Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Informationen i det här avsnittet beskriver förbättringarna av säkerhetsgranskningen som introduceras i Windows Server 2012 och nya granskningsinställningar som du bör överväga när du distribuerar dynamisk åtkomstkontroll i företaget. De faktiska inställningar för granskningsprinciper som du distribuerar beror på dina mål, som kan vara regelefterlevnad, övervakning, kriminalteknisk analys och felsökning.
Note
Detaljerad information om hur du planerar och distribuerar en övergripande säkerhetsgranskningsstrategi för ditt företag beskrivs i Planera och distribuera avancerade säkerhetsgranskningsprinciper. Mer information om hur du konfigurerar och distribuerar en säkerhetsgranskningsprincip finns i steg-för-steg-guiden Avancerad säkerhetsgranskningsprincip.
Följande säkerhetsgranskningsfunktioner i Windows Server 2012 kan användas med dynamisk åtkomstkontroll för att utöka din övergripande strategi för säkerhetsgranskning.
Uttrycksbaserade granskningsprinciper. Med dynamisk åtkomstkontroll kan du skapa riktade granskningsprinciper med hjälp av uttryck baserade på användar-, dator- och resursanspråk. Du kan till exempel skapa en granskningsprincip för att spåra alla läs- och skrivåtgärder på filer som klassificerats som affärspåverkande av anställda som inte har hög säkerhetsbehörighet. Uttrycksbaserade granskningspolicyer kan skapas direkt för en fil eller mapp eller centralt via grupppolicy. Mer information finns i Grupprinciper för användning av global objektåtkomstgranskning.
Ytterligare information från granskning av objektåtkomst. Granskning av filåtkomst är inte nytt för Windows Server 2012 . Med rätt granskningsprincip på plats genererar Windows- och Windows Server-operativsystemen en granskningshändelse varje gång en användare kommer åt en fil. Befintliga File Access-händelser (4656, 4663) innehåller information om attributen för filen som användes. Den här informationen kan användas av filtreringsverktygen för händelseloggar som hjälper dig att identifiera de mest relevanta granskningshändelserna. Mer information finns i Granska hantera manipulation och granska hanteraren för säkerhetskonton.
Mer information från användarinloggningshändelser. Med rätt granskningsprincip på plats genererar Windows-operativsystem en granskningshändelse varje gång en användare loggar in på en dator lokalt eller via fjärranslutning. I Windows Server 2012 eller Windows 8 kan du även övervaka användar- och enhetsanspråk som är associerade med en användares säkerhetstoken. Exempel kan vara avdelnings-, företags-, projekt- och säkerhetsgodkännanden. Händelse 4626 innehåller information om dessa användaranspråk och enhetsanspråk, som kan utnyttjas av verktyg för hantering av granskningsloggar för att korrelera användarinloggningshändelser med objektåtkomsthändelser för att aktivera händelsefiltrering baserat på filattribut och användarattribut. För mer information om granskning av användarinloggning, se Granskning av inloggning.
Ändringsspårning för nya typer av skyddsbara objekt. Det kan vara viktigt att spåra ändringar i skyddsbara objekt i följande scenarier:
Ändringsspårning för centrala åtkomstprinciper och centrala åtkomstregler. Principer för central åtkomst och centrala åtkomstregler definierar den centrala princip som kan användas för att styra åtkomsten till kritiska resurser. Alla ändringar av dessa kan direkt påverka de filåtkomstbehörigheter som beviljas användare på flera datorer. Därför kan det vara viktigt för din organisation att spåra ändringar i principer för central åtkomst och centrala åtkomstregler. Eftersom principer för central åtkomst och centrala åtkomstregler lagras i Active Directory Domain Services (AD DS) kan du granska försök att ändra dem, till exempel granska ändringar i andra skyddsbara objekt i AD DS. Mer information finns i Revidera katalogtjänståtkomst.
Ändringsspårning för definitioner i anspråksordlistan. Anspråksdefinitioner omfattar anspråksnamn, beskrivning och möjliga värden. Alla ändringar i anspråksdefinitionen kan påverka åtkomstbehörigheterna för kritiska resurser. Därför kan det vara viktigt för din organisation att spåra ändringar i anspråksdefinitioner. Precis som principer för central åtkomst och centrala åtkomstregler lagras anspråksdefinitioner i AD DS. Därför kan de granskas som alla andra skyddsbara objekt i AD DS. Mer information finns i Revidera katalogtjänståtkomst.
Ändringsspårning för filattribut. Filattribut avgör vilken central åtkomstregel som gäller för filen. En ändring av filattributen kan potentiellt påverka åtkomstbegränsningarna för filen. Därför kan det vara viktigt att spåra ändringar i filattribut. Du kan spåra ändringar i filattribut på valfri dator genom att konfigurera granskningsprincipen för ändringar av auktorisationspolicyer. Mer information finns i Granskning av ändring av auktoriseringsprincip och Granskning av objektåtkomst för filsystem. I Windows Server 2012 skiljer händelse 4911 ändringar av filattributprinciper från andra ändringshändelser för auktoriseringsprinciper.
Chang-spårning för den centrala åtkomstprincipen som är associerad med en fil. Händelse 4913 visar säkerhetsidentifierare (SID) för de gamla och nya centrala åtkomstprinciperna. Varje princip för central åtkomst har också ett användarvänligt namn som kan letas upp med hjälp av den här säkerhetsidentifieraren. Mer information finns i Granskning av ändring av auktoriseringsprincip.
Ändringsspårning för användar- och datorattribut. Precis som filer kan användar- och datorobjekt ha attribut, och ändringar av dessa attribut kan påverka användarens möjlighet att komma åt filer. Därför kan det vara värdefullt att spåra ändringar av användar- eller datorattribut. Användar- och datorobjekt lagras i AD DS. Därför kan ändringar av deras attribut granskas. Mer information finns i DS-åtkomst.
Förberedelse av policyändringar. Ändringar av centrala åtkomstprinciper kan påverka åtkomstkontrollbesluten på alla datorer där principerna tillämpas. En lös princip kan ge mer åtkomst än önskat, och en alltför restriktiv princip kan generera ett överdrivet antal supportsamtal. Därför kan det vara mycket värdefullt att verifiera ändringar i en central åtkomstprincip innan ändringen verkställs. För detta ändamål introducerar Windows Server 2012 begreppet "mellanlagring". Mellanlagring gör det möjligt för användare att verifiera sina föreslagna principändringar innan de framtvingas. Om du vill använda etablering av principer tillämpas föreslagna principer tillsammans med de verkställande principerna, men de etablerade principerna beviljar eller nekar inte behörigheter. I stället loggar Windows Server 2012 en granskningshändelse (4818) när resultatet av åtkomstkontrollen som använder den mellanlagrade principen skiljer sig från resultatet av en åtkomstkontroll som använder den framtvingade principen.