- Serviciul de adrese de acces - acces la serviciul de directoare;
- Modificările serviciului de adrese - modificări ale serviciului director;
- Directory Replication Service - replicarea serviciului director;
- Replicare detaliată a serviciului de director - replicare detaliată a serviciului de directoare.
PS> Obțineți ajutor * -Eventlog
Dacă știți PowerShell, puteți selecta evenimente cu adevărat importante.
În Windows au fost extinse capacitățile de audit Server. Apariția dinamic de control al accesului (Access Control Dinamic) a făcut posibilă definirea politicilor de audit bazate pe expresie pe baza expresiilor și proprietăți ale unui obiect, permițându-vă pentru a obține informații mai exacte cu privire la toate încercările de a avea acces la documente importante. De exemplu, puteți configura politica de audit pentru toți utilizatorii care nu au acces necesar, dar a încercat să citească documentul. O astfel de politică este activată în mod direct în proprietățile unui fișier sau un folder, sau de a folosi accesul la obiectele de audit la nivel mondial (Global Access Audit obiect). Politicienii Minded generează evenimente de fiecare dată când un utilizator accesează fișiere (numere 4656, 4663), care conțin atributele de fișier, care pot fi selectate cu ajutorul filtrelor.
Dar, probabil, una dintre cele mai importante inovații este capacitatea de a urmări încercările de accesare a dispozitivelor detașabile. Sistemul generează evenimente cu două ID-uri: reușite (4663) și încercări eșuate (4656).
> auditpol / list / subcategorie: *
Activăm auditul suporturilor amovibile:
> auditpol / set / subcategoria: "media amovibilă" / succes: enable / failure: enable
Sunt toate posibilitățile. Sistemul de audit Windows vă permite să adunați o mulțime de informații, principalul său dezavantaj este că trebuie să știți ce să căutați. Evenimentele cu un număr pot însemna schimbarea unei varietăți de obiecte, o acțiune a utilizatorului poate genera o duzină de evenimente și poate sări peste ceva cu adevărat important este foarte ușor. Toate acestea necesită cunoaștere și cercetare.
Informațiile colectate de sistemul de audit sunt folosite pentru investigații și, prin urmare, multe standarde de securitate (HIPAA, SOX, PCI și altele) necesită ca rubricile să rămână o perioadă lungă de timp (până la 7 ani). Dimensiunile jurnalului Windows sunt limitate în mod implicit la 128 MB și pentru un număr mare de evenimente va fi suprascris rapid. Puteți evita acest lucru prin setarea proprietăților loggerului în Vizualizatorul de evenimente la o dimensiune mai mare și activarea opțiunii "Jurnal arhivă când este plină". Nu suprascrieți evenimentele. " Dar despre arhivarea și regăsirea informațiilor din această matrice (dacă apare o astfel de nevoie), administratorul va trebui să aibă grijă de el însuși. Auditul accesului la fișiere încorporat creează o sarcină suplimentară mare pe server. Asta este, există un audit în Win, dar este incomod.
Aceste și multe alte probleme sunt rezolvate cu ajutorul aplicațiilor de la terți care oferă consolidarea jurnalelor din diferite surse, modificări mai bune ale auditului, mai puține date.
Articole similare
Trimiteți-le prietenilor: