使用集中稽核原則部署安全性稽核 (示範步驟)
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在這個案例中,您將使用在部署集中存取原則 (示範步驟) 中建立的財務原則,稽核對 [Finance Documents] 資料夾中檔案的存取。 如果未獲得授權存取資料夾的使用者嘗試存取該資料夾,就會在事件檢視器中擷取該活動。 以下為測試這個案例的必要步驟。
| Task | 描述 |
|---|---|
| 設定全域物件存取 | 在這個步驟中,您在網域控制站上設定全域物件存取原則。 |
| 更新群組原則設定 | 登入檔案伺服器並套用群組原則更新。 |
| 確認已套用全域物件存取原則 | 在事件檢視器中檢視相關的事件。 事件應該包含國家或地區及文件類型的中繼資料。 |
設定全域物件存取原則
在這個步驟中,您在網域控制站中設定全域物件存取原則。
設定全域物件存取原則
以 contoso\Administrator 身分使用密碼 pass@word1 登入網域控制站 DC1。
在 [伺服器管理員] 中,指向 [工具],然後按一下 [群組原則管理]。
在主控台樹狀目錄中,依序按兩下 [網域] 和 contoso.com,按一下 Contoso,然後按兩下 [檔案伺服器]。
在 FlexibleAccessGPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
依序按兩下 [電腦設定]、[原則] 和 [Windows 設定]。
依序按兩下 [安全性設定]、[進階稽核原則設定] 及 [稽核原則]。
按兩下 [物件存取],然後按兩下 [稽核檔案系統]。
選取 [設定下列事件] 核取方塊,選取 [成功] 和 [失敗] 核取方塊,然後按一下 [確定]。
在瀏覽窗格中,依序按兩下 [全域物件存取稽核] 和 [檔案系統]。
選取 [定義這個原則設定] 核取方塊,然後按一下 [設定]。
在 [全域檔案 SACL 的進階安全性設定] 方塊中,依序按一下 [新增] 和 [選取主體],輸入 Everyone,然後按一下 [確定]。
在 [全域檔案 SACL 的稽核項目] 方塊中,選取 [權限] 方塊中的 [完全控制]。
在 [新增條件:] 區段中,按一下 [新增條件],然後在下拉式清單中選取 [資源] [部門] [任何的] [值] [財務]。
按三次 [確定],以完成設定全域物件存取稽核原則設定。
在瀏覽窗格中,按一下 [物件存取],然後在結果窗格中,按兩下 [稽核控制代碼操作]。 按一下 [設定下列稽核事件]、[成功] 及 [失敗],按一下 [確定],然後關閉彈性存取 GPO。
更新群組原則設定
在這個步驟中,您會在建立稽核原則之後更新群組原則設定。
更新群組原則設定
以 contoso\Administrator 身分使用密碼 pass@word1 登入檔案伺服器 FILE1。
按 Windows 鍵 + R,然後輸入 cmd,以開啟命令提示字元視窗。
注意
如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
輸入 gpupdate /force,然後按 ENTER。
確認已套用全域物件存取原則
套用群組原則設定之後,您可以確認稽核原則設定已正確套用。
確認已套用全域物件存取原則
以 Contoso\MReid 身分登入用戶端電腦 CLIENT1。 瀏覽至資料夾 HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents,並修改 Word Document 2。
以 contoso\administrator 身分登入檔案伺服器 FILE1。 開啟 [事件檢視器],瀏覽至 [Windows 記錄],選取 [安全性],並確認您的活動產生稽核事件 4656 和 4663 (即使您並未在所建立、修改和刪除的檔案或資料夾上明確設定稽核 SACL 也一樣)。
重要
系統會代表已檢查其有效存取權的使用者,於資源所在的電腦上產生新的登入事件。 分析使用者登入活動的安全性稽核記錄時,為了區分因為有效存取權而產生的登入事件,以及因為互動式網路使用者登入而產生的登入事件,會包含模擬等級資訊。 因為有效存取權而產生登入事件時,模擬等級將會是「識別碼」。 網路互動式使用者登入通常會產生模擬等級為「模擬」或「委派」的登入事件。