(0) exportieren Drucken
Alle erweitern

Bereitstellen der Sicherheitsüberwachung mit zentralen Überwachungsrichtlinien (Demonstrationsschritte)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: März 2012

Betrifft: Windows Server 2012



In diesem Szenario überwachen Sie den Zugriff auf Dateien im Ordner %%amp;quot;Finance Documents%%amp;quot; mithilfe der Finanzrichtlinie, die Sie in Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) erstellt haben. Wenn ein Benutzer, der nicht auf den Ordner zugreifen darf, dennoch versucht, darauf zuzugreifen, wird die Aktivität in der Ereignisanzeige aufgezeichnet.
Zum Testen dieses Szenarios sind die folgenden Schritte erforderlich.

 

Aufgabe Beschreibung

Konfigurieren der globalen Objektzugriffsrichtlinie

In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller.

Aktualisieren von Gruppenrichtlinieneinstellungen

Melden Sie sich am Dateiserver an, und wenden Sie die Gruppenrichtlinienaktualisierung an.

Stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde.

Zeigen Sie die relevanten Ereignisse in der Ereignisanzeige an. Die Ereignisse sollten Metadaten für das Land und den Dokumenttyp umfassen.

In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller.

  1. Melden Sie sich am Domänencontroller DC1 als contoso\Administrator mit dem Kennwort pass@word1 an.

  2. Zeigen Sie in Server-Manager auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  3. Doppelklicken Sie in der Konsolenstruktur auf Domänen, doppelklicken Sie auf contoso.com, klicken Sie auf Contoso, und doppelklicken Sie dann auf Dateiserver.

  4. Klicken Sie mit der rechten Maustaste auf FlexibleAccessGPO, und klicken Sie dann auf Bearbeiten.

  5. Doppelklicken Sie auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, und doppelklicken Sie dann auf Windows-Einstellungen.

  6. Doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Erweiterte Überwachungsrichtlinienkonfiguration, und doppelklicken Sie dann auf Überwachungsrichtlinien.

  7. Doppelklicken Sie auf Objektzugriff, und doppelklicken Sie dann auf Dateisystem überwachen.

  8. Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, aktivieren Sie die Kontrollkästchen Erfolgreich und Fehler, und klicken Sie dann auf OK.

  9. Doppelklicken Sie im Navigationsbereich auf Globale Objektzugriffsüberwachung, und doppelklicken Sie dann auf Dateisystem.

  10. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, und klicken Sie auf Konfigurieren.

  11. Klicken Sie im Feld Erweiterte Sicherheitseinstellungen für SACL der Globaldatei auf Hinzufügen, klicken Sie auf Prinzipal auswählen, geben Sie Jeder ein, und klicken Sie dann auf OK.

  12. Wählen Sie im Feld Überwachungseintrag für SACL der Globaldatei die Option Vollzugriff im Feld Berechtigungen aus.

  13. Klicken Sie im Abschnitt Bedingung hinzufügen auf Bedingung hinzufügen, und wählen Sie in der Dropdownliste [Ressource] [Abteilung] [Beliebiges Element] [Wert] [Finanzwesen] aus.

  14. Klicken Sie dreimal auf OK, um die Konfiguration der Richtlinieneinstellung für die globale Objektzugriffsüberwachung abzuschließen.

  15. Klicken Sie im Navigationsbereich auf Objektzugriff, und doppelklicken Sie im Ergebnisbereich auf Handleänderung überwachen. Klicken Sie auf Folgende Überwachungsereignisse konfigurieren, Erfolgreich und Fehler, klicken Sie auf OK, und schließen Sie dann das GPO für den flexiblen Zugriff.

In diesem Schritt aktualisieren Sie die Gruppenrichtlinieneinstellungen, nachdem Sie die Überwachungsrichtlinie erstellt haben.

  1. Melden Sie sich am Dateiserver FILE1 als contoso\Administrator mit dem Kennwort pass@word1 an.

  2. Drücken Sie die Windows-Taste+R, und geben Sie cmd ein, um ein Befehlseingabefenster zu öffnen.

    noteHinweis
    Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie die angegebene Aktion durch Klicken auf Ja.

  3. Geben Sie gpupdate /force ein, und drücken Sie dann die EINGABETASTE.

Nachdem die Gruppenrichtlinieneinstellungen angewendet wurden, können Sie überprüfen, ob die Überwachungsrichtlinieneinstellungen richtig angewendet wurden.

  1. Melden Sie sich am Clientcomputer CLIENT1 als %%amp;quot;Contoso\MReid%%amp;quot; an. Wechseln Sie zum Ordner %%amp;quot;\\FILE1\Finance Documents%%amp;quot;, und ändern Sie das Word-Dokument 2.

  2. Melden Sie sich am Dateiserver FILE1 als %%amp;quot;contoso\administrator%%amp;quot; an. Öffnen Sie die Ereignisanzeige, wechseln Sie zu Windows-Protokolle, wählen Sie Sicherheit aus, und vergewissern Sie sich, dass Ihre Aktivitäten zu den Überwachungsereignissen 4656 und 4663 geführt haben (obwohl sie keine expliziten Überwachungs-SACLs für die erstellten, geänderten und gelöschten Dateien oder Ordner festgelegt haben).

ImportantWichtig
Ein neues Anmeldeereignis wird auf dem Computer generiert, auf dem sich die Ressource befindet. Dies geschieht im Namen des Benutzers, für den der effektive Zugriff überprüft wird. Um beim Analysieren von Sicherheitsüberwachungsprotokollen für Benutzeranmeldeaktivitäten zwischen Anmeldeereignissen, die aufgrund des effektiven Zugriffs generiert wurden, und solchen, die aufgrund einer interaktiven Netzwerkbenutzeranmeldung generiert wurden, zu unterscheiden, werden die Informationen zur Identitätswechselebene eingeschlossen. Wenn das Anmeldeereignis aufgrund des effektiven Zugriffs generiert wird, ist die Identitätswechselebene %%amp;quot;Identität%%amp;quot;. Eine interaktive Netzwerkbenutzeranmeldung generiert normalerweise ein Anmeldeereignis mit der Identitätswechselebene %%amp;quot;Identitätswechsel%%amp;quot; oder %%amp;quot;Delegierung%%amp;quot;.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft