Monitorowanie dostępu do kontrolowanych zasobów i zmian w zasadach autoryzacji umożliwia wychwycenie potencjalnych problemów z zabezpieczeniami, pomaga zapewnić poprawne korzystanie z kont użytkowników i dostarcza dowodów w przypadku naruszenia zabezpieczeń.

Typy inspekcji

W Menedżerze autoryzacji można przeprowadzać dwa rodzaje inspekcji: inspekcję w czasie wykonywania oraz inspekcję zmian magazynu autoryzacji.

Inspekcja w czasie wykonywania

Można wyróżnić dwa aspekty inspekcji w czasie wykonywania:

  • Inspekcja inicjowania aplikacji w czasie wykonywania generująca inspekcje podczas otwierania aplikacji.

  • Inspekcja kontekstu klienta i sprawdzania dostępu w czasie wykonywania generująca inspekcje podczas tworzenia kontekstu klienta i za każdym razem, gdy klient wywołuje sprawdzanie dostępu. Kontrole dostępu są oparte na metodzie AccessCheck opisanej w sekcji „Authorization” w pakiecie Platform SDK. Aby uzyskać więcej informacji na temat interfejsów programowania aplikacji (API) związanych z autoryzacją, zobacz stronę Autoryzacja (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=64031).

Inspekcję w czasie wykonywania można skonfigurować, aby rejestrowane były sukcesy, niepowodzenia lub oba te typy zdarzeń.

Inspekcja zmian magazynu zasad

Jeżeli włączona jest inspekcja zmian magazynu autoryzacji, inspekcje są generowane po każdej modyfikacji magazynu autoryzacji. Inspekcja rejestruje wszystkie zdarzenia, zarówno sukcesy, jak i niepowodzenia.

Przy inspekcji zmian magazynu autoryzacji Menedżer autoryzacji obsługuje system plików NTFS (magazyny autoryzacji oparte na plikach XML), usługi domenowe w usłudze Active Directory (Active Directory Domain Services, AD DS), usługi LDS w usłudze Active Directory (Active Directory Lightweight Directory Services, AD LDS) oraz program Microsoft SQL Server.

Lokalizowanie zdarzeń inspekcji

Aby wyświetlić zdarzenia inspekcji wygenerowane przez Menedżera autoryzacji, należy wyświetlić dzienniki zdarzeń odpowiedniego komputera.

  • Zdarzenia inspekcji w czasie wykonywania znajdują się w dzienniku zabezpieczeń komputera klienckiego, na którym działa aplikacja.

  • Zdarzenia inspekcji zmian magazynu autoryzacji znajdują się w dzienniku zabezpieczeń komputera, na którym znajduje się magazyn.

    • W przypadku magazynu autoryzacji opartego na plikach XML rekordy inspekcji znajdują się w Podglądzie zdarzeń komputera, na którym znajduje się plik XML.

    • W przypadku magazynu autoryzacji korzystającego z usług domenowych w usłudze AD lub usług LDS w usłudze AD rekordy inspekcji znajdują się w Podglądzie zdarzeń odpowiedniego kontrolera domeny lub serwera usług LDS w usłudze AD.

    • W przypadku magazynu autoryzacji opartego na programie SQL Server rekordy inspekcji znajdują się w Podglądzie zdarzeń komputera, na którym działa program SQL Server.

Dostępność inspekcji

Dostępność inspekcji zależy od następujących czynników:

  • Czy magazyn autoryzacji jest przechowywany w usługach domenowych w usłudze AD, usługach LDS w usłudze AD, w pliku XML czy na serwerze SQL.

  • Czy inspekcja jest skonfigurowana na poziomie magazynu autoryzacji, na poziomie aplikacji czy na poziomie zakresu.

W poniższej tabeli opisano dostępność dwóch typów inspekcji.

Poziom Dostępność inspekcji w czasie wykonywania Konfiguracja inspekcji w czasie wykonywania na tym poziomie Dostępność inspekcji zmian magazynu autoryzacji

Magazyn autoryzacji
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL

Aplikacja
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL
  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL

Zakres
  • Plik XML

  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL

Niedostępne (konfigurowane na poziomie aplikacji)
  • Usługi domenowe w usłudze AD i usługi LDS w usłudze AD

  • Serwer SQL

Aby korzystać z inspekcji, należy zaznaczyć odpowiednie pole wyboru na karcie Inspekcja. Aby włączyć inspekcję w czasie wykonywania, należy zaznaczyć pole wyboru Inspekcja inicjalizacji aplikacji w czasie wykonywania. Aby włączyć inspekcję zmian magazynu autoryzacji, należy zaznaczyć pole wyboru Inspekcja dostępu i kontekstu klienta w czasie wykonywania.

Konfigurowanie systemu w celu umożliwienia inspekcji

Przed zaimplementowaniem inspekcji trzeba zdecydować, jakie będą zasady inspekcji. W zasadach inspekcji są określone kategorie zdarzeń związanych z zabezpieczeniami, które mają podlegać inspekcji. Domyślnie podczas pierwszej instalacji systemu Windows, wszystkie kategorie inspekcji są wyłączone.

Aby skonfigurować aplikacje i zakresy, które mają podlegać inspekcji, należy mieć uprawnienie Zarządzaj dziennikami inspekcji i zabezpieczeń na komputerze, na którym znajduje się magazyn autoryzacji. Realizowane jest to zazwyczaj przez zalogowanie się jako członek wbudowanej grupy Administratorzy lub podanie hasła administratora po pojawieniu się monitu.

Jeżeli magazyn autoryzacji oparto na pliku XML, należy określić inspekcję dostępu do obiektów. Jeżeli magazyn autoryzacji oparto na usługach domenowych w usłudze AD lub usługach LDS w usłudze AD, należy określić inspekcję dostępu do usługi katalogowej.

Aby możliwe było generowanie wyników inspekcji kontekstu klienta i sprawdzania dostępu w czasie wykonywania, użytkownicy aplikacji wykorzystujących Menedżera autoryzacji muszą mieć nadane uprawnienie Generuj inspekcje zabezpieczeń. Jeżeli użytkownicy nie mają tego uprawnienia, zdarzenia inspekcji nie będą rejestrowane.

Włączanie inspekcji dostępu do obiektów

Domyślnie inspekcja dostępu do obiektów jest wyłączona. Aby ją włączyć, należy użyć zasad grupy w domenie, na kontrolerze domeny lub na innym odpowiednim poziomie jednostki organizacyjnej usług domenowych w usłudze AD lub usług LDS w usłudze AD. Można także użyć zasady zabezpieczeń lokalnych.

Jeśli magazyn autoryzacji oparty na pliku XML znajduje się na kontrolerze domeny, najodpowiedniejszy do włączenia inspekcji dostępu do obiektów jest obiekt zasad grupy Domyślne zasady kontrolerów domeny. Jeśli magazyn autoryzacji oparty na pliku XML znajduje się na stacji roboczej lub na serwerze członkowskim, można edytować lokalny obiekt GPO dla tego komputera, aby ustawić zasady zabezpieczeń lokalnych, ale te ustawienia będą stosowane tylko do czasu następnego odświeżenia ustawień zabezpieczeń zasad grupy. Może to być użyteczne tylko w przypadku jednorazowego generowania inspekcji. Jeśli jednak jest planowane regularne generowanie inspekcji zabezpieczeń, należy edytować inny obiekt GPO, który jest stosowany do komputera za pośrednictwem usług AD DS.

Aby włączyć inspekcję dostępu do obiektów, należy skonfigurować następujące obiekty:

  • W przypadku komputera lokalnego

    1. Otwórz Edytor obiektów lokalnych zasad grupy.

    2. W drzewie konsoli kliknij dwukrotnie pozycje Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.

    3. Kliknij pozycję Przeprowadź inspekcję dostępu do obiektów.

    4. W okienku szczegółów zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz pole wyboru Sukces, a następnie zaznacz pole wyboru Niepowodzenie.

  • W przypadku jedynych kontrolerów domen

    1. Kliknij przycisk Start, kliknij polecenie Wszystkie programy, kliknij polecenie Narzędzia administracyjne, a następnie dwukrotnie kliknij polecenie Zasady zabezpieczeń kontrolera domeny.

    2. W drzewie konsoli kliknij dwukrotnie pozycje Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.

    3. Kliknij pozycję Przeprowadź inspekcję dostępu do obiektów.

    4. W okienku szczegółów zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz pole wyboru Sukces, a następnie zaznacz pole wyboru Niepowodzenie.

  • W przypadku domeny lub jednostki organizacyjnej

    1. Otwórz Konsolę zarządzania zasadami grupy (GPMC).

    2. Kliknij prawym przyciskiem myszy obiekt GPO, który chcesz poddać inspekcji, a następnie kliknij polecenie Edytuj.

    3. W drzewie konsoli kliknij dwukrotnie pozycje Konfiguracja komputera, Zasady, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.

    4. Kliknij pozycję Przeprowadź inspekcję dostępu do obiektów.

    5. W okienku szczegółów zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz pole wyboru Sukces, a następnie zaznacz pole wyboru Niepowodzenie.

Uwagi dodatkowe

  • Aby edytować ustawienia zasad opartych na domenie, należy zainstalować Konsolę zarządzania zasadami grupy. Konsola zarządzania zasadami grupy to dodatkowa funkcja systemu Windows Server 2008, którą można zainstalować za pomocą Menedżera serwera.

  • W przypadku edytowania lokalnego obiektu GPO w Edytorze lokalnych zasad grupy nie jest wyświetlane pole wyboru Definiuj następujące ustawienia zasad. Jest ono wyświetlane tylko podczas edytowania obiektów GPO przechowywanych w usługach AD DS.

  • Jeśli pola wyboru Sukces i Niepowodzenie są niedostępne, to prawdopodobnie do zaznaczenia pola wyboru Definiuj następujące ustawienia zasad wykorzystana została zasada zabezpieczeń działająca na wyższym poziomie w strukturze AD DS. W takiej sytuacji należy się dowiedzieć, gdzie zaznaczono pole wyboru Definiuj następujące ustawienia zasad i wyczyścić to ustawienie. Aby znaleźć to ustawienie, należy szukać w obiektach GPO, które dotyczą tego komputera.

Włączanie inspekcji dostępu do katalogów

Domyślnie inspekcja dostępu do usługi katalogowej jest wyłączona. Aby ją włączyć, należy użyć zasad grupy w domenie, na kontrolerze domeny lub na innym odpowiednim poziomie jednostki organizacyjnej usług domenowych w usłudze AD.

Aby włączyć inspekcję dostępu do obiektów, należy rozwinąć następujące węzły: Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady lokalne, Zasady inspekcji, a następnie dwukrotnie kliknąć ustawienie Przeprowadź inspekcję dostępu do usługi katalogowej.

Zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz pole wyboru Sukces, a następnie zaznacz pole wyboru Niepowodzenie.

Uwagi dodatkowe

  • Jeśli pola wyboru Sukces i Niepowodzenie są niedostępne, to prawdopodobnie do zaznaczenia pola wyboru Definiuj następujące ustawienia zasad wykorzystana została zasada zabezpieczeń działająca na wyższym poziomie w strukturze AD DS. W takiej sytuacji należy się dowiedzieć, gdzie zaznaczono pole wyboru Definiuj następujące ustawienia zasad i wyczyścić to pole wyboru. Aby znaleźć to ustawienie, należy szukać w obiektach GPO, które dotyczą kontrolera domeny.

  • Po zmodyfikowaniu obiektów zasad grupy należy uruchomić polecenie gpupdate, aby upewnić się, że zmiany zostaną zastosowane natychmiast.

Inspekcje włączone przez dziedziczenie

Wszystkie inspekcje wynikające z dziedziczenia są wykonywane niezależnie od ustawień lokalnych. Na przykład w przypadku magazynu autoryzacji przechowywanego w usłudze AD DS, zasady inspekcji mogą być dziedziczone z nadrzędnej jednostki organizacyjnej w strukturze AD DS. W przypadku magazynu autoryzacji opartego na pliku XML stosuje się zasady inspekcji folderu, który zawiera plik XML.

Spis treści