Valvomalla resurssien käyttöoikeuksia ja vahvistuskäytäntöjen muutoksia voit seurata mahdollisia turvallisuusongelmia, varmistaa käyttäjän vastuut ja etsiä todisteita suojausrikkomuksista.

Valvontatyypit

Valtuutustietojen hallinnassa voi käyttää kahdentyyppistä valvontaa: suorituksenaikaista valvontaa ja valtuutustietosäilön muutosten valvonta.

Suorituksenaikainen valvonta

Suorituksenaikaisella valvonnalla on kaksi muotoa:

  • Suorituksenaikainen sovelluksen alustuksen valvonta, joka luo valvontamerkinnän, kun sovellus avataan.

  • Suorituksenaikainen asiakaskontekstin ja käyttöoikeustarkistuksen valvonta, joka luo valvontamerkinnän silloin, kun asiakaskonteksti luodaan, ja silloin, kun asiakas kutsuu käyttöoikeustarkistusta. Käyttöoikeustarkistukset perustuvat AccessCheck-metodiin, joka on kuvattu Platform SDK:n valtuutusosiossa. Lisätietoja valtuutuksiin liittyvistä API-liittymistä on Microsoftin sivuston kohdassa Valtuutukset (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?linkid=64031).

Voit määrittää suorituksenaikaisen valvonnan luomaan lokin onnistumisista, epäonnistumisista tai molemmista.

Valtuutustietosäilön muutoksen valvonta

Kun otat käyttöön valtuutustietosäilön muutoksen valvonnan, valvontamerkintä luodaan aina, kun valtuutustietosäilöä muutetaan. Valvonta luo lokin kaikista tapahtumista, onnistumisista ja epäonnistumisista.

Valtuutustietojen hallinta tukee valtuutustietosäilön muutoksen valvonnassa NTFS-tiedostojärjestelmää (XML-pohjaiset valtuutustietosäilöt), Active Directory -toimialuepalveluita (AD DS), Active Directory Lightweight Directory Services -palveluita (AD LDS) ja Microsoft SQL Server -tietokantaa.

Valvontatapahtumien etsiminen

Voit tarkastella Valtuutustietojen hallinnan luomia valvontatapahtumia tarkastelemalla tietokoneen tapahtumalokeja.

  • Suorituksenaikaisen valvonnan tapahtumat kirjataan sen asiakastietokoneen suojauslokiin, jossa sovellusta käytetään.

  • Valtuutustietosäilön muutoksen valvonnan tapahtumat kirjataan sen tietokoneen suojauslokiin, jossa säilö sijaitsee.

    • Jos kyseessä on XML-pohjainen valtuutustietosäilö, valvontatiedot löytyvät sen tietokoneen Tapahtumienvalvonnasta, jossa XML-tiedosto sijaitsee.

    • Jos valtuutustietosäilö käyttää AD DS:ää tai AD LDS:ää, valvontatietueet löytyvät käytössä olevan toimialueen ohjauskoneen tai AD LDS -palvelimen Tapahtumienvalvonnasta.

    • Jos kyseessä on SQL-pohjainen valtuutustietosäilö, valvontatietueet löytyvät SQL Server -tietokoneen Tapahtumienvalvonnasta.

Valvonnan käytettävyys

Valvonnan käytettävyys riippuu seuraavista tekijöistä:

  • Onko kyseessä AD DS-, AD LDS-, XML- vai SQL-pohjainen valtuutustietosäilö.

  • Onko valvonta määritetty valtuutustietosäilötasolla, sovellustasolla vai vaikutusaluetasolla.

Seuraavassa taulukossa on kuvattu valvontatyyppien käytettävyys.

Taso Suorituksenaikainen valvonta on käytettävissä tasolla Suorituksenaikainen valvonta voidaan määrittää tällä tasolla Valtuutustietosäilön muutoksen valvonta on käytettävissä tasolla

Valtuutustietosäilö

  • XML

  • AD DS ja AD LDS

  • SQL Server

  • XML

  • AD DS ja AD LDS

  • SQL Server

  • XML

  • AD DS ja AD LDS

  • SQL Server

Sovellus

  • XML

  • AD DS ja AD LDS

  • SQL Server

  • XML

  • AD DS ja AD LDS

  • SQL Server

  • AD DS ja AD LDS

  • SQL Server

Vaikutusalue

  • XML

  • AD DS ja AD LDS

  • SQL Server

Ei käytettävissä (määritetty sovellustasolla)

  • AD DS ja AD LDS

  • SQL Server

Valitse valvontaa varten sopiva Valvonta-välilehden valintaruutu. Valitse Suorituksenaikainen sovelluksen alustuksen valvonta -valintaruutu, jos haluat ottaa käyttöön suorituksenaikaisen valvonnan. Valitse Suorituksenaikaisen asiakaskontekstin ja käyttöoikeustarkistuksen valvonta -valintaruutu, jos haluat ottaa käyttöön valtuustietosäilön muutoksen valvonnan.

Järjestelmän määrittäminen hyväksymään valvonta

Ennen kuin otat valvonnan käyttöön, sinun täytyy päättää valvontakäytäntö. Valvontakäytäntö määrittää suojaukseen liittyvien tapahtumien luokat, joita haluat valvoa. Oletusarvon mukaan kaikki valvontaluokat ovat poissa käytöstä Windowsin asentamisen jälkeen.

Valvottavien sovellusten ja vaikutusalueiden määrittämiseksi sinulla pitää olla Todennus- ja suojauslokin hallinta -oikeus siinä tietokoneessa, jossa valtuutustietosäilö sijaitsee. Oikeuden saa yleensä kirjautumalla tietokoneeseen Sisäiset järjestelmänvalvojat -ryhmän jäsenenä tai antamalla järjestelmänvalvojan salasanan sitä pyydettäessä.

Jos valtuutustietosäilö on XML-pohjainen, sinun pitää määrittää objektin käytön valvonta. Jos valtuutustietosäilö on AD DS- tai AD LDS -pohjainen, sinun pitää määrittää hakemistopalveluiden käytön valvonta.

Suorituksenaikaisen asiakaskontekstin ja käyttöoikeustarkistuksen valvonnan luomiseksi Valtuutustietojen hallintaa käyttävien sovellusten käyttäjille on annettava Suojauksen valvontatapahtumien luominen -oikeus. Jos sovelluksen käyttäjillä ei ole tätä käyttöoikeutta, valvontatapahtumia ei tallenneta.

Objektin käytön valvonnan ottaminen käyttöön

Oletusarvon mukaan objektin käytön valvonta ei ole käytössä. Voit ottaa valvonnan käyttöön käyttämällä ryhmäkäytäntöä, joka sijaitsee toimialueella, toimialueen ohjauskoneessa tai muulla AD DS:n tai AD LDS:n soveltuvalla organisaatioyksikkötasolla. Voit käyttää myös paikallista suojauskäytäntöä.

Jos XML-pohjainen valtuutustietosäilö sijaitsee toimialueen ohjauskoneessa, Toimialueen ohjauskoneen oletuskäytäntö -ryhmäkäytäntöobjekti on sopivin paikka objektin käytön valvonnan käyttöönottamiseen. Jos XML-pohjainen valtuutustietosäilö sijaitsee työasemassa tai jäsenpalvelimessa, voit muokata kyseisen tietokoneen paikallista ryhmäkäytäntöobjektia tietokoneen paikallisen suojauskäytännön määrittämiseksi, mutta asetukset eivät tule käyttöön ennen kuin ryhmäkäytännön suojausasetukset päivitetään seuraavan kerran. Tästä voi olla hyötyä, jos olet tekemässä valvontamerkintöjä vain kerran. Jos kuitenkin aiot luoda suojausvalvontamerkintöjä säännöllisesti, sinun tulisi muokata toista ryhmäkäytönobjektia, joka liittyy tietokoneeseen AD DS:n kautta.

Voit ottaa objektin käytön valvonnan käyttöön määrittämällä seuraavat objektit:

  • Paikallinen tietokone

    1. Avaa paikallinen ryhmäkäytäntöobjektien editori.

    2. Kaksoisnapsauta konsolipuussa Tietokoneasetukset-, Windows-asetukset-, Suojausasetukset-, Paikalliset käytännöt- ja Valvontakäytäntö-kohtia.

    3. Valitse Valvo objektin käyttöä.

    4. Valitse tietoruudusta Määritä nämä käytäntöasetukset -valintaruutu, valitse Onnistunut-valintaruutu ja valitse sitten Epäonnistunut-valintaruutu.

  • Vain toimialueen ohjauskoneet

    1. Valitse Käynnistä, valitse Kaikki ohjelmat, valitse Valvontatyökalut ja kaksoisnapsauta sitten Toimialueen ohjauskoneen suojauskäytäntö -kohtaa.

    2. Kaksoisnapsauta konsolipuussa Tietokoneasetukset-, Windows-asetukset-, Suojausasetukset-, Paikalliset käytännöt- ja Valvontakäytäntö-kohtia.

    3. Valitse Valvo objektin käyttöä.

    4. Valitse tietoruudusta Määritä nämä käytäntöasetukset -valintaruutu, valitse Onnistunut-valintaruutu ja valitse sitten Epäonnistunut-valintaruutu.

  • Toimialue- tai organisaatioyksikkö

    1. Avaa ryhmäkäytäntöjen hallintakonsoli (GPMC).

    2. Napsauta hiiren kakkospainikkeella valvottavaa ryhmäkäytäntöobjektia ja valitse Muokkaa.

    3. Kaksoisnapsauta konsolipuussa Tietokoneasetukset-, Käytännöt-, Suojausasetukset-, Paikalliset käytännöt- ja Valvontakäytäntö-kohtia.

    4. Valitse Valvo objektin käyttöä.

    5. Valitse tietoruudusta Määritä nämä käytäntöasetukset -valintaruutu, valitse Onnistunut-valintaruutu ja valitse sitten Epäonnistunut-valintaruutu.

Muita huomioonotettavia seikkoja

  • GPMC-laajennus on asennettava toimialuepohjaisten käytäntöasetusten muokkaamiseksi. GPMC-laajennus on Windows Server 2008 -lisäominaisuus, jonka voit asentaa Palvelimen hallinnan avulla.

  • Jos muokkaat paikallista ryhmäkäytäntöobjektia, Määritä nämä käytäntöasetukset -valintaruutua ei näy paikallisten ryhmäkäytäntöobjektien editorissa. Se näkyy vain, jos muokkaat ryhmäkäytäntöobjekteja, jotka on tallennettu AD DS:ään.

  • Jos Onnistunut- ja Epäonnistunut-valintaruudut eivät ole käytettävissä, Määritä nämä käytäntöasetukset -valintaruutu on todennäköisesti valittu AD DS:n ylemmällä tasolla toimivan suojauskäytännön yhteydessä. Tässä tapauksessa sinun pitää etsiä paikka, jossa Määritä nämä käytäntöasetukset -valintaruutu on valittuna, ja poistaa valintaruudun valinta. Voit etsiä asetusta tarkastelemalla tietokoneeseen vaikuttavia ryhmäkäytäntöobjekteja.

Hakemiston käytön valvonnan ottaminen käyttöön

Oletusarvon mukaan hakemistopalvelun käytön valvonta ei ole käytössä. Voit ottaa valvonnan käyttöön käyttämällä ryhmäkäytäntöä, joka sijaitsee toimialueella, toimialueen ohjauskoneessa tai muulla AD DS:n soveltuvalla organisaatioyksikkötasolla.

Ota objektin käytön valvonta käyttöön laajentamalla seuraavat solmut: Tietokoneasetukset, Windows-asetukset, Suojausasetukset, Paikalliset käytännöt ja Valvontakäytäntö. Kaksoisnapsauta sitten kohtaa Valvo hakemistopalveluiden käyttöä.

Valitse Määritä nämä käytäntöasetukset -valintaruutu, valitse Onnistunut-valintaruutu ja valitse sitten Epäonnistunut-valintaruutu.

Muita huomioon otettavia seikkoja

  • Jos Onnistunut- ja Epäonnistunut-valintaruudut eivät ole käytettävissä, Määritä nämä käytäntöasetukset -valintaruutu on todennäköisesti valittu AD DS:n ylemmällä tasolla toimivan suojauskäytännön yhteydessä. Tässä tapauksessa sinun pitää etsiä paikka, jossa Määritä nämä käytäntöasetukset -valintaruutu on valittuna, ja poistaa valintaruudun valinta. Voit etsiä asetusta tarkastelemalla toimialueen ohjauskoneeseen vaikuttavia ryhmäkäytäntöobjekteja.

  • Varmista muutosten välitön käyttöönotto suorittamalla gpupdate-komento ryhmäkäytäntöobjektien muokkaamisen jälkeen.

Periytymisen mukana tuleva valvonta

Periytymisen mukana tuleva valvonta suoritetaan aina paikallisesta asetuksesta riippumatta. Jos valtuutustietosäilö on tallennettu esimerkiksi AD DS:ään, valvontakäytäntö voi periytyä AD DS:n ylemmän tason organisaatioyksiköstä. Jos kyseessä on XML-pohjainen valtuutustietosäilö, käytettävissä on XML-tiedoston sisältävän kansion valvontakäytäntö.


Sisällys