De categorieën van beveiligingslogboekgebeurtenissen in Windows Server 2008 die geregistreerd kunnen worden
Door de enorme hoeveelheid geregistreerde gebeurtenissen kan het analyseren van een beveiligingslogboek erg veel tijd kosten. Als u gelukte of mislukte gebeurtenissen wilt controleren of een gebeurtenis helemaal niet wilt controleren, dan moet u het vereiste geavanceerde controlebeleid onder de lokale beveiligingsinstellingen definiëren, zodat alleen de benodigde beveiligingslogboeken voor controle worden verzameld en hierdoor schijfruimte wordt bespaard.
Dit zijn de aanbevolen beveiligingsgebeurtenissen om in te stellen voor controle, die u kunt instellen in de geavanceerde controlebeleidinstellingen: Voor domeincontrollers | Voor Windows-bestandsservers | Voor Windows Member servers | Voor Windows-werkstations
Hieronder staan de verschillende categorieën voor geavanceerd controlebeleid | |
Accountaanmelding | Verificatie van accountgegevens op een domeincontroller of een lokale SAM (Security Accounts Manager). |
Accountbeheer | Monitoring van wijzigingen aan gebruikers- en computeraccounts en groepen. |
Gedetailleerd traceren | Monitoring van de activiteiten van individuele applicaties en gebruikers op die computer. |
Toegang tot Directory Services | Weergave van een gedetailleerd controlepad van pogingen tot toegang of wijziging van objecten in Active Directory Domain Services (AD DS). |
Aan- en afmelding | Traceren van alle aanmeldingspogingen op een computer of via het netwerk. Deze gebeurtenissen zijn vooral nuttig voor het bijhouden van gebruikersactiviteiten en het identificeren van mogelijk hackers van netwerkbronnen. |
Objecttoegang | Traceren van pogingen voor toegang tot bepaalde objecten of soort objecten op een netwerk of computer. |
Beleidswijzigingen | Het bijhouden van pogingen om belangrijke beleidsregels van een lokaal systeem of het netwerk te wijzigen. |
Bevoegd gebruik | Traceren van machtigingen van gebruikers of computers in een netwerk voor het voltooien van bepaalde taken. |
Systeem | Monitoring van wijzigingen op een computer op systeemniveau die niet gedekt worden door de andere categorieën, maar wel mogelijke beveiligingsrisico's kunnen veroorzaken. |
Algemene objecttoegangscontrole | Beheerders kunnen de System Access Control Lists (SACL’s) van computers per objecttype bepalen voor het bestandssysteem of voor het register. |