 GPO。

啟用目錄存取稽核

目錄服務存取稽核預設是關閉狀態。若要將它開啟,您必須使用位於網域、網域控制站或 AD DS 中可套用之其他組織單位等級的群組原則。

若要啟用物件存取稽核,請展開下列節點:[電腦設定][Windows 設定][安全性設定][本機原則][稽核原則],然後按兩下[稽核目錄服務存取]

依序選取 [定義這些原則設定] 核取方塊、[成功] 核取方塊,然後選取 [失敗] 核取方塊。

其他考量

  • 如果無法使用 [成功][失敗] 稽核核取方塊,則可能是因為 [定義這些原則設定] 核取方塊已透過安全性原則選取,而且該安全性原則是作用在 AD DS 架構中的較高等級。在這種情況下,您需要找出何處選取了 [定義這些原則設定] 核取方塊,然後按一下以清除該核取方塊。若要找出該設定,請查詢影響該網域控制站的 GPO。

  • 編輯 GPO 之後,請執行 gpupdate 命令,以確保變更立即生效。

由繼承啟用的稽核

任何透過繼承取得的稽核都會不考慮本機設定而執行。例如,就儲存於 AD DS 中的授權存放而言,稽核原則可從 AD DS 中的父系組織單位繼承。就以 XML 為主的授權存放而言,在包含 XML 檔案的資料夾中的稽核原則是可用的。

目錄