Prima di poter controllo di file e accesso alle cartelle, è necessario attivare l'impostazione Controlla accesso agli oggetti in Criteri di gruppo della macchina. Accedere al computer con un account amministrativo locale e aprire il Pannello di controllo. Fare doppio clic sull'icona Strumenti di amministrazione e quindi l'icona politica di protezione locali. In questo modo verrà visualizzare le impostazioni della macchina politica del gruppo.
Navigare tra le console di Impostazioni protezione | Criteri locali | Criteri controllo.Quando si seleziona la politica contenitore di revisione, la colonna a destra verrà visualizzato un numero di eventi diversi che si verifica, come mostrato in figura A.
Come potete immaginare, è facile farsi trasportare via con l'idea di una macchina da ultrasecure auditing assolutamente tutto. Ma questa è una cattiva idea per diversi motivi. In primo luogo, il processo di audit si basa file di log. Ogni voce nel file di registro consuma una piccola quantità di spazio su disco. Se gli eventi controllati troppi verificarsi, la vostra macchina potrebbe esaurire lo spazio su disco. In secondo luogo, ogni audit consuma anche una piccola quantità di tempo di CPU e memoria.Così auditing eccessiva può influire negativamente sulle prestazioni del sistema.
Forse il miglior motivo per cui non tutto ciò che il controllo è sovraccarico di informazioni. Ho visto situazioni in cui diverse centinaia di eventi vengono controllati ogni minuto. Questo rende praticamente impossibile individuare qualcosa di utile ai registri perché le voci di registro utili si fondono con le voci di spazzatura. Il mio consiglio è di usare discrezione durante la creazione di una politica di revisione. Non qualcosa di revisione contabile che non è assolutamente necessario conoscere. Più di definire quali eventi sono controllati, le più significative di ogni evento sarà sottoposto a revisione.
Diamo uno sguardo ad alcune delle opzioni di controllo disponibili. Ovviamente, che le verifiche siano adeguati alle vostre esigenze variano in base al proprio ambiente. Per la verifica di uso generale, però, vi consiglio di eventi di accesso di controllo in modo da poter dire quando gli utenti si sono connessi o meno. Raccomando anche oggetto di revisione contabile di accesso (ad esempio, file e cartelle). accesso oggetto di revisione vi permetterà di vedere chi fa che cosa a file e cartelle designate. Infine, vorrei raccomandare modifiche dei criteri di controllo. Questo è un grande, perché se qualcuno è manomissione politica di sicurezza della macchina, si ha realmente bisogno di sapere.
Per attivare questi tipi di controllo, fare doppio clic sull'opzione appropriata ai criteri di protezione locali Impostazioni console. Viene visualizzata una finestra di dialogo simile a quella mostrata nella figura B. Come si può vedere in questa figura, è possibile implementare una verifica guasti e / o ad un audit di successo per ogni evento.
Quindi, come fai a sapere se eseguire un successo o un fallimento di revisione? Beh, è davvero a te. Per login e cambiamenti politici, vi consiglio di auditing successi e fallimenti. Ad esempio, un successo delle azioni di audit login creerebbe una voce del registro di controllo ogni volta che qualcuno connesso con successo. Una verifica fallimento dello stesso evento avrebbe scritto una voce di registro di controllo ogni volta che qualcuno inserito una password in modo errato. Allo stesso modo, una verifica di successo sui cambiamenti politica sarebbe farti sapere che qualcuno ha cambiato una politica di sicurezza, mentre un controllo non riuscito vi direbbe che qualcuno ha cercato di cambiare una politica di sicurezza, ma non ha in realtà riesce a fare il cambiamento.
Quando si tratta di accesso oggetto di revisione, vi consiglio anche di successo e di revisione contabile che consenta fallimento. Solo perché il successo e insuccesso verifiche sono abilitati per l'accesso agli oggetti, però, non vuol dire che hai in realta 'di usarli. Ogni oggetto che si ha accesso alla revisione contabile per una gamma completa di opzioni di controllo. L'attivazione di successo e di revisione contabile fallimento semplicemente rendere queste opzioni a vostra disposizione.
Auditing accesso agli oggetti
È necessario fare attenzione che gli oggetti che si verifica o si finirà con problemi di sovraccarico di informazioni. E 'molto facile finire con sovraccarico di informazioni, perché se si verifica una cartella, la revisione contabile si applica ad ogni oggetto all'interno della cartella e all'interno di eventuali sottocartelle. Il controllo si applica agli oggetti figlio, oggetti nipote, e così via. Così, quando possibile, mi raccomando oggetti di auditing a livello di file. Ad esempio, se avevi bisogno di sapere che ha fatto le ultime modifiche apportate a un foglio di calcolo Excel, sarebbe meglio a verificare i file XLS effettivo rispetto alla cartella che lo contiene.
Mi consiglia inoltre di evitare i file di sistema di controllo e le cartelle. In questo modo può anche provocare un sovraccarico di informazioni. Ad esempio, se si dovesse revisione della cartella di Windows, si finirebbe con innumerevoli voci di registro di controllo perché il sistema è costantemente accesso ai file trovati in questa cartella.Se davvero si volesse controllo di Windows, una soluzione migliore potrebbe essere quella di controllo dei file di registro.
Per controllare un file o una cartella, tasto destro del mouse e selezionare il comando Proprietà dal menu visualizzato. Vedrai foglio delle proprietà dell'oggetto. Selezionare la scheda Protezione foglio Proprietà, e fare clic sul pulsante Avanzate per visualizzare la scheda Impostazioni controllo di accesso Proprietà per l'oggetto. Selezionare la scheda Controllo. Quindi, fare clic sul pulsante Aggiungi, e ti verrà presentato con una lista di utenti e gruppi. Selezionare gli utenti oi gruppi che si desidera controllare, fare clic su OK.
Ad esempio, anni fa, ho lavorato per una grande compagnia di assicurazioni. Presso la società, una donna del personale amministrativo è stato deliberatamente fare le cose per sabotare il sistema. Prima di lei di fronte a queste informazioni, necessarie per costruire un caso contro di lei. Così abbiamo creato applicati criteri di controllo che solo a lei. In questo modo, si potrebbe osservare ogni mossa che ha fatto senza essere sommersi da migliaia di voci di registro relative ad altri utenti.
Una volta selezionato un utente o gruppo, verrà visualizzata la finestra di dialogo mostrata in Figura C. Come si può vedere, è possibile attivare il successo e / o verifiche fallimento per molti tipi di accesso al file o alla cartella di un utente o un gruppo base.
Visualizzazione risultati dell'audit
Potrebbe essere curioso di sapere come visualizzare i risultati del controllo. Aprite il Pannello di controllo e fare doppio clic sull'icona Strumenti di amministrazione e quindi sull'icona Visualizzatore eventi. Quando si apre il Visualizzatore eventi, fare clic sul contenitore di sicurezza per vedere i log di sicurezza, come mostrato nella Figura D.In figura, noterete how voci di registro di molti applied nel giro di pochi secondi. Ecco perché è così importante usare discrezione quando si crea un criterio di controllo. Se si desidera ottenere maggiori informazioni su un evento particolare, è sufficiente fare doppio clic su di esso.
