Genom att övervaka åtkomsten till kontrollerade resurser och ändringar i auktoriseringsprincipen kan du spåra potentiella säkerhetsproblem, garantera användarnas ansvarsskyldighet och ta fram bevis i händelse av en säkerhetsläcka.

Granskningstyper

Med Auktoriseringshanteraren kan du använda två typer av granskning: granskning vid körning och granskning av ändringar i auktoriseringsarkiv.

Granskning vid körning

Det finns två aspekter av granskning vid körning:

  • Granskning av initiering av program vid körning, vilket genererar granskningar när ett program öppnas.

  • Granskning av klientkontext och åtkomstkontroll vid körning, vilket genererar granskningar när en klientkontext skapas och varje gång klienten begär en åtkomstkontroll. Åtkomstkontroller baseras på metoden AccessCheck som beskrivs i avsnittet om auktorisering i SDK-dokumentationen för plattformen. Mer information om auktoriseringsrelaterade API:er (application programming interfaces) finns i Auktorisation (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?linkid=64031).

Du kan ange att lyckade, misslyckade eller både lyckade och misslyckade åtgärder ska loggas vid körning.

Granskning av ändringar i auktoriseringsarkiv

När du aktiverar granskning av ändringar i ett auktoriseringsarkiv skapas granskningar varje gång arkivet ändras. Samtliga händelser loggas, såväl lyckade som misslyckade.

För granskning av ändringar i auktoriseringsarkivet stöder Auktoriseringshanteraren NTFS-filsystemet (för XML-baserade auktoriseringsarkiv), AD DS (Active Directory Domain Services), AD LDS (Active Directory Lightweight Directory Services) och Microsoft SQL Server.

Hitta granskningshändelser

Om du vill visa granskningshändelser som har genererats av Auktoriseringshanteraren visar du händelseloggarna på den aktuella datorn:

  • Händelser för granskning vid körning loggas i säkerhetsloggen på den klientdator där programmet körs.

  • Ändringar i auktoriseringsarkivet loggas i säkerhetsloggen på den dator där arkivet finns.

    • Om auktoriseringsarkivet är XML-baserat finns granskningsloggen i Loggboken på den dator där XML-filen är lagrad.

    • Om det gäller ett auktoriseringsarkiv som använder AD DS eller AD LDS finns granskningsposter i Loggboken för domänkontrollanten eller den AD LDS-server som används.

    • Om auktoriseringsarkivet är SQL-baserat finns granskningsposter i Loggboken på den dator där SQL Server körs.

Granskningstillgänglighet

Hur tillgängliga granskningsfunktionerna är beror på följande:

  • Huruvida auktoriseringsarkivet är baserat på AD DS, AD LDS, XML eller SQL.

  • Om granskning har konfigurerats på arkivnivån, programnivån eller scope-nivån.

Tabellen nedan innehåller information om tillgänglighet för de två typerna av granskning.

Nivå Körningsgranskning är tillgängligt i Granskning vid körning kan konfigureras på den här nivån för Granskning av ändringar i auktoriseringsarkiv är tillgängligt för

Auktoriseringsarkiv
  • XML

  • AD DS och AD LDS

  • SQL Server
  • XML

  • AD DS och AD LDS

  • SQL Server
  • XML

  • AD DS och AD LDS

  • SQL Server

Program
  • XML

  • AD DS och AD LDS

  • SQL Server
  • XML

  • AD DS och AD LDS

  • SQL Server
  • AD DS och AD LDS

  • SQL Server

Scope
  • XML

  • AD DS och AD LDS

  • SQL Server

Inte tillgängligt (konfigureras på programnivå)
  • AD DS och AD LDS

  • SQL Server

Om du vill använda granskning måste du markera en kryssruta på fliken Granskning. Om du vill aktivera granskning vid körning markerar du kryssrutan Granskning av initiering av program vid körning. Om du vill aktivera granskning av ändringar i auktoriseringsarkiv markerar du kryssrutan Granskning av klientkontext och åtkomstkontroll vid körning.

Konfigurera datorn så att granskning tillåts

Innan du implementerar granskning måste du besluta dig för en granskningsprincip. Med en granskningsprincip anges de kategorier av säkerhetsrelaterade händelser som du vill granska. När Windows installeras första gången inaktiveras alla granskningskategorier som standard.

Om du ska kunna konfigurera vilka program och scope som ska granskas måste du ha behörigheten Hantera gransknings- och säkerhetslogg på den dator där auktoriseringsarkivet finns. Detta kan oftast genomföras genom att du loggar in som en medlem i gruppen med inbyggda administratörer eller uppger ett administratörslösenord när du uppmanas till det.

Om auktoriseringsarkivet är XML-baserat måste du ange granskning av objektåtkomst. Om auktoriseringsarkivet bygger på AD DS eller AD LDS måste du ange åtkomstgranskning för katalogtjänster.

Om granskning av klientkontext och åtkomstkontroller ska kunna genereras måste de som använder program som använder Auktoriseringshanteraren ges behörigheten Hantera granskning. Om programmets användare inte har den här behörigheten registreras inte granskningshändelser.

Aktivera granskning av objektåtkomst

Granskning av objektåtkomst är inaktiverat som standard. Aktivera det genom att använda grupprincip på domänen, domänkontrollanten eller annan gällande organisationsenhetsnivå i AD DS eller AD LDS. Du kan också använda den lokala säkerhetsprincipen.

Om det XML-baserade auktoriseringsarkivet finns på en domänkontrollant bör du aktivera granskning av objektåtkomst vid grupprincipobjektet (GPO) Standarddomänkontrollantprincip. Om det XML-baserade auktoriseringsarkivet finns på en arbetsstation eller medlemsserver kan du redigera det lokala grupprincipobjektet för den datorn och ställa in den lokala säkerhetsprincipen, men inställningarna gäller inte förrän grupprincipobjektinställningarna uppdateras. Detta kan vara användbart om du bara genererar granskningar en gång. Men om du planerar att generera säkerhetsgranskningar regelbundet bör du redigera ett annat grupprincipobjekt som gäller för datorn via AD DS.

Konfigurera följande objekt om du vill aktivera granskning av objektåtkomst:

  • För din lokala dator

    1. Öppna den lokala Principeditorn.

    2. I konsolträdet dubbelklickar du på Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Granskningsprincip.

    3. Klicka på Granska objektåtkomst.

    4. I informationsfönstret markerar du rutan Definiera följande principinställningar, markerar rutan Lyckade och markerar sedan rutan Misslyckade.

  • Endast för domänkontrollanter

    1. Klicka på Start, på Alla program, på Administrationsverktyg och dubbelklicka sedan på Säkerhetsprincip för domänkontrollant .

    2. I konsolträdet dubbelklickar du på Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och Granskningsprincip.

    3. Klicka på Granska objektåtkomst.

    4. I informationsfönstret markerar du rutan Definiera följande principinställningar, markerar rutan Lyckade och markerar sedan rutan Misslyckade.

  • För en domän eller organisationsenhet

    1. Öppna konsolen Grupprinciphantering (GPMC).

    2. Högerklicka på det grupprincipobjekt som du vill granska och klicka på Redigera.

    3. I konsolträdet dubbelklickar du på Datorkonfiguration, Principer, Säkerhetsinställningar, Lokala principer och Granskningsprincip.

    4. Klicka på Granska objektåtkomst.

    5. I informationsfönstret markerar du rutan Definiera följande principinställningar, markerar rutan Lyckade och markerar sedan rutan Misslyckade.

Ytterligare hänsyn

  • Du måste installera konsolen Grupprinciphantering för att redigera domänbaserade principinställningar. Konsolen Grupprinciphantering (GPMC) är en funktion i Windows Server 2008 som du kan installera med hjälp av Serverhanteraren.

  • Om du redigerar det lokala grupprincipobjektet visas inte kryssrutan Definiera följande principinställningar i den lokala Principeditorn. Den visas bara om du redigerar grupprincipobjekt som är lagrade i AD DS.

  • Om kryssrutorna Lyckade och Misslyckade inte är tillgängliga har kryssrutan Definiera följande principinställningar förmodligen markerats i en säkerhetsprincip på en högre nivå i AD DS-strukturen. Om detta sker kontrollerar du var kryssrutan Definiera följande principinställningar har markerats och avmarkerar den här inställningen. Du hittar inställningen genom att leta bland de grupprincipobjekt som gäller för datorn.

Aktivera granskning av katalogåtkomst

Granskning av katalogtjänståtkomst är inaktiverat som standard. Aktivera det genom att använda grupprincip på domänen, domänkontrollanten eller annan gällande organisationsenhetsnivå i AD DS.

Visa följande noder om du vill aktivera granskning av katalogåtkomst: Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer, Granskningsprincip och dubbelklicka sedan på Granska katalogtjänståtkomst.

Markera kryssrutorna Definiera följande principinställningar, Lyckade och Misslyckade.

Ytterligare överväganden

  • Om granskningskryssrutorna Lyckade och Misslyckade inte är tillgängliga har kryssrutan Definiera följande principinställningar förmodligen markerats i en säkerhetsprincip på en högre nivå i AD DS. Om detta sker kontrollerar du var kryssrutan Definiera följande principinställningar har markerats och avmarkera den. Du hittar inställningen genom att leta bland de grupprincipobjekt som gäller för domänkontrollanten.

  • När du är klar med redigeringen av grupprincipobjekten kör du kommandot gpupdate för att säkerställa att ändringarna tas i bruk omedelbart.

Granskning som aktiveras genom arv

All granskning som ärvs utförs oavsett vad som anges i de lokala inställningarna. Exempel: för ett auktoriseringsarkiv som har sparats i AD DS kan en granskningsprincip ärvas från en överordnad organisationsenhet i AD DS. För ett XML-baserat auktoriseringsarkiv gäller granskningsprincipen för den mapp som innehåller XML-filen.

Innehåll