Beskriv grundlæggende overvågningskategorier

  • 7 minutter

Overvågningslogge registrerer sikkerhedshændelser og -aktiviteter i Windows-sikkerhedsloggen. Du kan derefter overvåge disse overvågningslogge for at identificere problemer, der kræver yderligere undersøgelse. Det kan også være nyttigt at overvåge vellykkede aktiviteter, da det indeholder dokumentation for ændringer. Overvågning kan også logføre mislykkede forsøg fra ondsindede hackere eller uautoriserede brugere på at få adgang til virksomhedsressourcer. Når du konfigurerer overvågning, skal du angive overvågningsindstillinger, aktivere en overvågningspolitik og derefter overvåge hændelser i sikkerhedslogfilerne.

Windows Server indeholder to kategorier af overvågning:

  • Grundlæggende overvågning. Der er angivet ni værdier, der giver dig mulighed for at overvåge de grundlæggende sikkerhedshændelser.
  • Avanceret overvågning. Ti kategorier af hændelser, som indeholder mere detaljerede politikindstillinger. Der er mere end 60 tilgængelige politikindstillinger, der kan konfigureres.

Hvad er de grundlæggende revisionskategorier?

I følgende tabel beskrives de grundlæggende overvågningskategorier.

Indstilling for overvågningspolitik Beskrivelse
Overvågningskontologonhændelser Opretter en hændelse, når en bruger eller computer forsøger at bruge en Windows Server Active Directory-konto til godkendelse. Når en bruger f.eks. logger på en computer i domænet, oprettes der en kontologonhændelse.
Overvåg logonhændelser Opretter en hændelse, når en bruger logger på interaktivt (lokalt) på en computer eller via netværket (eksternt). Hvis en arbejdsstation og en server f.eks. er konfigureret til at overvåge logonhændelser, overvåger arbejdsstationen en bruger, der logger direkte på den pågældende arbejdsstation. Når brugeren opretter forbindelse til en delt mappe på serveren, logfører serveren den pågældende fjernlogge. Når en bruger logger på, registrerer domænecontrolleren en logonhændelse, fordi logonscripts og -politikker hentes fra domænecontrolleren.
Overvåg kontostyring Overvåger hændelser, herunder oprettelse, sletning eller ændring af bruger-, gruppe- eller computerkonti og nulstilling af brugeradgangskoder.
Overvåg adgang til katalogtjeneste Overvåger hændelser, der er angivet på systemadgangskontrollisten (SACL), som du kan se i dialogboksen Avancerede sikkerhedsindstillinger for et Active Directory-objekt. Ud over at definere overvågningspolitikken med denne indstilling skal du også konfigurere overvågning for det eller de specifikke objekter ved hjælp af SACL for objektet eller objekterne. Denne politik svarer til politikken Overvåg objektadgang, som du bruger til at overvåge filer og mapper, men denne politik gælder for Active Directory-objekter.
Ændring af overvågningspolitik Overvåger ændringer af politikker for tildeling af brugerrettigheder, overvågningspolitikker eller tillidspolitikker.
Brug af overvågningsrettigheder Overvåger brugen af en tilladelse eller brugerrettighed. Se den forklarende tekst til denne politik i Editor til administration af gruppepolitik.
Overvåg systemhændelser Overvåger systemgenstarter, lukninger eller ændringer, der påvirker systemet eller sikkerhedslogfilerne.
Sporing af overvågningsproces Overvåger hændelser, f.eks. programaktiveringer og procesafslutninger. Se den forklarende tekst til denne politik i Editor til administration af gruppepolitik.
Overvåg objektadgang Overvåger adgangen til objekter, f.eks. filer, mapper, registreringsdatabasenøgler og printere, der har deres egne SACLs. Ud over at aktivere denne overvågningspolitik skal du konfigurere overvågningsposterne i objekternes SACLs.

Konfigurer grundlæggende overvågning

Du kan gennemse og konfigurere disse grundlæggende overvågningskategorier ved hjælp af konsollen Lokal sikkerhedspolitik, som vist på følgende skærmbillede. Her har administratoren valgt noden Overvågningspolitik i konsollen Lokal sikkerhedspolitik og konfigurere overvågningsindstillingerne for udført og mislykket.

Dette skærmbillede viser konsollen Lokal sikkerhedspolitik og de grundlæggende overvågningskategorier. Noden Overvågningspolitik er valgt, og forskellige indstillinger for overvågning af udført og mislykket overvågning er konfigureret.

Drikkepenge

Du kan også bruge Gruppepolitik, hvilket gør det nemmere at konfigurere indstillinger for flere computere.

Alternativt kan du i administrationskonsollen for gruppepolitik:

  1. Find og vælg det relevante gruppepolitikobjekt, og åbn gruppepolitikobjektet til redigering.
  2. Udvid Policies\Windows Settings\Security Settings\Local Policies under noden Computerkonfiguration i Editor til administration af gruppepolitik, og vælg derefter Overvågningspolitik.
  3. Åbn en hvilken som helst politikindstilling i Editor til administration af gruppepolitik.
  4. Markér afkrydsningsfeltet Definer disse politikindstillinger, og vælg derefter, om du vil aktivere overvågning af vellykkede hændelser, fejlhændelser eller begge dele. Vælg derefter OK.

Det kan være fristende at aktivere alle overvågningsværdier på tværs af alle tilgængelige indstillinger. Dette kan dog generere et stort overvågningsspor, som du skal analysere. Så tænk på at være mere fokuseret og kun aktivere det, der er nyttigt for dig.

Hvis du f.eks. overvåger mislykkede kontologonhændelser, kan du fremvise forsøg fra en ondsindet hacker på at få adgang til domænet ved gentagne gange at forsøge at logge på som domænebruger uden at kende kontoens adgangskode. Overvågning af vellykkede kontologonhændelser er ikke særlig nyttigt, da det sandsynligvis angiver en legitim logonhændelse.

Drikkepenge

Overvågning mislykkede kontoadministrationshændelser kan afsløre en ondsindet hacker, der forsøger at manipulere medlemskabet af en sikkerhedsfølsom gruppe.

En af dine vigtigste opgaver er at balancere og justere overvågningspolitikken i forhold til virksomhedens politikker og med, hvad der er realistisk for din organisation. Virksomhedens politik kan f.eks. angive, at alle mislykkede logon- og vellykkede ændringer af Active Directory-brugere og -grupper skal overvåges. Det er nemt at opnå i AD DS (Active Directory Domain Services). Men du skal beslutte, hvordan du vil bruge disse oplysninger, før du implementerer overvågningspolitikker.

Drikkepenge

Detaljerede overvågningslogge er ubrugelige, hvis du ikke ved, hvordan du effektivt administrerer disse logge eller ikke har værktøjerne til at gøre det.

Hvis du vil implementere overvågning, skal du have en velkonfigureret overvågningspolitik og de værktøjer, du skal bruge til at administrere overvågede hændelser.

Angiv overvågningsindstillinger for en fil eller mappe

Mange organisationer vælger at overvåge filadgang. Windows Server understøtter detaljeret overvågning baseret på bruger- eller gruppekonti og de specifikke handlinger, som disse konti udfører.

Hvis du vil konfigurere overvågning af filer eller mapper, skal du udføre tre trin:

  1. Definer indstillingerne for Overvåg objektadgang, og vælg Udført, Fejleller begge dele.

    Seddel

    Aktivering af overvågning af vellykkede handlinger kan generere en stor mængde logføringsdata, som kan være til begrænset brug. Når alt kommer til alt fortæller den dig, at nogen har fået adgang til en fil eller mappe. Det er mere interessant at vide, hvornår nogen fejler.

  2. Find den mappe, du vil spore. Højreklik på mappen, og vælg derefter Egenskaber.

  3. På fanen Security skal du vælge Advanced.

  4. Vælg fanen Overvågning på siden Avancerede sikkerhedsindstillinger.

  5. Vælg Tilføj, vælg de sikkerhedsprincipaler, hvis aktivitet du vil overvåge i mappen, og vælg derefter de aktiviteter, du vil spore.

  6. På listen Type skal du vælge Alle, Udførteller Fail.

  7. Vælg derefter de tilladelser, du vil spore, og vælg til sidst OK to gange.

På følgende skærmbillede har administratoren valgt overvågningsindstillingerne for en mappe med navnet SalesReports. De har valgt at overvåge Mislykket adgang for domænebrugere.

Dette skærmbillede viser overvågningsindstillingerne for et mappenavn SalesReports. Der er valgt en overvågningstype af Fail for domænebrugere, der forsøger at få adgang til mappen SalesReports.

Typisk brug

Du kan overvåge vellykkede handlinger til følgende formål:

  • Sådan logfører du ressourceadgang til rapportering og fakturering.
  • Til at overvåge adgang, der tyder på, at brugerne udfører handlinger, der er større end det, du havde planlagt, hvilket angiver, at tilladelserne er for generøse.
  • At identificere adgang, der er ude af karakter for en bestemt konto, hvilket kan være et tegn på, at en ondsindet hacker har brudt en brugerkonto.

Du kan overvåge mislykkede hændelser til følgende formål:

  • Til at overvåge forsøg på at få adgang til en ressource af uautoriserede brugere.
  • Til at identificere mislykkede forsøg på at få adgang til en fil eller mappe, som en bruger kræver adgang til. Dette angiver, at tilladelserne ikke er tilstrækkelige til at opfylde et forretningskrav.

Advarsel

Overvågningslogge kan vokse sig store ret hurtigt. Konfigurer derfor det minimale minimum, der kræves for at nå organisationens sikkerhedsmål.

Evaluer hændelser i sikkerhedsloggen

Når du har aktiveret politikindstillingen Overvåg objektadgang og brugt objekt-SACLs til at angive den adgang, du vil overvåge, begynder Windows Server at logføre adgang i henhold til overvågningsposterne. Du kan få vist de resulterende hændelser i serverens log over sikkerhedshændelser. Det gør du ved at åbne Konsollen Logbog i Administration og derefter udvide Windows Logs\Security som vist på følgende skærmbillede. Administratoren har valgt sikkerhedsloggen og har fremhævet en hændelse med id'et 4663. dette er relateret til et forsøg på at få adgang til et filobjekt.

Dette skærmbillede viser Konsollen Logbog i Administration. Windows Logs\Security udvides med sikkerhedsloggen valgt. En hændelse med id 4336 er fremhævet.