Inhoud
Betekenis van geavanceerd controlebeleid.
Het doel van beveiligingsaudits is om ervoor te zorgen dat gebeurtenissen worden geregistreerd wanneer een activiteit plaatsvindt. Wanneer elke activiteit echter wordt gecontroleerd, worden gebeurtenislogboeken overspoeld met irrelevante informatie die het voor netwerkbeheerders moeilijk maakt om kritieke gebeurtenissen te scheiden van onbeduidende. Geavanceerde instellingen voor controlebeleid helpen beheerders gedetailleerde controle uit te oefenen over welke activiteiten in de logboeken worden geregistreerd, waardoor er minder storing optreedt bij gebeurtenissen.
In plaats van bijvoorbeeld de DS Access-controlebeleid categorie in te schakelen om een replicatie probleem op te lossen, waardoor elke keer dat deze activiteit plaatsvindt ongeveer acht gebeurtenissen worden gegenereerd, zou een beheerder de subcategorie geavanceerd controlebeleid kunnen inschakelen voor adreslijstservice replicatie, waardoor er slechts één gebeurtenis wordt gegenereerd in plaats van acht.
Grondwerk voor het configureren van een geavanceerd controlebeleid.
- Identificeer de belangrijkste activiteiten in uw netwerk die gevolgd moeten worden. Bekijk de 8 meest kritieke gebeurtenis-ID's als startpunt.
- Identificeer de instellingen voor beveiligingscontroles die kunnen worden gebruikt om deze activiteiten bij te houden.
- Beoordeel de mogelijke voor- en nadelen (bijvoorbeeld implicaties voor de grootte van het gebeurtenislogboek) van elk van deze instellingen.
- Instellingen voor beveiligingscontroles configureren en beheren (naast het controlebeleid en het geavanceerde controlebeleid moet u ook Systeemtoegangscontrolelijsten (SACL) configureren om audit van op map objecten en bestanden/mappen mogelijk te maken).
Voor informatie over het configureren van SACL's, bezoek ons helpdocument.
Stappen voor het configureren van een geavanceerde instelling voor controlebeleid.
Voor het instellen van een geavanceerd controlebeleid zijn accountmachtigingen op beheerdersniveau of de juiste gedelegeerde machtigingen vereist.
- Klik in de domeincontroller op Start, ga naarSysteembeheer en vervolgens naarGroepsbeleidbeheer.
- Klik in de consolestructuur op naam van uw forest > Domeinen > uw domein, klik vervolgens met de rechtermuisknop op het relevante standaarddomein of het domeincontroller beleid (of maak uw eigen beleid) en klik vervolgens op Bewerken.
- Klik onder Computerconfiguratie op Beleid > Windows instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van controlebeleid > Controlebeleid en dubbelklik vervolgens op de relevante beleidsinstelling.
- Klik in het rechterdeelvenster met de rechtermuisknop op de relevante Subcategorie en klik vervolgens op Eigenschappen.
- Selecteer Geslaagd, Mislukt of beide in het selectievakje Controlegebeurtenissen en klik vervolgens op OK.
De tien geavanceerde categorieën voor controlebeleid in het kort.
- Account aanmelden (vier subcategorieën): Controleert pogingen om accountgegevens te verifiëren op een domeincontroller of op een lokale Security Accounts Manager (SAM).
- Accountbeheer (zes subcategorieën): Hiermee wordt toezicht gehouden op wijzigingen in gebruikers en computeraccounts en groepen.
- Gedetailleerd bijhouden (vijf subcategorieën): Hiermee worden de activiteiten van afzonderlijke toepassingen en gebruikers op een computer in de gaten gehouden en wordt weergegeven hoe die computer wordt gebruikt.
- DS Access (vier subcategorieën): Biedt een gedetailleerd controlespoor van pogingen om objecten te openen en te wijzigen in Active Directory Domain Services.
- Aanmelden/afmelden (11 subcategorieën): Houdt pogingen bij om interactief of via een netwerk in te loggen op een computer.
- Objecttoegang (14 subcategorieën): Houdt pogingen bij om toegang te krijgen tot specifieke objecten of typen objecten op een netwerk of computer.
- Beleidswijziging (zes subcategorieën): Houdt wijzigingen bij in belangrijk beveiligingsbeleid op een lokaal systeem of netwerk.
- Gebruik van bevoegdheden (drie subcategorieën): Houdt het gebruik van bepaalde machtigingen op een of meer systemen bij.
- Systeem (vijf subcategorieën): Hiermee worden wijzigingen op systeemniveau aan een computer bijgehouden die niet in andere categorieën zijn opgenomen en die mogelijke gevolgen hebben voor de beveiliging.
- Globale objecttoegangscontrole (twee subcategorieën): Hiermee kunnen beheerders SACL's van computers definiëren per objecttype voor het bestandssysteem of voor het register.
Kies ervoor om successen, mislukkingen of beide te registreren.
U moet de voor- en nadelen beoordelen voordat u ervoor kiest om successen, mislukkingen of beide te registreren. Voor bestanden die bijvoorbeeld vaak worden geopend door legitieme gebruikers, zullen succesvolle toegangspogingen het gebeurtenislogboek snel vullen met goedaardige gebeurtenissen. Aangezien mislukte inloggebeurtenissen kunnen duiden op pogingen tot ongeoorloofde toegang, zijn dit de gebeurtenissen die in dit scenario moeten worden gecontroleerd. Voor bestanden met gevoelige informatie moet daarentegen elke toegangspoging worden geregistreerd (zowel succesvolle als mislukte), zodat u een audittrail hebt van elke gebruiker die het bestand heeft geopend.
Vijf belangrijke punten om in gedachten te houden.
- Controlebeleid is computerbeleid. Dit betekent dat een geavanceerd controlebeleid moet worden toegepast via GPO's die worden toegepast op organisatie-eenheden die computers bevatten en niet op gebruiker organisatie-eenheden.
- Het standaard domeinbeleid is gekoppeld aan het domein en is van invloed op alle gebruikers en computers in dat domein via overname van groepsbeleid. Het standaardbeleid voor domeincontrollers is gekoppeld aan de OE van domeincontrollers en is alleen van invloed op domeincontrollers. Beleidsinstellingen die op OU-niveau worden toegepast, overschrijven de beleidsinstellingen die op domeinniveau worden toegepast.
- Wanneer u geavanceerde controlebeleid instellingen gebruikt, moet u ervoor zorgen dat u Forceer geavanceerde instellingen voor controlebeleid om instellingen voor controlebeleid te overschrijven inschakelt. Ga hiervoor naar Lokaal beleid > Beveiligingsopties en schakel Forceer controlebeleid subcategorie instellingen in.
- Voer de Groepsbeleid resultaten wizard uit, die te vinden is onder de console Groepsbeleidbeheer om een geconsolideerde lijst weer te geven van alle controlebeleidsinstellingen die worden toegepast.
- Als u een bestaand geavanceerd controlebeleid wijzigt, maak dan een back-up aan van de bestaande GPO zodat het op elk moment kan worden hersteld. Om een back-up te maken, klikt u met de rechtermuisknop op de relevante GPO en gebruikt u de Een back-up maken functionaliteit.
Download ManageEngine' ADAudit Plus en ontvang Active Directory beveiligingswaarschuwingen in slechts een uur tijd!
ADAudit Plus detecteert automatisch domeincontrollers, configureert de vereiste beveiligingsinstellingen om gebeurtenissen te registreren en configureert standaard waarschuwingsprofielen, uiteraard met uw toestemming.
