Ręczna konfiguracja SACL | Przewodnik audytu Active Directory | ADAudit Plus
    Click here to shrink
    Click here to expand Click here to expand

    Konfiguruj polityki audytu ręcznie

    Skonfiguruj listę serwerów Windows do audytu

    1. Otwórz Użytkowników i komputery Active Directory.
    2. Kliknij prawym przyciskiem myszy na domenę i wybierz Nowy > Grupa.
    3. W oknie Nowy obiekt - Grupa, które się otworzy, wpisz "ADAuditPlusMS" jako Nazwa grupy, zaznacz Zakres grupy: Lokalny w domenie i Typ grupy: Bezpieczeństwa. Kliknij OK.
    4. Kliknij prawym przyciskiem myszy na nowo utworzonej grupie i wybierz Właściwości > Członkowie > Dodaj. Dodaj wszystkie serwery Windows, które chcesz audytować jako członka tej grupy. Kliknij OK.
    5. Używając poświadczeń administratora domeny, zaloguj się na dowolnym komputerze, na którym jest zainstalowany Konsola zarządzania zasadami grupy (GPMC).

      Uwaga: GPMC nie będzie domyślnie zainstalowane na stacjach roboczych i/lub włączone na serwerach członkowskich, dlatego zalecamy konfigurowanie polityk audytu na kontrolerach domeny Windows. W przeciwnym razie wykonaj kroki na tej stronie, aby zainstalować GPMC na wybranym serwerze członkowskim lub stacji roboczej.

    6. Przejdź do Start > Narzędzia administracyjne systemu Windows > Zarządzanie zasadami grupy.
    7. W GPMC, kliknij prawym przyciskiem myszy na domenę, w której chcesz skonfigurować zasady grupy. Wybierz Utwórz GPO i podłącz je tutaj. W oknie Nowe GPO, które się otworzy, wpisz "ADAuditPlusMSPolicy" i kliknij OK.
    8. Wybierz GPO ADAuditPlusMSPolicy. W sekcji Filtrowanie zabezpieczeń, wybierz Uwierzytelnieni użytkownicy. Kliknij Usuń. W oknie Zarządzanie zasadami grupy, które się otworzy, wybierz OK.
    9. Wybierz GPO ADAuditPlusMSPolicy. W sekcji Filtrowanie zabezpieczeń, kliknij Dodaj i wybierz grupę zabezpieczeń ADAuditPlusMS, utworzoną wcześniej. Kliknij OK.

      10. Ogólne ustawienia pod zakładką Admin

    Skonfiguruj zaawansowane polityki audytu 

    Zaawansowane polityki audytu pomagają administratorom wywrzeć szczegółową kontrolę nad tym, które działania są rejestrowane w dziennikach, co pomaga ograniczyć szum zdarzeń. Zalecamy konfigurowanie zaawansowanych polityk audytu na systemach Windows Server 2008 i nowszych.

    1. Zaloguj się na dowolnym komputerze, na którym jest GPMC z poświadczeniami administratora domeny. Otwórz GPMC, następnie kliknij prawym przyciskiem myszy ADAuditPlusMSPolicy i wybierz Edytuj.
    2. W Edytorze zarządzania zasadami grupy przejdź do Konfiguracja komputera → Polityki → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Konfiguracja polityki audytu → Polityka audytu. Podwójnie kliknij odpowiednią ustawienie polityki. 
    3. Przejdź do prawego panelu i kliknij prawym przyciskiem myszy odpowiednią podkategorię. Wybierz Właściwości, a następnie wybierz Sukces, Niepowodzenie lub oba, zgodnie z kierunkiem w tabeli poniżej.
    Kategoria Podkategoria Wydarzenia audytu
    Zarządzanie kontami
    • Audyt zarządzania kontem komputerowym
    • Audyt zarządzania grupami dystrybucji
    • Audyt zarządzania grupami zabezpieczeń
    • Audyt zarządzania kontami użytkowników
    Sukces
    Sukces i niepowodzenie
    Szczegółowe śledzenie
    • Audyt tworzenia procesów
    • Audyt kończenia procesów
    		 Sukces
    Dostęp DS
    • Audyt zmian w usłudze katalogowej 
    • Audyt dostępu do usługi katalogowej
    		 Sukces
    Logowanie/Wylogowywanie
    • Audyt logowania
    • Audyt serwera polityki sieciowej
    • Audyt innych wydarzeń logowania/wylogowywania
    • Audyt wylogowywania
    Sukces i niepowodzenie
    Sukces
    Dostęp do obiektów
    • Audyt systemu plików
    • Audyt manipulacji uchwytami
    • Audyt udostępniania plików
    		 Sukces i niepowodzenie
    Zmiana polityki
    • Audyt zmiany polityki uwierzytelniania
    • Audyt zmiany polityki autoryzacji
    		 Sukces
    System
    • Audyt zmiany stanu zabezpieczeń
    		 Sukces

    Ustawienia ogólne w zakładce Administrator

    Wymuś zaawansowane polityki audytu

    Podczas korzystania z zaawansowanych polityk audytu, upewnij się, że są one wymuszane zamiast polityk audytu dziedziczonych. 

    1. Zaloguj się na dowolnym komputerze, który ma GPMC z danymi administratora domeny. Otwórz GPMC, kliknij prawym przyciskiem myszy ADAuditPlusMSPolicy, a następnie wybierz Edytuj.
    2. W Edytorze zarządzania politykami grupowymi, przejdź do Konfiguracja komputera → Polityki → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Polityki lokalne → Opcje zabezpieczeń.
    3. Przejdź do prawego panelu, następnie kliknij prawym przyciskiem myszy Audyt: Wymuś ustawienia podkategorii polityki audytu. Wybierz Właściwości, a następnie Włącz.

    Ogólne ustawienia w zakładce Administrator

    Konfiguracja starych zasad audytu

    Ze względu na niedostępność zaawansowanych zasad audytu w Windows Server 2003 i wcześniejszych wersjach, stare zasady audytu muszą zostać skonfigurowane dla tych typów serwerów.

    1. Zaloguj się na dowolny komputer, który ma GPMC, używając poświadczeń administratora domeny. Otwórz GPMC, kliknij prawym przyciskiem na ADAuditPlusMSPolicy, a następnie wybierz Edytuj.
    2. W Edytorze zasad grupy przejdź do Konfiguracja komputera → Polityki → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Polityki lokalne i dwukrotnie kliknij Polityka audytu.
    3. Przejdź do prawego panelu i kliknij prawym przyciskiem myszy na odpowiedniej polityce. Wybierz Właściwości, a następnie wybierz Powodzenie, Niepowodzenie lub oba, zgodnie z instrukcją w poniższej tabeli:
      4. Kategoria Wydarzenia audytu
      Logowanie do konta Powodzenie i Niepowodzenie
      Audyt logowania/wylogowania Powodzenie i Niepowodzenie
      Zarządzanie kontem Powodzenie
      Dostęp do usługi katalogowej Powodzenie
      Śledzenie procesów Powodzenie
      Dostęp do obiektów Powodzenie
       Wydarzenia systemowe  Powodzenie

    Ogólne ustawienia w zakładce Administrator



    On this page

    Get download link