JAK: Włączanie i stosowanie inspekcji zabezpieczeń w systemie Windows 2000

Streszczenie

W tym przewodniku krok po kroku omówiono sposób włączania i stosowania inspekcji zabezpieczeń w systemie Windows.

Włączanie inspekcji zabezpieczeń w systemie Windows

Należy pamiętać o ochronie zasobów typu informacje i usługi przed osobami, które nie powinny mieć do nich dostępu oraz jednocześnie udostępniać te zasoby użytkownikom autoryzowanym. W tym artykule opisano, jak korzystać z funkcji zabezpieczeń systemu Windows 2000 do przeprowadzania inspekcji dostępu do zasobów.


Dzienniki zabezpieczeń można skonfigurować w sposób umożliwiający rejestrowanie informacji o dostępie do katalogów i plików oraz o zdarzeniach na serwerze. Poziom inspekcji można ustawić za pomocą zasad inspekcji w programie Microsoft Management Console (MMC). Zdarzenia są rejestrowane w dzienniku zabezpieczeń systemu Windows. W dzienniku zabezpieczeń można rejestrować zdarzenia dotyczące zabezpieczeń, na przykład próby prawidłowego i nieprawidłowego logowania oraz zdarzenia dotyczące użycia zasobów, na przykład tworzenie, otwieranie lub usuwanie plików. Aby decydować, które zdarzenia mają podlegać inspekcji i mają być wyświetlane w dzienniku zabezpieczeń, należy zalogować się jako administrator.


WAŻNE: Aby system Windows 2000 mógł dokonywać inspekcji dostępu do plików i folderów, należy za pomocą przystawki Zasady grupy włączyć w Zasadach grupy ustawienie Przeprowadź inspekcję dostępu do obiektów. Jeśli to ustawienie nie zostanie włączone, podczas konfigurowania inspekcji plików i katalogów, zostanie wyświetlony komunikat o błędzie, co oznacza, że nie będzie prowadzona inspekcja żadnych plików i katalogów. Po włączeniu inspekcji w przystawce Zasady grupy, w Podglądzie zdarzeń można oglądać dziennik zabezpieczeń, aby przeanalizować pomyślnie i niepomyślne próby uzyskania dostępu do plików i folderów, których inspekcja jest wykonywana.


Aby włączyć lokalną inspekcję zabezpieczeń systemu Windows:
 1. Zaloguj się do systemu Windows 2000 za pomocą konta z uprawnieniami administratora. Jeśli chcesz udzielić innym użytkownikom uprawnień do ustawiania inspekcji, zobacz temat „Włączanie innego konta w celu skonfigurowania inspekcji” w części „Materiały referencyjne” tego artykułu.
 2. Upewnij się, że zainstalowana jest przystawka Zasady grupy; jeśli jest niezainstalowana, postępuj według wskazówek podanych w temacie „Instalowanie przystawki Zasady grupy” w części „Materiały referencyjne” tego artykułu, aby ją zainstalować.
 3. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 4. Kliknij dwukrotnie ikonę Narzędzia administracyjne.
 5. Kliknij dwukrotnie węzeł Zasady zabezpieczeń lokalnych, aby uruchomić przystawkę Ustawienia zabezpieczeń lokalnych w programie MMC.
 6. Kliknij dwukrotnie węzeł Zasady lokalne, aby go rozwinąć, a następnie kliknij dwukrotnie węzeł Zasady prowadzenia inspekcji.
 7. W prawym okienku kliknij dwukrotnie zasadę, którą chcesz włączyć lub wyłączyć.
 8. Kliknij pola wyboru Sukces (pomyślna próba dostępu dotycząca zabezpieczeń podlegających inspekcji) oraz Niepowodzenie (niepomyślna próba dostępu dotycząca zabezpieczeń podlegających inspekcji) dotyczące włączenia lub wyłączenia rejestrowania. Na przykład przy tym ustawieniu, pomyślna próba logowania użytkownika do systemu zostanie zarejestrowana jako zdarzenie Sukces. Jeśli użytkownik będzie próbować uzyskać dostęp do dysku sieciowego i próba nie powiedzie się, próba zostanie zarejestrowana jako zdarzenie Niepowodzenie.
 9. Aby wyświetlić listę zalecanych inspekcji, gdy inspekcja jest ustawiania dla serwera sieci Web działającego w Internetowych usługach informacyjnych (IIS) firmy Microsoft w wersji 5.0, zobacz temat „Zalecenia dla inspekcji w serwerach sieci Web usług IIS 5.0 systemu Windows 2000” w części „Materiały referencyjne” tego artykułu.
UWAGA: Jeśli użytkownik jest członkiem domeny oraz zdefiniowana jest zasada na poziomie domeny, ustawienia z poziomu domeny zastępują lokalne ustawienia zasad.


Jeśli włączona jest usługa Active Directory, administratorzy mogą monitorować dostęp do usługi Active Directory, co umożliwia rejestrowanie w dzienniku zdarzeń usługi katalogowej, pomyślnych i nieudanych prób w kontekście inspekcji. Dziennik inspekcji jest obecny tylko na kontrolerach domeny systemu Windows 2000.


Aby włączyć inspekcję w usłudze Active Directory:
 1. Zaloguj się do systemu Windows 2000 za pomocą konta z uprawnieniami administratora; jeśli chcesz nadać innym użytkownikom uprawnienia do inspekcji, zobacz poniżej część zawierającą materiały referencyjne.
 2. Upewnij się, że zainstalowana jest przystawka Zasady grupy; jeśli jest niezainstalowana, to aby ją zainstalować, wykonaj instrukcje podane w poniższej części
 3. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory, klikając przycisk Start, wskazując polecenie Programy, a następnie wskazując polecenie Narzędzia administracyjne.
 4. W menu Widok kliknij polecenie Funkcje zaawansowane.
 5. Kliknij prawym przyciskiem myszy kontener Kontrolery domeny, a następnie kliknij polecenie Właściwości.
 6. Kliknij kartę Zasady grupy.
 7. Kliknij opcję Zasada domyślnego kontrolera domeny, a następnie kliknij polecenie Edytuj.
 8. Kliknij dwukrotnie następujące elementy, aby je otworzyć: Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady lokalne, Zasady prowadzenia inspekcji.
 9. W okienku po prawej stronie otwórz pozycję Inspekcja dostępu do usług katalogowych.
 10. Kliknij odpowiednie opcje: Prowadź inspekcję pomyślnych prób, Prowadź inspekcję prób zakończonych niepowodzeniem lub obie.
 11. Aby wyświetlić listę zalecanych inspekcji, gdy inspekcja jest ustawiania dla serwera sieci Web działającego w usługach IIS w wersji 5.0, zobacz temat „Zalecenia dla inspekcji w serwerach sieci Web usług IIS 5.0 systemu Windows 2000” w części „Materiały referencyjne” tego artykułu.
UWAGA: W systemie Windows 2000, kontrolery domeny co pięć minut sprawdzają, czy zasady nie uległy zmianie. Inne kontrolery domeny w przedsiębiorstwie otrzymują zmiany z takim samym interwałem, zwiększonym o czas replikacji.


UWAGA: Jeśli pola wyboru w sekcji Dostęp w oknie dialogowym Wpis inspekcji są zacieniowane lub jeśli przycisk Usuń jest niedostępny w oknie dialogowym Ustawienia kontroli dostępu, ustawienia inspekcji zostały odziedziczone od folderu nadrzędnego. Ponieważ rozmiar dziennika zabezpieczeń jest ograniczony, należy rozważnie wybierać pliki i foldery do inspekcji. Należy również rozważyć, ile miejsca na dysku można przeznaczyć dla dziennika zabezpieczeń. Rozmiar maksymalny jest definiowany w Podglądzie zdarzeń.


Powrót do początku

Inspekcja zdarzeń w systemie Windows 2000 Server

Ustawianie, wyświetlanie, zmienianie lub usuwanie inspekcji plików lub folderów w systemie Windows

Inspekcja jest używana do wykrywania i rejestrowania zdarzeń dotyczących bezpieczeństwa, na przykład prób uzyskania dostępu do poufnego pliku lub folderu. Gdy podejmowana jest dowolna próba uzyskania dostępu do obiektu będącego przedmiotem inspekcji, w dzienniku zabezpieczeń systemu Windows 2000 umieszczany jest wpis. Można wybrać obiekt, który będzie poddawany inspekcji, akcje do inspekcji oraz typy akcji. Po skonfigurowaniu inspekcji, można śledzić, którzy użytkownicy uzyskiwali dostęp do pewnych obiektów i analizować próby naruszenia zabezpieczeń. Dziennik inspekcji zawiera informacje o osobach, które wykonały określone akcje oraz próbowały wykonać akcje niedozwolone.


Aby ustawić inspekcję:
 1. Uruchom Eksploratora Windows (kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, a następnie kliknij polecenie Eksplorator Windows), a następnie zlokalizuj plik lub folder wybrany do inspekcji.
 2. Prawym przyciskiem myszy kliknij plik lub folder, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
 3. Kliknij przycisk Zaawansowane, a następnie kliknij kartę Inspekcja.
 4. Wykonaj jedną z następujących czynności: 
  1. Aby ustawić inspekcję dla nowej grupy lub użytkownika:
   1. Kliknij przycisk Dodaj. W polu Nazwa wpisz nazwę użytkownika, który będzie poddany inspekcji.
   2. Kliknij przycisk OK, aby automatycznie otworzyć okno dialogowe Wpis inspekcji.
  2. Aby wyświetlić lub zmienić ustawienia inspekcji dla istniejącej grupy lub użytkownika, kliknij nazwę, a następnie kliknij przycisk Wyświetl/Edytuj.
  3. Aby usunąć ustawienia inspekcji dla istniejącej grupy lub użytkownika, kliknij nazwę, a następnie kliknij przycisk Usuń.
 5. W polu Dostęp kliknij pozycję Powodzenie, Niepowodzenie lub obie Niepowodzenie oraz Powodzenie, w zależności od typu dostępu będącego przedmiotem inspekcji.
 6. Jeśli chcesz chronić pliki i podkatalogi w drzewie przed dziedziczeniem wpisów inspekcji, kliknij, aby zaznaczyć pole wyboru Zastosuj te wpisy inspekcji.
Powrót do początku

Inspekcja w celu wykrycia nieautoryzowanego dostępu

Za pomocą dziennika zabezpieczeń systemu Windows można wykryć nieautoryzowane próby dostępu; są one zapisywane w postaci ostrzeżeń lub błędów jako wpisy dziennika. Wpisy można ponadto archiwizować do późniejszego użycia.


Aby wykryć prawdopodobne problemy zabezpieczeń, przeglądając dziennik zabezpieczeń systemu Windows:
 1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 2. Kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.
 3. Rozwiń węzeł Narzędzia systemowe, a następnie rozwiń węzeł Podgląd zdarzeń.
 4. Kliknij pozycję Zabezpieczenia.


  UWAGA: Jeśli nie można wyświetlić dziennika zabezpieczeń, aktualne konto użytkownika nie ma uprawnień do wykonania tej czynności. Problem występuje, ponieważ zasady zabezpieczeń na poziomie domeny zastępują zasady zabezpieczeń na poziomie komputera, co oznacza, że można być zalogowanym na lokalnym komputerze jako administrator i nie mieć dostępu do dziennika zabezpieczeń komputera. Aby uzyskać te uprawnienia, skontaktuj się z administratorem sieci. Aby uzyskać więcej informacji o zasadach zabezpieczeń, zajrzyj do dokumentacji systemu Windows.
 5. Zbadaj dzienniki i sprawdź, czy nie występują podejrzane zdarzenia dotyczące zabezpieczeń, w tym następujące zdarzenia:
  • Próby nieprawidłowego logowania.
  • Niepomyślne użycie uprawnień.
  • Niepomyślne próby dostępu i modyfikowania plików bat lub cmd.
  • Próby zmiany uprawnień zabezpieczeń lub dziennika inspekcji.
  • Próby zamknięcia serwera.
Powrót do początku

Korzystanie z dzienników zabezpieczeń systemu Windows

Archiwizowanie dziennika zabezpieczeń systemu Windows

Aby archiwizować dziennik zabezpieczeń systemu Windows:
 1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 2. Kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.
 3. Rozwiń węzeł Narzędzia systemowe, a następnie rozwiń węzeł Podgląd zdarzeń.
 4. Kliknij kartę Zabezpieczenia.
 5. W menu Akcja kliknij polecenie Zapisz plik dziennika jako.
 6. W oknie dialogowym Zapisz jako kliknij katalog, w którym chcesz zapisać plik, a następnie wpisz nazwę pliku.
UWAGA: Dziennik zabezpieczeń można zapisać jako plik zdarzenia (evt), plik tekstowy (txt) lub plik rozdzielony przecinkami (csv).


Powrót do początku

Otwieranie zarchiwizowanego dziennika zabezpieczeń systemu Windows

Aby otworzyć zarchiwizowany dziennik zabezpieczeń systemu Windows
 1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 2. Kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.
 3. Rozwiń węzeł Narzędzia systemowe, a następnie rozwiń węzeł Podgląd zdarzeń.
 4. W menu Dziennik kliknij polecenie Zabezpieczenia.
 5. W menu Akcja wskaż polecenie Otwórz plik dziennika.
 6. W oknie dialogowym Otwieranie kliknij uprzednio zapisany dziennik lub przejdź do lokalizacji przy użyciu listy Szukaj w i przejdź do pliku.
 7. Na liście Typ dziennika kliknij pozycję Zabezpieczenia.
 8. Kliknij przycisk OK, aby otworzyć plik w przeglądarce.
Powrót do początku

Rozwiązywanie problemów

Ponieważ rozmiar dziennika zabezpieczeń jest ograniczony, należy z uwagą wybierać pliki i foldery do inspekcji. Należy również rozważyć, ile miejsca na dysku można przeznaczyć dla dziennika zabezpieczeń. Rozmiar maksymalny jest definiowany w Podglądzie zdarzeń.


WAŻNE: Aby system Windows 2000 mógł dokonywać inspekcji dostępu do plików i folderów, należy za pomocą przystawki Zasady grupy włączyć w Zasadach grupy ustawienie Przeprowadź inspekcję dostępu do obiektów. Jeśli to ustawienie nie zostanie włączone, podczas konfigurowania inspekcji plików i katalogów, zostanie wyświetlony komunikat o błędzie, co oznacza, że nie będzie prowadzona inspekcja żadnych plików i katalogów. Po włączeniu inspekcji w przystawce Zasady grupy, w Podglądzie zdarzeń można oglądać dziennik zabezpieczeń, aby przeanalizować pomyślne i niepomyślne próby uzyskania dostępu do plików i folderów, których inspekcja jest wykonywana.


Powrót do początku


Materiały referencyjne

Instalowanie przystawki Zasady grupy

Aby korzystać z funkcji inspekcji opisywanych w tym artykule, należy zainstalować przystawkę Zasady grupy. Przystawka nie jest dołączona do konsoli Zarządzanie komputerem i należy utworzyć nową konsolę dla przystawki Zasady grupy. Aby uzyskać więcej informacji o dodawaniu przystawek do konsoli MMC, zajrzyj do dokumentacji systemu Windows 2000.


Aby utworzyć nową konsolę MMC i dodać przystawkę Zasady grupy:
 1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom. W polu Uruchamianie wpisz polecenie
  mmc, aby uruchomić nową konsolę MMC.
 2. W menu Konsola kliknij polecenie Dodaj/Usuń przystawkę.
 3. W oknie dialogowym Dodaj/Usuń przystawkę kliknij przycisk Dodaj.
 4. W oknie dialogowym Dodawanie przystawki autonomicznej, na liście dostępnych przystawek kliknij pozycję Zasady grupy. Kliknij przycisk Dodaj.
 5. W oknie dialogowym Wybieranie obiektu zasad grupy, kliknij przycisk Zakończ, aby dokonać inspekcji komputera lokalnego, lub przycisk Przeglądaj, aby zlokalizować komputer do inspekcji.
 6. Po kliknięciu przycisku Przeglądaj, przejdź do kroku 7. Po kliknięciu przycisku Zakończ, przejdź do kroku 9.
 7. W oknie dialogowym Przeglądanie obiektów zasad grupy kliknij kartę Komputery, kliknij pozycję Inny komputer, przejdź do komputera wybranego do inspekcji, a następnie kliknij przycisk OK.
 8. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij przycisk Zakończ.
 9. Zamknij okno dialogowe Dodawanie przystawki autonomicznej.
 10. Kliknij przycisk OK.
 11. W menu Konsola zaznacz polecenie Zapisz, aby zapisać nową konsolę na dysku twardym. Ta konsola będzie używana do konfigurowania funkcji inspekcji.
Powrót do początku

Włączanie innego konta w celu skonfigurowania inspekcji

Domyślnie tylko członkowie grupy Administratorzy mają uprawnienia do konfigurowania inspekcji. Zadanie konfigurowania inspekcji zdarzeń można delegować innemu użytkownikowi, udzielając uprawnienia Zarządzanie dziennikiem inspekcji i zabezpieczeń w Zasadach grupy.


Aby umożliwić konfigurowanie inspekcji przez inne konto:
 1. W utworzonej właśnie konsoli Zasady grupy, rozwiń następujące menu w odpowiedniej kolejności:
  1. Konfiguracja komputera
  2. Ustawienia systemu Windows
  3. Ustawienia zabezpieczeń
  4. Zasady lokalne
  5. Przypisania praw użytkownika
 2. Kliknij polecenie Zarządzanie dziennikiem inspekcji zabezpieczeń, kliknij menu Akcja, a następnie kliknij polecenie Zabezpieczenia.
 3. W oknie dialogowym Zarządzanie dziennikiem inspekcji zabezpieczeń kliknij przycisk Dodaj.


  UWAGA: Jeśli przycisk Dodaj jest niedostępny (zacieniowany), kliknij, aby wyczyścić pole wyboru Wyklucz z zasad lokalnych w celu uaktywnienia przycisku Dodaj.
 4. Kliknij na liście odpowiedniego użytkownika lub grupę użytkowników, a następnie kliknij przycisk Dodaj. Kliknij przycisk OK.
Powrót do początku

Zalecenia dla inspekcji w serwerach sieci Web usług IIS 5.0 systemu Windows 2000

W przypadku komputerów z systemem Windows 2000 Server z uruchomionymi usługami IIS 5.0 inspekcji należy dokonywać, korzystając z następujących zdarzeń systemu Windows. „Inspekcja prób zakończonych powodzeniem” oznacza zainteresowanie zdarzeniami pomyślnymi podczas wykonywania zdarzenia, zdarzenie „Inspekcja prób zakończonych niepowodzeniem” oznacza zainteresowanie niepowodzeniami. Ustawienie „Włączone” oznacza dokonywanie inspekcji zdarzenia, ustawienie „Wyłączone” oznacza, że zdarzenie nie jest poddawane inspekcji.


Na następującej liście wymieniono sugestie dotyczące inspekcji dla różnych zdarzeń mających miejsce na komputerze z systemem Windows 2000, będącym serwerem sieci Web usług IIS:
 • Logowanie do konta
  Inspekcja prób zakończonych powodzeniem: Włączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Zarządzenie kontem
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Dostęp do usługi katalogowej
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Logowanie
  Inspekcja prób zakończonych powodzeniem: Włączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Dostęp do obiektu
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Wyłączone
 • Zmiana zasad
  Inspekcja prób zakończonych powodzeniem: Włączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Korzystanie z przywilejów
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Włączone
 • Śledzenie procesu
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Wyłączone
 • System
  Inspekcja prób zakończonych powodzeniem: Wyłączone


  Inspekcja prób zakończonych niepowodzeniem: Wyłączone
Powrót do początku

Właściwości

Identyfikator artykułu: 300549 — ostatni przegląd: 19.09.2003 — zmiana: 1

Opinia