Общие сведения об аудите безопасности
Применимо к:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Этот технический обзор для ИТ-специалистов описание возможностей в Windows и как организации могут использовать эти технологии для повышения безопасности и управляемости сети аудита безопасности.
Возможно, вы имели в виду...
Справочник по параметрам политики безопасности
Описание компонента
Аудит безопасности является мощным средством в целях обеспечения безопасности предприятия. Аудит может использоваться для различных целей, включая анализа соответствия нормативным требованиям, наблюдение за действиями пользователей и устранения неполадок. Отраслевых норм в различных странах или регионах требуют предприятия для реализации строгому набору правил, относящиеся к безопасности и конфиденциальности данных. Аудит безопасности может помочь реализации таких политик и подтвердить, что эти политики были реализованы. Кроме того аудит безопасности можно для анализа, чтобы помочь администраторам обнаруживать Аномальное поведение, выявлять и устранять недостатки в политиках безопасности и также предотвращать безответственное поведение путем отслеживания важных действий.
Практическое применение
Можно использовать хранилища сетевых операций, которые связаны с потенциально опасные поведения, а также для снижения этих рисков и системные журналы, чтобы создать безопасности системы для записи отслеживания событий безопасности Windows. Можно включить аудит на основе категорий событий безопасности таких как:
Изменение учетных записей и ресурсов разрешения пользователя.
Неудачных попыток пользователями для входа.
Неудачных попыток доступа к ресурсам.
Изменение системных файлов.
В Windows Server 2008 R2 и Windows 7 из девяти до 53 было увеличено количество параметров политики аудита безопасности, а все возможности аудита были интегрированы в групповую политику. Это позволяет администраторам настройки, развертывания и управления широкий набор параметров в консоли управления групповыми политиками (GPMC) или оснастки "Локальная политика безопасности" для домена, сайта или подразделения (OU). Это упрощает для ИТ-специалистов, отслеживающую точно определен, значительные действия выполняются в сети. Дополнительные сведения см. в разделе Дополнительные параметры политики аудита безопасности.
Новые и измененные функции
Отсутствуют новые изменения в функциональные возможности аудита безопасности вWindows Server 2012 R2.
ВWindows Server 2012изменения аудита безопасности, представленные в следующих целях:
Сократите объем аудита. Можно назначить политики аудита для определенных файлов и пользователей на основе атрибутов ресурсов и утверждений пользователей и устройств.
Повысить управляемость политики аудита. Аудит доступа к глобальным объектам введение предоставляет эффективным средством для обеспечения применения политик аудита безопасности на ресурсы. Объединение глобального аудита доступа к объектам с утверждения и динамический контроль доступа позволяет выполнить этот механизм глобального применения и применить его к более точный набор действий, представляющие потенциальный интерес.
Улучшить возможность обнаружения данных аудита безопасности. Существующие события доступа к данным можно войти дополнительных сведений об утверждений пользователей, компьютеров и ресурсов. Это упрощает для сбора событий и средства анализа настраивать, чтобы быстро получить наиболее важные данные события.
Включите аудит безопасности съемных носителей. Ростом популярности съемных носителей делает их попытки использовать уровень безопасности проблема, которая должна отслеживаться.
Динамические утверждения аудит приводит к более точным и упрощает управление политиками аудита. Он поддерживает сценарии, которые было невозможно или слишком сложно настроить. Кроме этих улучшений, новые события аудита и категории для отслеживания изменений в элементы политики динамический контроль доступа (DAC):
Атрибуты файлов ресурсов
Централизованные политики доступа связанных с файлами
Утверждения пользователей и устройств
Определения свойств ресурсов
Централизованная политика доступа и определения правил доступа
Ниже приведены примеры политик аудита, которые может создать администратор.
Любой пользователь без зазор безопасности «Высокий», который пытается получить доступ к документам, классифицируется как высокий уровень влияния бизнеса (HBI) — например, Audit | Все | ALL-Access | Resource.BusinessImpact=HBI и User.SecurityClearance!=High.
Аудит всех поставщиков, при доступе к документам по проектам, которые не работают на — например, Audit | Все | ALL-Access | User.EmploymentStatus=Vendor и User.Project Not_AnyOf Resource.Project.
Эти политики помогают контролировать объем событий аудита и ограничить их до наиболее релевантных данных или пользователей.
Чтобы обеспечить полную картину событий в организации, корпорация Майкрософт работает со своими партнерами для сбора событий и средств анализа, таких как Microsoft System Center.
Управление аудитом безопасности
Для использования аудита безопасности, необходимо настроить систему управления доступом (SACL) для объекта и применить политики аудита безопасности для пользователя или компьютера. Дополнительные сведения см. в разделеУправление аудитом безопасности.
Сведения об управлении Расширенный аудит безопасности см. в разделеАудит пошаговом руководстве повышенной безопасности.
Сведения о аудита динамического контроля доступа в разделеС помощью повышенной безопасности, параметры аудита для наблюдения за объектами управления динамический доступ.
Ресурсы по теме
Тип содержимого |
Ресурсы |
|---|---|
Оценка продукта |
Часто задаваемые вопросы о расширенном аудите безопасности Аудит пошаговом руководстве повышенной безопасности Новые возможности аудита безопасности для Windows Server 2012 |
Планирование и развертывание |
Планирование и развертывание расширенных политик аудита безопасности |
Операции |
|
Диагностика |
На данный момент недоступно |
Средства и параметры |
|
Ресурсы сообщества |
Аудит в Windows 7 и Windows Server 2008 R2 повышенной безопасности |
Связанные технологии |