Αναγνωριστικά συμβάντων 560 και 562 εμφανίζεται πολλές φορές στο αρχείο καταγραφής συμβάντων ασφαλείας

Συμπτώματα

Αφού ρυθμίσετε τις παραμέτρους πολιτικής ομάδας "ή" τοπική πολιτική ασφαλείας "για να ελέγξετε την πρόσβαση σε ένα αντικείμενο, πολλά συμβάντα παρόμοια με τα ακόλουθα συμβάντα εμφανίζονται στο αρχείο καταγραφής συμβάντων ασφαλείας:



Τα συμβάντα αυτά εμφανίζονται αν δεν έχετε ρυθμίσει τις παραμέτρους του λίστα ελέγχου πρόσβασης ασφαλείας (SACL) του αντικειμένου που ελέγχετε. Τα συμβάντα εμφανίζονται επίσης, εάν έχετε ρυθμίσει το SACL, αλλά όχι για όλες οι προσβάσεις που παρατίθενται. Για παράδειγμα, αυτά τα συμβάντα καταγράφονται όταν ένας χρήστης ή ένα πρόγραμμα διαβάζει ένα δευτερεύον κλειδί μητρώου και δεν έχετε επιλέξει το στοιχείο Έλεγχος ανάγνωσης ή το πλαίσιο ελέγχου Τιμή ερωτήματος με την καταχώρηση ελέγχου για αυτό το δευτερεύον κλειδί μητρώου.

Σημείωση Για πρόσθετες πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων ελέγχου, ανατρέξτε στην ενότητα "Περισσότερες πληροφορίες".

Αιτία

Αυτό το ζήτημα ενδέχεται να προκύψει εάν ισχύει μία από τις ακόλουθες συνθήκες:

  • Μπορείτε να ενεργοποιήσετε τη ρύθμιση τοπικής πολιτικής ασφαλείας ελέγχου της πρόσβασης των αντικειμένων του καθολικού συστήματος . Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, θα δημιουργηθούν πολλά συμβάντα ελέγχου. Αυτά τα συμβάντα είναι συνήθως προέλευση συμβάντων ασφαλείας με 560 Αναγνωριστικού συμβάντος, όπου ο τύπος αντικειμένου είναι συμβάν, μεταλλαγής, διαδικασία, ενότητα, σηματοφορέα (semaphore), νήμα ή διακριτικό. Τα συμβάντα αυτά έχουν ενδιαφέρον μόνο για έναν προγραμματιστή του συστήματος. Συνήθως, η ρύθμιση τοπικής πολιτικής ασφαλείας ελέγχου της πρόσβασης των αντικειμένων του καθολικού συστήματος δεν είναι ενεργοποιημένη.
  • Μπορείτε να ενεργοποιήσετε τον έλεγχο σε έναν ελεγκτή τομέα. Όταν ενεργοποιείτε τον έλεγχο σε έναν ελεγκτή τομέα, έλεγχος συμβάντων θα δημιουργηθούν που συνήθως περιέχουν αναφορές για τους παρακάτω τύπους αντικειμένων:

    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Τα συμβάντα αυτά δηλώνουν ότι έχουν λίστες ελέγχου πρόσβασης ασφαλείας (SACL) για τα αντικείμενα διαχείρισης λογαριασμών ασφαλείας (SAM) και ότι υπάρχει πολύ SAM που σημειώθηκαν δραστηριότητας. Συνήθως, αυτά τα συμβάντα προκύπτουν μόνο σε έναν ελεγκτή τομέα.
  • Μπορείτε να χρησιμοποιήσετε μια εφαρμογή που ανοίγει αντικείμενα ελέγχονται πολύ συχνά ή που ανοίγει ελέγχονται αντικειμένων με μεγαλύτερη πρόσβαση από απαιτεί την εφαρμογή. Για παράδειγμα, η εφαρμογή μπορεί να ζητήσει πρόσβαση πλήρους ελέγχου, όταν η εφαρμογή απαιτεί μόνο δικαιώματα ανάγνωσης. Όταν παρουσιαστεί αυτή η συμπεριφορά, συμβάντα ενδέχεται να δημιουργηθεί όταν η συσχετισμένη διεργασία είναι πάντα την ίδια εφαρμογή.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:

Μέθοδος 1

Εάν έχετε ήδη ενεργοποιήσει αυτήν τη ρύθμιση, απενεργοποιήστε τη ρύθμιση τοπικής πολιτικής ασφαλείας ελέγχου της πρόσβασης των αντικειμένων του καθολικού συστήματος . Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε gpedit.msc και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε την ακόλουθη καταχώρηση:
    Κονσόλα Root\Local υπολογιστή υπολογιστή\Ρυθμίσεις Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές Πολιτικές\επιλογές ασφαλείας
  3. Κάντε διπλό κλικ στην πολιτική ελέγχου της πρόσβασης των αντικειμένων του καθολικού συστήματος , κάντε κλικ στην επιλογή απενεργοποιημένη στο πλαίσιο Τοπική πολιτικήκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  4. Από το μενού της κονσόλας , κάντε κλικ στο κουμπί Έξοδοςκαι, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.

Μέθοδος 2

Χρησιμοποιήστε το συμπληρωματικό πρόγραμμα ADSI Edit για να καταργήσετε τις καταχωρήσεις ελέγχου σε το SACL για ένα αντικείμενο SAM, εάν έχετε ενεργοποιήσει τον έλεγχο σε έναν ελεγκτή τομέα. Για να γίνει αυτό, ακολουθήστε τα εξής βήματα.

Σημείωση Το συμπληρωματικό πρόγραμμα ADSI Edit βρίσκεται στο φάκελο υποστήριξης από το CD-ROM εγκατάστασης των Windows 2000.

Προειδοποίηση Εάν χρησιμοποιείτε το συμπληρωματικό πρόγραμμα ADSI Edit, το βοηθητικό πρόγραμμα LDP ή οποιαδήποτε άλλα πελάτη του LDAP έκδοσης 3 και τροποποιήσετε εσφαλμένα τα χαρακτηριστικά των αντικειμένων της υπηρεσίας καταλόγου Active Directory, μπορεί να προκαλέσετε σοβαρά ζητήματα. Αυτά τα προβλήματα ενδέχεται να απαιτήσουν την επανεγκατάσταση των Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, ή Windows και Exchange. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα προβλήματα που προκύπτουν Εάν τροποποιήσετε εσφαλμένα χαρακτηριστικά αντικειμένων της υπηρεσίας καταλόγου Active Directory είναι δυνατό να επιλυθούν. Τροποποιήστε τα χαρακτηριστικά αυτά με δική σας ευθύνη.


  1. Συνδεθείτε στον ελεγκτή τομέα χρησιμοποιώντας ένα λογαριασμό που διαθέτει δικαιώματα διαχειριστή τομέα.
  2. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε adsiedit.mscκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  3. Στην κονσόλα διαχείρισης ADSI Edit, κάντε δεξιό κλικ στο ADSI Editκαι, στη συνέχεια, κάντε κλικ στο κουμπί σύνδεση.
  4. Στο παράθυρο διαλόγου σύνδεσης , βεβαιωθείτε ότι είναι ενεργοποιημένη η επιλογή Αποκλειστικό όνομα και, στη συνέχεια, πληκτρολογήστε τα ακόλουθα στο Αποκλειστικό όνομα πεδίου:
    CN = Server, CN = System, DC =όνομα_τομέα, DC = aceholderDomain_Extensionσε αυτά τα βήματα.
  5. Ενεργοποιήστε την επιλογή προεπιλογή (τομέα ή διακομιστή, ο οποίος θα συνδεθεί σε) και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  6. Στην κονσόλα διαχείρισης ADSI Edit, κάντε δεξιό κλικ το CN = Server, CN = System, DC =όνομα_τομέα, DC =Domain_Extension φάκελο, και στη συνέχεια κάντε κλικ στο κουμπί Ιδιότητες.
  7. Στο το CN = Server, CN = System, DC =όνομα_τομέα, DC =Domain_Extension ιδιότητες διαλόγου, κάντε κλικ στην καρτέλα ασφάλεια .
  8. Κάντε κλικ στο κουμπί για προχωρημένουςκαι στη συνέχεια κάντε κλικ στην καρτέλα Έλεγχος .
  9. Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου δυνατότητα μεταβίβασης καταχωρήσεων ελέγχου από το γονικό αντικείμενο σε αυτό το αντικείμενο .
  10. Όταν εμφανιστεί το ακόλουθο μήνυμα, κάντε κλικ στο κουμπί Κατάργηση.

    Εμποδίζουν τις μεταβιβαζόμενες καταχωρήσεις ελέγχου από μετάδοση σε αυτό το αντικείμενο. Τι θέλετε να κάνετε;
  11. Κάντε κλικ στο κουμπί OK δύο φορές για να αποθηκεύσετε τη ρύθμιση και να κλείσετε το CN = Server, CN = System, DC =όνομα_τομέα, DC =Domain_Extension ιδιότητες διαλόγου.

Η μέθοδος 3

Ρύθμιση παραμέτρων της προσαρμοσμένης εφαρμογής για να ανοίξετε αντικείμενα ελέγχονται μόνο όπως απαιτείται. Για παράδειγμα, ρυθμίσετε την προσαρμοσμένη εφαρμογή για να ζητήσει μόνο της ελάχιστης πρόσβασης που απαιτείται. Εάν η προσαρμοσμένη εφαρμογή απαιτεί μόνο δικαιώματα ανάγνωσης για ένα συγκεκριμένο αντικείμενο, εκχωρήστε μόνο δικαιώματα ανάγνωσης. Στην περίπτωση αυτή, δεν είναι απαραίτητη πρόσβαση πλήρους ελέγχου.

Περισσότερες πληροφορίες

Τα Windows 2000 υλοποιεί τον έλεγχο με βάση την πρόσβαση που ζητείται από το χρήστη ή από ένα πρόγραμμα. Εάν ένας χρήστης ή ένα πρόγραμμα αποκτά πρόσβαση σε ένα αντικείμενο, χρησιμοποιώντας ένα λογαριασμό που έχει ένα επίπεδο μπορούν να ελεγχθούν πρόσβαση στο αντικείμενο, τα Windows δημιουργούν το αντίστοιχο συμβάν ελέγχου. Για παράδειγμα, εάν έχετε ρυθμίσει κάποιο πρόγραμμα με δικαιώματα εγγραφής σε ένα αντικείμενο και έχετε ρυθμίσει τις παραμέτρους ελέγχου για συμβάντα εγγραφής, ένα συμβάν ελέγχου εγγραφή δημιουργείται όταν το πρόγραμμα αυτό αποκτά πρόσβαση στο αντικείμενο. Αυτή η συμπεριφορά παρουσιάζεται ακόμα και αν το πρόγραμμα δεν εκτελεί μια λειτουργία εγγραφής σε ένα δευτερεύον κλειδί μητρώου. Σε αυτό το σενάριο, αυτό το συμβάν ελέγχου δημιουργείται επειδή το πρόγραμμα έχει τη δυνατότητα εγγραφής στο αντικείμενο.

Των Windows εφαρμόζει αυτή η μέθοδος ελέγχου για τη διατήρηση της συμμόρφωσης με τα πρότυπα πιστοποιητικών κοινά κριτήρια και στο παρελθόν, τα πρότυπα πιστοποίησης C2. Για πρόσθετες πληροφορίες σχετικά με τις απαιτήσεις ελέγχου C2, ανατρέξτε στον Οδηγό A για Κατανόηση ελέγχου σε αξιόπιστα συστήματα. Για να δείτε αυτόν τον οδηγό, επισκεφθείτε την ακόλουθη τοποθεσία Web:"Σημείο 6.1.1 ελέγξιμες συμβάντα" σε αυτόν τον οδηγό, περιέχει τα ακόλουθα δύο συμβάντα μπορούν να ελεγχθούν:

  • Εισαγωγή αντικειμένων στο χώρο διευθύνσεων ενός χρήστη
  • Διαγραφή αντικειμένων από το χώρο διευθύνσεων ενός χρήστη
Στα Windows, 560 Αναγνωριστικό συμβάντος αντιπροσωπεύει το πρώτο συμβάν και 562 Αναγνωριστικό συμβάντος αντιπροσωπεύει το δεύτερο συμβάν.

Για πρόσθετες πληροφορίες σχετικά με τα πρότυπα πιστοποιητικών κοινά κριτήρια, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για πρόσθετες πληροφορίες σχετικά με τον τρόπο ελέγχου των κλειδιών μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

315416 Τρόπος χρήσης πολιτικής ομάδας για τον έλεγχο των κλειδιών μητρώου στα Windows 2000

Για πρόσθετες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
816915 νέα διάταξη ονομασίας αρχείων για πακέτα ενημερωμένων εκδόσεων λογισμικού των Microsoft Windows
824684 περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft
Η Microsoft παρέχει στοιχεία επικοινωνίας με τρίτους για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας ενδέχεται να αλλάξουν χωρίς ειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.
Ιδιότητες

Αναγνωριστικό άρθρου: 841001 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια