Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

268

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 25 26 27 28 29 30 31 32 33 34 35 3637 / 9637 38 39 40 41 42 43 44 45 46 47 48 49 > Следующая >>>

' 3 38

Параметры групповой политики

Глава 7

11.Перейдите иа вкладку Развертывание (Deployment).

12.Выберите тип развертывания Назначенный (Assigned).

13.Установите флажок Устанавливать это приложение при входе в систему (Install This Application At Logon).

14.Установите флажок Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления (Uninstall This Application When It Falls Out Of The Scope Of Management).

15.Щелкните OK.

16.Закройте Редактор управления групповыми политиками ( G r o u p Policy Management Editor).

17.В консоли Управление групповой политикой (Group Policy Management) выберите в контейнере Объекты групповой политики (Group Policy Objects) объект XML Notepad.

18.Перейдите на вкладку Область (Scope).

19.В секции Фильтры безопасности (Security Filtering) выберите группу Про-

шедшие проверку (Authenticated Users) и щелкните Удалить (Remove),

а затем ОК, чтобы подтвердить выполняемое действие.

20.Щелкните Добавить (Add).

21.Введите имя группы, представляющей пользователей и компьютеры, для которых нужно развернуть приложение (например, имя группы APP_XML Notepad).

22.Щелкните ОК.

Теперь объект GPO отфильтрован для применения только к группе АРР_ XML Notepad. Однако параметры G P O не будут применены, пока вы не свяжете объект GPO с подразделением, сайтом или доменом.

23.Щелкните домен contoso.com правой кнопкой мыши и выполните команду

Связать существующий объект G P O (Link An Existing G P O ) .

24.В списке Объекты групповой политики (Group Policy Objects) выберите объект APP _ XML Notepad и щелкните О К .

При желании вы можете протестировать GPO, добавив в группу APP_XML Notepad учетную запись Администратор (Administrator). Выйдите и вновь войдите в систему. При входе должна установиться программа XML Notepad.

Упражнение 2. Обновление приложения

Эмулируйте развертывание обновленной версии X M L Notepad.

1.Войдите на машину SERVER01 как администратор.

2.Откройте консоль Управление групповой политикой (Group Policy Management).

3.В контейнере Объекты групповой политики (Group Policy Objects) щелкните правой кнопкой мыши объект XML Notepad и выполните команду Изменить (Edit).

4.Разверните узел Конфигурация пользователя\Политики\Конфигурация программ (User Configuration\Policies\Software Settings).

Занятие 3

Управление установкой программного обеспечения

3 3 9

. 5. Щелкните правой кнопкой мыши узел Установка программ (Software Installation), выберите команду Создать (New) и щелкните Пакет (Package).

6. В текстовое поле И м я ф а й л а (File Name) введите сетевой путь к папке распространения программного обеспечения, например \\server01\software, и выберите ф а й л .msi.

В этом упражнении вы используете существующий файл XmlNotepad.msi как обновленную версию X M L Notepad.

7. Щелкните О т к р ы т ь ( O p e n ) .

8. В диалоговом окне Развертывание программ (Deploy Software) выберите тип развертывания Особый (Advanced) и щелкните ОК.

9. На вкладке О б щ и е ( G e n e r a l )	измените имя пакета	для указания новой
версии — например, введите	и м я XML Notepad 2008.

10.Перейдите на вкладку Развертывание (Deployment).

11.Выберите тип развертывания Назначенный (Assigned).

12.Установите ф л а ж о к Устанавливать это приложение при входе в систему (Install This Application At Logon).

13. Перейдите на вкладку О б н о в л е н и я (Upgrades). 14. Щ е л к н и т е Добавить (Add) .

15.Выберите опцию Из текущего объекта групповой политики (GPO) (Current Group Policy Object ( G P O ) ) .

16.В списке Обновляемое приложение (Package То Upgrade) выберите пакет более ранней версии приложения, например XML Notepad 2007.

17.Выберите опцию Удалить приложение, затем установить его обновление

(Uninstall T h e Existing Package Then Install The Upgrade Package). Щелкните OK .

18.Еще раз щелкните О К .

При установке реального обновления новый пакет обновил бы предыдущую версию п р и л о ж е н и я во время обновления клиентами групповой политики объекта X M L Notepad. Поскольку вы лишь имитировали обновление, можете удалить этот пакет.

19.Щелкните правой кнопкой м ы ш и созданный пакет, имитирующий обновление, выберите команду Все задачи (All Tasks) и щелкните задачу Удалить (Remove).

20.В диалоговом окне Удаление приложений (Remove Software) выберите опцию Немедленное удаление этого приложения с компьютеров всех пользователей (Immediately Uninstall The Software From Users And Computers). Щелкните OK .

Резюме

• Д л я развертывания, поддержки, обновления и удаления программного обеспечения используется расширение групповой политики Установка программ (Software Installation).

' 3 4 0

Параметры групповой политики

Глава 7

•Программный пакет можно назначить в секции К о н ф и г у р а ц и я компьютера (Computer Configuration) объекта G P O . К л и е н т с к и е к о м п ь ю т е р ы в области

действия G P O будут устанавливать п р и л о ж е н и е п р и загрузке .

•	Программный пакет можно назначить в с е к ц и и К о н ф и г у р а ц и я пользовате-
	ля (User Configuration) объекта G P O . П р и л о ж е н и е будет установлено, если
	пользователь запустит его с п о м о щ ь ю я р л ы к а в м е н ю Пуск ( S t a r t ) и л и от-
	кроет файл, сопоставленный с этим п р и л о ж е н и е м . П р и ж е л а н и и установку
	приложения можно назначить п р и входе п о л ь з о в а т е л я в систему.
•	Программный		пакет обычно п у б л и к у е т с я в		с е к ц и и К о н ф и г у р а ц и я поль-
	зователя	(User	Configuration) объекта G P O .		П р и л о ж е н и е б у д е т				указано
	в апплете	Программы и к о м п о н е н т ы ( P r o g r a m s A n d				F e a t u r e s )		на	панели
	управления Windows Server 2008 и			W i n d o w s	Vista и в	а п п л е т е		Установка
	и удаление программ ( A d d / R e m o v e			P r o g r a m s ) на п а н е л и у п р а в л е н и я кли-
	ентов Windows ХР.
•	Для того чтобы модифицировать п о в е д е н и е п а к е т а у с т а н о в щ и к а W i n d o w s
	Installer, развертываемого с п о м о щ ь ю г р у п п о в о й п о л и т и к и , и с п о л ь з у ю т с я
	трансформации		( ф а й л ы .mst).
•	Приложения, контролируемые р а с ш и р е н и е м г р у п п о в о й п о л и т и к и Установ-
	ка программ (Software Installation), м о ж н о р а з в е р н у т ь з а н о в о						и л и удалить
	с помощью того же р а с ш и р е н и я Установка п р о г р а м м .
•	Программный		пакет р е к о м е н д у е т с я	о т к о н ф и г у р и р о в а т ь д л я			о б н о в л е н и я

других приложений, развернутых с п о м о щ ь ю г р у п п о в о й п о л и т и к и .

•Параметры расширения групповой п о л и т и к и Установка п р о г р а м м (Software

Installation) не применяются в случае о б н а р у ж е н и я м е д л е н н о г о подключения.

Закрепление материала

Приведенные далее вопросы предназначены д л я п р о в е р к и знаний, полученных на занятии 3 (эти вопросы содержатся т а к ж е на с о п р о в о д и т е л ь н о м компактдиске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы»	в конце книги.
1. Необходимо с помощью групповой п о л и т и к и р а з в е р н у т ь	п р и л о ж е н и е на

клиентских компьютерах в главном о ф и с е и ф и л и а л е . Ф и л и а л подключен к главному офису через подключение по глобальной сети WAN, скорость которого составляет 364 к б и т / с . К а к и е д е й с т в и я н у ж н о в ы п о л н и т ь для развертывания приложения? (Укажите два действия . К а ж д ы й правильный

ответ является частью полного решения . )
А. Создать объект G P O , который п р и м е н я е т с я ко			всем к л и е н т с к и м ком-
пьютерам	в главном офисе и	ф и л и а л е . В у з л е	К о н ф и г у р а ц и я поль-
зователя	(User Configuration)	создать п р о г р а м м н ы й пакет, который
назначает	развертывание приложения .

Занятие 3		Управление установкой программного обеспечения	3 4 1
Б.	Создать объект G P O , который применяется ко всем клиентским компью-
	терам в главном офисе и филиале, и в секции Конфигурация компьюте-
	ра (Computer Configuration) создать программный пакет, назначающий
	развертывание приложения .
В.	Создать объект G P O , который применяется ко всем компьютерам, от-
	к о н ф и г у р и р о в а т ь	п о л и т и к у о б н а р у ж е н и я медленных подключений,
	установив в узле	К о н ф и г у р а ц и я пользователя скорость подключения

256 кбит/с .

Г.В объекте G P O , который применяется к компьютерам в филиале, в узле Конфигурация компьютера отконфигурировать политику обнаружения медленных подключений, установив скорость подключения 256 кбит/с.

Д. В объекте G P O , который применяется к компьютерам в филиале, от- к о н ф и г у р и р о в а т ь в узле Конфигурация компьютера политику обна- р у ж е н и я медленных подключений, установив скорость подключения 1000 кбит/с .

2. В вашем домене подразделение Служащие содержит учетные записи всех пользователей. К а ж д ы й сайт содержит подразделение, внутри которого дочернее подразделение Продажи содержит учетные записи компьютеров отдела продаж в этом узле. Вам нужно развернуть приложение, чтобы оно было доступно д л я всех пользователей в отделах продаж организации. Какие методы можно использовать для выполнения этой задачи? (Укажите все варианты.)

A.Создать объект G P O и привязать его к домену, а затем создать группу, содержащую всех пользователей отделов продаж. Отфильтровать объект G P O для применения только к этой группе. В секции Конфигурация пользователя (User Configuration) политики G P O создать программный пакет, назначающий развертывание приложения.

Б. Создать объект G P O , с в я з а н н ы й с подразделением Продажи в каждом узле, а в секции Конфигурация пользователя (User Configuration) политики G P O — п р о г р а м м н ы й пакет, назначающий развертывание приложения.

B.Создать объект G P O , связанный с доменом, а затем — группу, содержащую всех пользователей отделов продаж. Отфильтровать объект G P O для применения только к этой группе. В секции Конфигурация компьютера ( C o m p u t e r Configuration) политики G P O создать программный пакет, назначающий развертывание приложения.

Г. Создать объект G P O , связанный с подразделением Продажи в каждом узле, а в секции Конфигурация пользователя (User Configuration) политики G P O — программный пакет, назначающий развертывание приложения. Затем в секции Конфигурация компьютера (Computer Configuration) объекта G P O включить обработку замыкания политики

врежиме объединения.

3.Организация состоит из десяти филиалов. В Active Directory подразделение Служащие разбито на десять дочерних подразделений, содержащих учетные записи пользователей каждого филиала. Вам нужно развернуть

' 3 42

Параметры групповой политики

Глава 7

приложение для пользователей в четырех филиалах. Приложение должно быть полностью установлено, прежде чем пользователь впервые запустит его. Какие действия необходимо выполнить? (Укажите четыре действия. Каждый правильный ответ является частью полного решения.)

A.Создать объект GPO для.развертывания программы и связать его с подразделением Служащие.

Б.В политиках Конфигурация пользователя (User Configuration) создать пакет для публикации приложения.

B. Выбрать опцию развертывания Устанавливать это Приложение при входе в систему (Install This Application At Logon).

Г. Создать теневую группу, в которую включены пользователи четырех филиалов. Отфильтровать объект G P O развертывания программы для применения только к этой теневой группе.

Д.В политиках Конфигурация пользователя (User Configuration) создать пакет, назначающий установку приложения.

Е. Выбрать опцию Обязательное обновление для уже установленных приложений (Required Upgrade For Existing Packages).

Занятие 4. Аудит

Это важный компонент системы безопасности. В процессе аудита информация об указанной активности на предприятии заносится в журнал Безопасность Windows (Windows Security), который впоследствии можно анализировать. Аудит может вести запись успешной деятельности, документируя все изменения, а также фиксировать неудачные и потенциально вредоносные попытки получить доступ к ресурсам предприятия. В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах и журнал Безопасность (Security). На этом занятии мы рассмотрим, как конфигурировать аудит в нескольких распространенных сценариях.

Изучив материал этого занятия, вы сможете:

/	Конфигурировать политику аудита.
/	Конфигурировать параметры аудита в объектах файловой системы н службы	I
	каталогов.

/Реализовывать новый аудит Изменения службы каталогов (Directory Service Changes) в Windows Server 2008.

SС помощью оснастки Просмотр событий (Event Viewer) выполнять анализ журнала Безопасность (Security).

Продолжительность занятия — около 45 мин.

Политика аудита

Политика аудита конфигурирует в системе аудит категорий активности. Если она не включена, сервер не будет выполнять аудит этой активности. На рис. 7-U показан узел Политика аудита (Audit Policy), развернутый в объекте групповой политики.

'Занятие 4									Аудит	3 4 3

Кон:о>1>	Д«Аст»1е		Ли Cnpawa
Г * «	..		в • •
/ Гогат«а cwfj-it Domain Poky (SEfi'-ERO Lcontoso					Ловитм«* »		I Параметр полчищ
; JU			коггьютера		Аудит екода а октеиу		Неопределено
r-	KortJwypaji» IWIUM				Аудит доступа к объект an		be определено
r-	KortJwypaji» IWIUM				. Аудит дост »пв к службе клепогое		Не определено
В	?2 Услкоека прогрлмн				Аудит Hjrwnextta пол<т>жм		Неопредели*}
В	Кочфигураля Windows
	feu Cur-wK*»' (млусх/ивеоием<е)				Аудит отслемвани* проиессэе		не от«дег«м>
	В jQ П«яг«тры безогикмос™				, -v Аудит сипе>г«г* азЬэ>тл<		отзедет«м>
	=	Ло»т«и учетиы* мксей			, -v Аудит сипе>г«г* азЬэ>тл<		отзедет«м>
	=	Ло»т«и учетиы* мксей
		ЙЗ . '<! Полипви паоолей			л Аудит упрае.то-ия уиет»»вв< зат.*:»ч		Не «реде^ено
		Ж ^ Полтглса блокировки учел		;	л Аудит упрае.то-ия уиет»»вв< зат.*:»ч		Не «реде^ено
		S; %% ГЫиг.ка Kerbcrс«		;
	В	Гоияьиые полхтюм		'
		S	Помг** «удит»
		гй	Незначаще правпольквл!':
		Ш J Парапет рыбезопао-оа и

Рис. 7-14.			Политика аудита		в объекте GPO
Д л я н а с т р о й к и аудита необходимо определить параметр политики. Дважды
щ е л к н и т е			л ю б о й п а р а м е т р п о л и т и к и			и	установите	ф л а ж о к Определить сле-
д у ю щ и е		п а р а м е т р ы п о л и т и к и ( D e f i n e				T h e s e Policy		Settings). Затем		укажите

ведение аудита успеха, отказа и л и обоих типов событий. Все политики аудита

и п а р а м е т р ы по	у м о л ч а н и ю на	к о н т р о л л е р е домена Windows Server 2008 опи-
саны в табл . 7-2.
Табл. 7-2. Политики аудита
Параметр	Объяснение	Параметр по умолчанию
политики аудита		на контроллерах домена
		Windows Server 2008

Аудит входа

в систему (Audit Account Logon Events)

Аудит событий входа в систему (Audit Logon Events)

Аудит управления учетными записями (Audit Account Management)

Создается событие при попытке пользователя или компьютера пройти проверку подлинности с помощью учетной записи Active Directory. Например, при входе пользователя на компьютер в домене генерируется событие входа учетной записи Создается событие прн интерактивном (локальном) или сетевом (удаленном) входе пользователя. Например, если рабочая станция и сервер сконфигурированы для аудита событии входа, рабочая станция выполняет аудит непосредственного входа пользователя на эту рабочую станцию. Когда пользователь пытается подключиться к общей папке на сервере, сервер записывает в журнал событие удаленного входа. При входе пользователя событие входа записывает контроллер домена, поскольку сценарии входа и политики извлекаются с контроллера домена Выполняется аудит событий, включая создание, удаление и модификацию учетных записей пользователей, компьютеров или групп, а также изменение паролей пользователей

Выполняется аудит успехов и отказов входа учетной записи

Выполняется аудит успехов и отказов входа

Проводится проверка успешных действий управления учетными записями

(см. след. стр.)

' 3 4 4

Параметры групповой политики

Глава 7

Табл. 7-2 (окончание)

Параметр политики аудита

Аудит доступа к службе каталогов (Audit Directory Service Access)

Аудит изменения политики (Audit Policy Change)

Аудит использования привилегий (Audit Privilege Use)

Объяснение	Параметр по умолчанию
	на контроллерах домена
	Windows Server 2008 ,

Выполняется аудит событий, указанных в системном списке контроля доступа (SACL), который отображается в диалоговом окне Дополнительные параметры

безопасности (Advanced Security Settings) свойств объекта Active Directory. Помимо определения политики аудита с помощью этого параметра необходимо также отконфигурировать аудит для конкретного объекта (объектов) с помощью списка SACL объекта (объектов). Эта политика похожа на политику Аудит доступа к объектам (Audit Object Access), используемую для аудита файлов и папок, однако применяется к объектам Active Directory Выполняется аудит политики назначения прав пользователя, политик аудита и политик доверия

Выполняется аудит использования привилегий или прав пользователей. Описание зтой политики содержится в редакторе управления групповыми политиками GPME

Выполняется аудит успехов доступа к службе каталогов, однако параметры аудита задаются несколькими списками SACL объектов. Более подробные сведения находятся в разделе «Аудит изменений служб каталогов»

Проводится проверка успешных изменений политики

По умолчанию аудит не выполняется

Аудит системных событий (Audit System Events)

Аудит отслеживания процессов (Audit Process Tracking)

Аудит доступа

к объектам (Audit Object Access)

Выполняется аудит перезагрузки системы, завершения работы и изменений, которые влияют на безопасность системы или журнал безопасности Выполняется аудит таких событий, как

активация программ и завершение процессов. Объяснение этой политики находится в редакторе управления групповыми политиками GPME

Выполняется аудит доступа к таким объектам, как файлы, папки, ключи реестра и принтеры с собственными списками SACL. Помимо включения этой политики аудита необходимо отконфигурировать записи в списках SACL объектов

Проверяется успешное и неудачное выполнение системных событий

Проводится аудит успешного отслеживания процесса

Выполняется аудит успешных попыток доступа к объектам

СОВЕТ К ЭКЗАМЕНУ

На сертификационных экзаменах Microsoft знания политик аудита часто тестируются на высоком уровне. Хорошо запомните информацию, содержащуюся в табл. 7-2 — это поможет вам правильно ответить на все вопросы экзамена.

'Занятие 4

Аудит

345

Итак, контроллеры домена выполняют аудит большинства успешно выполненных важных событий Active Directory. Поэтому ведется запись всех событий создания пользователя, изменения пароля пользователя, входа в домен и извлечения сценариев входа пользователя.

Но поскольку по умолчанию проверяются не все события отказа, может потребоваться провести дополнительный аудит отказов на основе политик безопасности и требований организации. Например, аудит неудачных попыток входа выявляет попытки несанкционированного доступа к домену путем многократного входа с помощью учетной записи пользователя домена без данных о пароле. События управления отказами доступа учетных записей могут помочь определить попытки манипулирования членством в группе с уязвимой безопасностью.

Одной из самых важных задач является соблюдение баланса и соответствия политики аудита корпоративным политикам и реалиям жизни. Скажем, корпоративная политика может требовать выполнение аудита всех неудачных попыток входа, а также успешных изменений пользователей и групп Active Directory. Эту задачу легко выполнить в Active Directory. Но как именно использовать эту информацию? Подробные журналы аудита бесполезны, если не знать способов или не располагать средствами управления ими. Необходимы бизнес-требования аудита, четко отконфигурированная политика и инструменты управления событиями аудита.

Аудит доступа к файлам и папкам

Многие организации проверяют доступ к системным файлам, чтобы следить за использованием ресурсов и выявлять потенциальные проблемы безопасности. В Windows Server 2008 поддерживается гранулированный аудит на основе учетных записей пользователей и групп, а также конкретных действий, выполняемых этими учетными записями. Для того чтобы настроить аудит, необходимо указать параметры и включить его политику, а также оценить события в журнале безопасности.

Настройка параметров аудита доступа к файлам и папкам

Вы можете выполнять аудит доступа к файлу или папке, добавив записи аудита в список SACL файла или папки. Чтобы получить доступ к списку SACL и его записям аудита, откройте диалоговое окно Свойства (Properties), перейдите на вкладку Безопасность (Security), щелкните кнопку Дополнительно (Advanced) и перейдите на вкладку Аудит (Auditing). Откроется диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings), показанное на рис. 7-15.

Для того чтобы добавить запись, щелкните кнопку Изменить (Edit). Откроется вкладка Аудит (Auditing) в режиме редактирования. Щелкните кнопку Добавить (Add) и выберите пользователя, группу или компьютер для аудита. Затем в диалоговом окне Элемент аудита (Auditing Entry), показанном на рис. 7-16, укажите тип аудита доступа к объекту.

' 3 4 6	Параметры групповой политики			Глава 7
Fs^fcJW ^.Ь"* ' йгекли j йЛгтечошиеоатогие™.» \|
	»in I п. ввтаа.		мегомеапгм», в create1
tvcTUwaVjMaweipercvMMdeo			i n
Они	fott, *тачш COKTQ	! Дзогл
		Ъ'Ы.а

j QIC | Dnwa j ' - ^ {

Рис. 7-15.

Дополнительные параметры безопасности

Сбюа {

rtefc } .такты (СОЧТСКО^стСИМж-ы)

П^-^пу. j

|цляз'0й гаоо., гг fiatiww^ н фгйгоа

Доступ:

Угэпек

Отказ

По,»** доступ

•

в;

Тэеоеос пало* / осато/пение феи.•

Сод го» вне /чтение

•

чтеп* етрмбутов

•

Чтеч<е йэгогумтелуе., атрибутовр

Соидоие фaiwae / ылпэ. агтмх

•

Соадеме пелск / доаапо. д***.г•

Запю, ато<утся

•

Эапкь оопэатрибутов

•

— 1

У flip», иг гхшпэ~иж и фгйгсе

•

Удвлемм

•

Пр,ие«пе этот аудит * объекте*

Очистить

- *£«тг*йгса«тол*оем,т(»ото^

«wTeiritpe

Упееел^вуд.^.

)

| Отгена

Рис. 7-16,

Элемент аудита

Используя один или несколько г р а н у л и р о в а н н ы х у р о в н е й доступа, вы мо-

жете выполнять аудит успеха, отказа или обоих с о б ы т и й доступа при попыт-

ках получения указанным пользователем,		г р у п п о й и л и к о м п ь ю т е р о м доступа
к ресурсу.
	Аудит успешных событий в ы п о л н я е т с я в с л е д у ю щ и х случаях:
•	все необходимые для отчетности и в ы п и с к и счетов д а н н ы е заносятся в жур-
	нал доступа к ресурсам;
•	для того чтобы обнаружить действие,	в ы х о д я щ е е за р а м к и полномочии
	пользователей, выполняется мониторинг доступа — это говорит о слишком
	высоком уровне разрешений;

'Занятие 4					Аудит	3 4 7
•	доступ, н е х а р а к т е р н ы й д л я о т д е л ь н о й учетной записи, идентифицируется,
	что м о ж е т б ы т ь п р и з н а к о м в з л о м а			учетной записи хакером.
	А с о б ы т и я	о т к а з а п р о в е р я ю т с я по		т а к и м причинам:
•	проводится	м о н и т о р и н г н е с а н к ц и о н и р о в а н н ы х попыток доступа к ресурсу,
	к которому	з а п р е щ е н о п о л у ч а т ь	доступ;
а	и д е н т и ф и ц и р у ю т с я н е у д а ч н ы е п о п ы т к и получить доступ к необходимым
	п о л ь з о в а т е л ю ф а й л у и л и папке;		т а к и м образом можно определить недо-
	с т а т о ч н ы й	у р о в е н ь п р и в и л е г и й	д л я		э ф ф е к т и в н о г о выполнения	бизнес-
	требований .
	Д л я п р о в е р к и д е й с т в и й п р и н ц и п а л а				безопасности (пользователя,	группы

или компьютера) задается соответствующее разрешение. В примере на рис. 7-15 показан аудит н е у д а ч н ы х п о п ы т о к получить пользователями в группе Консультанты д о с т у п к д а н н ы м в п а п к е к о н ф и д е н ц и а л ь н ы х данных на любом уровне. Д л я р а з р е ш е н и я аудита к о н ф и г у р и р у е т с я запись аудита с разрешением Полный доступ ( F u l l C o n t r o l ) , к о т о р ы й в к л ю ч а е т все отдельные уровни доступа, так что эта з а п и с ь о х в а т ы в а е т все т и п ы доступа. Неудачная попытка члена группы К о н с у л ь т а н т ы п о л у ч и т ь д о с т у п к а к о г о - л и б о типа записывается в журнал.

Как правило, з а п и с и аудита о т р а ж а ю т элементы разрешений объекта. Другими словами, вы н а с т р а и в а е т е д л я п а п к и Конфиденциальные данные разрешения, не п о з в о л я ю щ и е ч л е н а м г р у п п ы Консультанты получить доступ к ее содержимому. З а т е м а у д и т и с п о л ь з у е т с я д л я мониторинга членов группы Консультанты, п о - п р е ж н е м у п ы т а ю щ и х с я получить доступ к этой папке. Помните, что член г р у п п ы К о н с у л ь т а н т ы т а к ж е может принадлежать к еще одной группе с р а з р е ш е н и я м и доступа к этой папке. Этот доступ будет успешным, так что события не будут р е г и с т р и р о в а т ь с я в журнале. И если вам действительно нужно запретить д о с т у п п о л ь з о в а т е л е й к папке, то, отслеживая неудачные попытки получить доступ, не з а б ы в а й т е отслеживать успешный доступ, чтобы выявить ситуации, когда п о л ь з о в а т е л ь получает доступ к папке на основе потенциально

некорректного	ч л е н с т в а в группах .
ПРИМЕЧАНИЕ	Злоупотребление аудитом

Журналы аудита довольно быстро увеличиваются в размерах, поэтому аудит нужно отконфигурировать для получения минимальной информации, необходимой для решения бизнес-задачи. При назначении аудита успехов и отказов доступа к активно используемой папке данных для группы Все (Everyone) с полным набором разрешений Полный доступ (Full Control) в журнале аудита будет генерироваться очень много записей, что повлияет на производительность сервера и значительно усложнит локализацию конкретных событий аудита.

В к л ю ч е н и е п о л и т и к и а у д и т а

Настройка элементов аудита в дескрипторе безопасности файла или папки сама по себе не включает аудит — необходимо определить параметр Аудит доступа к объектам ( A u d i t Object Access), показанный на рис. 7-17. После включения аудита подсистема безопасности начнет использовать параметры аудита и регистрировать п о п ы т к и доступа в соответствии с ними.

<<< < Предыдущая 25 26 27 28 29 30 31 32 33 34 35 3637 / 9637 38 39 40 41 42 43 44 45 46 47 48 49 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб268Книга Active directory.pdf
#
02.02.2021368.32 Кб190Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб186Шаблон звіту.doc