Skonfiguruj polityki audytu

System plików Amazon FSx może być używany zarówno z samodzielnie zarządzanym Microsoft Active Directory (AD), jak i z zarządzanym przez AWS Microsoft AD.

Samodzielnie zarządzane Microsoft AD

Jeśli korzystasz z systemu plików Amazon FSx z samodzielnie zarządzanym Microsoft AD i przyznałeś wystarczające uprawnienia użytkownikowi skonfigurowanemu w ustawieniach domeny, ADAudit Plus automatycznie konfiguruje wymagane zasady audytu, gdy dodasz swój system plików do audytu. W przeciwnym razie możesz skonfigurować zasady audytu ręcznie, postępując zgodnie z krokami w sekcji Ręczna konfiguracja polityki audytu.

Zarządzany przez AWS Microsoft AD

Jeśli korzystasz z systemu plików Amazon FSx z zarządzanym przez AWS Microsoft AD, postępuj zgodnie z krokami w sekcji Ręczna konfiguracja polityki audytu, aby skonfigurować wymagane zasady audytu.

Ręczna konfiguracja polityki audytu

Skonfiguruj listę systemów plików Windows Amazon FSx, które mają być audytowane:

1. Otwórz Użytkowników i komputery Active Directory.
2. Kliknij prawym przyciskiem myszy domenę i wybierz Nowy > Grupa.
3. W oknie Nowy obiekt - Grupa, które się otworzy, wpisz „ADAuditPlusFS” jako Nazwa grupy, zaznacz Zakres grupy: Domain Local i Typ grupy: Security. Kliknij OK.
4. Kliknij prawym przyciskiem myszy nowo utworzoną grupę, a następnie wybierz Właściwości > Członkowie > Dodaj. Dodaj wszystkie serwery plików Windows, które chcesz audytować, jako członków tej grupy. Kliknij OK.
5. Używając poświadczeń administratora domeny, zaloguj się do dowolnego komputera, na którym jest zainstalowana Konsola zarządzania zasadami grupy (GPMC).

   Uwaga: GPMC nie będzie domyślnie zainstalowana na stacjach roboczych i/lub włączona na serwerach członkowskich, więc zalecamy konfigurowanie polityk audytu na kontrolerach domeny systemu Windows. W przeciwnym razie postępuj zgodnie z krokami na tej stronie, aby zainstalować GPMC na wybranym serwerze członkowskim lub stacji roboczej.

6. Przejdź do Start > Narzędzia administracyjne Windows > Zarządzanie polityką grup.
7. W zależności od tego, czy korzystasz z samodzielnie zarządzanego Microsoft AD, czy z zarządzanego przez AWS Microsoft AD, postępuj zgodnie z poniższymi krokami:
   • Samodzielnie zarządzany Microsoft AD

     W GPMC, kliknij prawym przyciskiem myszy domenę, w której chcesz skonfigurować zasady grupy. Wybierz Utwórz GPO i połącz je tutaj. W oknie Nowe GPO, które się otworzy, wpisz „ADAuditPlusFSPolicy” i kliknij OK.

   • Zarządzany przez AWS Microsoft AD

     W GPMC, kliknij prawym przyciskiem myszy OU o tej samej nazwie co Twoja domena (OU utworzony przez AWS, do którego masz dostęp 'Edit'). Wybierz Utwórz GPO i połącz je tutaj. W oknie Nowe GPO, które się otworzy, wpisz „ADAuditPlusFSPolicy” i kliknij OK.

8. Wybierz GPO ADAuditPlusFSPolicy. W sekcji Filtracja zabezpieczeń wybierz Użytkownicy uwierzytelnieni. Kliknij Usuń. W oknie Zarządzanie polityką grup, które się otworzy, wybierz OK.
9. Wybierz GPO ADAuditPlusFSPolicy. W sekcji Filtracja zabezpieczeń, kliknij Dodaj i wybierz grupę zabezpieczeń ADAuditPlusFS, która została utworzona wcześniej. Kliknij OK.

Skonfiguruj zaawansowane zasady audytu

Zaawansowane zasady audytu pomagają administratorom w stosowaniu szczegółowej kontroli nad tym, które działania są rejestrowane w dziennikach, co pomaga ograniczyć hałas związany z wydarzeniami. Zalecamy konfigurowanie zaawansowanych polityk audytu na systemach Windows Server 2008 i nowszych.

1. Aby to skonfigurować, edytuj <ADAuditPlusFSPolicy> klikając prawym przyciskiem myszy na politykę i wybierając Edytuj.
2. Przejdź do Konfiguracja > Ustawienia Windows > Ustawienia zabezpieczeń > Zaawansowana konfiguracja polityki audytu i skonfiguruj następujące ustawienia.

Wymuszaj zaawansowane polityki audytu

Podczas korzystania z zaawansowanych polityk audytu, upewnij się, że są one wymuszane nad starszymi politykami audytu.

1. Włącz wymuszenie ustawień podkategorii polityki audytu w <ADAuditPlusFSPolicy>.
2. Przejdź do Konfiguracja komputera > Ustawienia Windows > Ustawienia zabezpieczeń > Polityki lokalne > Opcje zabezpieczeń > Audyt: Wymuś ustawienia podkategorii polityki audytu (Windows Vista lub nowsze), aby nadpisać ustawienia kategorii polityki audytu.

Skonfiguruj starsze polityki audytu

Z powodu braku dostępności zaawansowanych polityk audytu w systemie Windows Server 2003 i wcześniejszych wersjach, starsze polityki audytu muszą być skonfigurowane dla tych typów serwerów.

1. Aby to ustawić, edytuj <ADAuditPlusFSPolicy>, klikając prawym przyciskiem myszy na politykę i wybierając Edytuj.
2. Przejdź do Konfiguracja > Ustawienia Windows > Ustawienia zabezpieczeń > Konfiguracja polityki audytu i skonfiguruj następujące ustawienia.