Geavanceerde instellingen voor beveiligingsbeleid Audit

Gepubliceerd: augustus 2016

Is van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Deze referentie voor IT-professionals bevat informatie over geavanceerde Audit-beleidsinstellingen die beschikbaar in Windows-besturingssystemen zijn en de controlegebeurtenissen die ze genereren.

De instellingen voor beveiligingsbeleid 53 audit onder Settings\Advanced Audit configuratie van het beveiligingsbeleid kan helpen uw organisatie audit naleving belangrijke zakelijke en -beveiliging door het bijhouden van nauwkeurig gedefinieerde activiteiten, zoals:

• De beheerder van een groep is gewijzigd, instellingen of gegevens die op servers die financiële gegevens bevatten.

• Een werknemer binnen een gedefinieerde groep is een belangrijk bestand geopend.

• De juiste system toegangsbeheerlijst (SACL) wordt toegepast op elke sleutel van het bestand en de map of registersleutelwaarde op een computer of de bestandsshare als verifieerbare beveiliging tegen niet-gevonden toegang.

Deze controlebeleidsinstellingen kunt u benaderen via het lokale beveiligingsbeleid-module (secpol.msc) op de lokale computer of met behulp van Groepsbeleid.

Deze geavanceerde controlebeleidsinstellingen kunnen u de soorten gedrag die u wilt bewaken selecteren. U kunt uitsluiten audit resultaten voor gedragingen vertonen die u weinig of geen raakt of soorten gedrag die een uitzonderlijk groot aantal vermeldingen in het logboek te maken. Bovendien omdat de beveiliging door controlebeleid kunnen worden toegepast met behulp van domeingroepsbeleidsobjecten, kunnen controlebeleidsinstellingen worden gewijzigd, getest en geïmplementeerd op de geselecteerde gebruikers en groepen met relatieve eenvoud.

Als geavanceerde beveiliging controlebeleidsinstellingen zijn geconfigureerd en gebeurtenissen worden weergegeven op computers met de ondersteunde versies van het Windows-besturingssysteem, zoals opgegeven in de is van toepassing op lijst aan het begin van dit onderwerp bovendien op Windows Server 2008 en Windows Vista.

Controlebeleidsinstellingen onder configuratie van auditbeleid beveiliging Settings\Advanced zijn beschikbaar in de volgende categorieën:

• Aanmelding bij account

  Configureren van beleidsinstellingen in deze rubriek kunt u document probeert te verifiëren accountgegevens op een domeincontroller of op een lokale Security Accounts Manager (SAM). In tegenstelling tot inloggen en uitloggen beleidsinstellingen en gebeurtenissen, welke bijhouden probeert te krijgen tot een bepaalde computer, instellingen en gebeurtenissen in deze categorie de nadruk gelegd op de database die wordt gebruikt. Deze rubriek bevat de volgende subcategorieën:

  • Validatie van de audit-referenties

  • Kerberos-verificatie-Service controleren

  • Kerberos-Ticket servicebewerkingen controleren

  • Aanmeldingsgebeurtenissen voor andere -en afmelden

• Accountbeheer

  Controlebeleid van de beveiliging van de instellingen in deze categorie kunnen worden gebruikt om wijzigingen aan de gebruiker en computeraccounts en groepen te bewaken. Deze rubriek bevat de volgende subcategorieën:

  • Audit-toepassingsgroep Management

  • Accountbeheer Computer

  • Audit-distributiegroep Management

  • Andere aanmeldingsgebeurtenissen voor accounts Management

  • Audit Beveiligingsgroepbeheer

  • Accountbeheer voor gebruiker

• Gedetailleerde bijhouden

  Gedetailleerde tracerings-instellingen voor beveiligingsbeleid en controlegebeurtenissen kunnen worden gebruikt voor het bewaken van de activiteiten van afzonderlijke toepassingen en gebruikers op die computer en om te begrijpen hoe een computer wordt gebruikt. Deze rubriek bevat de volgende subcategorieën:

  • DPAPI-activiteit controleren

  • Maken van het proces controleren

  • Audit beëindigen

  • RPC toegang tot controlegebeurtenissen

• DS-toegang

  Instellingen voor beveiligingsbeleid audit DS toegang bieden een gedetailleerde audittrail van probeert te openen en te wijzigen van objecten in Active Directory Domain Services (AD DS). Deze gebeurtenissen worden vastgelegd alleen op domeincontrollers audit. Deze rubriek bevat de volgende subcategorieën:

  • Gedetailleerde Active Directory-replicatie controleren

  • Active Directory-Servicetoegang controleren

  • Wijzigingen aan de Directory-Service controleren

  • Active Directory-replicatie controleren

• -En afmelden

  Instellingen voor beveiligingsbeleid Aanmelden/afmelden en controlegebeurtenissen kunnen u voor het bijhouden van probeert aan te melden bij een computer interactief of via een netwerk. Deze gebeurtenissen zijn bijzonder nuttig voor het bijhouden van de activiteit van gebruikers en potentiële aanvallen op netwerkbronnen te identificeren. Deze rubriek bevat de volgende subcategorieën:

  • Accountvergrendeling audit

  • Audit IPsec uitgebreide modus

  • IPSec-hoofdserver controlemodus

  • IPSec-Quick controlemodus

  • Audit afmelden

  • Audit-aanmelding

  • Audit Network Policy Server

  • Aanmeldingsgebeurtenissen voor andere -en afmelden

  • Audit speciale aanmelding

• Toegang tot objecten

  Beleidsinstellingen object en controlegebeurtenissen kunnen u voor het bijhouden van pogingen om toegang tot specifieke objecten of typen objecten op een computer of het netwerk. Als u wilt controleren toegangspogingen tot een bestand, map, registersleutel of een ander object, moet u de juiste Objecttoegang controleren subcategorie voor succes en/of fout gebeurtenissen inschakelen. Bijvoorbeeld bestandssysteem subcategorie moet worden ingeschakeld bestandsbewerkingen controleren en de subcategorie register moet worden ingeschakeld om te controleren, opent register.

  Waaruit deze controlebeleid worden van kracht op een externe revisor moeilijker is. Er is geen eenvoudige manier om te controleren of de juiste SACL zijn ingesteld voor alle overgenomen objecten. Om dit probleem op te lossen, Zie No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  Deze rubriek bevat de volgende subcategorieën:

  • Audit-toepassing die zijn gegenereerd

  • Audit Certificate Services

  • Gedetailleerde bestandsshare controleren

  • Audit-bestandsshare

  • Audit-bestandssysteem

  • Audit Platform verbinding filteren

  • Audit filteren Platform pakket verwijderen

  • Audit-ingang bewerken

  • Audit-Kernel-Object

  • Andere Object toegang tot controlegebeurtenissen

  • Audit-register

  • Audit SAM

• Beleid wijzigen

  Beleid wijzigen controlegebeurtenissen kunnen u het bijhouden van wijzigingen in belangrijke beveiligingsbeleid op een lokaal systeem of het netwerk. Omdat beleid worden gemaakt door beheerders om te helpen beveiligen netwerkbronnen, het bewaken van wijzigingen of probeert te wijzigen van deze beleidsregels worden een belangrijk aspect van beveiligingsbeheer voor een netwerk. Deze rubriek bevat de volgende subcategorieën:

  • Audit-beleidswijzigingen controleren

  • Controlebeleid wijzigen verificatie

  • Controlebeleid wijzigen autorisatie

  • Beleidswijzigingen filteren Platform

  • Beleidswijzigingen MPSVC regel niveau

  • Andere aanmeldingsgebeurtenissen beleid wijzigen

• Gebruik van bevoegdheden

  Op een netwerk machtigingen voor gebruikers of computers gedefinieerde taken te voltooien. Instellingen voor beveiligingsbeleid bevoegdheid gebruik en controlegebeurtenissen kunnen u het gebruik van bepaalde machtigingen volgen op een of meer systemen. Deze rubriek bevat de volgende subcategorieën:

  • Gebruik van niet-gevoelige bevoegdheden controleren

  • Gebruik van gevoelige bevoegdheden controleren

  • Het gebruik van andere bevoegdheden controleren

• Systeem

  Instellingen voor beveiligingsbeleid systeem en controlegebeurtenissen kunnen u systeemniveau wijzigingen bijhouden op een computer die niet zijn opgenomen in andere categorieën en die de mogelijke gevolgen voor beveiliging. Deze rubriek bevat de volgende subcategorieën:

  • Audit IPSec-stuurprogramma

  • Andere systeemgebeurtenissen

  • Audit-beveiliging statuswijziging

  • Audit-beveiligingsuitbreiding System

  • Audit-systeemintegriteit

• Globale objecttoegang

  Globale objecttoegang beleidsinstellingen toestaan beheerders om te definiëren computer systeemtoegangscontrolelijsten (SACL) per objecttype voor het bestandssysteem of het register. De opgegeven SACL wordt vervolgens automatisch toegepast op elk object van dat type.

  Auditors worden identiteit bewijzen dat elke bron in het systeem door het bekijken van de inhoud van de beleidsinstellingen globale objecttoegang wordt beveiligd door een controlebeleid. Bijvoorbeeld, als auditors van een instelling "Alle wijzigingen die door de groep administrators bijhouden" genoemd, weten ze dit beleid van kracht is.

  Resource SACL's zijn ook nuttig voor diagnostische scenario's. Bijvoorbeeld, kan instellen van de algemene objecttoegangscontrole beleid voor aanmelding van de activiteit voor een specifieke gebruiker en het inschakelen van het beleid voor het bijhouden van gebeurtenissen 'Toegang geweigerd' voor het bestandssysteem of het register beheerders helpen snel vast te stellen welke objecten in een systeem met een gebruikerstoegang wordt geweigerd.

  Notitie

  Als een bestand of map SACL en een beleidsinstelling globale objecttoegang (of een enkele registerinstelling SACL en een beleidsinstelling globale objecttoegang) zijn geconfigureerd op een computer, wordt de effectieve SACL afgeleid van het bestand of map SACL en het beleid globale objecttoegang combineren. Dit betekent dat er een controlegebeurtenis wordt gegenereerd als een activiteit komt overeen met het bestand of map SACL of het algemene objecttoegangscontrole beleid.

  Deze rubriek bevat de volgende subcategorieën:

  • Bestandssysteem (globale Objecttoegang controleren)

  • Register (globale Objecttoegang controleren)