Rencana Audit Akses File
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Informasi dalam topik ini menjelaskan peningkatan audit keamanan yang diperkenalkan di Windows Server 2012 dan pengaturan audit baru yang harus Anda pertimbangkan saat Anda menyebarkan Kontrol Akses Dinamis di perusahaan Anda. Pengaturan kebijakan audit aktual yang Anda sebarkan akan bergantung pada tujuan Anda, yang dapat mencakup kepatuhan terhadap peraturan, pemantauan, analisis forensik, dan pemecahan masalah.
Catatan
Informasi terperinci tentang cara merencanakan dan menyebarkan strategi audit keamanan keseluruhan untuk perusahaan Anda dijelaskan dalam Merencanakan dan Menyebarkan Kebijakan Audit Keamanan Tingkat Lanjut. Untuk informasi selengkapnya tentang mengonfigurasi dan menyebarkan kebijakan audit keamanan, lihat Panduan Langkah demi Langkah Kebijakan Audit Keamanan Tingkat Lanjut.
Kemampuan audit keamanan berikut di Windows Server 2012 dapat digunakan dengan Kontrol Akses Dinamis untuk memperluas strategi audit keamanan Anda secara keseluruhan.
Kebijakan audit berbasis ekspresi. Kontrol Akses Dinamis memungkinkan Anda membuat kebijakan audit yang ditargetkan dengan menggunakan ekspresi berdasarkan klaim pengguna, komputer, dan sumber daya. Misalnya, Anda dapat membuat kebijakan audit untuk melacak semua operasi Baca dan Tulis pada file yang diklasifikasikan sebagai dampak bisnis tinggi oleh karyawan yang tidak memiliki izin keamanan tinggi. Kebijakan audit berbasis ekspresi dapat ditulis langsung untuk file atau folder atau secara terpusat melalui Kebijakan Grup. Untuk informasi selengkapnya, lihat Kebijakan Grup menggunakan Audit Akses Objek Global.
Informasi tambahan dari audit akses objek. Audit akses file bukan hal baru untuk Windows Server 2012 . Dengan kebijakan audit yang tepat, sistem operasi Windows dan Windows Server menghasilkan peristiwa audit setiap kali pengguna mengakses file. Peristiwa Akses File yang ada (4656, 4663) berisi informasi tentang atribut file yang diakses. Informasi ini dapat digunakan oleh alat pemfilteran log peristiwa untuk membantu Anda mengidentifikasi peristiwa audit yang paling relevan. Untuk informasi selengkapnya, lihat Audit Menangani Manipulasi dan Audit Manajer Akun Keamanan.
Informasi selengkapnya dari peristiwa masuk pengguna. Dengan kebijakan audit yang tepat, sistem operasi Windows menghasilkan peristiwa audit setiap kali pengguna masuk ke komputer secara lokal atau jarak jauh. Di Windows Server 2012 atau Windows 8, Anda juga dapat memantau klaim pengguna dan perangkat yang terkait dengan token keamanan pengguna. Contohnya dapat mencakup izin Departemen, Perusahaan, Proyek, dan Keamanan. Peristiwa 4626 berisi informasi tentang klaim pengguna dan klaim perangkat ini, yang dapat dimanfaatkan oleh alat manajemen log audit untuk menghubungkan peristiwa masuk pengguna dengan peristiwa akses objek untuk mengaktifkan pemfilteran peristiwa berdasarkan atribut file dan atribut pengguna. Untuk informasi selengkapnya tentang audit masuk pengguna, lihat Log Masuk Audit.
Pelacakan perubahan untuk jenis baru objek yang dapat diamankan. Melacak perubahan pada objek yang dapat diamankan bisa menjadi penting dalam skenario berikut:
Pelacakan perubahan untuk kebijakan akses pusat dan aturan akses pusat. Kebijakan akses pusat dan aturan akses pusat menentukan kebijakan pusat yang dapat digunakan untuk mengontrol akses ke sumber daya penting. Setiap perubahan pada ini dapat berdampak langsung pada izin akses file yang diberikan kepada pengguna di beberapa komputer. Oleh karena itu, melacak perubahan pada kebijakan akses pusat dan aturan akses pusat dapat menjadi penting bagi organisasi Anda. Karena kebijakan akses pusat dan aturan akses pusat disimpan di Active Directory Domain Services (AD DS), Anda dapat mengaudit upaya untuk memodifikasinya, seperti mengaudit perubahan pada objek lain yang dapat diamankan di AD DS. Untuk informasi selengkapnya, lihat Akses Layanan Direktori Audit.
Pelacakan perubahan untuk definisi dalam kamus klaim. Definisi klaim mencakup nama klaim, deskripsi, dan nilai yang mungkin. Setiap perubahan pada definisi klaim dapat memengaruhi izin akses pada sumber daya penting. Oleh karena itu, melacak perubahan pada definisi klaim dapat menjadi penting untuk organisasi Anda. Seperti kebijakan akses pusat dan aturan akses pusat, definisi klaim disimpan di AD DS; oleh karena itu, mereka dapat diaudit seperti objek lain yang dapat diamankan di AD DS. Untuk informasi selengkapnya, lihat Akses Layanan Direktori Audit.
Pelacakan perubahan untuk atribut file. Atribut file menentukan aturan akses pusat mana yang berlaku untuk file. Perubahan pada atribut file berpotensi memengaruhi pembatasan akses pada file. Oleh karena itu, penting untuk melacak perubahan pada atribut file. Anda dapat melacak perubahan pada atribut file di komputer mana pun dengan mengonfigurasi kebijakan otorisasi mengubah kebijakan audit. Untuk informasi selengkapnya, lihat Audit Perubahan Kebijakan Otorisasi dan audit Akses Objek untuk Sistem File. Di Windows Server 2012 , Peristiwa 4911 membedakan perubahan kebijakan atribut file dari peristiwa perubahan kebijakan otorisasi lainnya.
Mengubah pelacakan untuk kebijakan akses pusat yang terkait dengan file. Peristiwa 4913 menampilkan pengidentifikasi keamanan (SID) dari kebijakan akses pusat lama dan baru. Setiap kebijakan akses pusat juga memiliki nama yang mudah digunakan yang dapat dicari menggunakan pengidentifikasi keamanan ini. Untuk informasi selengkapnya, lihat Audit Perubahan Kebijakan Otorisasi.
Pelacakan perubahan untuk atribut pengguna dan komputer. Seperti file, objek pengguna dan komputer dapat memiliki atribut, dan perubahan pada atribut ini dapat memengaruhi kemampuan pengguna untuk mengakses file. Oleh karena itu, mungkin berharga untuk melacak perubahan pada atribut pengguna atau komputer. Objek pengguna dan komputer disimpan di AD DS; oleh karena itu, perubahan pada atributnya dapat diaudit. Untuk informasi selengkapnya, lihat Akses DS.
Penahapan perubahan kebijakan. Perubahan pada kebijakan akses pusat dapat memengaruhi keputusan kontrol akses di semua komputer tempat kebijakan diberlakukan. Kebijakan yang longgar dapat memberikan lebih banyak akses daripada yang diinginkan, dan kebijakan yang terlalu ketat dapat menghasilkan sejumlah besar panggilan Help Desk. Akibatnya, sangat berharga untuk memverifikasi perubahan pada kebijakan akses pusat sebelum memberlakukan perubahan. Untuk tujuan itu, Windows Server 2012 memperkenalkan konsep "penahapan." Penahapan memungkinkan pengguna untuk memverifikasi perubahan kebijakan yang diusulkan sebelum memberlakukannya. Untuk menggunakan penahapan kebijakan, kebijakan yang diusulkan disebarkan dengan kebijakan yang diberlakukan, tetapi kebijakan bertahap tidak benar-benar memberikan atau menolak izin. Sebagai gantinya, Windows Server 2012 mencatat peristiwa audit (4818) setiap kali hasil pemeriksaan akses yang menggunakan kebijakan bertahap berbeda dari hasil pemeriksaan akses yang menggunakan kebijakan yang diberlakukan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk