تمنحك مراقبة الوصول إلى المصادر التي يتم التحكم فيها وأية تغييرات في نهج التخويل طريقة لتتبع مشكلات الأمان المحتملة، كما تساعد في التأكد من اعتمادية المستخدم، وتوفر الدليل في حالة حدوث خرق للأمان.
أنواع التدقيق
مع "إدارة التخويل"، يمكنك استخدام نوعين من التدقيق: تدقيق في وقت التشغيل وتدقيق تغيير مخزن التخويل.
تدقيق في وقت التشغيل
يوجد وجهان للتدقيق في وقت التشغيل:
-
تدقيق تهيئة التطبيقات في وقت التشغيل، الذي يقوم بإنشاء معلومات التدقيق عندما يتم فتح أحد التطبيقات.
-
تدقيق سياق العميل والتحقق من الوصول في وقت التشغيل، الذي يقوم بإنشاء معلومات التدقيق في حالة إنشاء سياق عميل وفي كل مرة يطلب فيها العميل فحص الوصول. تعتمد فحوصات الوصول على أسلوب AccessCheck الموضح في قسم "التخويل" لـ "نظام SDK الأساسي". لمزيد من المعلومات حول واجهات برمجة التطبيق المرتبطة بإدارة التخويل (APIs)، راجع
التخويل (متوفر باللغة الإنجليزية) (https://go.microsoft.com/fwlink/?linkid=64031).
يمكن تكوين تدقيق في وقت التشغيل لتسجيل الأحداث الناجحة أو الأحداث الفاشلة أو كليهما.
تدقيق تغيير مخزن التخويل
في حالة تمكين تدقيق تغيير مخزن التخويل، يتم إنشاء معلومات التدقيق في كل مرة يتم فيها تعديل مخزن التخويل. حيث يسجل التدقيق كافة الأحداث والأحداث الناجحة والأحداث الفاشلة.
للحصول على تدقيق تغيير مخزن التخويل، تقوم 'إدارة التخويل' بدعم نظام ملفات NTFS (لمخازن التخويل التي تعتمد على ملفات XML) وخدمات المجال لخدمة Active Directory (AD DS) وخدمات الدليل الخفيف لخدمة Active Directory (AD LDS) وخادم Microsoft SQL.
تحديد موقع أحداث التدقيق
لعرض أحداث تدقيق تم إنشاؤها من قِبل 'إدارة التخويل'، قم بعرض 'سجلات الأحداث' على جهاز الكمبيوتر المناسب:
-
تقع أحداث التدقيق في وقت التشغيل في سجل أمان الكمبيوتر الذي يتم فيه تشغيل التطبيق.
-
تقع أحداث تدقيق تغيير مخزن التخويل في سجل أمان الكمبيوتر حيث يقع المخزن نفسه.
-
في حالة وجود مخزن تخويل قائم على ملفات XML، يتم العثور على تسجيلات التدقيق في 'عارض الأحداث' للكمبيوتر الذي يتم فيه تخزين ملفات XML.
-
في الحالة التي يستخدم فيها مخزن التخويل AD DS أو AD LDS، فسيتم العثور على سجلات التدقيق في عارض الأحداث لوحدة التحكم بالمجال أو خادم AD LDS الذي يتم الوصول إليه.
-
في حالة وجود مخزن تخويل يعتمد على SQL، يتم العثور على تسجيلات التدقيق في 'عارض الأحداث' لكمبيوتر "خادم SQL" المضيف.
-
في حالة وجود مخزن تخويل قائم على ملفات XML، يتم العثور على تسجيلات التدقيق في 'عارض الأحداث' للكمبيوتر الذي يتم فيه تخزين ملفات XML.
إمكانية توفر التدقيق
تعتمد إمكانية توفر التدقيق على التالي:
-
ما إذا كان مخزن التخويل يعتمد على AD DS أو AD LDS أو XML أو SQL.
-
ما إذا كان يتم تكوين التدقيق على مستوى مخزن التخويل أو مستوى التطبيق أو مستوى النطاق.
يصف الجدول التالي إمكانية توفر نوعين من التدقيق.
المستوى | يتوفر التدقيق في وقت التشغيل في | يمكن تكوين تدقيق وقت التشغيل على هذا المستوى في | يتوفر تدقيق تغيير مستوى التخويل في |
---|---|---|---|
مخزن التخويل |
|
|
|
التطبيق |
|
|
|
النطاق |
|
غير متوفر (تم التكوين على مستوى التطبيق) |
|
لاستخدام التدقيق، يجب تحديد خانة الاختيار المناسبة من علامة التبويب Auditing. لتمكين التدقيق في وقت التشغيل، حدد خانة الاختيار Runtime application initialization auditing. لتمكين تدقيق تغيير مخزن التخويل، حدد خانة الاختيار Runtime client context and access check auditing.
تكوين النظام للسماح بالتدقيق
قبل تطبيق التدقيق، يجب تحديد أحد نُهُج التدقيق. حيث يحدد نهج التدقيق فئات الأحداث المرتبطة بالأمان التي تريد تدقيقها. وفي حالة تثبيت Windows، يتم تعطيل كافة فئات التدقيق بشكل افتراضي.
لتكوين التطبيق والنطاقات المراد تدقيقها، يجب توفر ميزة Manage auditing and security log على الكمبيوتر الذي يوجد فيه مخزن التخويل. وعادةً يمكن القيام بهذا الأمر عن طريق تسجيل الدخول كعضو في مجموعة "المسئولين" أو عن طريق توفير كلمة مرور للمسؤول عند المطالبة.
في حالة استناد مخزن التخويل إلى ملفات XML، يجب تعيين تدقيق الوصول إلى الكائن. وفي حالة استناد مخزن التخويل إلى AD DS أو AD LDS، يجب تحديد تدقيق الوصول إلى خدمة الدليل.
لإنشاء تدقيقات سياق العميل والتحقق من الوصول أثناء وقت التشغيل، يجب منح مستخدمي التطبيقات الذين يستخدمون 'إدارة التخويل' ميزة Generate security audits. وإذا كان مستخدموا التطبيق لا يتمتعون بهذه الميزة، لن يتم تسجيل أحداث التدقيق.
تمكين تدقيق الوصول إلى الكائن
ًيتم إيقاف تشغيل تدقيق الوصول إلى الكائن بشكل افتراضي. ولتشغيلها، يجب استخدام "نهج المجموعة" في المجال أو جهاز تحكم المجال أو في أي مستوى وحدة تنظيمية قابل للتطبيق في AD DS أو AD LDS. كما يمكنك أيضًا استخدام نهج الأمان المحلي.
إذا كان مخزن التخويل القائم على ملفات XML موجود في جهاز التحكم بالمجال، يكون كائن نهج المجموعة (GPO) Default Domain Controllers Policy أفضل مكان لتشغيل تدقيق الوصول إلى الكائنات. إذا كان مخزن التخويل الذي يعتمد على XML موجود على محطة عمل أو خادم عضو، يمكنك تحرير GPO المحلي لهذا الكمبيوتر لتعيين نهج الأمان المحلي، لكن لن يتم تطبيق هذه الإعدادات إلى أن يتم تحديث إعدادات أمان "نهج المجموعة" في المرة التالية. قد يكون هذا الأمر مفيداً إذا كنت تقوم بإنشاء عمليات التدقيق مرة واحدة فقط. ولكن، غذا كنت تخطط لإنشاء عمليات تدقيق أمان بشكل منتظم، يجب أن تقوم بتدقيق GPO آخر ينطبق على الكمبيوتر من خلال AD DS.
لتمكين تدقيق الوصول إلى الكائنات، قم بتكوين الكائنات التالية:
-
للكمبيوتر المحلي
-
قم بفتح Local Group Policy Editor
-
في وحدة شجرة التحكم، انقر نقراً مزدوجاً فوق Computer Configuration و Windows Settings و Security Settings و Local Policies و و Audit Policy.
-
انقر فوق Audit object access.
-
في جزء التفاصيل، حدد خانة الاختيار Define these policy settings، وحدد خانة الاختيار Success ثم حدد خانة الاختيار Failure.
-
قم بفتح Local Group Policy Editor
-
لوحدات التحكم بالمجال فقط
-
انقر فوق ابدأ وانقر فوق كافة البرامج وانقر فوق Administrative Tools، ثم انقر نقراً مزدوجاً فوق Domain Controller Security Policy.
-
في وحدة شجرة التحكم، انقر نقراً مزدوجاً فوق Computer Configuration و Windows Settings و Security Settings و Local Policies و و Audit Policy.
-
انقر فوق Audit object access.
-
في جزء التفاصيل، حدد خانة الاختيار Define these policy settings، وحدد خانة الاختيار Success ثم حدد خانة الاختيار Failure.
-
انقر فوق ابدأ وانقر فوق كافة البرامج وانقر فوق Administrative Tools، ثم انقر نقراً مزدوجاً فوق Domain Controller Security Policy.
-
لوحدة مجال او وحدة تنظيمية
-
قم بفتح وحدة التحكم بالإدارة لنهج المجموعة (GPMC).
-
انقر بالزر الأيمن للماوس فوق الملف الذي ترغب في تدقيقه، ثم انقر فوق تحرير.
-
في وحدة شجرة التحكم، انقر نقراً مزدوجاً فوق Computer Configuration و Policies و Security Settings و Local Policies و Audit Policy.
-
انقر فوق Audit object access.
-
في جزء التفاصيل، حدد خانة الاختيار Define these policy settings، وحدد خانة الاختيار Success ثم حدد خانة الاختيار Failure.
-
قم بفتح وحدة التحكم بالإدارة لنهج المجموعة (GPMC).
اعتبارات إضافية
-
يجب أن تقوم بتثبيت GPMC لتحرير إعدادات النهج الذي يعتمد على المجال. تعتبر GPMC ميزة إضافية لـ Windows Server 2008 يمكنك تثبيتها باستخدام "إدارة الخادم".
-
في حالة تعديل كائن "نهج المجموعة" المحلي، لا تظهر خانة الاختيار Define these policy settings في Local Group Policy Editor (محرر كائن نهج المجموعة). حيث تظهر فقط إذا كنت تقوم بتحرير GPO المخزن في AD DS.
-
في حالة عدم توفر خانتي اختيار التدقيق Success و Failure، قد يكون تم تحديد خانة الاختيار Define these policy settings من خلال نهج أمان يعمل في مستوى أعلى في بنية AD DS. في هذه الحالة، يجب العثور على المكان الذي تم فيه تحديد خانة الاختيار Define these policy settings ومسح هذا الإعداد. للعثور على هذا الإعداد، ابحث في كائنات "نهج المجموعة" (GPOs) التي تؤثر على هذا الكمبيوتر.
تمكين تدقيق الوصول إلى الدليل
بشكل افتراضي، يتم إيقاف تشغيل تدقيق الوصول إلى خدمة الدليل. ولتشغيلها، يجب استخدام 'نهج المجموعة' في المجال أو في جهاز التحكم في المجال أو في أي مستوى وحدة تنظيمية آخرى قابل للتطبيق في AD DS.
لتمكين تدقيق الوصول إلى الكائنات، قم بتوسيع العقدات التالية: Computer Configuration و Windows Settings و Security Settings وLocal Policies و Audit Policy ثم انقر نقرًا مزدوجًا فوق Audit directory service access.
حدد خانة الاختيار Define these policy settings، ثم حدد خانة الاختيار Success، ثم حدد خانة الاختيار Failure.
اعتبارات إضافية
-
في حالة عدم توفر خانتي اختيار التدقيق Success و Failure، قد يكون تم تحديد خانة الاختيار Define these policy settings من خلال نهج أمان يعمل في مستوى أعلى في AD DS. في هذه الحالة، يجب العثور على المكان الذي تم فيه تحديد خانة الاختيار Define these policy settings ومسح خانة الاختيار. للعثور على هذا الإعداد، ابحث في كائنات GPOs التي تؤثر على وحدة التحكم بالمجال.
-
بعد تحرير 'GPOs'، قم بتشغيل الأمر gpupdate للتأكد من أن التغييرات أصبحت نافذة بشكل فوري.
التدقيق الممكن حسب التوارث
يتم تنفيذ أي عملية تدقيق يتم الحصول عليها من خلال التوارث بصرف النظر عن الإعداد المحلي. على سبيل المثال، في حالة تخزين مخزن تخويل في AD DS، يمكن توارث نهج التدقيق من وحدة تنظيمية أصلية في AD DS. وفي حالة وجود مخزن تخويل قائم على ملفات XML، يكون نهج التدقيق موجوداً في المجلد الذي يتضمن ملف XML قابلاً للتطبيق.