Bagikan melalui

Menyebarkan Audit Keamanan dengan Kebijakan Audit Pusat (Langkah Demonstrasi)

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dalam skenario ini, Anda akan mengaudit akses ke file di folder Dokumen Keuangan dengan menggunakan Kebijakan Keuangan yang Anda buat di Menyebarkan Kebijakan Akses Pusat (Langkah Demonstrasi). Jika pengguna yang tidak berwenang untuk mengakses folder mencoba mengaksesnya, aktivitas akan diambil di penampil peristiwa. Langkah-langkah berikut diperlukan untuk menguji skenario ini.

Tugas Deskripsi
Mengonfigurasi Akses Objek Global Dalam langkah ini, Anda mengonfigurasi kebijakan akses objek global pada pengendali domain.
Memperbarui Pengaturan Kebijakan Grup Masuk ke server file dan terapkan pembaruan Kebijakan Grup.
Verifikasi bahwa kebijakan akses objek global telah diterapkan Lihat peristiwa yang relevan di penampil peristiwa. Peristiwa harus menyertakan metadata untuk negara dan jenis dokumen.

Mengonfigurasi kebijakan akses objek global

Dalam langkah ini, Anda mengonfigurasi kebijakan akses objek global di pengendali domain.

Untuk mengonfigurasi kebijakan akses objek global

  1. Masuk ke pengendali domain DC1 sebagai contoso\administrator dengan kata sandi pass@word1.

  2. Di Manajer Server, arahkan ke Alat, lalu klik Manajemen Kebijakan Grup.

  3. Di pohon konsol, klik dua kali Domain, klik dua kali contoso.com, klik Contoso, lalu klik dua kali Server File.

  4. Klik kanan FlexibleAccessGPO, dan klik Edit.

  5. Klik dua kali Konfigurasi Komputer, klik dua kali Kebijakan, lalu klik dua kali Windows Pengaturan.

  6. Klik dua kali Pengaturan Keamanan, klik dua kali Konfigurasi Kebijakan Audit Tingkat Lanjut, lalu klik dua kali Kebijakan Audit.

  7. Klik dua kali Akses Objek, lalu klik dua kali Sistem File Audit.

  8. Pilih kotak centang Konfigurasi peristiwa berikut, pilih kotak centang Berhasil dan Gagal , lalu klik OK.

  9. Di panel navigasi, klik ganda Audit Akses Objek Global, lalu klik ganda Sistem file.

  10. Pilih kotak centang Tentukan pengaturan kebijakan ini, dan klik Konfigurasikan.

  11. Dalam kotak Keamanan Tingkat Lanjut Pengaturan untuk SACL File Global, klik Tambahkan, lalu klik Pilih prinsipal, ketik Semua Orang, lalu klik OK.

  12. Dalam kotak Entri Audit untuk SACL File Global, pilih Kontrol penuh di kotak Izin .

  13. Di bagian Tambahkan kondisi: , klik Tambahkan kondisi dan di daftar drop-down pilih [Resource] [Department] [Any of] [Value] [Finance].

  14. Klik OK tiga kali untuk menyelesaikan konfigurasi pengaturan kebijakan audit akses objek global.

  15. Di panel navigasi, klik Akses Objek, dan di panel hasil, klik ganda Audit Menangani Manipulasi. Klik Konfigurasikan peristiwa audit berikut, Berhasil, dan Gagal, klik OK, lalu tutup GPO akses fleksibel.

Memperbarui pengaturan Kebijakan Grup

Dalam langkah ini, Anda memperbarui pengaturan Kebijakan Grup setelah membuat kebijakan audit.

Untuk memperbarui pengaturan Kebijakan Grup

  1. Masuk ke server file, FILE1 sebagai contoso\Administrator, dengan kata sandi pass@word1.

  2. Tekan tombol Windows+R, lalu ketik cmd untuk membuka jendela Prompt Perintah.

    Catatan

    Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan bahwa tindakan yang ditampilkannya adalah apa yang Anda inginkan, lalu klik Ya.

  3. Ketik gpupdate /force lalu tekan ENTER.

Verifikasi bahwa kebijakan akses objek global telah diterapkan

Setelah pengaturan Kebijakan Grup diterapkan, Anda dapat memverifikasi bahwa pengaturan kebijakan audit diterapkan dengan benar.

Untuk memverifikasi bahwa kebijakan akses objek global telah diterapkan

  1. Masuk ke komputer klien, CLIENT1 sebagai Contoso\MReid. Telusuri ke folder HYPERLINK "file:///\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents, dan ubah Dokumen Word 2.

  2. Masuk ke server file, FILE1 sebagai contoso\administrator. Buka Pemantau Peristiwa, telusuri ke Log Windows, pilih Keamanan, dan konfirmasikan bahwa aktivitas Anda mengakibatkan peristiwa audit 4656 dan 4663 (meskipun Anda tidak mengatur SACL audit eksplisit pada file atau folder yang Anda buat, ubah, dan hapus).

Penting

Peristiwa masuk baru dihasilkan di komputer tempat sumber daya berada, atas nama pengguna yang aksesnya efektif sedang diperiksa. Saat menganalisis log audit keamanan untuk aktivitas masuk pengguna, untuk membedakan antara peristiwa masuk yang dihasilkan karena akses yang efektif dan yang dihasilkan karena pengguna jaringan interaktif masuk, informasi Tingkat Peniruan disertakan. Ketika peristiwa masuk dihasilkan karena akses yang efektif, Tingkat Peniruan Identitas akan menjadi Identitas. Pengguna interaktif jaringan masuk biasanya menghasilkan peristiwa masuk dengan Tingkat Peniruan = Peniruan Identitas atau Delegasi.