Možnost sledovat přístup k řízeným prostředkům a k jakýmkoli změnám v zásadách autorizací se velice dobře hodí ke sledování možných potíží se zabezpečením, zajišťuje odpovědnosti uživatelů a poskytuje důkazy v případě narušení zabezpečení.

Druhy auditování

V nástroji Správce autorizací můžete provádět dva typy auditování: auditování v režimu runtime a auditování změn úložiště ověření.

Auditování v režimu runtime

Auditování v režimu runtime se skládá ze dvou aspektů:

  • auditování inicializace aplikace v režimu runtime, které generuje audity při otevření aplikace,

  • auditování kontextu klienta v režimu runtime a kontroly přístupu, které generují audity při vytváření kontextu klienta a pokaždé, když si klient vyžádá kontrolu přístupu. Kontroly přístupu jsou založené na metodě AccessCheck popsané v oddílu Autorizace v sadě Platform SDK. Další informace o rozhraních API týkajících se autorizace naleznete v tématu Autorizace.

Auditování v režimu runtime můžete nakonfigurovat tak, aby zaznamenávalo úspěchy, chyby nebo obojí.

Auditování změn úložiště ověření

Jestliže povolíte auditování změn úložiště ověření, jsou položky auditování generovány při každé změně úložiště ověření. Auditování zaznamenává všechny události, tedy úspěchy i chyby.

Aby bylo možné auditovat změny v úložišti ověření, podporuje nástroj Správce autorizací systém souborů NTFS (úložiště ověření založená na souborech XML), adresáře služby AD DS, adresáře služby AD LDS (Active Directory Lightweight Directory Services) a Microsoft SQL Server.

Umístění událostí auditu

Události auditu vytvořené nástrojem Správce autorizací můžete zobrazit v protokolech událostí v příslušném počítači:

  • Události auditu v režimu runtime se zaznamenávají do protokolu zabezpečení klientského počítače, ve kterém je daná aplikace spuštěna.

  • Události auditu změn v úložišti ověření se zaznamenávají do protokolu zabezpečení počítače, ve kterém je uloženo samotné úložiště.

    • V případě úložiště ověření založeného na souboru XML se záznamy auditu budou nacházet v prohlížeči událostí počítače, ve kterém je uložen soubor XML.

    • Úložiště ověření, které využívá službu AD DS nebo službu AD LDS, je možné nalézt v nástroji Prohlížeč událostí řadiče domény nebo používaného serveru služby AD LDS.

    • V případě úložiště ověření založeného na dotazu SQL se budou záznamy auditu nacházet v prohlížeči událostí počítače, který je hostitelem serveru SQL Server.

Dostupnost auditování

Dostupnost auditování závisí na následujících podmínkách:

  • Jestli je úložiště ověření založeno na službě AD DS, službě AD LDS, souboru XML nebo dotazu SQL.

  • Jestli je auditování nakonfigurováno na úrovni úložiště ověření, na úrovni aplikace nebo na úrovni oboru.

Následující tabulka popisuje dostupnost těchto dvou typů auditování.

Úroveň Dostupnost auditování v režimu runtime Konfigurace auditování v režimu runtime na této úrovni Dostupnost auditování změn úložiště ověření

Úložiště ověření
  • XML

  • AD DS a AD LDS

  • SQL Server
  • XML

  • AD DS a AD LDS

  • SQL Server
  • XML

  • AD DS a AD LDS

  • SQL Server

Aplikace
  • XML

  • AD DS a AD LDS

  • SQL Server
  • XML

  • AD DS a AD LDS

  • SQL Server
  • AD DS a AD LDS

  • SQL Server

Obor
  • XML

  • AD DS a AD LDS

  • SQL Server

Není k dispozici (nakonfigurováno na úrovni aplikace)
  • AD DS a AD LDS

  • SQL Server

Pokud chcete používat auditování, bude nutné zaškrtnout příslušné políčko na kartě Auditování. Auditování v režimu runtime zapnete zaškrtnutím políčka Auditování inicializace aplikace v režimu runtime. Pokud chcete zapnout auditování změn v úložišti autorizací, zaškrtněte políčko Kontext klienta v režimu runtime a kontrola přístupu.

Postup konfigurace systému pro auditování

Před samotným začátkem auditování je nejdříve potřeba rozhodnout o zásadě auditování. Zásada auditování určuje kategorie událostí zabezpečení, pro které chcete provést audit. Ve výchozím nastavení jsou při první instalaci této verze systému Windows všechny kategorie auditování zakázány.

Abyste mohli konfigurovat nastavení toho, které aplikace a obory budou auditovány, potřebujete oprávnění Správa auditování a protokolu zabezpečení v počítači, ve kterém se nachází úložiště ověření. Dosáhnete toho přihlášením jako člen předdefinované skupiny Administrators nebo zadáním hesla správce po zobrazení výzvy.

Pokud je úložiště ověření založeno na souboru XML, bude nutné zadat auditování přístupu k objektům. Pokud je úložiště ověření založeno na službě AD DS nebo službě AD LDS, bude nutné zadat auditování přístupu k adresářové službě.

Aby mohli uživatelé aplikací používající nástroj Správce autorizací vytvářet kontext klienta v režimu runtime a přistupovat ke kontrolním auditům, musejí mít oprávnění Generovat audity zabezpečení. Pokud uživatelé dané aplikace nemají toto oprávnění, nebudou se zaznamenávat žádné události auditu.

Zapnutí auditování přístupu k objektům

Ve výchozím nastavení je auditování přístupu k objektům zakázané. Pokud ho chcete zapnout, použijte v rámci služby AD DS nebo AD LDS zásadu skupiny na úrovni domény, řadiče domény nebo jakékoliv jiné použitelné organizační jednotky. Můžete také použít místní zásady zabezpečení.

Pokud se úložiště ověření založené na souboru XML nachází na řadiči domény, je nejvhodnějším místem pro zapnutí auditování přístupu k objektům objekt zásad skupiny (GPO) Výchozí zásady řadiče domény. Pokud se úložiště ověření založené na formátu XML nachází v pracovní stanici nebo na členském serveru, můžete upravit objekt místních zásad skupiny pro příslušný počítač a nastavit místní zásady zabezpečení, ale toto nastavení bude použito až po další aktualizaci nastavení zabezpečení zásad skupiny. Může to být užitečné, pokud audity generujete pouze jednorázově. Pokud však máte v úmyslu generovat audity zabezpečení pravidelně, měli byste upravit další objekt zásad skupiny, který platí pro počítač, prostřednictvím služby AS DS.

Chcete-li zapnout auditování přístupu k objektům, konfigurujte následující objekty:

  • Pro místní počítač

    1. Spusťte Editor místních zásad skupiny.

    2. Ve stromu konzoly dvakrát klikněte na položky Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a Zásady auditu.

    3. Klikněte na možnost Auditovat přístup k objektům.

    4. V podokně podrobností zaškrtněte políčko Definovat toto nastavení zásad, políčko Úspěšné pokusy a potom políčko Neúspěšné pokusy.

  • Pouze pro řadiče domény

    1. Klikněte na tlačítko Start, dále na položku Všechny programy, na položku Nástroje pro správu a poté dvakrát klikněte na možnost Zásady zabezpečení řadiče domény.

    2. Ve stromu konzoly dvakrát klikněte na položky Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a Zásady auditu.

    3. Klikněte na možnost Auditovat přístup k objektům.

    4. V podokně podrobností zaškrtněte políčko Definovat toto nastavení zásad, políčko Úspěšné pokusy a potom políčko Neúspěšné pokusy.

  • Pro doménu nebo organizační jednotku

    1. Spusťte Konzolu pro správu zásad skupiny (GPMC).

    2. Pravým tlačítkem myši klikněte na objekt zásad skupiny, který chcete auditovat, a poté klikněte na příkaz Upravit.

    3. Ve stromu konzoly dvakrát klikněte na položky Konfigurace počítače, Zásady, Nastavení zabezpečení, Místní zásady a Zásady auditu.

    4. Klikněte na možnost Auditovat přístup k objektům.

    5. V podokně podrobností zaškrtněte políčko Definovat toto nastavení zásad, políčko Úspěšné pokusy a potom políčko Neúspěšné pokusy.

Další informace

  • Chcete-li upravit nastavení zásad založené na doméně, musíte nainstalovat konzolu GPMC. Konzola GPMC je doplňková funkce systému Windows Server 2008, kterou lze nainstalovat pomocí Správce serveru.

  • Pokud upravujete objekt místních zásad skupiny, nezobrazí se v Editoru objektů místních zásad skupiny zaškrtávací políčko Definovat toto nastavení zásad. Políčko se zobrazí pouze v případě, že upravujete objekty zásad skupiny uložené ve službě AD DS.

  • Pokud nejsou k dispozici zaškrtávací políčka auditování Úspěšné pokusy a Neúspěšné pokusy, bylo políčko Definovat toto nastavení zásad pravděpodobně zaškrtnuto v zásadě zabezpečení fungující na vyšší úrovni struktury služby AD DS. V takovém případě bude nutné najít, kde bylo políčko Definovat toto nastavení zásad zaškrtnuto, a toto zaškrtnutí zrušit. Toto nastavení hledejte v objektech zásad skupiny platných pro příslušný počítač.

Zapnutí auditování přístupu k adresářům

Ve výchozím nastavení je auditování přístupu k adresářové službě zakázané. Pokud ho chcete zapnout, použijte v rámci služby AD DS zásady skupiny na úrovni domény, řadiče domény nebo jakékoli jiné použitelné organizační jednotky.

Auditování přístupu k objektům zapnete kliknutím na následující uzly: Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady, Zásady auditu a následným dvojitým kliknutím na možnost Auditovat přístup k adresářové službě.

Zaškrtněte políčko Definovat toto nastavení zásad, zaškrtněte políčko Úspěšné pokusy a nakonec zaškrtněte políčko Neúspěšné pokusy.

Další požadavky

  • Pokud nejsou dostupná ani zaškrtávací políčka auditování Úspěšné pokusy a Neúspěšné pokusy, bylo políčko Definovat toto nastavení zásad pravděpodobně zaškrtnuto v zásadě zabezpečení fungující na vyšší úrovni struktury služby AD DS. V takovém případě bude nutné najít, kde bylo políčko Definovat toto nastavení zásad zaškrtnuto, a toto zaškrtnutí zrušit. Toto nastavení hledejte v objektech zásad skupiny platných pro řadič domény.

  • Po provedení úprav objektů zásad skupiny zadejte příkaz gpupdate, aby došlo k okamžitému použití těchto úprav.

Auditování povolené děděním

Bez ohledu na místní nastavení je vždy prováděno auditování nastavené děděním. Například v případě úložiště ověření uloženého v adresáři služby AD DS mohou být zásady auditování zděděny z nadřazené organizační jednotky služby AD DS. V případě úložiště ověření uloženého v souboru XML platí zásady auditování složky, ve které je daný soubor XML umístěn.

Obsah