Η εποπτεία της πρόσβασης σε ελεγχόμενους πόρους και τυχόν αλλαγών στην πολιτική εξουσιοδότησης παρέχει έναν τρόπο για την παρακολούθηση ενδεχόμενων προβλημάτων με την ασφάλεια, σας βοηθάει να διασφαλίσετε την υπευθυνότητα του χρήστη και παρέχει αποδείξεις σε περίπτωση παραβίασης της ασφάλειας.
Τύποι ελέγχου
Με τη Διαχείριση εξουσιοδότησης, μπορείτε να χρησιμοποιήσετε δύο είδη ελέγχου: έλεγχο κατά το χρόνο εκτέλεσης και έλεγχο αλλαγών στο χώρο αποθήκευσης εξουσιοδοτήσεων.
Έλεγχος κατά το χρόνο εκτέλεσης
Υπάρχουν δύο πλευρές για τον έλεγχο κατά το χρόνο εκτέλεσης:
-
Έλεγχος της προετοιμασίας εφαρμογής κατά το χρόνο εκτέλεσης, που εκτελεί ελέγχους όταν ανοίγετε μια εφαρμογή.
-
Έλεγχος πρόσβασης και περιβάλλοντος συστήματος-πελάτη κατά το χρόνο εκτέλεσης, που εκτελεί ελέγχους όταν δημιουργείται ένα περιβάλλον συστήματος-πελάτη και κάθε φορά που το σύστημα-πελάτης πραγματοποιεί κλήση για έλεγχο πρόσβασης. Οι έλεγχοι πρόσβασης βασίζονται στη μέθοδο AccessCheck που περιγράφεται στην ενότητα σχετικά με την εξουσιοδότηση, στο θέμα για την πλατφόρμα SDK. Για περισσότερες πληροφορίες σχετικά με τις διασυνδέσεις προγραμματισμού εφαρμογών (API) που σχετίζονται με την εξουσιοδότηση, ανατρέξτε στο θέμα
Εξουσιοδότηση (η σελίδα ενδέχεται να υπάρχει στα Αγγλικά) (https://go.microsoft.com/fwlink/?linkid=64031).
Οι παράμετροι του ελέγχου κατά το χρόνο εκτέλεσης μπορούν να ρυθμιστούν ώστε να καταγράφονται οι επιτυχίες, οι αποτυχίες ή και τα δύο.
Έλεγχος αλλαγής χώρου αποθήκευσης εξουσιοδοτήσεων
Όταν ενεργοποιείτε τον έλεγχο αλλαγών στο χώρο αποθήκευσης εξουσιοδοτήσεων, εκτελούνται έλεγχοι κάθε φορά που τροποποιείται ο χώρος αποθήκευσης εξουσιοδοτήσεων. Η αναφορά ελέγχου καταγράφει όλα τα συμβάντα, τις επιτυχίες και τις αποτυχίες.
Για έλεγχο των αλλαγών στο χώρο αποθήκευσης εξουσιοδοτήσεων, η Διαχείριση εξουσιοδότησης υποστηρίζει το σύστημα αρχείων NTFS (για χώρους αποθήκευσης εξουσιοδοτήσεων που βασίζονται σε XML), τις υπηρεσίες τομέα Active Directory (AD DS), την υπηρεσία καταλόγου Lightweight Active Directory (AD LDS) και τον Microsoft SQL Server.
Εντοπισμός συμβάντων ελέγχου
Για προβολή των συμβάντων ελέγχου που παράγονται από τη Διαχείριση εξουσιοδοτήσεων, κάντε προβολή των αρχείων καταγραφής συμβάντων στον κατάλληλο υπολογιστή.
-
Τα συμβάντα ελέγχου κατά το χρόνο εκτέλεσης βρίσκονται στο αρχείο καταγραφής ασφαλείας του υπολογιστή όπου εκτελείται η εφαρμογή.
-
Τα συμβάντα ελέγχου αλλαγών χώρου αποθήκευσης εξουσιοδοτήσεων βρίσκονται στο αρχείο καταγραφής ασφαλείας του υπολογιστή όπου βρίσκεται ο χώρος αποθήκευσης.
-
Στην περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε XML, τα αρχεία ελέγχου βρίσκονται στην Προβολή Συμβάντων του υπολογιστή στον οποίο αποθηκεύεται το αρχείο XML.
-
Σε περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που χρησιμοποιεί AD DS ή AD LDS, τα αρχεία ελέγχου θα βρίσκονται στην Προβολή συμβάντων του ελεγκτή τομέα ή στον διακομιστή AD LDS στον οποίο επιχειρείτε πρόσβαση.
-
Στην περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε SQL, βρίσκονται στην Προβολή Συμβάντων του υπολογιστή στον οποίο εκτελείται ο SQL Server.
-
Στην περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε XML, τα αρχεία ελέγχου βρίσκονται στην Προβολή Συμβάντων του υπολογιστή στον οποίο αποθηκεύεται το αρχείο XML.
Διαθεσιμότητα ελέγχου
Η διαθεσιμότητα του ελέγχου εξαρτάται από τα παρακάτω:
-
Αν ο χώρος αποθήκευσης εξουσιοδοτήσεων βασίζεται σε AD DS, AD LDS, XML ή SQL.
-
Αν ο έλεγχος έχει ρυθμιστεί σε επίπεδο χώρου αποθήκευσης εξουσιοδοτήσεων, σε επίπεδο εφαρμογής ή σε επίπεδο εμβέλειας.
Ο παρακάτω πίνακας περιγράφει τη διαθεσιμότητα των δύο τύπων ελέγχου.
Επίπεδο | Ο έλεγχος κατά το χρόνο εκτέλεσης είναι διαθέσιμος σε | Ο έλεγχος κατά το χρόνο εκτέλεσης μπορεί να ρυθμιστεί σε αυτό το επίπεδο σε | Ο έλεγχος αλλαγών στο χώρο αποθήκευσης εξουσιοδοτήσεων είναι διαθέσιμος σε |
---|---|---|---|
Χώρος αποθήκευσης εξουσιοδοτήσεων |
|
|
|
Εφαρμογή |
|
|
|
Εμβέλεια |
|
Δεν είναι διαθέσιμος (ρύθμιση σε επίπεδο εφαρμογής) |
|
Για να χρησιμοποιήσετε τον έλεγχο, πρέπει να επιλέξετε το κατάλληλο πλαίσιο ελέγχου από την καρτέλα Έλεγχος. Για να ενεργοποιήσετε τον έλεγχο κατά το χρόνο εκτέλεσης, επιλέξτε το πλαίσιο ελέγχου Έλεγχος προετοιμασίας εφαρμογής κατά το χρόνο εκτέλεσης. Για να ενεργοποιήσετε τον έλεγχο χώρου αποθήκευσης εξουσιοδοτήσεων, επιλέξτε το πλαίσιο ελέγχου Περιβάλλον του υπολογιστή-πελάτη κατά το χρόνο εκτέλεσης και έλεγχος πρόσβασης.
Ρύθμιση των παραμέτρων του συστήματος ώστε να επιτρέπεται ο έλεγχος
Πριν εφαρμόσετε τον έλεγχο, πρέπει να αποφασίσετε για την πολιτική ελέγχου. Μια πολιτική ελέγχου καθορίζει κατηγορίες συμβάντων που αφορούν την ασφάλεια που θέλετε να ελέγξετε. Από προεπιλογή, όταν τα Windows εγκαθίστανται για πρώτη φορά, απενεργοποιούνται όλες οι κατηγορίες ελέγχου.
Για να ρυθμίσετε ποια εφαρμογή και ποιες εμβέλειες θα ελεγχθούν, πρέπει να έχετε το δικαίωμα Διαχείριση αρχείων καταγραφής ελέγχου και ασφάλειας στον υπολογιστή όπου βρίσκεται ο χώρος αποθήκευσης εξουσιοδοτήσεων. Αυτό επιτυγχάνεται συνήθως αν είστε συνδεδεμένοι ως μέλος της ενσωματωμένης ομάδας διαχειριστών ή παρέχοντας έναν κωδικό πρόσβασης διαχειριστή όταν σας ζητηθεί.
Αν ο χώρος αποθήκευσης εξουσιοδοτήσεων βασίζεται σε XML, πρέπει να καθορίσετε έλεγχο πρόσβασης αντικειμένου. Αν ο χώρος αποθήκευσης εξουσιοδοτήσεων βασίζεται σε AD DS ή AD LDS, πρέπει να καθορίσετε έλεγχο πρόσβασης υπηρεσίας καταλόγου.
Για την εκτέλεση ελέγχου του περιβάλλον συστήματος-πελάτη κατά το χρόνο εκτέλεσης και της πρόσβασης, οι χρήστες των εφαρμογών που χρησιμοποιούν τη Διαχείριση εξουσιοδοτήσεων πρέπει να έχουν λάβει το δικαίωμα Δημιουργία ελέγχων ασφάλειας. Αν οι χρήστες της εφαρμογής δεν διαθέτουν αυτό το δικαίωμα, δεν καταγράφονται συμβάντα ελέγχου.
Ενεργοποίηση του ελέγχου πρόσβασης αντικειμένου
Από προεπιλογή, ο έλεγχος πρόσβασης αντικειμένου είναι απενεργοποιημένος. Για να τον ενεργοποιήσετε, χρειάζεται να χρησιμοποιήσετε μια πολιτική ομάδας σε επίπεδο τομέα, ελεγκτή τομέα ή άλλο κατάλληλο επίπεδο οργανικής ομάδας σε AD DS ή AD LDS. Μπορείτε επίσης να χρησιμοποιήσετε την τοπική πολιτική ασφαλείας.
Αν ο χώρος αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε XML βρίσκεται σε ελεγκτή τομέα, το αντικείμενο πολιτικής ομάδας Προεπιλεγμένη πολιτική ελεγκτών τομέων είναι το κατάλληλο μέρος για ενεργοποίηση του ελέγχου πρόσβασης αντικειμένου. Αν ο χώρος αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε XML βρίσκεται σε σταθμό εργασίας ή σε διακομιστή-μέλος, μπορείτε να επεξεργαστείτε το τοπικό αντικείμενο πολιτική ομάδας για τον συγκεκριμένο υπολογιστή, για να καθορίσετε την τοπική πολιτική ασφαλείας όμως αυτές οι ρυθμίσεις θα εφαρμοστούν μόνο μετά την επόμενη ανανέωση των ρυθμίσεων ασφαλείας της πολιτικής ομάδας. Αυτό μπορεί να είναι χρήσιμο εάν δημιουργείτε τους ελέγχους μία φορά. Ωστόσο, εάν σχεδιάζετε να δημιουργείτε τακτικά ελέγχους ασφαλείας θα πρέπει να επεξεργαστείτε ένα άλλο αντικείμενο πολιτικής ομάδας που να εφαρμόζεται στον υπολογιστή μέσω του AD DS.
Για να ενεργοποιήσετε τον έλεγχο πρόσβασης αντικειμένου, ρυθμίστε τα παρακάτω αντικείμενα:
-
Για έναν τοπικό υπολογιστή
-
Ανοίξτε το πρόγραμμα επεξεργασίας τοπικής Πολιτικής ομάδας.
-
Στο δέντρο της κονσόλας, κάντε διπλό κλικ στην επιλογή Ρυθμίσεις υπολογιστή, Ρυθμίσεις των Windows, Ρυθμίσεις ασφαλείας, Τοπικές πολιτικές και Πολιτική ελέγχου.
-
Κάντε κλικ στην επιλογή Έλεγχος πρόσβασης αντικειμένου.
-
Στο παράθυρο λεπτομερειών, επιλέξτε το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής, επιλέξτε το πλαίσιο ελέγχου Επιτυχία και έπειτα επιλέξτε το πλαίσιο ελέγχου Αποτυχία.
-
Ανοίξτε το πρόγραμμα επεξεργασίας τοπικής Πολιτικής ομάδας.
-
Μόνο για ελεγκτές τομέα
-
Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Όλα τα προγράμματα, κάντε κλικ στα Εργαλεία διαχείρισης και έπειτα κάντε διπλό κλικ στην επιλογή Πολιτική ασφαλείας ελεγκτή τομέα.
-
Στο δέντρο της κονσόλας, κάντε διπλό κλικ στην επιλογή Ρυθμίσεις υπολογιστή, Ρυθμίσεις των Windows, Ρυθμίσεις ασφαλείας, Τοπικές πολιτικές και Πολιτική ελέγχου.
-
Κάντε κλικ στην επιλογή Έλεγχος πρόσβασης αντικειμένου.
-
Στο παράθυρο λεπτομερειών, επιλέξτε το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής, επιλέξτε το πλαίσιο ελέγχου Επιτυχία και έπειτα επιλέξτε το πλαίσιο ελέγχου Αποτυχία.
-
Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Όλα τα προγράμματα, κάντε κλικ στα Εργαλεία διαχείρισης και έπειτα κάντε διπλό κλικ στην επιλογή Πολιτική ασφαλείας ελεγκτή τομέα.
-
Για έναν τομέα ή μια οργανική μονάδα
-
Ανοίξτε την Κονσόλα διαχείρισης πολιτικής ομάδας (GPMC).
-
Κάντε δεξιό κλικ στο αντικείμενο πολιτικής ομάδας που θέλετε να ελέγξετε και, στη συνέχεια, κάντε κλικ στο κουμπί Επεξεργασία.
-
Στο δέντρο της κονσόλας, κάντε διπλό κλικ στην επιλογή Ρυθμίσεις υπολογιστή, Πολιτικές, Ρυθμίσεις ασφαλείας, Τοπικές πολιτικές και Πολιτική ελέγχου.
-
Κάντε κλικ στην επιλογή Έλεγχος πρόσβασης αντικειμένου.
-
Στο παράθυρο λεπτομερειών, επιλέξτε το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής, επιλέξτε το πλαίσιο ελέγχου Επιτυχία και έπειτα επιλέξτε το πλαίσιο ελέγχου Αποτυχία.
-
Ανοίξτε την Κονσόλα διαχείρισης πολιτικής ομάδας (GPMC).
Επιπλέον ζητήματα
-
Πρέπει να εγκαταστήσετε το GPMC για να επεξεργαστείτε τις ρυθμίσεις πολιτικής με βάση τον τομέα. Το GPMC είναι μια πρόσθετη δυνατότητα των Windows Server 2008 που μπορείτε να εγκαταστήσετε χρησιμοποιώντας το Διαχειριστή διακομιστή.
-
Αν πραγματοποιείτε επεξεργασία του τοπικού αντικειμένου πολιτικής ομάδας, το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής δεν εμφανίζεται στο Πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας. Εμφανίζεται μόνο εάν επεξεργάζεστε αντικείμενα πολιτικής ομάδας που είναι αποθηκευμένα σε AD DS.
-
Αν δεν είναι διαθέσιμα τα πλαίσια ελέγχου Επιτυχία και Αποτυχία, το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής έχει επιλεγεί μάλλον μέσω της πολιτικής ασφαλείας που ενεργεί σε υψηλότερο επίπεδο στη δομή AD DS. Σε αυτήν την περίπτωση, πρέπει να βρείτε πού έχει επιλεγεί το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής και να καταργήσετε αυτήν τη ρύθμιση. Για να βρείτε αυτή τη ρύθμιση, πραγματοποιήστε αναζήτηση στα αντικείμενα πολιτικής ομάδας που επηρεάζουν αυτόν τον υπολογιστή.
Ενεργοποίηση του ελέγχου πρόσβασης καταλόγου
Από προεπιλογή, ο έλεγχος πρόσβασης υπηρεσίας καταλόγου είναι απενεργοποιημένος. Για να τον ενεργοποιήσετε, χρειάζεται να χρησιμοποιήσετε μια πολιτική ομάδας σε επίπεδο τομέα, ελεγκτή τομέα ή άλλο κατάλληλο επίπεδο οργανικής ομάδας στην AD DS.
Για να ενεργοποιήσετε τον έλεγχο πρόσβασης αντικειμένου, αναπτύξτε τους παρακάτω κόμβους: Ρυθμίσεις υπολογιστή, Ρυθμίσεις των Windows, Ρυθμίσεις ασφαλείας, Τοπικές πολιτικές, Πολιτική ελέγχου και κάντε διπλό κλικ στο στοιχείο Έλεγχος πρόσβασης στην υπηρεσία καταλόγου.
Επιλέξτε το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής, επιλέξτε το πλαίσιο ελέγχου Επιτυχία και έπειτα επιλέξτε το πλαίσιο ελέγχου Αποτυχία.
Επιπλέον ζητήματα
-
Αν δεν είναι διαθέσιμα τα πλαίσια ελέγχου Επιτυχία και Αποτυχία, το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής έχει επιλεγεί μάλλον μέσω της πολιτικής ασφαλείας που ενεργεί σε υψηλότερο επίπεδο στην AD DS. Σε αυτήν την περίπτωση, πρέπει να βρείτε πού έχει επιλεγεί το πλαίσιο ελέγχου Καθορισμός αυτών των ρυθμίσεων πολιτικής και να καταργήσετε αυτήν τη ρύθμιση. Για να βρείτε αυτή τη ρύθμιση, πραγματοποιήστε αναζήτηση στα αντικείμενα πολιτικής ομάδας που επηρεάζουν τον ελεγκτή τομέα.
-
Αφού επεξεργαστείτε τα αντικείμενα πολιτικής ομάδας, εκτελέστε την εντολή gpupdate για να διασφαλίσετε την άμεση εφαρμογή των αλλαγών.
Έλεγχος που ενεργοποιείται με μεταβίβαση
Όποιος έλεγχος αποκτείται με μεταβίβαση εκτελείται ανεξάρτητα από την τοπική ρύθμιση. Για παράδειγμα, σε περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που έχει αποθηκευτεί σε AD DS, η πολιτική ελέγχου μπορεί να μεταβιβαστεί από τη γονική οργανική μονάδα στην AD DS. Στην περίπτωση χώρου αποθήκευσης εξουσιοδοτήσεων που βασίζεται σε XML, ισχύει η πολιτική ελέγχου στο φάκελο που περιέχει το αρχείο XML.