Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In de informatie in dit onderwerp worden de beveiligingscontroleverbeteringen uitgelegd die zijn geïntroduceerd in Windows Server 2012 en nieuwe controle-instellingen die u moet overwegen bij het implementeren van dynamisch toegangsbeheer in uw onderneming. De daadwerkelijke controlebeleidsinstellingen die u implementeert, zijn afhankelijk van uw doelstellingen, waaronder naleving van regelgeving, bewaking, forensische analyse en probleemoplossing.
Note
Gedetailleerde informatie over het plannen en implementeren van een algemene beveiligingscontrolestrategie voor uw onderneming wordt uitgelegd in Het plannen en implementeren van geavanceerd beveiligingscontrolebeleid. Zie de stapsgewijze handleiding geavanceerde beveiligingscontrolebeleid voor meer informatie over het configureren en implementeren van een beveiligingscontrolebeleid.
De volgende beveiligingscontrolemogelijkheden in Windows Server 2012 kunnen worden gebruikt met Dynamisch toegangsbeheer om uw algehele beveiligingscontrolestrategie uit te breiden.
Controlebeleid op basis van expressies. Met dynamisch toegangsbeheer kunt u gerichte controlebeleidsregels maken met behulp van expressies op basis van gebruikers-, computer- en resourceclaims. U kunt bijvoorbeeld een controlebeleid maken om alle lees- en schrijfbewerkingen bij te houden op bestanden die zijn geclassificeerd als een hoge bedrijfsimpact door werknemers die geen hoge beveiligingsmachtiging hebben. Controlebeleid op basis van expressies kan rechtstreeks worden gemaakt voor een bestand of map of centraal via Groepsbeleid. Zie Groepsbeleid met globale objecttoegang controleren voor meer informatie.
Aanvullende informatie bij audit van objecttoegang. Controle van bestandstoegang is niet nieuw voor Windows Server 2012. Als het juiste controlebeleid is ingesteld, genereren de Windows- en Windows Server-besturingssystemen telkens wanneer een gebruiker toegang heeft tot een bestand een controlegebeurtenis. Bestaande bestandstoegangsgebeurtenissen (4656, 4663) bevatten informatie over de kenmerken van het bestand dat is geopend. Deze informatie kan worden gebruikt door hulpprogramma's voor het filteren van gebeurtenislogboeken om u te helpen bij het identificeren van de meest relevante controlegebeurtenissen. Zie Audit Handle Manipulatie en Audit Security Accounts Manager voor meer informatie.
Meer informatie over aanmeldingsevenementen van gebruikers. Met het juiste controlebeleid worden in Windows-besturingssystemen elke keer een controlegebeurtenis gegenereerd wanneer een gebruiker zich lokaal of op afstand aanmeldt bij een computer. In Windows Server 2012 of Windows 8 kunt u ook gebruikers- en apparaatclaims bewaken die zijn gekoppeld aan het beveiligingstoken van een gebruiker. Voorbeelden hiervan zijn afdelings-, bedrijf-, project- en beveiligingsmachtigingen. Gebeurtenis 4626 bevat informatie over deze gebruikersclaims en apparaatclaims, die kunnen worden gebruikt door beheerprogramma's voor auditlogboeken om aanmeldingsgebeurtenissen van gebruikers te correleren met gebeurtenissen voor objecttoegang om gebeurtenisfiltering in te schakelen op basis van bestandskenmerken en gebruikerskenmerken. Zie Aanmelding controleren voor meer informatie over het controleren van gebruikersaanmeldingen.
Wijzigingen bijhouden voor nieuwe typen beveiligbare objecten. Het bijhouden van wijzigingen in beveiligbare objecten kan belangrijk zijn in de volgende scenario's:
Wijzigingen bijhouden voor centraal toegangsbeleid en centrale toegangsregels. Centraal toegangsbeleid en centrale toegangsregels definiëren het centrale beleid dat kan worden gebruikt om de toegang tot kritieke resources te beheren. Elke wijziging in deze kan rechtstreeks van invloed zijn op de machtigingen voor bestandstoegang die worden verleend aan gebruikers op meerdere computers. Daarom kunnen het bijhouden van wijzigingen in centraal toegangsbeleid en centrale toegangsregels belangrijk zijn voor uw organisatie. Omdat centraal toegangsbeleid en centrale toegangsregels worden opgeslagen in Active Directory Domain Services (AD DS), kunt u pogingen controleren om deze te wijzigen, zoals het controleren van wijzigingen in andere beveiligbare objecten in AD DS. Zie Toegang tot Directory Service controleren voor meer informatie.
Wijzigingen bijhouden voor definities in de claimwoordenlijst. Claimdefinities bevatten de claimnaam, beschrijving en mogelijke waarden. Elke wijziging in de claimdefinitie kan van invloed zijn op de toegangsmachtigingen voor kritieke resources. Daarom kan het bijhouden van wijzigingen in claimdefinities belangrijk zijn voor uw organisatie. Net als centrale toegangsbeleid en centrale toegangsregels worden claimdefinities opgeslagen in AD DS; Daarom kunnen ze worden gecontroleerd als elk ander beveiligbaar object in AD DS. Zie Toegang tot Directory Service controleren voor meer informatie.
Wijzigingen bijhouden voor bestandskenmerken. Bestandskenmerken bepalen welke centrale toegangsregel van toepassing is op het bestand. Een wijziging in de bestandskenmerken kan mogelijk van invloed zijn op de toegangsbeperkingen voor het bestand. Daarom kan het belangrijk zijn om wijzigingen in bestandskenmerken bij te houden. U kunt wijzigingen in bestandskenmerken op elke computer bijhouden door het controlebeleid voor autorisatiebeleidswijzigingen te configureren. Zie Controle van autorisatiebeleidswijziging en Controle van objecttoegang voor bestandssystemen voor meer informatie. In Windows Server 2012 onderscheidt gebeurtenis 4911 beleidswijzigingen voor bestandskenmerken van andere wijzigingen in het autorisatiebeleid.
Chang-tracering voor het centrale toegangsbeleid dat is gekoppeld aan een bestand. Gebeurtenis 4913 geeft de beveiligings-id's (SID's) van het oude en nieuwe centrale toegangsbeleid weer. Elk centraal toegangsbeleid heeft ook een gebruiksvriendelijke naam die kan worden opgezoekd met behulp van deze beveiligings-id. Zie Controle van autorisatiebeleidswijziging voor meer informatie.
Wijzigingen bijhouden voor gebruikers- en computerkenmerken. Net zoals bestanden, gebruikers- en computerobjecten kunnen kenmerken hebben en kunnen wijzigingen in deze kenmerken van invloed zijn op de mogelijkheid van de gebruiker om toegang te krijgen tot bestanden. Daarom kan het waardevol zijn om wijzigingen in gebruikers- of computerkenmerken bij te houden. Gebruikers- en computerobjecten worden opgeslagen in AD DS; Daarom kunnen wijzigingen in hun kenmerken worden gecontroleerd. Zie DS Access voor meer informatie.
Fasering van beleidswijziging. Wijzigingen in centraal toegangsbeleid kunnen van invloed zijn op de beslissingen voor toegangsbeheer op alle computers waarop het beleid wordt afgedwongen. Een los beleid kan meer toegang verlenen dan gewenst en een te beperkend beleid kan een overmatig aantal helpdeskgesprekken genereren. Als gevolg hiervan kan het zeer waardevol zijn om wijzigingen in een centraal toegangsbeleid te controleren voordat de wijziging wordt afgedwongen. Voor dat doel introduceert Windows Server 2012 het concept 'fasering'. Met fasering kunnen gebruikers hun voorgestelde beleidswijzigingen controleren voordat ze worden afgedwongen. Als u beleidsfasering wilt gebruiken, worden voorgestelde beleidsregels geïmplementeerd met het afgedwongen beleid, maar gefaseerde beleidsregels verlenen of weigeren geen machtigingen. In plaats daarvan registreert Windows Server 2012 een controlegebeurtenis (4818) wanneer het resultaat van de toegangscontrole die gebruikmaakt van het gefaseerde beleid verschilt van het resultaat van een toegangscontrole die gebruikmaakt van het afgedwongen beleid.