Použití zásad skupiny ke konfiguraci podrobného auditu zabezpečení pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2008, Windows Server 2003 nebo Windows 2000

Překlady článku Překlady článku
ID článku: 921469 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje použití zásad skupiny ke konfiguraci nastavení auditu zabezpečení pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2003 nebo Windows 2000. Systémy Windows Vista a Windows Server 2008 umožňují spravovat zásady auditu zabezpečení na podrobnější úrovni díky použití podkategorií zásad auditu. Tento článek popisuje postup, jak může správce nasadit vlastní zásady auditu, které použijí podrobná nastavení auditu zabezpečení, pro počítače se systémy Windows Vista a Windows Server 2008.

ÚVOD

Tento článek popisuje použití zásad skupiny ke konfiguraci podrobných nastavení auditu zabezpečení pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2003 nebo Windows 2000. V systémech Windows Vista a Windows Server 2008 máte větší kontrolu nad jednotlivými podkategoriemi zásad auditu než v dřívějších verzích operačních systémů Windows. Jednotlivé podkategorie zásad auditu, které jsou k dispozici v systému Windows Vista, nejsou vystaveny v rozhraní nástrojů zásad skupiny. Správce může použít postupy popsané v tomto článku k nasazení vlastních zásad auditu, které použijí podrobná nastavení auditu zabezpečení, pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2003 nebo Windows 2000.

Další informace

Otázky ke zvážení:

Následuje několik otázek ke zvážení před provedením postupů v tomto článku:
  • V postupu je použit ukázkový kód. Ukázkový kód používá sdílenou položku Netlogon. Ukázkový kód dále používá složku %SystemRoot%\Temp jako mezipaměť.
  • Postup používá ukázkovou doménu Contoso.com.
  • Postup předpokládá, že jsou splněny následující podmínky:
    • Jste obeznámeni s následujícími technologiemi a nástroji:
      • spouštěcí skripty zásad skupiny,
      • Konzola pro správu zásad skupiny,
      • nástroj příkazového řádku Auditpol.exe.
    • Máte základní povědomí o dávkovém zpracování souborů.
    • Můžete nakonfigurovat jednu zásadu auditu pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2003 nebo Windows 2000. Zásada auditu je přiřazena k objektu Výchozí zásady domény.
  • Jste obeznámeni se skripty, které postup používá k přepsání starší verze doménových zásad auditu podrobnějšími zásadami auditu, které jsou k dispozici v systému Windows Vista. Pokud nechcete konfigurovat podrobné zásady auditu dostupné v systému Windows Vista, nepoužívejte postup popsaný v tomto článku.

Použití zásad skupiny ke konfiguraci podrobných nastavení auditu zabezpečení pro počítače

Chcete-li použít zásad skupiny k podrobnému nastavení auditu zabezpečení pro počítače se systémy Windows Vista a Windows Server 2008 v doméně systému Windows Server 2003 nebo Windows 2000, postupujte takto.

Krok1: Určete, jaká nastavení auditu zabezpečení chcete nasadit do počítačů se systémy Windows Vista nebo Windows Server 2008

  1. Přihlaste se k počítači jako uživatel s pověřeními správce.
  2. Klepněte na tlačítko Start, vyberte podnabídku Všechny programy, dále Příslušenství, klepněte pravým tlačítkem myši na položku Příkazový řádek a klepněte na příkaz Spustit jako správce.
  3. V dialogovém okně Řízení uživatelských účtů klepněte na tlačítko Pokračovat.
  4. Vyprázdněte výchozí nastavení zásad auditu. Provedete to zadáním následujícího příkazu na příkazovém řádku a stisknutím klávesy ENTER:
    auditpol /clear
  5. Pomocí nástroje příkazového řádku Auditpol.exe nakonfigurujte požadovaná vlastní nastavení zásad auditu.

    Na příkazovém řádku zadejte například následující příkazy. Za každým řádkem stiskněte klávesu ENTER.
    auditpol /set /subcategory:"Správa uživatelských účtů" /success:enable /failure:enable
    auditpol /set /subcategory:"Přihlášení" /success:enable /failure:enable
    auditpol /set /subcategory:"Hlavní režim protokolu IPsec" /failure:enable
    Upozornění: Chcete-li zobrazit všechny dostupné kategorie a podkategorie, zadejte následující příkaz a stiskněte klávesu ENTER:
    auditpol /list /subcategory:*
  6. Zadejte následující příkaz na příkazovém řádku a stiskněte klávesu ENTER:
    auditpol /backup /file:auditpolicy.txt
  7. Zkopírujte soubor Auditpolicy.txt do sdílené složky služby Přihlášení k síti v řadiči domény, který zastává roli emulátoru primárního řadiče domény v doméně.

    Soubor Auditpolicy.txt obsahuje všechna nastavení zásad auditu, která jste nakonfigurovali. Spouštěcí skript používá tento soubor k opětovnému použití zásad. Po prvním úspěšném použití tohoto spouštěcího skriptu není nutné restartovat počítač pro aktualizaci zásad auditu. Chcete-li aktualizovat nastavení zásad auditu, přepište dřívější verzi souboru Auditpolicy.txt, který jste zkopírovali do sdílené složky služby Přihlašování k síti. Vytvořte nový soubor Auditpolicy.txt a zkopírujte ho do sdílené složky služby Přihlášení k síti.

Krok 2: Zabraňte doménovým zásadám auditu ze starší verze systému přepsat nakonfigurované zásady auditu v systémech Windows Vista a Windows Server 2003

Chcete-li zabránit, aby starší verze doménových zásad auditu přepsaly vámi nastavené zásady auditu, je nutné povolit nastavení zásad Vynutit nastavení podkategorie zásad auditování (systém Windows Vista nebo novější) na přepsání nastavení kategorie zásad auditování. To zabraňuje doménovým zásadám auditu přepsat podrobnější zásady auditu v systémech Windows Vista a Windows Server 2008. Postupujte takto:
  1. V počítači připojeném k doméně otevřete objekt Výchozí zásady domény.
  2. Rozbalte položku Konfigurace počítače, dále Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a následně klepněte na položku Možnosti zabezpečení.
  3. Poklepejte na položku Audit: Vynutit nastavení podkategorie zásad auditování (Windows Vista nebo novější) na přepsání nastavení kategorie zásad auditování.
  4. Klepněte na přepínač Povoleno a potom klepněte na tlačítko OK.

Krok 3: Vytvořte skripty a přidejte je do sdílené položky služby Přihlašování k síti

Společnost Microsoft poskytuje ukázky programování pouze pro ilustraci, bez žádné záruky výslovně uvedené nebo odvozené, včetně, bez omezení, odvozených záruk vztahujících se k obchodovatelnosti nebo vhodnosti pro určitý účel. Tento článek předpokládá, že uživatel je obeznámen s programovacím jazykem, který je předmětem ukázky, a s nástroji použitými pro vytvoření a ladění skriptu. Pracovníci technické podpory společnosti Microsoft mohou vysvětlit funkce určitého postupu, nemohou však následující příklady rozšířit o další funkce nebo konstrukce podle konkrétních požadavků uživatele.
  1. Vytvořte skript pojmenovaný AuditPolicy.cmd. Postupujte takto:
    1. V programu Poznámkový blok otevřete prázdný dokument.
    2. Zkopírujte následující kód do prázdného dokumentu:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Všechna práva vyhrazena.
      REM Ukázkový skript auditu pro nasazení ve Windows Vista
      REM Podrobná nastavení zásad auditu
      
      REM Spouštět jako spouštěcí skript ze zásad skupiny
      
      REM ###################################################
      REM Deklarace proměnných, aby se názvy a cesty souborů
      REM upravovaly ve skriptu na jednom místě
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Vyčištění protokolu a začátek nového
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Kontrola verze OS
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo Verze OS=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Přeskočení starších OS než Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Získání názvu domény
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Doména počítače=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Zkopírování skriptu a zásad do místního adresáře nebo ukončení
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Nelze přečíst \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Zkopírováno \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Nelze přečíst \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Zkopírováno \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Vytvoření pojmenované naplánované úlohy pro zavedení zásad
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Nezdařilo se vytvořit naplánovanou úlohu pro audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Vytvořena naplánovaná úloha pro audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Spuštění pojmenované naplánované úlohy pro použití zásad
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Nezdařilo se spustit naplánovanou úlohu pro audit >> %AuditPolicyLog%
      ) else (
          echo Spuštění naplánované úlohy pro audit >> %AuditPolicyLog%
      )
    3. V nabídce Soubor klepněte na příkaz Uložit.
    4. V rozevíracím seznamu Uložit jako typ klepněte na položku Všechny soubory, do pole Název souboru zadejte AuditPolicy.cmd a klepněte na tlačítko Uložit.
  2. Vytvořte skript ApplyAuditPolicy.cmd. Postupujte takto:
    1. V programu Poznámký blok otevřete prázdný dokument.
    2. Zkopírujte následující kód do prázdného dokumentu:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Všechna práva vyhrazena.
      REM Ukázkový skript auditu pro nasazení ve Windows Vista
      REM Podrobná nastavení zásad auditu
      
      
      REM ###################################################
      REM Deklarace proměnných, aby se názvy a cesty souborů
      REM upravovaly ve skriptu na jednom místě
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Vyčištění protokolu a začátek nového
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Kontrola verze OS
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo Verze OS=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Přeskočení starších OS než Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Získání názvu domény
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Doména počítače=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Odstranění úlohy auditu
      REM Používat pouze k odstranění pseudozásad z
      REM z klientských počítačů (navrženo pro budoucí revize Vista,
      REM kde již tento skript nebude potřeba a bude
      REM jej třeba vyřadit).
      
      REM Vytvořte soubor ve složce Netlogon s názvem
      REM odpovídajícím proměnné DeleteAudit (níže)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Zkopíruje zásady auditu do místního adresáře
      REM Kopírování toleruje chyby, protože kopie je
      REM pouze obnovení mezipaměti.
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Nelze přečíst \\%machinedomain%\netlogon\%AuditPolicyTxt%, používá se kopie z mezipaměti>> %ApplyAuditPolicyLog%
      ) else (
          echo Zkopírováno \\%machinedomain%\netlogon\%AuditPolicyTxt% do %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Použití zásad
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Nepodařilo se použít nastavení auditu >> %ApplyAuditPolicyLog%
      ) else (
          echo Úspěšně použita nastavení auditu >> %ApplyAuditPolicyLog%
      )
    3. V nabídce Soubor klepněte na příkaz Uložit.
    4. Rozevíracím seznamu Uložit jako typ klepněte na položku Všechny soubory, do pole Název souboru zadejte ApplyAuditPolicy.cmd a klepněte na tlačítko Uložit.
  3. Zkopírujte skripty AuditPolicy.cmd a ApplyAuditPolicy.cmd do sdílené složky služby Přihlašování k síti v řadiči domény, který zastává roli emulátoru primárního řadiče domény v doméně.
  4. Počkejte, dokud se neprovede replikace služby Active Directory. Dále počkejte, dokud neproběhne replikace souborů a složek ve sdílené složce systémového svazku (SYSVOL) v řadičích domény v doméně.
  5. Přidejte spouštěcí skript do objektu Výchozí zásady domény. Postupujte takto:
    1. Spusťte nástroj Uživatelé a počítače služby Active Directory.
    2. Klepněte pravým tlačítkem myši na položku Název_domény a potom klepněte na příkaz Vlastnosti.
    3. Klepněte na kartu Zásady skupiny, klepněte na položku Výchozí zásady domény a pak klepněte na tlačítko Upravit. Spustí se nástroj Editor objektů zásad skupiny.
    4. Rozbalte položku Konfigurace počítače, dále Nastavení systému Windows a potom klepněte na položku Skripty (spouštěcí nebo ukončovací).
    5. Poklepejte na položku Spuštění a potom klepněte na tlačítko Přidat.
    6. Do pole Název skriptu zadejte cestu UNC k souboru AuditPolicy.cmd, který se nachází ve sdílené složce služby Přihlašování k síti. Použijte následující formát:
      \\Plně_kvalifikovaný_název_domény\Netlogon\AuditPolicy.cmd
      Zadejte například \\contoso.com\netlogon\auditpolicy.cmd.
    7. Dvakrát klepněte na tlačítko OK.

Krok 4: Ověřte, zda se nastavení zásad auditu zabezpečení úspěšně použila

  1. Počkejte, dokud se neprovede replikace služby Active Directory. Dále počkejte, dokud neproběhne replikace souborů a složek ve sdílené složce systémového svazku (SYSVOL) v řadičích domény v doméně.
  2. Restartujte počítač připojený k doméně. Poté se přihlaste k počítači jako uživatel s pověřeními správce.
  3. Klepněte na tlačítko Start, přejděte na podnabídku Všechny programy a dále klepněte na položku Příslušenství.
  4. Klepněte pravým tlačítkem myši na položku Příkazový řádek a klepněte na příkaz Spustit jako správce.
  5. V dialogovém okně Řízení uživatelských účtů klepněte na tlačítko Pokračovat.
  6. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    auditpol /get /category:*
  7. Zkontrolujte, zda zobrazená nastavení auditu zabezpečení odpovídají nastavením, která jste nakonfigurovali v souboru AuditPolicy.txt v části Krok 1: Určete, jaká nastavení auditu zabezpečení chcete nasadit do počítačů se systémy Windows Vista nebo Windows Server 2008.

    Pokud nastavení auditu zabezpečení neodpovídají nakonfigurovaným nastavením, zkontrolujte soubory protokolů vytvořené spouštěcím skriptem ve složce %SystemRoot%\Temp. Pokud ve složce %SystemRoot%\Temp neexistují žádné soubory protokolu, prozkoumejte počítač a pokuste se zjistit, proč se nepoužily zásady skupiny.

Odkazy

Další informace o konfiguraci spouštěcích skriptů služby Active Directory naleznete na následujících webech společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/cs/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1029.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/cs/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1029.mspx?mfr=true
Další informace o Konzole pro správu zásad skupiny naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/cs/Library/7a0aaa61-5152-4489-86c9-b083b22b21731029.mspx?mfr=true
Další informace o nástrojích příkazového řádku Auditpol.exe a Schtasks.exe naleznete v Nápovědě a podpoře pro systém Windows Vista.

Vlastnosti

ID článku: 921469 - Poslední aktualizace: 27. března 2008 - Revize: 4.2
Informace v tomto článku jsou určeny pro produkt:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
Klíčová slova: 
kbexpertiseinter kbhowto kbinfo KB921469

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com