פיקוח על הגישה למשאבים נשלטים ועל השינויים במדיניות ההרשאות, מספק לך דרך לעקוב אחר בעיות אבטחה פוטנציאליות, מסייע בהבטחת הנשיאה באחריות של המשתמשים ומספק עדות במקרה של פגיעה באבטחה.

סוגי ביקורת

באמצעות מנהל ההרשאות, באפשרותך להשתמש בשני סוגי ביקורת: ביקורת בזמן ריצה וביקורת על שינויים במאגר ההרשאות.

ביקורת בזמן ריצה

קיימים שני היבטים לביקורת בזמן ריצה:

  • ביקורת של אתחול יישומים בזמן ריצה, שמפעילה ביקורות בעת פתיחת יישום.

  • ביקורת על בדיקת גישה והקשר לקוח בזמן ריצה, שמפעילה ביקורות כאשר נוצר הקשר לקוח ובכל פעם שהלקוח שולח קריאה לבדיקת גישה. בדיקות גישה מבוססות על פעולת השירות AccessCheck המתוארת בחלק ההרשאות של ה- Platform SDK. לקבלת מידע נוסף אודות ממשקי תיכנות יישומים (API) הקשורים להרשאות, ראה הרשאות (https://go.microsoft.com/fwlink/?linkid=64031).

באפשרותך להגדיר את תצורת הביקורת בזמן ריצה כך שתרשום הצלחות, כשלים או את שניהם.

ביקורת על שינוי מאגר ההרשאות

כאשר תפעיל ביקורת על שינוי במאגר ההרשאות, פעולות הביקורת מופעלות בכל פעם שמאגר ההרשאות משתנה. הביקורת רושמת את כל האירועים, ההצלחות והכשלים.

עבור ביקורת של שינויים במאגר ההרשאות, מנהל ההרשאות תומך במערכת הקבצים NTFS (עבור מאגרי הרשאות מבוססי XML),‏ Active Directory Domain Services (AD DS)‎,‏ Active Directory Lightweight Directory Services (AD LDS)‎ ו- Microsoft SQL Server.

איתור אירועי ביקורת

כדי להציג אירועי ביקורת שנוצרו על-ידי מנהל ההרשאות, הצג את יומני האירועים במחשב המתאים.

  • אירועי ביקורת בזמן ריצה נמצאים ביומן האבטחה של מחשב הלקוח שבו פועל היישום.

  • אירועי ביקורת על שינוי במאגר ההרשאות נמצאים ביומן האבטחה של המחשב שבו נמצא המאגר.

    • במקרה של מאגר הרשאות מבוסס XML, רשומות הביקורת יופיעו במציג האירועים של המחשב המאחסן את קובץ ה- XML.

    • במקרה של מאגר הרשאות המשתמש ב- AD DS או ב- AD LDS, רשומות ביקורת יופיעו במציג האירועים של בקר התחום או בשרת AD LDS שאליו מתבצעת גישה.

    • במקרה של מאגר הרשאות מבוסס SQL, רשומות הביקורת יופיעו במציג האירועים של המחשב המארח את SQL Server.

זמינות הביקורת

זמינות הביקורת תלויה בתנאים הבאים:

  • אם מאגר ההרשאות מבוסס על AD DS, ‏AD LDS, ‏XML או SQL.

  • האם הביקורת מוגדרת ברמת מאגר ההרשאות, ברמת היישום או ברמת הטווח.

הטבלה הבאה מתארת את הזמינות של שני סוגי הביקורת.

רמה ביקורת בזמן ריצה זמינה ב- ניתן להגדיר ביקורת בזמן ריצה ברמה זו ב- ביקורת על שינוי במאגר ההרשאות זמינה ב-

מאגר הרשאות

  • XML

  • AD DS ו- AD LDS

  • SQL Server

  • XML

  • AD DS ו- AD LDS

  • SQL Server

  • XML

  • AD DS ו- AD LDS

  • SQL Server

יישום

  • XML

  • AD DS ו- AD LDS

  • SQL Server

  • XML

  • AD DS ו- AD LDS

  • SQL Server

  • AD DS ו- AD LDS

  • SQL Server

טווח

  • XML

  • AD DS ו- AD LDS

  • SQL Server

לא זמין (מוגדר ברמת היישום)

  • AD DS ו- AD LDS

  • SQL Server

כדי להשתמש בביקורת, עליך לבחור בתיבת הסימון המתאימה בכרטיסיה ביקורת. כדי להפעיל ביקורת בזמן ריצה, בחר בתיבת הסימון ביקורת של אתחול יישומים בזמן ריצה. כדי להפעיל ביקורת על שינוי במאגר ההרשאות, בחר בתיבת הסימון ביקורת על בדיקת גישה והקשר לקוח בזמן ריצה.

קביעת תצורה של המערכת כדי לאפשר ביקורת

לפני ביצוע הביקורת יש להחליט על מדיניות ביקורת. מדיניות ביקורת מפרטת את קטגוריות האירועים הקשורים לאבטחה עליהן יש לבצע ביקורת. כברירת מחדל, בעת התקנה ראשונית של Windows, כל קטגוריות הביקורת אינן זמינות.

כדי להגדיר עבור אילו יישומים וטווחים יש לבצע ביקורת, דרושה לך הרשאה מסוג ניהול יומן אבטחה וביקורת במחשב שבו נמצא מאגר ההרשאות. ניתן להשיג הרשאה זו על-ידי כניסה כחבר בקבוצה המוכללת Administrators, או על-ידי אספקת סיסמת מנהל מערכת כאשר מוצגת בקשה לכך.

אם מאגר ההרשאות מבוסס על XML, עליך לציין ביקורת על גישה לאובייקטים. אם מאגר ההרשאות מבוסס על AD DS או על AD LDS, עליך לציין ביקורת גישה לשירות מדריך כתובות.

כדי ליצור ביקורת על הקשר לקוח ועל בדיקת גישה בזמן ריצה, יש להעניק למשתמשי היישומים המשתמשים במנהל ההרשאות, הרשאה מסוג צור ביקורות אבטחה. אם למשתמשי היישום אין הרשאה זו, לא יירשמו אירועי ביקורת.

הפעלת ביקורת על גישה לאובייקטים

כברירת מחדל, ביקורת על גישה לאובייקטים אינה מופעלת. כדי להפעילה, עליך להשתמש במדיניות קבוצתית בתחום, בבקר התחום או ברמה ישימה אחרת של יחידה ארגונית ב- AD DS או ב- AD LDS. באפשרותך גם להשתמש במדיניות אבטחה מקומית.

אם מאגר ההרשאות המבוסס על XML ממוקם בבקר התחום, אובייקט המדיניות הקבוצתית (GPO) מדיניות בקרי תחום המוגדרים כברירת מחדל, הוא המקום המתאים ביותר להפעלת ביקורת על גישה לאובייקטים. אם מאגר ההרשאות המבוסס על XML ממוקם בתחנת עבודה או בשרת עמית, באפשרותך לערוך את ה- GPO המקומי עבור מחשב זה כדי להגדיר את מדיניות האבטחה המקומית, אך הגדרות אלה יחולו רק עד לרענון הבא של הגדרות האבטחה של מדיניות קבוצתית. דבר זה יכול להיות שימושי אם אתה יוצר את הביקורות פעם אחת בלבד. עם זאת, אם בכוונתך ליצור ביקורות אבטחה באופן קבוע, עליך לערוך GPO אחר שחל על המחשב באמצעות AD DS.

כדי להפוך ביקורת על גישה לאובייקטים לזמינה, קבע את תצורת האובייקטים הבאים:

  • עבור מחשב מקומי

    1. פתח את עורך המדיניות הקבוצתית המקומית.

    2. בעץ המסוף, לחץ פעמיים על תצורת מחשב, הגדרות Windows, הגדרות אבטחה, מדיניות מקומית ומדיניות ביקורת.

    3. לחץ על בצע ביקורת על גישה לאובייקטים.

    4. בחלונית הפרטים, בחר בתיבת הסימון קבע הגדרות מדיניות אלה, בחר בתיבת הסימון הצלחה ולאחר מכן בחר בתיבת הסימון כשל.

  • עבור בקרי תחומים בלבד

    1. לחץ על הפעל, לחץ על כל התוכניות, לחץ על כלי ניהול ולאחר מכן לחץ פעמיים על מדיניות האבטחה של בקר התחום.

    2. בעץ המסוף, לחץ פעמיים על תצורת מחשב, הגדרות Windows, הגדרות אבטחה, מדיניות מקומית ומדיניות ביקורת.

    3. לחץ על בצע ביקורת על גישה לאובייקטים.

    4. בחלונית הפרטים, בחר את תיבת הסימון קבע הגדרות מדיניות אלה, בחר בתיבת הסימון הצלחה ולאחר מכן בחר בתיבת הסימון כשל.

  • עבור תחום או יחידה ארגונית

    1. פתח את מסוף ניהול המדיניות הקבוצתית (GPMC).

    2. לחץ באמצעות לחצן העכבר הימני על ה- GPO שעליו ברצונך לערוך ביקורת ולאחר מכן לחץ על ערוך.

    3. בעץ המסוף, לחץ פעמיים על תצורת מחשב, מדיניות, הגדרות אבטחה, מדיניות מקומית ומדיניות ביקורת.

    4. לחץ על בצע ביקורת על גישה לאובייקטים.

    5. בחלונית הפרטים, בחר בתיבת הסימון קבע הגדרות מדיניות אלה, בחר בתיבת הסימון הצלחה ולאחר מכן בחר בתיבת הסימון כשל.

שיקולים נוספים

  • עליך להתקין את ה- GPMC כדי לערוך הגדרות מדיניות מבוססות תחום. ה- GPMC הוא תכונה נוספת של Windows Server 2008 שניתן להתקין באמצעות מנהל שרת.

  • אם אתה עורך את ה- GPO המקומי, תיבת הסימון קבע הגדרות מדיניות אלה אינה מופיעה בעורך המדיניות הקבוצתית המקומית. תיבה זו מופיעה רק אם אתה עורך אובייקטי GPO המאוחסנים ב- AD DS.

  • אם תיבות הסימון של ביקורת הצלחה וכשל אינן זמינות, תיבת הסימון קבע הגדרות מדיניות אלה נבחרה ככל הנראה באמצעות מדיניות אבטחה הפועלת ברמה גבוהה יותר במבנה של AD DS. במצב זה, עליך לאתר היכן נבחרה תיבת הסימון קבע הגדרות מדיניות אלה וללחוץ כדי לנקות הגדרה זו. כדי לאתר הגדרה זו, עיין באובייקטי ה- GPO המשפיעים על מחשב זה.

הפעלת ביקורת על גישה לספריה

כברירת מחדל, ביקורת על גישה לשירות ספריות אינה מופעלת. כדי להפעילה, עליך להשתמש במדיניות קבוצתית בתחום, בבקר התחום או ברמה ישימה אחרת של יחידה ארגונית ב- AD DS.

כדי להפעיל ביקורת על גישה לאובייקטים, הרחב את הצמתים הבאים: תצורת מחשב, הגדרות Windows, הגדרות אבטחה, מדיניות מקומית, מדיניות ביקורת ולאחר מכן לחץ פעמיים על בצע ביקורת על גישה לשירות ספריות.

בחר בתיבת הסימון קבע הגדרות מדיניות אלה בתבנית, בחר בתיבת הסימון הצלחה ולאחר מכן לחץ על תיבת הסימון כשל.

שיקולים נוספים

  • אם תיבות הסימון של ביקורת הצלחה וכשל אינן זמינות, תיבת הסימון קבע הגדרות מדיניות אלה נבחרה ככל הנראה באמצעות מדיניות אבטחה הפועלת ברמה גבוהה יותר ב- AD DS. במצב זה, עליך לאתר היכן נבחרה תיבת הסימון קבע הגדרות מדיניות אלה ולנקות את תיבת הסימון. כדי לאתר הגדרה זו, עיין באובייקטי ה- GPO המשפיעים על בקר התחום.

  • אחר עריכת ה- GPO, הפעל את הפקודה gpupdate כדי להבטיח שהשינויים ייכנסו לתוקף באופן מיידי.

ביקורת המופעלת על-ידי העברה בירושה

כל ביקורת המושגת על-ידי העברה בירושה, מתבצעת ללא תלות בהגדרה המקומית. לדוגמה, במקרה של מאגר הרשאות המאוחסן ב- AD DS, מדיניות ביקורת יכולה לעבור בירושה מיחידה ארגונית המשמשת כאב ב- AD DS. במקרה של מאגר הרשאות מבוסס XML, מדיניות ביקורת שמכילה את קובץ ה- XML היא המדיניות הישימה.


תוכן העניינים