Det å overvåke tilgang til kontrollerte ressurser og eventuelle endringer i en autorisasjonspolicy gir deg mulighet til å spore mulige sikkerhetsproblemer, sikre brukeransvar og skaffe bevis hvis det oppstår brudd på sikkerheten.

Overvåkingstyper

Med Authorization Manager kan du bruke to typer overvåking: kjøretidsovervåking og overvåking av endringer i autorisasjonslagre.

Kjøretidsovervåking

Det er to aspekter ved kjøretidsovervåking:

  • Overvåking av kjøretidsprograminitialisering, som genererer overvåking når et program åpnes.

  • Overvåking av klientkontekst og tilgangskontroll ved kjøretid, som genererer kontroller når det blir opprettet en klientkontekst, og når klienten ber om en tilgangskontroll. Tilgangskontroller er basert på AccessCheck-metoden som blir beskrevet i autorisasjonsdelen i Platform SDK. Hvis du vil ha mer informasjon om autorisasjonsrelaterte APIer (application programming interfaces), kan du se Autorisasjon (https://go.microsoft.com/fwlink/?linkid=64031) (kan være på engelsk).

Du kan konfigurere kjøretidsovervåking for å logge vellykkede forsøk, mislykkede forsøk eller begge deler.

Overvåking av autorisasjonslagerendringer

Når du aktiverer overvåking av autorisasjonslagerendringer, genereres overvåking hver gang autorisasjonslageret endres. Overvåkingen logger alle hendelser, vellykkede forsøk og mislykkede forsøk.

Authorization Manager støtter NTFS-filsystemet (for XML-baserte autorisasjonslagre), Active Directory Domain Services (AD DS), Active Directory Lightweight Directory Services (AD LDS) og Microsoft SQL Server ved overvåking av autorisasjonslagerendringer.

Søke etter overvåkingshendelser

Hvis du vil vise overvåkingshendelser som er generert av Authorization Manager, viser du hendelsesloggene på den aktuelle datamaskinen:

  • Overvåkingshendelser ved kjøretid logges i sikkerhetsloggen på datamaskinen der programmet kjøres.

  • Overvåking av autorisasjonslagerendringer logges i sikkerhetsloggen på datamaskinen der lageret ligger.

    • Hvis du har et XML-basert autorisasjonslager, finner du overvåkingspostene i Hendelsesliste på datamaskinen der XML-filen er lagret.

    • Hvis et autorisasjonslager bruker AD DS eller AD LDS, finner du overvåkingspostene i hendelseslisten for domenekontrolleren eller AD LDS-serveren som brukes.

    • Hvis du har et SQL-basert autorisasjonslager, finner du overvåkingspostene i Hendelsesliste på datamaskinen som kjører SQL Server.

Overvåkingstilgjengelighet

Tilgjengeligheten til overvåking avhenger av følgende:

  • Om autorisasjonslageret er basert på AD DS, AD LDS, XML eller SQL.

  • Hvorvidt overvåking er konfigurert på autorisasjonslagernivå, programnivå eller områdenivå.

I tabellen nedenfor beskrives tilgjengeligheten for de to overvåkingstypene.

Nivå Kjøretidsovervåking er tilgjengelig i Overvåking av kjøretid kan konfigureres på dette nivået i Overvåking av autorisasjonslagerendringer er tilgjengelige i

Autorisasjonslageret
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server

Program
  • XML

  • AD DS og AD LDS

  • SQL Server
  • XML

  • AD DS og AD LDS

  • SQL Server
  • AD DS og AD LDS

  • SQL Server

Område
  • XML

  • AD DS og AD LDS

  • SQL Server

Ikke tilgjengelig (konfigureres på programnivå)
  • AD DS og AD LDS

  • SQL Server

Hvis du vil bruke overvåking, må du merke av for riktig alternativ i kategorien Overvåking. Du aktiverer overvåking av kjøretid ved å merke av for Overvåking av kjøretidsprograminitialisering. Du aktiverer overvåking av autorisasjonslagerendringer ved å merke av for Overvåking av kjøretidsprograminitialisering.

Konfigurere systemet for å tillate overvåking

Før du implementerer overvåking, må du bestemme deg for en overvåkingspolicy. En overvåkingspolicy angir kategorier med sikkerhetsrelaterte hendelser som du vil overvåke. Når Windows installeres, er alle overvåkingskategorier deaktivert som standard.

Når du skal konfigurere hvilke programmer og områder som skal overvåkes, må du ha rettigheten Behandle overvåking og sikkerhetslogg på datamaskinen der autorisasjonslageret ligger. Dette oppnår du vanligvis ved å være logget på som medlem av den innebygde Administrator-gruppen, eller ved å oppgi et administratorpassord når du blir bedt om det.

Hvis autorisasjonslageret er basert på XML, må du angi overvåking av objekttilgang. Hvis autorisasjonslageret er basert på AD DS eller AD LDS, må du angi overvåking av katalogtjenestetilgang.

Ved generering av kjøretidsklientkontekst og overvåking av tilgangskontroll må brukere av programmer som bruker Authorization Manager, få rettigheten Generere sikkerhetskontroller. Hvis brukerne av programmet ikke har denne rettigheten, blir det ikke registrert noen overvåkingshendelser.

Aktivere overvåking av objekttilgang

Som standard er overvåking av objekttilgang deaktivert. Du må bruke Gruppepolicy på domenet, domenekontrolleren eller på et annet aktuelt organisasjonsenhetsnivå i AD DS eller AD LDS for å aktivere alternativet. Du kan også bruke den lokale sikkerhetspolicyen.

Hvis det XML-baserte autorisasjonslageret ligger på en domenekontroller, er det best å aktivere overvåking av objekttilgang i gruppepolicyobjektet Standard domenekontrollerpolicy. Hvis det XML-baserte autorisasjonslageret ligger på en arbeidsstasjon eller medlemsserver, kan du redigere det lokale gruppepolicyobjektet for den aktuelle datamaskinen for å angi lokal sikkerhetspolicy, men disse innstillingene kommer bare til å gjelde til neste gang sikkerhetsinnstillingene for gruppepolicyen blir oppdatert. Dette kan være nyttig hvis du bare genererer kontrollene én gang. Hvis du skal generere sikkerhetskontroller regelmessig, bør du imidlertid redigere et annet gruppepolicyobjekt som gjelder for datamaskinen, gjennom AD DS.

Hvis du vil aktivere overvåking av objekttilgang, konfigurerer du følgende objekter:

  • For en lokal datamaskin

    1. Åpne redigeringsprogrammet for lokal gruppepolicy.

    2. Dobbeltklikk Datamaskinkonfigurasjon, Windows-innstillinger, Sikkerhetsinnstillinger, Lokale policyer og Overvåkingspolicy i konsolltreet.

    3. Klikk Overvåk objekttilgang.

    4. Merk av for Definer disse policyinnstillingene i detaljruten, merk av for Vellykket, og merk deretter av for Mislykket.

  • Bare for domenekontrollere

    1. Klikk Start, klikk Alle programmer, klikk Administrative verktøy og dobbeltklikk deretter Sikkerhetspolicy for domenekontrollere .

    2. Dobbeltklikk Datamaskinkonfigurasjon, Windows-innstillinger, Sikkerhetsinnstillinger, Lokale policyer og Overvåkingspolicy i konsolltreet.

    3. Klikk Overvåk objekttilgang.

    4. Merk av for Definer disse policyinnstillingene i detaljruten, merk av for Vellykket, og merk deretter av for Mislykket.

  • For et domene eller en organisasjonsenhet

    1. Åpne konsollen for gruppepolicybehandling.

    2. Høyreklikk gruppepolicyobjektet du vil overvåke, og klikk deretter Rediger.

    3. Dobbeltklikk Datamaskinkonfigurasjon, Policyer, Sikkerhetsinnstillinger, Lokale policyer og Overvåkingspolicy i konsolltreet.

    4. Klikk Overvåk objekttilgang.

    5. Merk av for Definer disse policyinnstillingene i detaljruten, merk av for Vellykket, og merk deretter av for Mislykket.

Flere hensyn

  • Du må installere konsollen for gruppepolicybehandling for å kunne redigere domenebaserte policyinnstillinger. Konsollen for gruppepolicybehandling er en tilleggsfunksjon i Windows Server 2008 som du kan installere ved å bruke Serveradministrasjon.

  • Hvis du redigerer det lokale gruppepolicyobjektet, vises ikke avmerkingsboksen Definer disse policyinnstillingene i redigeringsprogrammet for lokal gruppepolicy. Den vises bare hvis du redigerer gruppepolicyobjekter som er lagret i AD DS.

  • Hvis avmerkingsboksene Vellykket og Mislykket overvåking ikke er tilgjengelige, er avmerkingsboksen Definer disse policyinnstillingene sannsynligvis blitt valgt ved hjelp av sikkerhetspolicy som opererer på et høyere nivå i AD DS-strukturen. Hvis denne situasjonen oppstår, må du finne ut hvor det er merket av for Definer disse policyinnstillingene, og klikke for å fjerne avmerkingen. Du finner denne innstillingen ved å se i gruppepolicyobjektene som gjelder for denne datamaskinen.

Aktivere overvåking av katalogtilgang

Overvåking av katalogtjenestetilgang er deaktivert som standard. Du må bruke Gruppepolicy på domenet, domenekontrolleren eller på et annet aktuelt organisasjonsenhetsnivå i AD DS for å aktivere alternativet.

Vis følgende noder for å aktivere overvåking av objekttilgang: Datamaskinkonfigurasjon, Windows-innstillinger, Sikkerhetsinnstillinger, Lokale policyer, Overvåkingspolicy, og dobbeltklikk deretter Overvåk katalogtjenestetilgang.

Merk av for Definer disse policyinnstillingene, merk av for Vellykket, og merk deretter av for Mislykket.

Flere hensyn

  • Hvis avmerkingsboksene Vellykket og Mislykket ikke er tilgjengelige, er det sannsynligvis merket av for Definer disse policyinnstillingene ved hjelp av en sikkerhetspolicy som opererer på et høyere nivå i AD DS. Hvis denne situasjonen oppstår, må du finne ut hvor det er merket av for Definer disse policyinnstillingene, og fjerne avmerkingen. Du finner denne innstillingen ved å se i gruppepolicyobjektene som gjelder for domenekontrolleren.

  • Når du har redigert GPOene, kjører du kommandoen gpupdate for å sikre at endringene trer i kraft øyeblikkelig.

Overvåking som aktiveres av arv

Overvåking som oppnås gjennom arv, utføres uavhengig av den lokale innstillingen. Hvis autorisasjonslageret for eksempel er lagret i AD DS, kan overvåkingspolicy arves fra en overordnet organisasjonsenhet i AD DS. Hvis du har et XML-basert autorisasjonslager, brukes overvåkingspolicyen for mappen som inneholder XML-filen.

Innholdsfortegnelse