Säkerhetsöversikt för granskning
Gäller för: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Den här teknisk översikt för IT-proffs beskriver granskning funktioner i Windows och hur din organisation kan dra nytta av dessa tekniker för att förbättra säkerhet och hantering av nätverket.
Menade du ...
Referens för grupprincipinställningar säkerhet
Funktionsbeskrivning
Säkerhetsgranskning är ett kraftfullt verktyg för att upprätthålla säkerheten för företaget. Granskning kan användas för olika syften, inklusive kriminalteknisk analys, regelefterlevnad användaraktivitet övervaka och felsöka. Industrins föreskrifter i olika länder eller regioner kräver företag att implementera en strikt uppsättning regler som rör datasäkerhet och sekretess. Säkerhetsgranskningar kan du genomföra dessa principer och bevisa att dessa principer har genomförts. Dessutom kan säkerhetsövervakning användas för kriminalteknisk analys för att hjälpa administratörer att identifiera avvikande beteende, att identifiera och minska luckorna i säkerhetsprinciper och för att hindra irresponsible beteende genom spårning av kritiska användaraktiviteter.
Praktiska tillämpningar
Du kan använda Windows-säkerhet och systemloggar för att skapa en säkerhet händelser spårning system för att registrera och store Nätverksaktiviteter som är associerade med skadliga beteenden och för att minska dessa risker. Du kan aktivera granskning utifrån kategorier av säkerhetshändelser som:
Ändringar i användarbehörigheter för kontot och resurs.
Misslyckade försök för användare att logga in.
Misslyckade försök att komma åt resurser.
Ändringar i systemfiler.
Antalet audit säkerhetsinställningar har ökat från nio-53 i Windows Server 2008 R2 och Windows 7, och alla granskningsfunktioner har integrerats med en Grupprincip. Detta kan administratörer konfigurera, distribuera och hantera en mängd olika inställningar i konsolen Grupprinciphantering (GPMC) eller snapin-modulen Lokal säkerhetsprincip för plats, domän eller organisationsenhet (OU). På så sätt blir det lättare för IT-proffs att spåra när exakt definierade, betydande aktiviteter äger rum på nätverket. Mer information finns i Avancerade inställningar för säkerhet granskningsprinciper.
Nya och ändrade funktioner
Det finns inga nya ändringar i funktioner för säkerhetsgranskning i Windows Server 2012 R2.
I Windows Server 2012, säkerhetsövervakning ändringar har introducerats för följande syften:
Minska mängden revisioner. Du kan rikta granskningsprinciper till specifika filer och användare baserat på resursattribut och krav för användare och enhet.
Förbättra hanteringen av granskningsprinciper. Introduktion av globala objektåtkomst innehåller ett effektivt sätt för tvingande tillämpningen av audit säkerhetsprinciper på resurser. Kombinera globala objektåtkomst med anspråk och dynamisk åtkomstkontroll kan du göra det här globala verkställandemekanism och tillämpa den på en mer exakt uppsättning aktiviteter av intresse.
Förbättra möjligheten att hitta kritiska säkerhet granskningsdata. Befintliga data access händelser kan logga ytterligare information om användare, dator och resurs anspråk. På så sätt blir det lättare för händelseinsamling och analysverktyg konfigureras för att snabbt få de mest relevanta händelsedata.
Aktivera säkerhetsgranskning av flyttbara lagringsenheter. Växande populärt flyttbara lagringsenheter gör sina försökte använda en betydande säkerhetsfunktion som ska övervakas.
Dynamisk anspråksbaserad granskning leder till mer exakt och enklare att hantera granskningsprinciper. Den möjliggör scenarier som är omöjligt eller för svårt att konfigurera. Förutom dessa förbättringar är nya granskningshändelser och kategorier för spårning av ändringar Dynamic Access Control (DAC) element:
Resursattribut för filer
Centrala principer för åtkomst är associerad med filer
Krav för användare och enhet
Egenskapen resursdefinitioner
Princip för central åtkomst och definitioner för central åtkomst
Här följer några exempel på granskningsprinciper som administratörerna kan skapa:
Någon utan en "Hög" säkerhet i efterhand som försöker komma åt dokument som är klassificerade som hög Business effekt (HBI), till exempel granska | Alla | Alla | Resource.BusinessImpact=HBI och User.SecurityClearance!=High.
Granska alla leverantörer när de ansluter till dokument som är relaterade till projekt som de inte fungerar, till exempel granska | Alla | Alla | User.EmploymentStatus=Vendor och User.Project Not_AnyOf Resource.Project.
Med hjälp av dessa principer kan företagen reglera mängden granskningshändelser och begränsa dem till de mest relevanta användarna eller företagets viktigaste data.
Om du vill ange en fullständig överblick över händelser i organisationen arbetar Microsoft med partners att tillhandahålla händelseinsamling och verktyg för analys, till exempel Microsoft System Center.
Hantera säkerhetsgranskning
Om du vill använda säkerhetsövervakning, måste du konfigurera system access control list (SACL) för ett objekt och tillämpa lämpliga säkerhetsinställningar granskningsprincip för användaren eller datorn. Mer information finns i Hantera säkerhetsövervakning.
Information om hur du hanterar avancerad säkerhetsgranskning finns Avancerad säkerhet granskning genomgången.
Information om granskning Dynamisk åtkomstkontroll finns Använda avancerad säkerhet granskningsalternativ för att övervaka Dynamic Access Control-objekt.
Relaterade resurser
Innehållstyp |
Resurser |
|---|---|
Produktutvärdering |
Avancerad säkerhet granskning vanliga frågor och svar |
Planera och distribuera |
Planering och distribution av avancerad säkerhet granskningsprinciper |
Åtgärder |
Använda avancerad säkerhet granskningsalternativ för att övervaka Dynamic Access Control-objekt |
Felsökning |
Inte tillgänglig än |
Verktyg och inställningar |
|
Gruppresurser |
Avancerad säkerhet granskning i Windows 7 och Windows Server 2008 R2 |
Närliggande tekniker |