Развертывание аудита безопасности с помощью централизованных политик аудита (обучающий пример)

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В данном сценарии выполняется аудит доступа к файлам в папке с именем Finance Documents при помощи финансовой политики, созданной в ходе изучения раздела Deploy a Central Access Policy (Demonstration Steps). При попытке неавторизованного пользователя получить доступ к упомянутой папке такая активность записывается в просмотре событий. Для проверки данного сценария требуется выполнение следующих действий.

Задача Description
Настройка глобального доступа к объектам На данном этапе выполняется настройка политики доступа к глобальным объектам на контроллере домена.
Обновление Параметры групповой политики Войдите в файловый сервер и примените обновление групповой политики.
Убедитесь, что глобальная политика доступа к объектам была применена Просмотрите соответствующие события в просмотре событий. События должны включать метаданные по стране и типу документа.

Настройка политики доступа к глобальным объектам

На данном этапе выполняется настройка политики доступа к глобальным объектам в контроллере домена.

Выполнение настройки политики доступа к глобальным объектам

  1. Войдите в контроллер домена DC1 с учетной записью contoso\Administrator и паролем pass@word1.

  2. В диспетчере серверов выберите Средства, затем нажмите Управление групповой политикой.

  3. В дереве консоли дважды щелкните Домены, дважды щелкните contoso.com, нажмите Contoso, а затем дважды щелкните Файловые серверы.

  4. Правой кнопкой мыши щелкните элемент FlexibleAccessGPO, затем нажмите Изменить.

  5. Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Политики, а затем дважды щелкните Параметры Windows.

  6. Дважды щелкните пункт Параметры безопасности, дважды щелкните пункт Конфигурация расширенной политики аудита, а затем дважды щелкните Политики аудита.

  7. Дважды щелкните пункты Доступ к объектам и Аудит файловой системы.

  8. Установите флажок Настроить следующие события, установите флажки Успех и Отказ, а затем нажмите кнопку ОК.

  9. В области навигации дважды щелкните Аудит доступа к глобальным объектам, затем дважды щелкните Файловая система.

  10. Установите флажок Определить этот параметр политики и нажмите кнопку Настроить.

  11. В поле Дополнительные параметры безопасности глобального системного списка управления доступом к файлам нажмите Добавить, затем нажмите Выбрать субъект, введите Все, а затем нажмите ОК.

  12. В поле Запись аудита глобального системного списка управления доступом к файлам выберите Полный доступ в поле Разрешения.

  13. В разделе Добавить условие нажмите Добавить условие и в раскрывающихся списках выберите [Ресурс] [Отдел] [Любой из] [Значение] [Финансы].

  14. Трижды нажмите кнопку ОК для завершения конфигурации параметров политики аудита доступа к глобальным объектам.

  15. В области навигации щелкните Доступ к объектам, а в области результатов дважды щелкните Аудит работы с дескрипторами. Нажмите Настроить следующие события аудита, Успех и Отказ, нажмите кнопку ОК, затем закройте объект групповой политики гибкого доступа.

Обновление параметров групповой политики

На данном этапе выполняется обновление параметров групповой политики после создания политики аудита.

Обновление параметров групповой политики

  1. Войдите в файловый сервер FILE1 с учетной записью contoso\Administrator и паролем pass@word1.

  2. Нажмите клавишу Windows+R, затем введите cmd для открытия окна командной строки.

    Примечание.

    Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  3. Введите gpupdate /force и нажмите клавишу ВВОД.

Проверка применения политики доступа к глобальным объектам

После того как параметры групповой политики будут применены, можно проверить, правильно ли были применены параметры политики аудита.

Проверка применения политики доступа к глобальным объектам

  1. Войдите в клиентский компьютер CLIENT1 с учетной записью Contoso\MReid. Перейдите к папке ГИПЕРССЫЛКА "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents и измените Word Document 2.

  2. Войдите в файловый сервер FILE1 с учетной записью contoso\administrator. Откройте просмотр событий, перейдите в раздел Журналы Windows, выберите Безопасность и подтвердите, что ваши действия привели к событиям аудита 4656 и 4663 (даже несмотря на то, что вы не задавали конкретных системных списков управления доступом для аудита файлов или папок, созданных, измененных или удаленных вами).

Внимание

Новое событие входа создается на том компьютере, где размещается ресурс, от лица того пользователя, для которого производится проверка действующих прав доступа. При анализе журналов аудита безопасности на предмет выявления активности пользователя по входу в систему включается информация уровня олицетворения с целью различения событий входа, созданных ввиду действующих прав доступа, и событий входа, созданных вследствие входа текущего пользователя сети. В случае создания события входа ввиду действующих прав доступа уровень олицетворения будет "Удостоверение". Вход текущего пользователя сети обычно приводит к созданию события входа с уровнем олицетворения "Олицетворение" или "Делегирование".