Skonfiguruj audyt AD CS

Dodaj serwery AD CS w ADAudit Plus

Aby włączyć audyt AD CS, musisz skonfigurować komputer, na którym zainstalowano AD CS, w konsoli ADAudit Plus.

• Jeśli zainstalowałeś AD CS na kontrolerze domeny, skonfiguruj domenę Active Directory i kontroler domeny w ADAudit Plus. Kliknij tutaj, aby zobaczyć, jak.
• Jeśli zainstalowałeś AD CS na serwerze Windows, skonfiguruj serwer Windows w ADAudit Plus. Kliknij tutaj, aby zobaczyć, jak.

Skonfiguruj zasady audytu

W przypadku audytu AD CS możesz skonfigurować wymagane zasady audytu automatycznie lub ręcznie w ADAudit Plus.

Automatyczna konfiguracja

Aby skonfigurować zasady audytu automatycznie, wykonaj poniższe kroki:

• Jeśli AD CS jest zainstalowane na kontrolerze domeny, kliknij tutaj, aby znaleźć kroki do automatycznego włączenia zasad audytu.
• Jeśli AD CS jest zainstalowane na serwerze Windows, kliknij tutaj, aby znaleźć kroki do automatycznego włączenia zasad audytu.

Ręczna konfiguracja

Podczas ręcznej konfiguracji zasad audytu możesz skonfigurować zarówno zaawansowane zasady audytu, jak i zasady audytu z przestarzałymi ustawieniami dla audytu AD CS.

Aby skonfigurować zaawansowane zasady audytu:

• Zaloguj się do dowolnego komputera, na którym znajduje się Microsoft Management Console z zarządzaniem zasadami grupowymi (GPMC) z poświadczeniami administratora domeny.
• Otwórz GPMC, a w zależności od swojej konfiguracji, kliknij prawym przyciskiem myszy na Polityka kontrolerów domeny domyślnej lub ADAuditPlusMSPolicy, a następnie wybierz Edytuj.

Uwaga: Jeśli AD CS zostało zainstalowane na kontrolerze domeny, skonfiguruj zasady audytu w GPO Polityka kontrolerów domeny domyślnej. Jeśli AD CS zostało zainstalowane na serwerze Windows, skonfiguruj zasady audytu w GPO ADAuditPlusMSPolicy.

• W Edytorze zarządzania zasadami grupowymi przejdź do Konfiguracja komputera > Polityki > Ustawienia Windows > Ustawienia zabezpieczeń > Konfiguracja zaawansowanej polityki audytu > Polityki audytu.
• Podwójnie kliknij Dostęp do obiektów.
• Kliknij prawym przyciskiem myszy Usługi certyfikacji audytu w prawym panelu. Wybierz Właściwości, a następnie zaznacz pola obok Sukces i Niepowodzenie.

  

Aby wymusić zaawansowane zasady audytu

Po skonfigurowaniu zaawansowanych zasad audytu upewnij się, że są one wymuszane nad przestarzałymi zasadami audytu.

• Zaloguj się do dowolnego komputera, na którym znajduje się GPMC z poświadczeniami administratora domeny.
• Otwórz GPMC, a w zależności od swojej konfiguracji, kliknij prawym przyciskiem myszy na Polityka kontrolerów domeny domyślnej lub ADAuditPlusMSPolicy, a następnie wybierz Edytuj.

Uwaga: Jeśli AD CS zostało zainstalowane na kontrolerze domeny, skonfiguruj zasady audytu w GPO Polityka kontrolerów domeny domyślnej. Jeśli AD CS zostało zainstalowane na serwerze Windows, skonfiguruj zasady audytu w GPO ADAuditPlusMSPolicy.

• W Edytorze zarządzania zasadami grupowymi przejdź do Konfiguracja komputera > Polityki > Ustawienia Windows > Ustawienia zabezpieczeń > Polityki lokalne > Opcje zabezpieczeń.
• Kliknij prawym przyciskiem myszy Audyt: Wymuś ustawienia podkategorii polityki audytu w prawym panelu, wybierz Właściwości, a następnie wybierz Włączone.

  

Aby skonfigurować zasady audytu z przestarzałymi ustawieniami:

• Zaloguj się na dowolnym komputerze, który ma GPMC, używając poświadczeń administratora domeny.
• Otwórz GPMC, a w zależności od konfiguracji, kliknij prawym przyciskiem myszy na Default Domain Controllers Policy lub ADAuditPlusMSPolicy, a następnie wybierz Edit.

  Uwaga: Jeśli AD CS zostało zainstalowane na kontrolerze domeny, skonfiguruj politykę audytu w GPO Default Domain Controllers Policy. Jeśli AD CS zostało zainstalowane na serwerze Windows, skonfiguruj politykę audytu w GPO ADAuditPlusMSPolicy.

• W Edytorze zarządzania politykami grupowymi przejdź do Konfiguracja komputera > Polityki > Ustawienia systemu Windows > Ustawienia bezpieczeństwa > Polityki lokalne.
• Podwójnie kliknij Polityka audytu.
• Kliknij prawym przyciskiem myszy na politykę Dostęp do obiektów w prawej części. Wybierz Właściwości, a następnie zaznacz pola obok Powodzenie i Niepowodzenie.

  

Włącz audyt na serwerach AD CS

Skonfiguruj audyt CA

• Zaloguj się na serwerze AD CS, używając poświadczeń administratora domeny.
• Otwórz Konsolę zarządzania autorytetem certyfikacji, kliknij prawym przyciskiem myszy na CA i wybierz Właściwości.
• Wybierz zakładkę Audyt w oknie Właściwości i zaznacz pola obok poniższych kategorii:
  • Zmiana konfiguracji CA
  • Zmiana ustawień bezpieczeństwa CA
  • Wydawanie i zarządzanie wnioskami certyfikatów
  • Cofanie certyfikatów i publikowanie CRL
  • Przechowywanie i odzyskiwanie archiwalnych kluczy

Monitorowanie zmian w szablonach certyfikatów

Zmiany dokonane w szablonach certyfikatów wydawanych przez autorytety CA mogą być monitorowane z użyciem ADAudit Plus poprzez aktualizację rejestru. Aby włączyć audyt szablonów certyfikatów, otwórz Wiersz polecenia jako administrator i wykonaj następujące polecenie: