وصف فئات التدقيق الأساسية

  • 7 دقائق

تسجل سجلات التدقيق أحداث الأمان والأنشطة في سجل أمان Windows. يمكنك بعد ذلك مراقبة سجلات التدقيق هذه لتحديد المشكلات التي تتطلب مزيدًا من التحقيق. يمكن أن تكون مراجعة الأنشطة الناجحة مفيدة أيضًا لأن القيام بذلك يوفر توثيقًا للتغييرات. يمكن للتدقيق أيضًا تسجيل المحاولات الفاشلة من قبل المتسللين الضارين أو المستخدمين غير المصرح لهم للوصول إلى موارد المؤسسة. عند تكوين التدقيق، يمكنك تحديد إعدادات التدقيق، وتمكين نهج تدقيق، ثم مراقبة الأحداث في سجلات الأمان.

يوفر Windows Server فئتين من التدقيق:

  • التدقيق الأساسي. يتم توفير تسع قيم تمكنك من تدقيق أحداث الأمان الأساسية.
  • التدقيق المتقدم. عشر فئات من الأحداث، والتي تحتوي على إعدادات نهج أكثر تفصيلاً. يتوفر أكثر من 60 من إعدادات النهج القابلة للتكوين.

ما هي فئات التدقيق الأساسية؟

يصف الجدول التالي فئات التدقيق الأساسية.

إعداد نهج التدقيق ‏‏الوصف
تدقيق أحداث تسجيل دخول الحساب لإنشاء حدث عندما يحاول مستخدم أو كمبيوتر استخدام حساب Windows Server Active Directory للمصادقة. على سبيل المثال، عند تسجيل دخول مستخدم إلى أي كمبيوتر في المجال، يتم إنشاء حدث تسجيل دخول حساب.
تدقيق أحداث تسجيل الدخول ينشئ حدثًا عندما يقوم المستخدم بتسجيل الدخول بشكل تفاعلي (محليًا) إلى جهاز كمبيوتر أو عبر الشبكة (عن بُعد). على سبيل المثال، إذا تم تكوين محطة عمل وخادم لتدقيق أحداث تسجيل الدخول، تقوم محطة العمل بتدقيق مستخدم يقوم بتسجيل الدخول مباشرة إلى محطة العمل هذه. عندما يتصل المستخدم بمجلد مشترك على الخادم، يقوم الخادم بتسجيل الدخول عن بُعد. عندما يقوم مستخدم بتسجيل الدخول، تسجل وحدة تحكم المجال حدث تسجيل الدخول لأنه يتم استرداد البرامج النصية والنُهج لتسجيل الدخول من وحدة تحكم المجال.
تدقيق إدارة الحساب أحداث التدقيق، بما في ذلك إنشاء أو حذف أو تعديل حسابات مستخدمين أو مجموعة أو كمبيوتر وإعادة تعيين كلمات مرور المستخدم.
تدقيق الوصول إلى خدمة الدليل تدقيقات الأحداث التي تم تحديدها في قائمة التحكم في الوصول إلى النظام (SACL)، والتي يمكنك رؤيتها في مربع الحوار خصائص إعدادات الأمان المتقدمة لكائن Active Directory. بالإضافة إلى تحديد نهج التدقيق باستخدام هذا الإعداد، يجب عليك أيضًا تكوين تدقيق لكائن أو كائنات محددة باستخدام SACL للكائن أو الكائنات. يشبه هذا النهج نهج "تدوين الوصول إلى كائن" الذي تستخدمه لتدقيق الملفات والمجلدات، ولكن هذا النهج ينطبق على كائنات "Active Directory".
تغيير سياسة التدقيق تغييرات التدقيق على سياسات تعيين حقوق المستخدم أو نُهج التدقيق أو نُهج الثقة.
استخدام امتياز التدقيق تدقيق استخدام حق الإذن أو المستخدم. راجع النص التوضيحي لهذا النهج في محرر إدارة نهج المجموعة.
أحداث نظام التدقيق إعادة تشغيل نظام التدقيق أو إيقاف التشغيل أو التغييرات التي تؤثر على النظام أو سجلات الأمان.
تتبع عملية التدقيق أحداث التدقيق مثل تنشيط البرنامج ومخارج العملية. راجع النص التوضيحي لهذا النهج في محرر إدارة نهج المجموعة.
تدقيق الوصول إلى الكائن يراجع الوصول إلى كائنات مثل الملفات والمجلدات ومفاتيح التسجيل والطابعات التي تحتوي على SACLs الخاصة بها. بالإضافة إلى تمكين سياسة التدقيق هذه ، يجب عليك تكوين إدخالات التدوين في قوائم التحكم بالوصول الخاصة بالكائنات.

تكوين التدقيق الأساسي

يمكنك مراجعة وتكوين فئات التدقيق الأساسية هذه باستخدام وحدة تحكم نهج الأمان المحلي، كما هو معروض في لقطة الشاشة التالية. هنا، حدد المسؤول عقدة نهج التدقيق في وحدة تحكم نهج الأمان المحلي، وتكوين إعدادات تدقيق النجاح والفشل.

تعرض لقطة الشاشة هذه وحدة تحكم

تلميح

يمكنك أيضًا استخدام نهج المجموعة، ما يسهل تكوين الإعدادات لأجهزة كمبيوتر متعددة.

بدلاً من ذلك، في وحدة تحكم إدارة نهج المجموعة:

  1. حدد موقع وحدد كائن نهج المجموعة المناسب (GPO) وافتح GPO للتحرير.
  2. في محرر إدارة نهج المجموعة، ضمن عقدة Computer Configuration قم بتوسيع olicies\Windows Settings\Security Settings\Local Policies، ثم حدد نهج التدقيق.
  3. في محرر إدارة نهج المجموعة، افتح أي إعداد للنهج.
  4. حدد خانة الاختيار Define these policy settings هذه، ثم حدد ما إذا كنت تريد تمكين تدوين أحداث النجاح أو أحداث الفشل أو كليهما. ثم حدد موافق.

قد يكون من المغري تمكين جميع قيم التدقيق عبر جميع الإعدادات المتاحة. ومع ذلك، يمكن أن يؤدي ذلك إلى إنشاء مسار تدقيق كبير يجب عليك تحليله. لذا، فكر في أن تكون أكثر تركيزًا وقم بتمكين ما هو مفيد لك فقط.

على سبيل المثال، إذا قمت بتدقيق أحداث تسجيل الدخول الفاشلة، فيمكنك كشف محاولات متسلل ضار للوصول إلى النطاق من خلال المحاولة المتكررة لتسجيل الدخول كمستخدم مجال دون معرفة كلمة مرور الحساب. تدقيق أحداث تسجيل الدخول إلى الحساب الناجحة ليس مفيدًا بشكل خاص لأنه يشير على الأرجح إلى حدث تسجيل دخول شرعي.

تلميح

يمكن أن تكشف مراجعة أحداث إدارة الحساب الفاشلة عن مخترق ضار يحاول التلاعب بعضوية مجموعة حساسة للأمان.

تتمثل إحدى أهم مهامك في الموازنة بين نهج التدقيق ومواءمتها مع نُهج شركتك ومع ما هو واقعي لمؤسستك. على سبيل المثال، قد ينص نهج شركتك على وجوب تدقيق كافة عمليات تسجيل الدخول الفاشلة والتغييرات الناجحة لمستخدمي ومجموعات Active Directory. من السهل تحقيق ذلك في خدمات مجال Active Directory (AD DS). ولكن يجب أن تقرر كيف ستستخدم هذه المعلومات قبل تنفيذ نهج التدقيق.

تلميح

سجلات التدقيق المطولة عديمة الفائدة إذا كنت لا تعرف كيفية إدارة هذه السجلات بفعالية أو لم يكن لديك الأدوات للقيام بذلك.

لتنفيذ التدقيق، يجب أن يكون لديك نهج تدقيق جيدة التكوين والأدوات التي يمكنك من خلالها إدارة الأحداث التي تم تدقيقها.

حدد إعدادات التدوين على ملف أو مجلد

تختار العديد من المؤسسات تدقيق الوصول إلى الملفات. يدعم Windows Server التدقيق الدقيق استنادًا إلى حسابات المستخدمين أو المجموعات والإجراءات المحددة التي تقوم بها هذه الحسابات.

لتكوين تدقيق الملف أو المجلد ، يجب عليك إكمال ثلاث خطوات:

  1. حدد إعدادات Audit object access واختر Success أو Failure أو كليهما.

    إشعار

    يمكن أن يؤدي تمكين التدقيق الناجح إلى إنشاء قدر كبير من بيانات التسجيل التي قد تكون محدودة الاستخدام. بعد كل شيء، يخبرك أن شخصًا ما نجح في الوصول إلى ملف أو مجلد. من المثير للاهتمام معرفة متى يفشل شخص ما.

  2. حدد موقع المجلد الذي تريد تعقبه. انقر بزر الماوس الأيمن فوق المجلد ثم حدد Properties.

  3. في علامة التبويب Security حدد Advanced.

  4. حدد علامة التبويب Auditing في صفحة Advanced Security Settings.

  5. حدد Add، واختر أساسيات الأمان التي تريد التدقيق في نشاطها في المجلد، ثم اختر الأنشطة التي تريد تعقبها.

  6. في القائمة Type، اختر All أو Success أو Fail.

  7. ثم اختر الأذونات التي تريد تعقبها، وأخيرًا، حدد موافق مرتين.

في لقطة الشاشة التالية، حدد المسؤول إعدادات التدقيق لمجلد يسمى SalesReports. لقد اختاروا تدقيق الوصول الفاشل لمستخدمي المجال.

تعرض لقطة الشاشة هذه إعدادات التدقيق لاسم مجلد

الاستخدام المعتاد

يمكنك تدقيق النجاحات للأغراض التالية:

  • لتسجيل الوصول إلى الموارد لإعداد التقارير والفوترة.
  • لمراقبة الوصول مما يشير إلى أن المستخدمين يقومون بإجراءات أكبر مما كنت تخطط له، مما يشير إلى أن الأذونات سخية للغاية.
  • لتحديد الوصول غير المناسب لحساب معين، والذي قد يكون علامة على اختراق متسلل ضار لحساب مستخدم.

يمكنك تدقيق الأحداث الفاشلة للأغراض التالية:

  • لرصد محاولات الوصول إلى مورد من قبل المستخدمين غير المصرح لهم.
  • لتحديد المحاولات الفاشلة للوصول إلى ملف أو مجلد يحتاج المستخدم إلى الوصول إليه. يشير هذا إلى أن الأذونات ليست كافية لتلبية متطلبات العمل.

تحذير

يمكن أن تنمو سجلات التدقيق بشكل كبير بسرعة كبيرة. لذلك، قم بتكوين الحد الأدنى المطلوب لتحقيق الهدف الأمني ​​لمؤسستك.

تقييم الأحداث في سجل الأمان

بعد تمكين إعداد نهج تدقيق الوصول إلى الكائنات واستخدام عناصر تحكم التحكم بالوصول للكائن لتحديد الوصول الذي تريد تدقيقه، يبدأ Windows Server في تسجيل الوصول وفقًا لإدخالات التدقيق. يمكنك عرض الأحداث الناتجة في سجل أحداث الأمان الخاص بالخادم. للقيام بذلك، في Administrative Tools، افتح وحدة تحكم عارض الأحداث، ثم قم بتوسيع Windows Logs\Security، كما هو معروض في لقطة الشاشة التالية. اختار المسؤول سجل الأمان وسلط الضوء على حدث بمعرف 4663؛ هذا يتعلق بمحاولة الوصول إلى كائن ملف.

تعرض لقطة الشاشة هذه وحدة تحكم