Bereitstellen der Sicherheitsüberwachung mit zentralen Überwachungsrichtlinien (Demonstrationsschritte)
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
In diesem Szenario überwachen Sie den Zugriff auf Dateien im Ordner %%amp;quot;Finance Documents%%amp;quot; mithilfe der Finanzrichtlinie, die Sie in Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) erstellt haben. Wenn ein Benutzer, der nicht auf den Ordner zugreifen darf, dennoch versucht, darauf zuzugreifen, wird die Aktivität in der Ereignisanzeige aufgezeichnet. Zum Testen dieses Szenarios sind die folgenden Schritte erforderlich.
| Aufgabe | BESCHREIBUNG |
|---|---|
| Konfigurieren des globalen Objektzugriffs | In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller. |
| Aktualisieren von Gruppenrichtlinieneinstellungen | Melden Sie sich am Dateiserver an, und wenden Sie die Gruppenrichtlinienaktualisierung an. |
| Stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde. | Zeigen Sie die relevanten Ereignisse in der Ereignisanzeige an. Die Ereignisse sollten Metadaten für das Land und den Dokumenttyp umfassen. |
Konfigurieren der globalen Objektzugriffsrichtlinie
In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller.
So konfigurieren Sie eine globale Objektzugriffsrichtlinie
Melden Sie sich am Domänencontroller DC1 als contoso\Administrator mit dem Kennwort pass@word1 an.
Zeigen Sie in Server-Manager auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Doppelklicken Sie in der Konsolenstruktur auf Domänen, doppelklicken Sie auf contoso.com, klicken Sie auf Contoso, und doppelklicken Sie dann auf Dateiserver.
Klicken Sie mit der rechten Maustaste auf FlexibleAccessGPO, und klicken Sie dann auf Bearbeiten.
Doppelklicken Sie auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, und doppelklicken Sie dann auf Windows-Einstellungen.
Doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Erweiterte Überwachungsrichtlinienkonfiguration, und doppelklicken Sie dann auf Überwachungsrichtlinien.
Doppelklicken Sie auf Objektzugriff, und doppelklicken Sie dann auf Dateisystem überwachen.
Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, aktivieren Sie die Kontrollkästchen Erfolgreich und Fehler, und klicken Sie dann auf OK.
Doppelklicken Sie im Navigationsbereich auf Globale Objektzugriffsüberwachung, und doppelklicken Sie dann auf Dateisystem.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, und klicken Sie auf Konfigurieren.
Klicken Sie im Feld Erweiterte Sicherheitseinstellungen für SACL der Globaldatei auf Hinzufügen, klicken Sie auf Prinzipal auswählen, geben Sie Jeder ein, und klicken Sie dann auf OK.
Wählen Sie im Feld Überwachungseintrag für SACL der Globaldatei die Option Vollzugriff im Feld Berechtigungen aus.
Klicken Sie im Abschnitt Bedingung hinzufügen auf Bedingung hinzufügen, und wählen Sie in der Dropdownliste[Ressource] [Abteilung] [Beliebiges Element] [Wert] [Finanzwesen] aus.
Klicken Sie dreimal auf OK, um die Konfiguration der Richtlinieneinstellung für die globale Objektzugriffsüberwachung abzuschließen.
Klicken Sie im Navigationsbereich auf Objektzugriff, und doppelklicken Sie im Ergebnisbereich auf Handleänderung überwachen. Klicken Sie auf Folgende Überwachungsereignisse konfigurieren, Erfolgreich und Fehler, klicken Sie auf OK, und schließen Sie dann das GPO für den flexiblen Zugriff.
Aktualisieren von Gruppenrichtlinieneinstellungen
In diesem Schritt aktualisieren Sie die Gruppenrichtlinieneinstellungen, nachdem Sie die Überwachungsrichtlinie erstellt haben.
So aktualisieren Sie die Gruppenrichtlinieneinstellungen
Melden Sie sich am Dateiserver FILE1 als contoso\Administrator mit dem Kennwort pass@word1 an.
Drücken Sie die Windows-Taste+R, und geben Sie cmd ein, um ein Befehlseingabefenster zu öffnen.
Hinweis
Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.
Geben Sie gpupdate /force ein, und drücken Sie dann die EINGABETASTE.
Stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde.
Nachdem die Gruppenrichtlinieneinstellungen angewendet wurden, können Sie überprüfen, ob die Überwachungsrichtlinieneinstellungen richtig angewendet wurden.
So stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde
Melden Sie sich am Clientcomputer CLIENT1 als %%amp;quot;Contoso\MReid%%amp;quot; an. Wechseln Sie zum Ordner HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents, und ändern Sie das Word-Dokument 2.
Melden Sie sich am Dateiserver FILE1 als %%amp;quot;contoso\administrator%%amp;quot; an. Öffnen Sie die Ereignisanzeige, wechseln Sie zu Windows-Protokolle, wählen Sie Sicherheit aus, und vergewissern Sie sich, dass Ihre Aktivitäten zu den Überwachungsereignissen 4656 und 4663 geführt haben (obwohl sie keine expliziten Überwachungs-SACLs für die erstellten, geänderten und gelöschten Dateien oder Ordner festgelegt haben).
Wichtig
Ein neues Anmeldeereignis wird auf dem Computer generiert, auf dem sich die Ressource befindet. Dies geschieht im Namen des Benutzers, für den der effektive Zugriff überprüft wird. Um beim Analysieren von Sicherheitsüberwachungsprotokollen für Benutzeranmeldeaktivitäten zwischen Anmeldeereignissen, die aufgrund des effektiven Zugriffs generiert wurden, und solchen, die aufgrund einer interaktiven Netzwerkbenutzeranmeldung generiert wurden, zu unterscheiden, werden die Informationen zur Identitätswechselebene eingeschlossen. Wenn das Anmeldeereignis aufgrund des effektiven Zugriffs generiert wird, ist die Identitätswechselebene %%amp;quot;Identität%%amp;quot;. Eine interaktive Netzwerkbenutzeranmeldung generiert normalerweise ein Anmeldeereignis mit der Identitätswechselebene %%amp;quot;Identitätswechsel%%amp;quot; oder %%amp;quot;Delegierung%%amp;quot;.