Speciális biztonsági naplózási házirend-beállítások

 

Közzétéve: 2016. augusztus

Hatókör: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Az informatikai szakemberek számára ez az útmutató bemutatja a speciális naplózási házirend-beállítások, amelyek a Windows operációs rendszerekben elérhető és a naplózási eseményeket, amelyek létrehozzák őket.

A 53 biztonsági naplózási házirend-beállítások szerint biztonsági Settings\Advanced naplózási házirend konfigurálása segítségével a szervezet fontos kapcsolódó üzleti és biztonsággal kapcsolatos szabályok betartását naplózási pontosan meghatározott tevékenységek követésével:

• Egy csoport rendszergazdája módosította a beállításokat, vagy pénzügyi adatokat tartalmazó kiszolgálón.

• Egy megadott csoportban lévő alkalmazott fért hozzá egy fontos fájlt.

• A rendszer megfelelő hozzáférés-vezérlési lista (Rendszerszintű) minden fájl és mappa vagy beállításkulcs kulcsot egy számítógép vagy a fájlmegosztásnak alkalmazható ellenőrizhető észrevétlenül hozzáférés elleni védelmet.

A naplózási házirend-beállítások a helyi biztonsági házirend beépülő modult (secpol.msc) a helyi számítógépen vagy a csoportházirend használatával keresztül érhetik el.

Speciális naplózási házirend-beállításokkal válassza ki a figyelni kívánt viselkedések teszi lehetővé. Kizárhat naplózási eredményeit, amelyek az Ön vagy kis érintő viselkedések, vagy túl sok a naplóbejegyzések létrehozott viselkedése. Emellett biztonsági naplózási házirendek tartományi csoportházirend-objektumok használatával nem alkalmazhatók, mert naplózási házirend-beállítások módosíthatók, tesztelt, és a kiválasztott felhasználók és csoportok relatív egyszerűség a telepített.

Speciális biztonsági naplózási házirend-beállítások konfigurálása után események jelennek meg a Windows operációs rendszer támogatott verzióit futtató, mint a kijelölt számítógépeken az vonatkozik Windows Server 2008 és Windows Vista Emellett ez a témakör elején listában.

Naplózási házirend-beállításai alapján biztonsági Settings\Advanced naplózási házirend konfigurálása érhetők el az alábbi kategóriákban:

• Bejelentkezési fiók

  Házirend-beállítások konfigurálása az ebben a kategóriában segíthet a dokumentum fiók adatait egy tartományvezérlő vagy a egy helyi biztonsági fiókkezelő (SAM) hitelesítéssel próbálkozik. Bejelentkezés és kijelentkezés házirend beállításainak és az eseményeket, melyik kísérel meg egy adott számítógép elérésére, eltérően beállítások és ebbe a kategóriába tartozó eseményeket összpontosítania használt fiók-adatbázist. Ez a kategória a következő alkategóriákkal:

  • Naplózási hitelesítő adatok érvényesítése

  • Naplózási Kerberos hitelesítési szolgáltatás

  • A naplózási szolgáltatás Kerberos jegy műveletek

  • Más bejelentkezés naplózása

• Fiókkezelés

  A biztonsági naplózási házirend ebbe a kategóriába tartozó beállítások módosításait felhasználói és számítógép- és csoportok figyelésére használható. Ez a kategória a következő alkategóriákkal:

  • Naplózási alkalmazáscsoportok kezelése

  • Számítógép-fiókkezelés

  • Naplózási terjesztési csoportok kezelése

  • Más fiókkezelési események naplózása

  • Naplózási biztonsági csoportok kezelése

  • Naplózási felhasználóifiók-kezelés

• Részletes nyomon követési

  Részletes nyomon követési biztonsági házirendjének beállításai és a naplózási események használható egyes alkalmazások és a felhasználók az adott számítógépen a tevékenységek figyeléséhez és a számítógép használatának megértése. Ez a kategória a következő alkategóriákkal:

  • A DPAPI-t műveletek naplózása

  • A naplózási folyamat létrehozása

  • A naplózási folyamat befejeződésekor

  • RPC-események naplózása

• DS-hozzáférés

  DS biztonsági naplózási házirend-beállítások eléréséhez és az Active Directory tartományi szolgáltatásokban (AD DS) objektumok módosítása próbálkozások részletes napló adja meg. A naplózási eseményeket naplózza a tartományvezérlőkön csak. Ez a kategória a következő alkategóriákkal:

  • Naplózási címtárszolgáltatás részletes replikációja

  • Címtárszolgáltatás-hozzáférés naplózása

  • A naplózási könyvtár szolgáltatás módosításokat

  • Naplózási címtárszolgáltatás replikációja

• Bejelentkezés

  És kijelentkezési biztonsági házirendjének beállításai és a naplózási események teszi lehetővé egy számítógép bejelentkezni, interaktív vagy egy hálózaton keresztül kísérletek nyomon követésére. Ezek az események hasznosak követésének felhasználói tevékenységet, és a hálózati erőforrásokat lehetséges támadás azonosítása. Ez a kategória a következő alkategóriákkal:

  • Naplózási fiók zárolása

  • Naplózási IPsec kiterjesztett mód

  • Naplózási IPsec alapmódú

  • Naplózási IPsec gyors mód

  • Naplózási kijelentkezés

  • Bejelentkezés naplózása

  • Naplózási hálózati házirend-kiszolgáló

  • Más bejelentkezés naplózása

  • Speciális naplózási bejelentkezés

• Az objektum-hozzáférés

  Objektum házirend-beállítások és a naplózási eseményeket engedélyezése, hogy nyomon kövesse a próbálja meg elérni az adott objektumokat vagy a hálózaton vagy a számítógép objektumtípusokat. Próbálja meg elérni a fájlt, könyvtárat, beállításkulcs vagy bármely más objektumot naplózásához engedélyeznie kell a megfelelő objektum-hozzáférés naplózása alkategóriájába sikeres vagy sikertelen események. A fájlrendszer alkategóriájába fájl műveleteket engedélyezni kell, és a beállításjegyzék fér hozzá a naplózandó engedélyezni kell a beállításjegyzék alkategóriájába.

  Amely igazolja, hogy ezek a naplózási házirendek érvényben a egy külső naplózó nehezen. Győződjön meg arról, hogy a megfelelő rendszerszintű beállítása minden örökölt objektumok nem egyszerűen van. A probléma megoldása érdekében tekintse meg a No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  Ez a kategória a következő alkategóriákkal:

  • Naplózási alkalmazás létrehozva

  • Naplózási hitelesítési szolgáltatások

  • Naplózási részletes fájlmegosztás

  • Naplózási fájlmegosztás

  • Naplózási fájlrendszer

  • A naplózási Szűrőplatform-kapcsolat

  • Szűrési Platform csomag eldobási naplózása

  • Naplózási leíró adatkezelési

  • Kernel objektum naplózása

  • Más objektum-hozzáférés naplózása

  • Naplózási beállításjegyzék

  • Naplózási SAM

• Házirend módosítása

  Házirend módosítása naplózási eseményeket a helyi rendszer vagy hálózati fontos biztonsági házirendek változásait követik teszi lehetővé. Házirendek általában a biztonságos hálózati erőforrások segítségével a rendszergazdák által jönnek létre, mert a figyelés változik, vagy módosítsa a házirendek megkísérli lehet biztonsági felügyeleti hálózat fontos eleme. Ez a kategória a következő alkategóriákkal:

  • Naplózási naplózási házirend módosítása

  • Naplózási hitelesítési házirend módosítása

  • Naplózási engedélyezési házirend módosítása

  • Naplózási házirend változása szűrése

  • Naplózási MPSSVC szabály szintű házirend módosítása

  • Más házirend módosítása naplózása

• Jogosultság használata

  A hálózat engedélyekkel rendelkező felhasználók vagy számítógépek definiált feladatokat. Jogosultság használható biztonsági házirendjének beállításai és a naplózási események lehetővé teszi egy vagy több rendszer egyes engedélyek felhasználása nyomon. Ez a kategória a következő alkategóriákkal:

  • Nem érzékeny jogosultság használatának naplózása

  • Naplózási érzékeny használati jog

  • Más jogosultság használata naplózása

• Rendszer

  Rendszer biztonsági házirendjének beállításai és a naplózási események lehetővé teszik egy olyan számítógéphez, amelyek nem szerepelnek más kategóriák és, hogy potenciális biztonsági következményekkel rendszerszintű változásait követik. Ez a kategória a következő alkategóriákkal:

  • Naplózási IPsec-illesztőprogram

  • Más Rendszeresemények naplózása

  • Naplózási biztonsági állapot módosítása

  • Naplózási biztonsági rendszer bővítmény

  • A naplózási Rendszerintegritást

• Globális objektum-hozzáférés

  Globális objektum-hozzáférés naplózásának házirend beállításai lehetővé teszik a rendszergazdák a számítógép rendszer hozzáférés-vezérlési listák (rendszerszintű) objektumtípus a fájlrendszert vagy a beállításjegyzék kiszolgálónként megadhatók. A megadott Rendszerszintű majd automatikusan alkalmazza minden ilyen típusú objektum.

  Naplófelelősök lesz, hogy minden erőforráshoz a rendszer által védett naplórend globális objektum-hozzáférés naplózásának házirendbeállítások tartalmának megtekintésével igazolni tudja. Például ha naplófelelősök nevezik "Nyomon a Rendszergazdák csoport összes módosítás" házirend-beállítást, akkor tudhatja, hogy ez a házirend van érvényben.

  Erőforrás rendszerszintű diagnosztikai forgatókönyvek is hasznosak. Például a globális objektum-hozzáférés naplózásának beállítása egy adott felhasználó-és a házirend engedélyezése a fájlrendszer vagy a beállításjegyzékben a "Hozzáférés megtagadva" események nyomon követéséhez a tevékenység bejelentkezni házirend segítségével gyorsan azonosíthatja a rendszer mely objektum megtagadja a hozzáférést a rendszergazdák.

  Megjegyzés

  Ha egy fájl vagy mappa Rendszerszintű és globális objektum-hozzáférés naplózásának házirend-beállítással (vagy Rendszerszintű és házirend-beállítás a globális objektum-hozzáférés naplózásának beállítása egyetlen beállításjegyzékbeli) a számítógépen vannak konfigurálva, a hatékony Rendszerszintű származik a fájl vagy mappa Rendszerszintű és a globális objektum-hozzáférés naplózásának házirendet. Ez azt jelenti, hogy az naplózási jön létre, ha egy tevékenység megegyezik a fájl vagy mappa Társítása vagy a globális objektum-hozzáférés naplózásának házirendet.

  Ez a kategória a következő alkategóriákkal:

  • Fájlrendszer (globális objektum-hozzáférés naplózása)

  • Beállításjegyzék (globális objektum-hozzáférés naplózása)