Планирование для аудита доступа к файлам

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описываются улучшения аудита безопасности, представленные в Windows Server 2012 и новые параметры аудита, которые следует учитывать при развертывании динамических контроль доступа в вашей организации. Фактические параметры политики аудита будут зависеть от поставленных целей, которые могут включать проверку соответствия нормативным требованиям, наблюдение, криминалистический анализ и устранение неисправностей.

Примечание.

Подробные сведения о планировании и развертывании общей стратегии аудита безопасности для вашего предприятия описаны в статье "Планирование и развертывание политик расширенного аудита безопасности". Дополнительные сведения о настройке и развертывании политики аудита безопасности см. в пошаговом руководстве по расширенной политике аудита безопасности.

Следующие возможности аудита безопасности в Windows Server 2012 можно использовать с динамическими контроль доступа для расширения общей стратегии аудита безопасности.

  • Политики аудита на основе выражений. Динамический контроль доступа позволяет создавать адресные политики аудита, используя выражения на основе требований пользователя, компьютера и ресурсов. Например, можно создать политику аудита для отслеживания всех операций чтения и записи в файлах, которые классифицируются как "оказывающие сильное влияние на бизнес", для сотрудников, не обладающих высокой категорией доступа. Политики аудита на основе выражений могут быть созданы непосредственно для файла или папки либо централизованно через групповую политику. Дополнительные сведения см. в статье групповой политики с помощью аудита доступа к глобальным объектам.

  • Дополнительные сведения об аудите доступа к объектам. Аудит доступа к файлам не является новым для Windows Server 2012. Если применяется правильная политика аудита, операционные системы Windows и Windows Server будут создавать событие аудита при каждой попытке пользователя получить доступ к файлу. События доступа к существующим файлам (4656, 4663) содержат сведения об атрибутах файла, к которому был получен доступ. Эту информацию могут использовать средства фильтрации журнала событий, чтобы помочь в определении наиболее значимых событий аудита. Дополнительные сведения см. в разделе "Управление обработкойи аудитом учетных записей безопасности".

  • Дополнительные сведения о событиях входа пользователя. Если применяется правильная политика аудита, операционные системы Windows создают событие аудита при каждом локальном или удаленном входе пользователя в систему. В Windows Server 2012 или Windows 8 можно также отслеживать утверждения пользователей и устройств, связанные с маркером безопасности пользователя. Например, это могут быть такие категории доступа, как "Отдел", "Организация", "Проект" и "Безопасность". Событие 4626 содержит информацию об этих заявках пользователей и устройств на доступ, что может использоваться в средствах управления журналом аудита, чтобы связать события входа пользователя с событиями доступа к объектам и разрешить фильтрацию событий на основе атрибутов файлов и атрибутов пользователей. Дополнительные сведения об аудите входа пользователя см. в разделе "Вход в систему аудита".

  • Отслеживание изменений для новых типов защищаемых объектов. В следующих сценариях важно отслеживать изменения в защищаемых объектах.

    • Отслеживание изменений для центральных политик доступа и центральных правил доступа. Централизованные политики и правила доступа определяют централизованную политику, которая может быть использована при управлении доступом к критическим ресурсам. Любые их изменения могут непосредственно влиять на права доступа к файлам, которые предоставлены пользователям на нескольких компьютерах. Поэтому отслеживание изменений в централизованных политиках и правилах доступа может быть важно для организации. Так как политики централизованного доступа и правила централизованного доступа хранятся в службах домен Active Directory (AD DS), вы можете выполнять аудит попыток их изменения, например аудит изменений в любом другом защищаемом объекте в AD DS. Дополнительные сведения см. в статье Audit Directory Service Access.

    • Отслеживание изменений для определений в словаре утверждений. Определения утверждений включают имя утверждения, описание и возможные значения. Любые изменения в определении утверждения могут влиять на права доступа к критическим ресурсам. Поэтому отслеживание изменений в определениях утверждений может быть важно для организации. Как и централизованные политики доступа и правила централизованного доступа, определения утверждений хранятся в AD DS; таким образом, они могут быть проверены как любой другой защищаемый объект в AD DS. Дополнительные сведения см. в статье Audit Directory Service Access.

    • Отслеживание изменений для атрибутов файла. Атрибуты файла определяют, какое централизованное правило доступа применяется к этому файлу. Изменение атрибутов файла потенциально может влиять на ограничения доступа к файлу. Поэтому важно отслеживать изменения атрибутов файла. Можно отслеживать изменения атрибутов файла на любом компьютере, настроив политику аудита для изменения политики авторизации. Дополнительные сведения см. в статье " Аудит изменений политики авторизации" и "Доступ к объектам" для файловой системы. В Windows Server 2012 событие 4911 отличает политику атрибутов файлов от других событий изменения политики авторизации.

    • Отслеживание Chang для центральной политики доступа, связанной с файлом. Событие 4913 отображает идентификаторы безопасности (SID) для старой и новой централизованных политик доступа. Каждая централизованная политика доступа также имеет имя, понятное для пользователя, которое может быть найдено с помощью этого идентификатора безопасности. Дополнительные сведения см. в статье об аудите изменений политики авторизации.

    • Отслеживание изменений для атрибутов пользователя и компьютера. Например, файлы, объекты пользователя и компьютера могут иметь атрибуты, а изменения этих атрибутов могут повлиять на способность пользователя получать доступ к файлам. Таким образом, важно отслеживать изменения атрибутов пользователя или компьютера. Объекты пользователей и компьютеров хранятся в AD DS; таким образом, изменения их атрибутов можно проверять. Дополнительные сведения см. в разделе DS Access.

  • Промежуточное изменение политики. Изменения в централизованных политиках доступа могут влиять на решения о предоставлении доступа на всех компьютерах, на которых применяются политики. Нестрогая политика может предоставить больше доступа, чем предполагается, в то время как чрезмерно строгая политика может вызвать огромное количество обращений в службу поддержки. Поэтому очень важно проверить изменения централизованной политики доступа до того, как они будут применены. Для этого Windows Server 2012 представляет концепцию промежуточного хранения. Промежуточное выполнение позволяет пользователям проверять предлагаемые изменения политики перед применением их. Для использования промежуточного сохранения предложенные политики разворачиваются вместе с принятыми политиками, но промежуточные политики фактически не предоставляют доступ и не запрещают его. Вместо этого Windows Server 2012 регистрирует событие аудита (4818) в любой момент, когда результат проверка доступа, использующий поэтапную политику, отличается от результата проверка доступа, использующего примененную политику.