Impostazioni di criteri di controllo di sicurezza avanzate
Data di pubblicazione: agosto 2016
Si applica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Questo riferimento per i professionisti IT fornisce informazioni che generano gli eventi di controllo e le impostazioni di criteri di controllo avanzate sono disponibili nei sistemi operativi Windows.
Le impostazioni di criteri di controllo di 53 sicurezza in la configurazione dei criteri di controllo di sicurezza sicurezza\configurazione consente alle organizzazioni di controllo di conformità alle regole aziendali e relativi alla protezione importanti tenendo traccia di attività definite con precisione, ad esempio:
Un amministratore di gruppo ha modificato impostazioni o i server che contengono informazioni finanziarie.
Un dipendente in un gruppo definito ha accesso a un file importante.
L'elenco di controllo di accesso corretto del sistema (SACL) viene applicato a ogni chiave di file e cartella o del Registro di sistema su una computer o la condivisione file come protezione verificabile contro l'accesso non rilevato.
Queste impostazioni di criteri di controllo è possibile accedere tramite criteri di sicurezza locali snap-in (secpol. msc) nel computer locale o tramite criteri di gruppo.
Queste impostazioni di criteri di controllo avanzate consentono di selezionare solo i comportamenti che si desiderano monitorare. È possibile escludere i risultati dei controlli per i comportamenti che costituiscono un rischio minimo o all'utente o comportamenti che creano un numero eccessivo di voci di log. Inoltre, poiché i criteri di controllo sicurezza possono essere applicati tramite oggetti Criteri di gruppo di dominio, impostazioni criteri di controllo possono essere modificate, testate e distribuite a utenti e gruppi con relativa semplicità selezionati.
Quando vengono configurate le impostazioni dei criteri di controllo di sicurezza avanzata, gli eventi vengono visualizzati nei computer che eseguono versioni supportate del sistema operativo Windows, come indicato nel si applica a elenco all'inizio di questo argomento, inoltre, Windows Server 2008 e Windows Vista.
Controllare le impostazioni dei criteri in configurazione di criteri di controllo di sicurezza sicurezza\configurazione sono disponibili nelle categorie seguenti:
Accesso account
Configurazione delle impostazioni di criteri in questa categoria consentono di documento tenta di autenticare i dati dell'account di controller di dominio o in un Security Account Manager (SAM) locale. A differenza delle impostazioni di criteri di accesso e disconnessione ed eventi, la traccia tenta di accedere a un particolare computer, impostazioni e gli eventi in questa categoria concentrano sul database di account viene utilizzato. Questa categoria include le seguenti sottocategorie:
Gestione account
Criterio impostazioni in questa categoria consente di monitorare le modifiche all'utente e account computer e gruppi di controllo di sicurezza. Questa categoria include le seguenti sottocategorie:
Rilevamento dettagliato
Dettagliate rilevamento dei criteri di protezione e gli eventi di controllo possono essere utilizzati per monitorare le attività di singole applicazioni e gli utenti del computer e per informazioni sull'utilizzo di un computer. Questa categoria include le seguenti sottocategorie:
Accesso al servizio directory
Impostazioni di criteri di controllo di accesso al servizio directory sicurezza forniscono un itinerario di controllo dettagliato di tentativi di accedere e modificare oggetti in servizi di dominio Active Directory (AD DS). Questi eventi vengono registrati solo nei controller di dominio di controllo. Questa categoria include le seguenti sottocategorie:
Accesso/fine sessione
Impostazioni di criteri di accesso/fine sessione di sicurezza e gli eventi di controllo consentono di rilevare tentativi di accesso a un computer in modo interattivo o in una rete. Questi eventi sono particolarmente utili per il rilevamento di attività dell'utente e identificazione di potenziali attacchi a risorse di rete. Questa categoria include le seguenti sottocategorie:
Accesso agli oggetti
Impostazioni di criteri di accesso di oggetto e gli eventi di controllo consentono di rilevare tentativi di accesso a oggetti specifici o tipi di oggetti in un computer di rete. Per controllare i tentativi di accesso a un file, directory, la chiave del Registro di sistema o qualsiasi altro oggetto, è necessario abilitare la sottocategoria di controllo dell'accesso agli oggetti appropriata per gli eventi di esito positivo o negativo. Ad esempio, la sottocategoria del File System deve essere abilitato per controllare le operazioni di file e la sottocategoria del Registro di sistema deve essere abilitato per controllare gli accessi del Registro di sistema.
Dimostrando che questi criteri di controllo sono in effetti a un revisore esterno è più difficile. Non vi è alcun modo semplice per verificare che il SACL appropriati siano impostate su tutti gli oggetti ereditati. Per risolvere questo problema, vedere No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..
Questa categoria include le seguenti sottocategorie:
Modifica dei criteri
Eventi di controllo di modifica di criteri consentono di tenere traccia delle modifiche ai criteri di sicurezza importanti in un sistema locale o in rete. Poiché i criteri vengono in genere definiti dagli amministratori per consentire alle risorse di rete protetta, monitoraggio delle modifiche o tenta di modificare questi criteri può essere un aspetto importante della gestione della protezione per una rete. Questa categoria include le seguenti sottocategorie:
Uso dei privilegi
Per gli utenti o computer completare le attività definite vengono concesse autorizzazioni in una rete. Impostazioni di criteri di sicurezza utilizzare privilegi e gli eventi di controllo consentono di tenere traccia dell'utilizzo di determinate autorizzazioni in uno o più sistemi. Questa categoria include le seguenti sottocategorie:
Sistema
Impostazioni dei criteri di protezione del sistema e gli eventi di controllo consentono di tenere traccia delle modifiche a livello di sistema in un computer che non sono inclusi in altre categorie e con potenziali implicazioni di sicurezza. Questa categoria include le seguenti sottocategorie:
Accesso agli oggetti globale
Impostazioni di criteri di accesso agli oggetti globali consentono agli amministratori di definire computer accesso elenchi di controllo sistema (SACL) per ogni tipo di oggetto per il file system o del Registro di sistema. Il SACL specificato viene quindi applicato automaticamente a ogni oggetto di quel tipo.
Revisori sarà in grado di dimostrare che tutte le risorse nel sistema sia protetto da un criterio di controllo per visualizzare il contenuto delle impostazioni dei criteri di controllo dell'accesso agli oggetti globali. Se un'impostazione criterio denominata "Tenere traccia di tutte le modifiche apportate dagli amministratori del gruppo" revisori, sanno, ad esempio, se questo criterio è attiva.
Risorsa SACL sono utili anche per gli scenari di diagnostica. Ad esempio, impostando il controllo dell'accesso agli oggetti globale criteri per registrare tutte le attività per un utente specifico e l'abilitazione di criteri rilevare gli eventi di "Accesso negato" per il file system o del Registro di sistema consente agli amministratori di identificare rapidamente l'oggetto in un sistema è negare l'accesso.
Nota
Se un file o cartella SACL e un'impostazione di criteri di controllo dell'accesso agli oggetti globali (o un singolo registro impostazione SACL e un'impostazione di criteri di controllo dell'accesso agli oggetti globali) è configurato in un computer, il SACL effettivo verrà derivato dalla combinazione del file o cartella SACL e i criteri di controllo dell'accesso agli oggetti globali. Ciò significa che viene generato un evento di controllo se il file o cartella SACL o i criteri di controllo dell'accesso agli oggetti globale corrisponde a un'attività.
Questa categoria include le seguenti sottocategorie: