使用中心审核策略部署安全审核(示范步骤)
在本应用场景中,你将审核使用你在 Deploy a Central Access Policy (Demonstration Steps)中创建的“财务策略”,对“财务文档”文件夹中的文件进行的访问。 如果未授权访问该文件夹的用户尝试访问它,那么将事件查看器中捕获这一活动。 下列步骤是测试本应用场景所必需的。
| 任务 | 说明 |
|---|---|
| 配置全局对象访问 | 在这一步中,你在域控制器上配置全局对象访问策略。 |
| 更新组策略设置 | 登录到文件服务器并应用“组策略”更新。 |
| 验证是否已应用全局对象访问策略 | 在事件查看器中查看相关事件。 这些事件应包括国家和文档类型的元数据。 |
配置全局对象访问策略
在这一步中,你在域控制器上配置全局对象访问策略。
配置全局对象访问策略的步骤
以 contoso\administrator 的身份,使用密码 pass@word1 登录到域控制器 DC1。
在“服务器管理器”中,指向“工具”,然后单击“组策略管理器”。
在控制台树中,依次双击“域”、“contoso.com”,单击“Contoso”,然后双击“文件服务器”。
右键单击“FlexibleAccessGPO”,然后单击“编辑”。
依次双击“计算机配置”、“策略”和“Windows 设置”。
依次双击“安全设置”、“高级审核策略配置”和“审核策略”。
双击“对象访问”,然后双击“审核文件系统”。
依次选中“配置以下事件”复选框、“成功”和“失败”复选框,然后单击“确定”。
在导航窗格中,依次双击“全局对象访问审核”、文件系统。
选中“定义此策略设置”复选框,然后单击“配置”。
在“全局文件 SACL 的高级安全设置” 框中,单击“添加”,然后单击选择主体,键入 Everyone,然后单击确定。
在“全局文件 SACL 的审核项”框中,选择“权限”框中的完全控制。
在添加条件:部分,单击"添加条件"并在下拉列表中选择[资源] [部门] [任何] [值] [财务]。
单击“确定”三次,完成全局对象访问审核策略设置的配置。
在导航窗格中,单击“对象访问”,并在结果窗格中,双击“审核句柄操作”。 单击配置下列审核事件、成功、和失败,单击确定,然后关闭可变访问 GPO。
更新组策略设置
在这一步中,你在创建审核策略之后更新“组策略”设置。
更新组策略设置的步骤
以 contoso\Administrator 的身份,使用密码 pass@word1 登录到文件服务器 FILE1。
按下 Windows 键+R,然后键入 cmd 打开“命令提示符”窗口。
注意
如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
键入 gpupdate /force,然后按回车。
验证是否已应用全局对象访问策略
应用组策略设置之后,你可以验证是否正确应用审核策略设置。
验证是否应用全局对象访问策略的步骤
以 Contoso\MReid 身份登录到客户端计算机 CLIENT1。 浏览到文件夹 HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents,并修改 Word 文档 2。
以 contoso\administrator 的身份,登录到文件服务器 FILE1。 打开“事件查看器”,浏览到“Windows 日志”,选择 “安全性”,并确认你的活动导致审核事件 4656 和 4663 (虽然你没有在创建、修改和删除的文件或文件夹上设置显示审核 SACL)。
重要
资源所在的计算机上会生成一个新的登录事件,以接受了有效访问检查的用户的名义。 为用户登录活动分析安全审核日志的时候,为了区分因有效访问生成的登录事件与因交互网络用户登录生成的登录事件,必须包含“模拟级别”的信息。 当登录事件是因有效访问生成的,“模拟级别”将会是“标识”。 网络交互用户的登录往往生成一个“模拟级别”=“模拟”或“委派”的登录事件。