規劃檔案存取稽核

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

本主題中的資訊說明 Windows Server 2012 中引進的安全性稽核增強功能,以及當您在企業中部署動態存取控制時應考量的新稽核設定。 您部署的實際稽核原則設定將根據您的目標而定,其中可以包含法規相符性、監視、資料安全分析及疑難排解。

注意

如需如何規劃和部署企業整體安全性稽核策略的詳細資訊,請參閱規劃及部署進階安全性稽核原則中的說明。 如需設定和部署安全性稽核原則的詳細資訊,請參閱進階安全性稽核原則逐步指南

Windows Server 2012 中的下列安全性稽核功能可以和動態存取控制搭配使用,以擴展您的整體安全性稽核策略。

  • 以運算式為基礎的稽核原則。 動態存取控制可以讓您使用以使用者、電腦及資源宣告為基礎的運算式,建立目標稽核原則。 例如,您可以建立稽核原則,針對分類為會受到未具備高度安全性許可的員工高度業務影響的檔案,追蹤檔案上的所有讀取和寫入操作。 以運算式為基礎的稽核原則可以直接針對檔案或資料夾編寫,或是透過群組原則集中編寫。 如需詳細資訊,請參閱使用全域物件存取稽核的群組原則

  • 物件存取稽核的其他資訊。 檔案存取稽核並不是 Windows Server 2012 的新功能。 有了適當的稽核原則後,每次使用者存取檔案時,Windows 和 Windows Server 作業系統都會產生一個稽核事件。 現有的檔案存取事件 (4656、4663) 會包含已存取之檔案的屬性相關資訊。 事件記錄檔篩選工具可以利用這些資訊,協助您找出最相關的稽核事件。 如需詳細資訊,請參閱稽核控制代碼操作稽核安全性帳戶管理員

  • 更多來自使用者登入事件的資訊。 有了適當的稽核原則後,每次使用者在本機或遠端登入電腦時,Windows 作業系統都會產生一個稽核事件。 在 Windows Server 2012 或 Windows 8 中,您也可以監視與使用者安全性權杖相關聯的使用者與裝置宣告。 範例包含部門、公司、專案及安全性許可。事件 4626 包含這些使用者宣告與裝置宣告的相關資訊,稽核記錄管理工具可以利用這些資訊,將使用者登入事件與物件存取事件相互關聯,以根據檔案屬性與使用者屬性啟用事件篩選功能。 如需使用者登入稽核的詳細資訊,請參閱稽核登入

  • 新安全物件類型的變更追蹤。 追蹤安全物件的變更在下列案例中非常重要:

    • 集中存取原則和集中存取規則的變更追蹤。 集中存取原則和集中存取規則會定義可用來控制對關鍵資源存取的集中原則。 對於這些情況的任何變更都會直接影響在多部電腦上已授與使用者的檔案存取權限。 因此,追蹤集中存取原則和集中存取規則的變更對組織而言非常重要。 因為集中存取原則和集中存取規則都儲存在 Active Directory 網域服務 (AD DS) 中,您可以進行稽核嘗試來修改它們,例如,稽核 AD DS 中任何其他安全物件的變更。 如需詳細資訊,請參閱稽核目錄服務存取

    • 宣告字典中的定義變更追蹤。 宣告定義包含宣告名稱、描述及可能值。 任何對於宣告定義的變更都會影響關鍵資源上的存取權限。 因此,追蹤宣告定義的變更對組織而言非常重要。 和集中存取原則與集中存取規則一樣,宣告定義也儲存在 AD DS 中;因此,可以使用與 AD DS 中任何其他安全物件一樣的方式來追蹤它們。 如需詳細資訊,請參閱稽核目錄服務存取

    • 檔案屬性的變更追蹤。 檔案屬性可以判斷將哪一個集中存取規則套用至檔案。 對於檔案屬性的變更可能會對檔案上的存取限制造成影響。 因此,追蹤檔案屬性的變更非常重要。 您可以藉由設定授權原則變更稽核原則,追蹤任何電腦上的檔案屬性變更。 如需詳細資訊,請參閱授權原則變更稽核檔案系統的物件存取稽核。 在 Windows Server 2012 中,事件 4911 可以區分檔案屬性原則變更與其他授權原則變更事件。

    • 與檔案關聯的中央存取原則變更追蹤。 事件 4913 會顯示舊和新集中存取原則的安全性識別碼 (SID)。 每個集中存取原則也都有一個使用者易記名稱,可使用這個安全性識別碼來查詢。 如需詳細資訊,請參閱授權原則變更稽核

    • 使用者和電腦屬性的變更追蹤。 就像檔案一樣,使用者和電腦物件都有屬性,而對於這些屬性的變更會影響使用者存取檔案的能力。 因此,追蹤使用者或電腦屬性的變更非常重要。 使用者和電腦物件都儲存在 AD DS 中;因此,能夠稽核對於其屬性的變更。 如需詳細資訊,請參閱 DS 存取

  • 原則變更暫存。 對於集中存取原則的變更會影響所有電腦上強制執行原則的存取控制決定。 寬鬆的原則可能會授與超過所需的存取權限,但是過度嚴格的原則會使支援部門的工作量遽增。 因此,在強制執行變更之前,驗證對於集中存取原則的變更非常重要。 基於這個目的,Windows Server 2012 引進了「暫存」的概念。暫存可讓使用者在強制執行變更之前,驗證他們所建議的原則變更。 若使用原則暫存,會以強制的原則部署建議的原則,但是暫存原則實際上不會授與或拒絕權限。 而是 Windows Server 2012 會在使用暫存原則的存取檢查結果與使用強制執行原則的存取檢查結果不同時,記錄稽核事件 (4818)。