Jak povolit a použít auditování zabezpečení v systému Windows 2000

Překlady článku Překlady článku
ID článku: 300549 - Produkty, které se vztahují k tomuto článku.
Poznámka
Tento článek se vztahuje na systém Windows 2000. Podpora pro systém Windows 2000 končí dne 13. července 2010. Na Centrum ukončení odborné pomoci řešení v systému Windows 2000 je výchozí bod pro plánování strategie přenesení ze systému Windows 2000. Další informace naleznete Zásady poskytování technické podpory společnosti Microsoft.
Poznámka
Tento článek se vztahuje na systém Windows 2000. Podpora pro systém Windows 2000 končí dne 13. července 2010. Na Centrum ukončení odborné pomoci řešení v systému Windows 2000 je výchozí bod pro plánování strategie přenesení ze systému Windows 2000. Další informace naleznete Zásady poskytování technické podpory společnosti Microsoft.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tato příručka podrobné instrukce popisuje, jak povolit a použít auditování zabezpečení systému Windows.

Povolení auditování zabezpečení systému Windows

Je důležité chránit informace a prostředků služby od lidí, kteří by neměli mít přístup k nim a současně zpřístupnit tyto prostředky oprávněným uživatelům. Tento článek popisuje, jak auditovat přístup k prostředkům pomocí funkcí zabezpečení systému Windows 2000.

Můžete konfigurovat protokoly zabezpečení k zaznamenání informací o událostech, adresář a soubor aplikace access nebo serveru. Můžete nastavit úroveň auditování pomocí zásad auditování v konzole MMC (konzola Microsoft Management Console). Tyto události jsou zaznamenány v protokolu zabezpečení systému Windows. Protokol zabezpečení zaznamenává události zabezpečení, jako jsou platné a neplatné pokusy o přihlášení, stejně jako události, které se vztahují k použití prostředku, jako je například vytvoření, otevření nebo odstranění souborů. Musíte se přihlásit jako správce řídit, jaké události jsou auditovány a zobrazit v protokolu zabezpečení.

DŮLEŽITÉ: Před systémem Windows 2000 můžete auditovat přístup k souborům a složkám, musíte použít modul snap-in Zásady skupiny povolit auditování přístupu k objektům v zásadách auditu. Pokud ho nemáte, obdržíte chybovou zprávu při nastavování auditování souborů a složek a žádné soubory ani složky, budou auditovány. Po povolení auditování v Zásady skupiny zobrazení protokolu zabezpečení prohlížeče událostí zkontrolovat úspěšné či neúspěšné pokusy o přístup k auditovaným souborům a složkám.

Povolení auditování místního zabezpečení systému Windows:
  1. Přihlásit se k systému Windows 2000 pomocí účtu, který má práva správce. Chcete-li jiným uživatelům udělit práva k nastavení auditování, naleznete v části "Jak na povolení jiného účtu na konfigurovat auditování" v části "Reference" v tomto článku.
  2. Zajistit, že modul snap-in Zásady skupiny je nainstalován. Pokud není nainstalována, postupujte podle pokynů v "Jak na instalaci Zásady skupiny Snap-in" části v sekci "Odkazy" tohoto článku jej nainstalovat.
  3. Klepněte na tlačítko Spustit, přejděte na příkaz Nastavenía klepněte na tlačítko Ovládací panely.
  4. Poklepejte na položku Nástroje pro správu.
  5. Poklepejte na položku Místní zásady zabezpečení spuštění modulu snap-in MMC pro místní nastavení zabezpečení.
  6. Poklepejte na položku Místní zásady Rozbalte jej a potom poklepejte na Zásady auditu.
  7. V pravém podokně poklepejte na zásadu, kterou chcete povolit nebo zakázat.
  8. Klepněte Úspěch (zabezpečením auditovaný pokus o přístup) a Nezdaří (pokus auditování zabezpečení přístupu o) Zaškrtávací políčka pro přihlášení a odhlášení. Při tomto nastavení uživatele úspěšný pokus o přihlášení do systému je zaznamenán jako událost typu Auditovaná úspěšná operace. Pokud se uživatel pokusí získat přístup k síťové jednotce a nezdaří, pokus je zaznamenána jako událost typu Auditovaná neúspěšná operace.
  9. Pokud nastavíte auditování pro webový server se spuštěnou službou (IIS) verze 5.0, naleznete v části "Doporučení pro auditování na webovém serveru se systémem Windows 2000 a Internetová informační služba 5.0" v části "Odkazy" tohoto článku seznam navrhovaných auditů.
POZNÁMKA:Pokud jste členem domény a zásady domény je definována, nastavení úrovně domény přepíše nastavení místních zásad.

Pokud je povolena služba Active Directory, umožňuje správcům sledovat přístup ke službě Active Directory, která způsobí, že úspěšné a "nezdařilo se" sledovat pokusy o být zaznamenána v protokolu událostí adresářové služby. Tento protokol událostí je k dispozici pouze v řadičích domény systému Windows 2000.

Povolení auditování služby Active Directory:
  1. Přihlášení k systému Windows 2000 s účtem, který má práva správce, chcete-li přidělit jiné nastavení auditování práva části odkaz níže.
  2. Zda že je nainstalován modul snap-in Zásady skupiny, pokud není nainstalována, postupujte podle pokynů k instalaci uvedených v následující části
  3. Spuštění modulu snap-in Active Directory Users and Computers klepnutím Spustit, polohovací Programy a přejdete na příkaz Nástroje pro správu.
  4. V Zobrazení nabídky, klepněte na tlačítko Rozšířené funkce.
  5. Klepněte pravým tlačítkem myši Řadiče domény kontejner a potom klepněte na tlačítko Vlastnosti.
  6. Klepněte Zásady skupiny na kartě.
  7. Klepněte na tlačítko Výchozí zásady řadiče doménya klepněte na tlačítko Upravit.
  8. Poklepáním otevřete následující položky: Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečeníMístní Zásady, Zásady auditu.
  9. V pravém podokně otevřete Auditovat přístup k adresářové služby.
  10. Klepněte na příslušné možnosti: buď Auditovat úspěšné pokusy, Audit neúspěšných pokusů o, nebo obojí.
  11. Pokud nastavíte auditování pro server WWW služby IIS 5.0, naleznete v části "Doporučení pro auditování na webovém serveru, který je se systémem Windows 2000 a Internetová informační služba 5.0" v části "Odkazy" tohoto článku seznam navrhovaných auditů.
POZNÁMKA:: V systému Windows 2000 řadiče domény dotazovat změny zásad každých pět minut. Ostatní řadiče domény v rozlehlé síti přijímat změny na tento interval plus dobu replikace.

POZNÁMKA:Pokud políček ve skupinovém rámečku Přístup v Oprávnění k auditu dialogovém okně jsou zobrazena šedě, nebo pokud Odebrat tlačítko není k dispozici v Nastavení řízení přístupu Dialogové okno auditování bylo zděděno z nadřazené složky. Protože protokol zabezpečení má omezenou velikost, vyberte soubory a složky, které chcete auditovat, pečlivě. Zvažte také množství místa na disku, které chcete vyhradit pro protokol zabezpečení. Maximální velikost je definována v prohlížeči událostí.

Auditování událostí v systému Windows 2000 Server

Nastavení, zobrazení, změna nebo odebrání systému Windows soubor nebo složku auditování

Nastavení auditu umožňuje rozpoznat a zaznamenat události související se zabezpečením, například pokusy uživatele o přístup k důvěrným souborům nebo složkám. Auditujete-li objekt, položka je zapsán do protokolu zabezpečení systému Windows 2000 při každém zadaném typu přístupu k objektu. Můžete určit, které objekty, čí akce a jaké typy akcí mají být auditovány. Po nastavení auditování, můžete sledovat, uživatele, kteří přístup k určitým objektům a analyzovat porušení zabezpečení. Záznam pro audit lze zobrazit, kdo provedl určité akce a kdo se pokusil provést akce, které nejsou povoleny.

Nastavení auditování:
  1. Spusťte program Průzkumník Windows (klepnutím Spustit, přejděte na příkaz Programy, přejděte na příkaz Příslušenstvía klepněte na tlačítko Průzkumník Windows) a potom vyhledejte soubor nebo složku, kterou chcete auditovat.
  2. Klepněte pravým tlačítkem myši na soubor nebo složku, klepněte na tlačítko Vlastnostia klepněte Zabezpečení na kartě.
  3. Klepněte na tlačítko Upřesnita klepněte Auditování na kartě.
  4. Proveďte jednu z těchto poznámek:
    1. Nastavení auditování pro novou skupinu nebo uživatele:
      1. Klepněte na tlačítko Přidat. V Název pole, zadejte jméno uživatele, které chcete auditovat.
      2. Klepněte na tlačítko OK automaticky otevřít Oprávnění k auditu Dialogové okno.
    2. Chcete-li zobrazit nebo změnit nastavení auditování pro existující skupinu nebo uživatele, klepněte na název a potom klepněte na tlačítko Zobrazit či upravit.
    3. Chcete-li odebrat auditování pro existující skupinu nebo uživatele, klepněte na název a potom klepněte na tlačítko Odebrat.
  5. Ve skupinovém rámečku Přístup, klepněte na tlačítko Úspěšné, Se nezdařilo., nebo obojí Úspěšné a Se nezdařilo., v závislosti na typu přístupu, který chcete auditovat.
  6. Pokud chcete zabránit soubory a podsložky ve stromu dědily oprávnění k auditu, vyberte klepnutím Použít tato oprávnění k auditu Zaškrtávací políčko.

Auditování Zjištění nepovoleného přístupu ke

Pokusy o nepovolený přístup lze zjistit v protokolu zabezpečení systému Windows, tyto pokusy se může zobrazit jako varování nebo položky protokolu došlo k chybě. Můžete také archivovat tyto protokoly pro pozdější použití.

Zjištění případných problémů se zabezpečením pomocí zobrazení protokolu zabezpečení systému Windows:
  1. Klepněte na tlačítko Spustit, přejděte na příkaz Nastavenía klepněte na tlačítko Ovládací panely.
  2. Poklepejte na položku Nástroje pro správua potom poklepejte na Správa počítače.
  3. Rozbalit Systémové nástrojea potom rozbalte položku Prohlížeč událostí.
  4. Klepněte na tlačítko Protokol zabezpečení.

    POZNÁMKA:: Pokud nemůžete zobrazit protokol zabezpečení, nemá uživatelský účet, který používáte k tomu oprávnění. K tomuto problému dochází, protože zásady zabezpečení na úrovni domény potlačí zásady místního zabezpečení na úrovni počítače, které znamená, že můžete být přihlášeni jako správce místního počítače, ale nemá přístup k protokolu zabezpečení počítače. Chcete-li získat tato oprávnění, získáte od správce sítě. Další informace o zásadách zabezpečení naleznete v dokumentaci k systému Windows.
  5. V protokolech událostí podezřelé zabezpečení, včetně následujících událostí:
    • Neplatné pokusy o přihlášení.
    • Neúspěšných použití oprávnění.
    • Unsuccessful pokusy o přístup a upravovat soubory BAT nebo CMD.
    • Pokusy o změnu privilegií zabezpečení nebo auditovacího protokolu.
    • Pokusy o vypnutí serveru.

Práce s protokoly zabezpečení systému Windows

Pokyny k archivování protokolu zabezpečení systému Windows

Archivace protokolu zabezpečení systému Windows:
  1. Klepněte na tlačítko Spustit, přejděte na příkaz Nastavenía klepněte na tlačítko Ovládací panely.
  2. Poklepejte na položku Nástroje pro správua potom poklepejte na Správa počítače.
  3. Rozbalit Systémové nástrojea potom rozbalte položku Prohlížeč událostí.
  4. Klepněte na tlačítko Zabezpečení.
  5. V Akce nabídky, klepněte na tlačítko Uložit soubor protokolu jako.
  6. V Uložit jako Dialogové okno, klepněte na adresář, do kterého chcete soubor uložit a potom zadejte název souboru.
POZNÁMKA:: Protokol zabezpečení lze uložit jako soubor událostí (EVT), textový soubor (TXT) nebo soubor s hodnotami oddělenými čárkami (CSV).

Jak otevřít archivovaný Windows protokol zabezpečení

Otevření archivovaného protokolu zabezpečení systému Windows:
  1. Klepněte na tlačítko Spustit, přejděte na příkaz Nastavenía klepněte na tlačítko Ovládací panely.
  2. Poklepejte na položku Nástroje pro správua potom poklepejte na Správa počítače.
  3. Rozbalit Systémové nástrojea potom rozbalte položku Prohlížeč událostí.
  4. V Protokol nabídky, klepněte na tlačítko Zabezpečení.
  5. V Akce příkaz Otevřít soubor protokolu.
  6. V Otevřít Dialogové okno pole, klepněte na dříve uložený protokol nebo změnit umístění v Oblast hledání seznam a vyhledejte soubor.
  7. V Typ protokolu Klepněte na položku Zabezpečení.
  8. Klepněte na tlačítko OK Otevřete soubor v prohlížeči.

Poradce při potížích

Protože protokol zabezpečení má omezenou velikost, vyberte soubory a složky, které chcete auditovat, pečlivě. Zvažte také množství místa na disku, které chcete vyhradit pro protokol zabezpečení. Maximální velikost je definována v prohlížeči událostí.

DŮLEŽITÉ: Před systémem Windows 2000 můžete auditovat přístup k souborům a složkám, musíte použít modul snap-in Zásady skupiny povolit auditování přístupu k objektům v zásadách auditu. Pokud ho nemáte, obdržíte chybovou zprávu při nastavování auditování souborů a složek a žádné soubory ani složky, budou auditovány. Po povolení auditování v Zásady skupiny zobrazení protokolu zabezpečení prohlížeče událostí zkontrolovat úspěšné či neúspěšné pokusy o přístup k auditovaným souborům a složkám.




Odkazy

Jak nainstalovat modul Snap-In Zásady skupiny

Chcete-li použít funkce auditování, které tento článek popisuje, je třeba nainstalovat modul snap-in Zásady skupiny. Tento modul snap-in do konzoly Správa počítače a je třeba vytvořit novou konzolu snap-in Zásady skupiny. Další informace o přidávání modulů snap in konzoly MMC naleznete v dokumentaci k systému Windows 2000.

Vytvoření nové konzoly MMC a přidání modulu snap-in Zásady skupiny:
  1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit. V Spustit Dialogové okno, typ konzoly MMC spuštění nové konzoly MMC.
  2. V Konzoly nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Přidat nebo odebrat modul Snap-in Dialogové okno, klepněte na tlačítko Přidat.
  4. V Přidat samostatný modul Snap-in Dialogové okno, klepněte na tlačítko Zásady skupiny ze seznamu dostupných modulů snap pojistného, klepněte na tlačítko Přidat.
  5. V Vyberte Zásady skupiny objekt Dialogové okno, buď klepněte na tlačítko Dokončit auditování v místním počítači, nebo Procházet vyhledat počítač, který chcete auditovat.
  6. Pokud jste klepli na Procházet, přejděte ke kroku 7. Pokud jste klepli na Dokončit, přejděte ke kroku 9.
  7. V Vyhledat objekt Zásady skupiny Dialogové okno, klepněte Počítače karta, klepněte na tlačítko Jiný počítač, vyhledejte počítač, který chcete auditovat a klepněte na tlačítko OK.
  8. V Vyberte Zásady skupiny objekt Dialogové okno, klepněte na tlačítko Dokončit.
  9. Zavřít Přidat samostatný modul Snap-in Dialogové okno.
  10. Klepněte na tlačítko OK.
  11. V Konzoly nabídka select Uložit novou konzolu uložit na pevný disk. Toto je konzoly, který budete používat ke konfiguraci funkce auditování.

Jak povolit jinému účtu konfigurovat auditování

Ve výchozím nastavení pouze členové skupiny Administrators mají oprávnění konfigurovat auditování. Můžete delegovat úkol konfigurace auditování událostí serveru na jiný uživatelský účet udělením práva spravovat auditování a protokol zabezpečení v Zásady skupiny.

Povolení účtu konfigurace auditování:
  1. Zásady skupiny stromu konzoly, které jste vytvořili rozbalte v následujícím pořadí:
    1. Konfigurace počítače
    2. Nastavení systému Windows
    3. Nastavení zabezpečení
    4. Místní zásady
    5. Přiřazení uživatelských práv
  2. Klepněte na tlačítko Spravovat protokol auditu a zabezpečení, klepněte na tlačítko Akcea klepněte na tlačítko Zabezpečení.
  3. V Spravovat protokol auditu a zabezpečení Dialogové okno, klepněte na tlačítko Přidat.

    POZNÁMKA:: Pokud Přidat tlačítko není k dispozici (je zobrazeno šedě), zrušte zaškrtnutí políčka Vyloučit z místních zásad Zaškrtávací políčko aktivovat Přidat tlačítko.
  4. Klepněte na příslušné uživatele nebo skupiny uživatelů ze seznamu a klepněte na tlačítko Přidat. Klepněte na tlačítko OK.

Doporučení pro auditování na webových serverech Windows 2000 službu IIS 5.0

Pro počítače se systémem Windows 2000 Server se spuštěnou službou IIS 5.0 by auditování pomocí následujících událostí systému Windows. "Auditovat úspěšné pokusy" znamená, že máte zájem úspěšné události a "Audit neúspěšných pokusů o" označuje, že máte zájem selhání při dané události provedena. "U" znamená, že událost je auditován, zatímco "vypnuto" rozumí událost není auditován.

Následující seznam uvádí auditování pro různé události v počítači se systémem Windows 2000, který je webového serveru služby IIS:
  • Přihlášení k účtu
    Auditovat úspěšné pokusy: O

    Audit neúspěšných pokusů O: O
  • Správa účtů
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: O
  • Přístup k adresářové službě
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: O
  • Přihlášení
    Auditovat úspěšné pokusy: O

    Audit neúspěšných pokusů O: O
  • Přístup k objektu
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: vypnuto
  • Změna zásad
    Auditovat úspěšné pokusy: O

    Audit neúspěšných pokusů O: O
  • Použití oprávnění
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: O
  • Sledování procesů
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: vypnuto
  • Systém
    Auditovat úspěšné pokusy: vypnuto

    Audit neúspěšných pokusů O: vypnuto

Vlastnosti

ID článku: 300549 - Poslední aktualizace: 12. května 2011 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbhowto kbhowtomaster kbperformance w2000perf kbmt KB300549 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:300549

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com