כיצד להשתמש במדיניות הקבוצתית כדי לקבוע הגדרות ביקורת אבטחה מפורטות למחשבי לקוח של Windows Vista בתחום של Windows Server 2003 או Windows 2000

מספר מאמר: 921469 - הצג מוצרים שמאמר זה מתייחס אליהם.
הרחב הכל | כווץ הכל

בעמוד זה

תקציר

מאמר זה מתאר כיצד להשתמש במדיניות קבוצתית כדי לקבוע הגדרות ביקורת אבטחה למחשבי לקוח של Microsoft Windows Vista בתחום של Windows Server 2003 או בתחום של Windows 2000. מערכת Windows Vista מאפשרת לך לנהל את מדיניות הביקורת ברמה מפורטת יותר, באמצעות קטגוריות משנה של מדיניות הביקורת. מאמר זה מתאר הליך שבאמצעותו יכולים מנהלי מערכת לפרוס מדיניות ביקורת מותאמת אישית המחילה הגדרות ביקורת אבטחה מפורטות במחשבי לקוח של Windows Vista.
לראש הדף | ספק משוב

מבוא

מאמר זה מסביר כיצד להשתמש במדיניות קבוצתית כדי לקבוע הגדרות מפורטות של ביקורת אבטחה למחשבי לקוח של Windows Vista בתחומים של Windows Server 2003 או Windows 2000. ב-Windows Vista, ניתנת לך שליטה מוגברת בקטגוריות המשנה השונות של מדיניות הביקורת בהשוואה לגירסאות קודמות של מערכת ההפעלה Windows. קטגוריות המשנה השונות של מדיניות הביקורת הזמינות ב-Windows Vista אינן נחשפות בממשק של כלי המדיניות הקבוצתית. מנהלי מערכת יכולים להיעזר בהליך המתואר במאמר זה כדי לפרוס מדיניות ביקורת מותאמת אישית, המחילה הגדרות ביקורת אבטחה מפורטות על מחשבי לקוח של Windows Vista בתחום של Windows Server 2003 או בתחום של Windows 2000.
לראש הדף | ספק משוב

מידע נוסף

נקודות שיש להביא בחשבון

להלן כמה נקודות שיש להביא בחשבון לפני ביצוע ההליך הנדון במאמר זה:
  • ההליך עושה שימוש בקוד לדוגמה. הקוד לדוגמה משתמש במיקום המשותף של Netlogon. בנוסף, הקוד לדוגמה משתמש בתיקיה ?%SystemRoot%\Temp כמטמון.
  • ההליך עושה שימוש בתחום לדוגמה ששמו Contoso.com.
  • ההליך מבוסס על ההנחה שמתקיימים התנאים הבאים:
    • אתה בקי בהפעלת הטכנולוגיות והכלים הבאים:
      • קבצי script של הפעלת מדיניות קבוצתית
      • מסוף ניהול של מדיניות קבוצתית
      • כלי שורת הפקודה Auditpol.exe
    • יש לך הבנה בסיסית בעיבוד קבצי אצווה.
    • באפשרותך לקבוע את התצורה של מדיניות ביקורת אחת למחשבי לקוח של Windows Vista בתחום של Windows Server 2003 או של Windows 2000. מדיניות הביקורת מוקצית למדיניות ברירת המחדל של תחום.
  • אתה מכיר היטב את קבצי ה-script שההליך מתבסס עליהם כדי לעקוף את הגדרות מדיניות הביקורת הישנות המבוססות על תחומים בעזרת הגדרות מדיניות הביקורת המפורטות הזמינות ב-Windows Vista. אם אינך מעוניין לקבוע את הגדרות מדיניות הביקורת המפורטות הזמינות ב-Windows Vista, אל תשתמש בהליך המתואר במאמר זה.

השתמש במדיניות קבוצתית כדי לקבוע הגדרות ביקורת אבטחה מפורטות למחשבי לקוח של Windows Vista

כדי להשתמש במדיניות קבוצתית לקביעת הגדרות ביקורת אבטחה מפורטות למחשבי לקוח של Windows Vista בתחום של Windows Server 2003 או בתחום של Windows 2000, בצע את השלבים הבאים.

שלב 1: קבע אילו הגדרות ביקורת אבטחה ברצונך לפרוס במחשבי לקוח של Windows Vista.

  1. היכנס למחשב שבו פועלת מערכת ההפעלה Windows Vista כמשתמש בעל אישורי מנהל מערכת.
  2. לחץ על התחל, הצבע על כל התוכניות, לחץ על עזרים, לחץ בעזרת לחצן העכבר הימני על שורת הפקודה ולאחר מכן לחץ על הפעל כמנהל.
  3. בתיבת הדו-שיח בקרת חשבונות משתמשים, לחץ על המשך.
  4. רוקן את הגדרות ברירת המחדל של מדיניות הביקורת. לשם כך, הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש על ENTER:?
    auditpol /clear
  5. השתמש בכלי שורת הפקודה Auditpol.exe כדי לקבוע את ההגדרות המותאמות אישית של מדיניות הביקורת הדרושות לך.

    לדוגמה, הקלד בשורת הפקודה את השורות הבאות. הקש על ENTER לאחר כל שורה.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    שים לב כדי להציג את כל הקטגוריות ואת כל קטגוריות המשנה האפשרויות, הקלד את הפקודה הבאה בשורה הפקודה ולאחר מכן הקש על ENTER:?
    auditpol /list /subcategory:*??
  6. הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש על ENTER:?
    auditpol /backup /file:auditpolicy.txt
  7. העתק את הקובץ Auditpolicy.txt אל המיקום המשותף של Netlogon של בקר התחום המחזיק בתפקיד של אמולטור PDC (בקר תחום ראשי) בתחום.

    קובץ זה מכיל את כל הגדרות מדיניות הביקורת שקבעת. קובץ ה-script להפעלה משתמש בקובץ זה כדי להחיל מחדש את המדיניות. לאחר שתחיל בהצלחה את קובץ ה-script להפעלה פעם אחת, לא תצטרך להפעיל את המחשב מחדש כדי לעדכן את הגדרות מדיניות הביקורת. כדי לעדכן את הגדרות מדיניות הביקורת, דרוס את הגירסה הקודמת של הקובץ Auditpolicy.txt שהעתקת אל המיקום המשותף של Netlogon. לשם כך, צור קובץ Auditpolicy.txt חדש והעתק את קובץ ה-Auditpolicy.txt החדש אל המיקום המשותף של Netlogon.

שלב 2: מנע החלפה של מדיניות הביקורת במחשבי לקוח של Windows Vista על-ידי מדיניות ביקורת תחום מדור קודם

כדי למנוע החלפה של מדיניות הביקורת על-ידי מדיניות תחום מדור קודם, יש להפוך לזמינה את הגדרת המדיניות אלץ החלפת הגדרות של קטגוריות של מדיניות ביקורת בהגדרות של קטגוריות משנה של מדיניות ביקורת (Windows Vista או עדכניות יותר). הדבר ימנע ממדיניות הביקורת המבוססת על התחום לדרוס את הגדרות מדיניות הביקורת המפורטות יותר שהחלת במחשבי הלקוח של Windows Vista. לשם כך, בצע את השלבים הבאים:
  1. במחשב לקוח של Windows Vista המצורף לתחום, פתח את מדיניות ברירת המחדל של התחום.
  2. הרחב את תצורת מחשב, הרחב את הגדרות Windows, הרחב את הגדרות אבטחה, הרחב את פריטי מדיניות מקומיים ולחץ על אפשרויות אבטחה.
  3. לחץ פעמיים על ביקורת: ??כפה עקיפה של הגדרות קטגוריות של מדיניות ביקורת על-ידי הגדרות של קטגוריות משנה של מדיניות ביקורת (Windows Vista ואילך).
  4. לחץ על מופעל ולאחר מכן לחץ על אישור.

שלב 3: צור את קבצי ה-scripts והוסף אותם למיקום המשותף של Netlogon

?????Microsoft מספקת את דוגמאות התכנות שלהלן להמחשה בלבד וללא כל אחריות, בין מפורשת ובין משתמעת, ובכלל זה, אך לא רק, אחריות לגבי סחירות או התאמה למטרה מסוימת. מאמר זה מבוסס על ההנחה שאתה מכיר את שפת התכנות המודגמת ובקי בהפעלת הכלים המשמשים ליצירת פרוצדורות ולניפוי שגיאות. מהנדסי התמיכה של Microsoft יכולים לסייע בהסברת הפונקציונליות של פרוצדורה מסוימת, אך הם לא ישנו את הדוגמאות כדי לספק פונקציונליות נוספת או כדי לבנות פרוצדורות שיענו על צרכיך הספציפיים.
  1. צור את קובץ ה-script? AuditPolicy.cmd. לשם כך, בצע את השלבים הבאים:
    1. הפעל את 'פנקס רשימות' ופתח מסמך ריק.
    2. הדבק את הקוד הבא במסמך שב'פנקס רשימות':
      ?@echo off

REM AuditPolicy.cmd
REM (c) 2006 Microsoft Corporation.  All rights reserved.
REM Sample Audit Script to deploy Windows Vista
REM Granular Audit Policy settings.

REM Should be run as a startup script from Group Policy

REM ###################################################
REM Declare Variables so that we only need to edit file
REM names/paths in one location in script
REM ###################################################

set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
set OSVersionSwap=%systemroot%\temp\osversionwap.txt
set OsVersionTxt=%systemroot%\temp\osversion.txt
set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
set ApplyAuditPolicyCMD=applyauditpolicy.cmd
set AuditPolicyTxt=auditpolicy.txt

REM ###################################################
REM Clear Log & start fresh
REM ###################################################

if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
echo.

REM ###################################################
REM Check OS Version
REM ###################################################

ver | findstr "[" > %OSVersionSwap%
for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
echo OS Version=%osversion% >> %AuditPolicyLog%

REM ###################################################
REM Skip Pre-Vista
REM ###################################################

if "%osversion%" LSS "6.0" exit /b 1

REM ###################################################
REM Get Domain Name
REM ###################################################

WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
echo Machine domain=%machinedomain% >> %AuditPolicyLog%

REM ###################################################
REM Copy Script & Policy to Local Directory or Terminate
REM ###################################################

xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
    echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
    exit /b 1
) else (
    echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
)

xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
    exit /b 1
) else (
    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
)

REM ###################################################
REM Create Named Scheduled Task to Apply Policy
REM ###################################################

%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
if %ERRORLEVEL% NEQ 0 (
    echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
    exit /b 1
) else (
    echo Created scheduled task for Audit >> %AuditPolicyLog%
)

REM ###################################################
REM Start Named Scheduled Task to Apply Policy
REM ###################################################

%systemroot%\system32\schtasks.exe /run /tn audit
if %ERRORLEVEL% NEQ 0 (
    Failed to execute scheduled task for Audit >> %AuditPolicyLog%
) else (
    echo Executed scheduled task for Audit >> %AuditPolicyLog%
)
    3. בתפריט קובץ, לחץ על שמור.
    4. בתיבה שמור כסוג, לחץ על All Files, הקלד AuditPolicy.cmd בתיבה שם הקובץ ולאחר מכן לחץ על שמור.
  2. צור את קובץ ה-script? ApplyAuditPolicy.cmd. לשם כך, בצע את השלבים הבאים:
    1. הפעל את 'פנקס רשימות' ופתח מסמך ריק.
    2. הדבק את הקוד הבא במסמך שב'פנקס רשימות':
      ?@echo off

REM ApplyAuditPolicy.cmd
REM (c) 2006 Microsoft Corporation.  All rights reserved.
REM Sample Audit Script to deploy Windows Vista
REM Granular Audit Policy settings.


REM ###################################################
REM Declare Variables so that we only need to edit file
REM names/paths in one location in script
REM ###################################################

set DeleteAudit=DeleteAudit.txt
set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
set OSVersionSwap=%systemroot%\temp\osversionwap.txt
set OsVersionTxt=%systemroot%\temp\osversion.txt
set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
set AuditPolicyTxt=AuditPolicy.txt

REM ###################################################
REM Clear Log & start fresh
REM ###################################################

if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
echo.

REM ###################################################
REM Check OS Version
REM ###################################################

ver | findstr "[" > %OSVersionSwap%
for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
echo OS Version=%osversion% >> %ApplyAuditPolicyLog%

REM ###################################################
REM Skip Pre-Vista
REM ###################################################

if "%osversion%" LSS "6.0" exit /b 1

REM ###################################################
REM Get Domain Name
REM ###################################################

WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%

REM ###################################################
REM Delete Audit Task
REM Should only be used to remove the pseudo-policy from
REM client machines (designed for future Vista revisions
REM where this script will no longer be necessary, and this
REM script needs to be backed out).

REM to use, simply create a file in NETLOGON with a name
REM that matches the contents of DeleteAudit variable (above)
REM ###################################################

if exist \\%machinedomain%\netlogon\%DeleteAudit% (
    %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
    DEL %AuditPolicyLog%
    DEL %ApplyAuditPolicyLog%
    DEL %OSVersionSwap%
    DEL %OsVersionTxt%
    DEL %MachineDomainTxt%
    DEL %MachineDomainSwap%
    DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
    DEL %systemroot%\temp\%AuditPolicyTxt%
    exit /b 1
) 

REM ###################################################
REM Copy Audit Policy to Local Directory
REM This is tolerant of failures since the copy is just
REM a "cache refresh".
REM ###################################################

xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
) else (
    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
)

REM ###################################################
REM Apply Policy
REM ###################################################

%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
if %ERRORLEVEL% NEQ 0 (
    Failed to apply audit settings >> %ApplyAuditPolicyLog%
) else (
    echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
)
    3. בתפריט קובץ, לחץ על שמור.
    4. בתיבה שמור כסוג, לחץ על All Files, הקלד ApplyAuditPolicy.cmd בתיבה שם הקובץ ולאחר מכן לחץ על שמור.
  3. העתק את קובץ ה-script? AuditPolicy.cmd ואת ApplyAuditPolicy.cmd למיקום המשותף של Netlogon של בקר התחום המחזיק בתפקיד של אמולטור PDC בתחום.
  4. המתן עד שיתרחש שכפול של Active Directory. נוסף לכך, המתן עד שכל הקבצים והתיקיות בתיקיה המשותפת של המערכת (SYSVOL) יעברו שכפול בבקרי התחומים של התחום.
  5. הוסף את קובץ ה-script של ההפעלה למדיניות ברירת המחדל של התחום. לשם כך, בצע את השלבים הבאים:
    1. הפעל את הכלי 'משתמשים ומחשבים של Active Directory'.
    2. לחץ באמצעות לחצן העכבר הימני על DomainName ולאחר מכן לחץ על מאפיינים.
    3. לחץ על הכרטיסייה מדיניות קבוצתית, לחץ על מדיניות ברירת המחדל של תחום ולאחר מכן לחץ על עריכה. כעת יופעל הכלי 'עורך אובייקטי המדיניות הקבוצתית'.
    4. הרחב את תצורת מחשב, הרחב את הגדרות Windows ולאחר מכן לחץ על קובצי Script - (הפעלה/כיבוי).
    5. לחץ פעמיים על הפעלה ולאחר מכן לחץ על הוספה.
    6. בתיבה שם קובץ Script, הקלד את הנתיב של הקובץ AuditPolicy.cmd הממוקם במיקוף המשותף של Netlogon לפי תבנית המוסכמה העולמית למתן שמות (UNC). השתמש בתבנית הבאה:
      ?\\FullyQualifiedDomainName\Netlogon\AuditPolicy.cmd
      לדוגמה, הקלד ?\\contoso.com\netlogon\auditpolicy.cmd.
    7. לחץ פעמיים על אישור.

שלב 4: ודא שהגדרות ביקורת האבטחה הוחלו בהצלחה

  1. המתן עד שיתרחש שכפול של Active Directory. נוסף לכך, המתן עד שכל הקבצים והתיקיות בתיקיה המשותפת של המערכת (SYSVOL) יעברו שכפול בבקרי התחומים של התחום.
  2. הפעל מחשב לקוח של Windows Vista המחובר לתחום. לאחר מכן, היכנס למערכת כמשתמש בעל אישורי מנהל מערכת.
  3. לחץ על התחל, הצבע על כל התוכניות ולאחר מכן לחץ על עזרים.
  4. לחץ באמצעות לחצן העכבר הימני על שורת הפקודה ולאחר מכן לחץ על הפעל כמנהל.
  5. בתיבת הדו-שיח בקרת חשבונות משתמשים, לחץ על המשך.
  6. הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן, הקש על ENTER:?
    auditpol /get /category:*?
  7. ודא שהגדרות ביקורת האבטחה המוצגות בשורת הפקודה תואמות לאלה הקיימות בקובץ AuditPolicy.txt שיצרת ב"שלב 1: קבע אילו הגדרות ביקורת אבטחה ברצונך לפרוס במחשבי לקוח של Windows Vista."

    אם אין התאמה בין הגדרות ביקורת האבטחה, בדוק את קובצי היומן המופקים על ידי script האתחול בתיקיה ?%SystemRoot%\Temp. אם אינך מוצא קובץ יומן בתיקייה ?%SystemRoot%\Temp, בדוק את מחשב הלקוח של Windows Vista כדי לברר מדוע לא יצאה אל הפועל החלת המדיניות הקבוצתית.
לראש הדף | ספק משוב

מידע נוסף

לקבלת מידע נוסף על אופן קביעת ההגדרות של קובצי script ב-Active Directory, בקר באתרי האינטרנט הבאים של Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
(http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true)
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
(http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true)
לקבלת מידע נוסף על מסוף ניהול מדיניות קבוצתית, בקר באתר האינטרנט הבא של Micorsoft:?
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
(http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true)
לקבלת מידע נוסף על כלי שורת הפקודה Auditpol.exe ועל כלי שורת הפקודה Schtasks.exe, ראה 'עזרה ותמיכה של Windows Vista'.
לראש הדף | ספק משוב

מאפיינים

מספר מאמר: 921469 - סקירה אחרונה: יום שישי 23 פברואר 2007 - עדכון: 4.0
המידע במאמר זה חל על:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
מילות מפתח 
kbexpertiseinter kbhowto kbinfo KB921469
לראש הדף | ספק משוב

ספק משוב

 
לראש הדףלראש הדף