Мониторинг централизованной политики доступа и определений правил
В этом разделе для ИТ-специалистов описывается отслеживание изменений в централизованной политике доступа, а также централизованный доступ к определениям правил при использовании дополнительных параметров аудита безопасности для мониторинга объектов динамического контроля доступа.
Централизованные политики доступа и правила определяют разрешения на доступ к файлам на нескольких файловых серверах. Поэтому важно контролировать вносимые в них изменения. Аналогично определениям утверждений пользователей и заявок на доступ централизованная политика доступа и определения правил располагаются в доменных службах Active Directory (AD DS), и они доступны для мониторинга, как и любой другой объект в Active Directory. Централизованные политики и правила доступа являются чрезвычайно важным элементом в развертывании динамического контроля доступа. Эти политики и правила хранятся в AD DS, поэтому они с меньшей вероятностью подвергнутся несанкционированному изменению, чем другие сетевые объекты. Однако важно контролировать эти объекты на предмет потенциальных изменений в рамках аудита безопасности и следить, чтобы политики применялись.
Ниже описаны процедуры, как настраивать параметры мониторинга изменений централизованной политики доступа и централизованных определений правил доступа и тестировать изменения. Предполагается, что вы выполнили настройку и развертывание динамического контроля доступа, в том числе централизованные политики, утверждения и другие компоненты в своей сети. Если вы пока не выполнили развертывание динамического контроля доступа в своей сети, см. раздел Развертывание централизованной политики доступа (пошаговая демонстрация).
Примечание
Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.
.gif "Mt431879.wedge(ru-ru,VS.85).gif")
Настройка параметров мониторинга изменений в централизованную политику доступа и определения правил
Войдите в свой контроллер домена с использованием учетных данных администратора домена.
В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши объект групповой политики по умолчанию для контроллера домена, затем нажмите кнопку Изменить.
Дважды щелкните Конфигурация компьютера, щелкните Параметры безопасности, разверните Расширенная настройка политик аудита, разверните Политики аудита системы, щелкните Доступ DS, затем дважды щелкните Аудит изменений службы каталогов.
Установите флажок Настроить следующие события аудита, установите флажок Успешно (и при необходимости флажок С ошибками), затем нажмите кнопку ОК.
Закройте редактор «Управление групповыми политиками».
Откройте центр администрирования Active Directory.
В разделе «Динамический контроль доступа» щелкните правой кнопкой мыши Централизованные политики доступа и выберите Свойства.
Щелкните вкладку Безопасность, щелкните Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, затем перейдите на вкладку Аудит.
Нажмите кнопку Добавить, добавьте параметр аудита безопасности для контейнера, затем закройте все окна свойства безопасности.
После настройки параметров мониторинга изменений централизованной политики доступа и централизованных определений правил доступа убедитесь, что изменения контролируются.
Как проверить, контролируются ли изменения централизованной политики доступа и определений правил
Войдите в свой контроллер домена с использованием учетных данных администратора домена.
Откройте центр администрирования Active Directory.
В разделе Динамический контроль доступа щелкните правой кнопкой мыши Централизованные политики доступа и выберите Свойства.
Щелкните вкладку Безопасность, щелкните Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, затем перейдите на вкладку Аудит.
Нажмите кнопку Добавить, добавьте параметр аудита безопасности для контейнера, затем закройте все окна свойства безопасности.
В контейнере Централизованные политики доступа добавьте новую централизованную политику доступа (или выберите имеющуюся), щелкните Свойства на панели Задачи, затем установите один или несколько атрибутов.
Нажмите кнопку ОК, затем закройте центр администрирования Active Directory.
В диспетчере сервера выберите Инструменты, затем нажмите на Просмотр событий.
Разверните Журналы Windows и выберите Безопасность. Убедитесь, что событие 4819 внесено в журнал безопасности.