Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Pianificare i File di controllo dell'accesso

Bill Mathers|Ultimo aggiornamento: 10/03/2017
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In questo argomento viene illustrata la protezione di impostazioni che è necessario considerare quando si distribuisce controllo dinamico degli accessi all'interno dell'organizzazione di controllo controllo i miglioramenti introdotti in Windows Server 2012 e nuovi. Le impostazioni dei criteri di controllo effettivo da distribuire dipendono gli obiettivi, che possono includere la conformità alle normative, monitoraggio, analisi legali e risoluzione dei problemi.

Nota

Informazioni dettagliate su come pianificare e distribuire una sicurezza globale strategia di controllo per l'organizzazione descritta nel pianificazione e distribuzione di criteri di controllo protezione avanzata. Per ulteriori informazioni sulla configurazione e distribuzione di un criterio di protezione, vedere la criteri di controllo di protezione avanzate Step-by-Step Guida.

Le seguenti funzionalità di controllo della protezione in Windows Server 2012 può essere utilizzata con controllo di accesso dinamico per estendere una strategia globale di protezione controllo.

  • Criteri di controllo basate su espressioni. Controllo dinamico degli accessi consente di creare criteri di controllo di destinazione utilizzando le espressioni in base alle attestazioni di utenti, computer e risorse. Ad esempio, è possibile creare un criterio di controllo per tenere traccia delle operazioni tutti in lettura e scrittura sui file classificati come business di alto impatto dai dipendenti che non dispongono di un gioco ad alta protezione. È possibile creare criteri di controllo basate su espressioni direttamente per un file o una cartella o in modo centralizzato tramite criteri di gruppo. Per ulteriori informazioni, vedere criteri di gruppo utilizzando il controllo di accesso oggetto Global.

  • Informazioni aggiuntive da questo tipo di controllo. Il controllo dell'accesso a file non è nuova per Windows Server 2012. Con il criterio di controllo di destra sul posto, i sistemi operativi Windows e Windows Server genera un evento di controllo ogni volta che un utente accede a un file. Gli eventi di accesso ai File esistenti (4656, 4663) contengono informazioni sugli attributi del file che è stato eseguito. Questa informazioni possono essere utilizzate dal registro eventi gli strumenti di filtraggio che consentono di identificare gli eventi di controllo più rilevanti. Per ulteriori informazioni, vedere la manipolazione di controllo gestire e controllo Gestione account di protezione.

  • Ulteriori informazioni da eventi di accesso utente. Con il criterio di controllo di destra sul posto, sistemi operativi Windows genera un evento di controllo ogni volta che un utente accede a un computer locale o remota. In Windows 8 o Windows Server 2012 è inoltre possibile monitorare le attestazioni utente e dispositivo associate al token di protezione dell'utente. Gli esempi comprendono nulla osta di reparto, società, progetto e protezione. Evento 4626 contiene informazioni su queste attestazioni utente e le attestazioni di dispositivo, che possono essere utilizzate da strumenti di gestione di controllo del Registro di correlare gli eventi di accesso utente con gli eventi di accesso oggetto per attivare il filtraggio degli eventi basati su attributi di file e gli attributi dell'utente. Per ulteriori informazioni sul controllo di accesso utente, vedere controllo accesso.

  • Rilevamento delle modifiche per nuovi tipi di oggetti a protezione diretta. Tenere traccia delle modifiche a oggetti a protezione diretta può essere importante nei seguenti scenari:

    • Rilevamento delle modifiche per i criteri di accesso centralizzato e le regole di accesso centrale. Criteri di accesso centrale e le regole di accesso centrale definiscono i criteri centrali che possono essere utilizzato per controllare l'accesso a risorse critiche. Qualsiasi modifica apportata a queste può influire direttamente le autorizzazioni di accesso di file che vengono concesse agli utenti su più computer. Pertanto, può essere importante per l'organizzazione tiene traccia delle modifiche ai criteri di accesso centralizzato e le regole di accesso centrale. Poiché i criteri di accesso centralizzato e le regole di accesso centrale vengono archiviate in servizi di dominio Active Directory (AD DS), è possibile controllare i tentativi di modificarli, come il controllo delle modifiche a qualsiasi altro oggetto a protezione diretta di dominio Active Directory. Per ulteriori informazioni, vedere Controlla accesso al servizio Directory.

    • Rilevamento delle modifiche per le definizioni del dizionario di attestazione. Definizioni di richiesta di rimborso includono l'attestazione basata su nome, descrizione e i valori possibili. Qualsiasi modifica apportata alla definizione della richiesta di rimborso può influire sulle autorizzazioni di accesso alle risorse critiche. Pertanto, il rilevamento delle modifiche per richiedere le definizioni possono essere importante per l'organizzazione. Come criteri di accesso centralizzato e regole di accesso centralizzato, le definizioni di richiesta di rimborso sono archiviate in Active Directory; Pertanto, essi possono essere controllati come qualsiasi altro oggetto a protezione diretta di dominio Active Directory. Per ulteriori informazioni, vedere Controlla accesso al servizio Directory.

    • Rilevamento delle modifiche per gli attributi del file. Gli attributi di file determinano quale centrale si applica la regola di accesso al file. Una modifica negli attributi può influire potenzialmente le restrizioni di accesso sul file. Pertanto, può essere importante tenere traccia delle modifiche agli attributi di file. È possibile tenere traccia delle modifiche agli attributi di file su qualsiasi computer configurando il criterio di controllo modifica di criteri di autorizzazione. Per ulteriori informazioni, vedere il controllo delle modifiche dei criteri di autorizzazione e il controllo dell'accesso agli oggetti per i File System. In Windows Server 2012, evento 4911 consentono di distinguere le modifiche dei criteri di attributo di file da altri eventi di modifica dei criteri di autorizzazione.

    • Chang tracciabilità per il criterio di accesso centrale associato a un file. Evento 4913 Visualizza gli identificatori di protezione (SID) dei criteri di accesso centrale vecchi e nuovi. Ogni criterio di accesso centrale dispone anche di un nome descrittivo che può essere esaminato tramite questo identificatore di protezione. Per ulteriori informazioni, vedere il controllo delle modifiche dei criteri di autorizzazione.

    • Rilevamento delle modifiche per gli attributi utente e computer. Analogamente ai file, gli oggetti utente e computer possono avere attributi e le modifiche apportate a questi attributi possono influire sulle capacità dell'utente per accedere ai file. Pertanto, può essere utile tenere traccia delle modifiche agli attributi di utente o computer. Gli oggetti utente e computer vengono archiviati in Active Directory; Pertanto, è possibile controllare le modifiche per gli attributi. Per ulteriori informazioni, vedere DS Access.

  • Modifica criterio di gestione temporanea. Le modifiche ai criteri di accesso centrale possono influire sulle decisioni di controllo di accesso su tutti i computer in cui vengono applicati i criteri. Un criterio separato Impossibile concedere l'accesso più quello desiderato, e un criterio eccessivamente restrittivo potrebbe generare un numero eccessivo di chiamate al supporto tecnico. Di conseguenza, può essere estremamente utile per verificare le modifiche apportate a un criterio di accesso centrale prima di applicare la modifica. A tale scopo, Windows Server 2012 introduce il concetto di "prova". Gestione temporanea consente agli utenti di verificare le modifiche proposte criteri prima di farli. Per utilizzare gestione temporanea di criteri, criteri proposti vengono distribuiti con i criteri applicati, ma i criteri di staging non effettivamente concedere o negare autorizzazioni. Al contrario, Windows Server 2012 registra un evento di controllo (4818) ogni volta che il risultato del controllo dell'accesso che utilizza i criteri in più fasi è diverso dal risultato di un controllo di accesso che utilizza i criteri applicati.

© 2017 Microsoft