none
幫忙釐清稽核觀念! RRS feed

  • 問題

  • Hi,

     

    想請教大家一個觀念的問題!

    目前想要針對domain user作檔案存取的稽核,我目前有一台file server並且也是DC[windows 2003],如果要做這方面的稽核的話,要對哪個群組原則物件作設定呢?

     

    是default domain controllers policy or default domain policy ? 這兩個物件都有object access的稽核項目可以控制,要選哪一個呢? 此外,如過是針對單一檔案伺服器[不是DC] ,那設定也是一樣嗎?

     

    還有個問題要請教大家,一但啟用機核之後,伺服器的記憶體和cpu的使用都會上升很多嗎?目前針對這台檔案伺服器的differential backup平均都有4GB,這樣一但啟用稽核,可能會增加主機很多負荷嗎?

     

     

    請大家幫忙解惑一下

    感激!

    2007年8月10日 上午 03:51

所有回覆

    • 用 defaule domain controller policy; 但是建議, 建立一個 OU 將 File Server 搬移至此 OU, 然後針對這 OU 設定檔案存取的稽核:
      • Computer configuration---> Windows Settings---> Local Policies---> Audit Policy
        "Audit Directory Services Access"
    • 開啟稽核後, CPU/ RAM 等都會上升, 多寡取決於存取是否很平凡. 同時 log 檔案也會隨之成長.

    以我的環境為例: 兩部 DC, 有約 2500 個帳號. 因初期導入 SCOM, 所以想了解稽核機制以及資料分析. 因此將 DC 的稽核機制開啟. 一天的量約有 60 GB 會寫入 SQL DB.

     

    2007年8月10日 上午 04:58
  •  RYAN LIAO 寫信:
    • 用 defaule domain controller policy; 但是建議, 建立一個 OU 將 File Server 搬移至此 OU, 然後針對這 OU 設定檔案存取的稽核:
      • Computer configuration---> Windows Settings---> Local Policies---> Audit Policy
        "Audit Directory Services Access"
    • 開啟稽核後, CPU/ RAM 等都會上升, 多寡取決於存取是否很平凡. 同時 log 檔案也會隨之成長.

    以我的環境為例: 兩部 DC, 有約 2500 個帳號. 因初期導入 SCOM, 所以想了解稽核機制以及資料分析. 因此將 DC 的稽核機制開啟. 一天的量約有 60 GB 會寫入 SQL DB.

     

     

    預設情況下, security event log 的大小是設定在 131072KB, 當超過所設定大小時會 overwrite. 由於預設已將 log 的檔案限制大小, 因此對你來說資料不會有太大的成長. 除非是透過其他產品 (例如 SCOM) 將 log 寫至 SQL DB.

    2007年8月10日 上午 05:28
  • Hi ,Ryan:

     

    謝謝你的答覆.

    在請教一下,設定"Audit directory services access" 和 "Audit object access"有何不同呢?

    如果只是要稽核domain user存取檔案的紀錄,只要啟動directory services access嗎? object access需要啟動嗎?

    之前我有設定啟動audit object access,但是在security logs中,並沒有看到任何有關使用者存取的紀錄.

     

    可以幫忙解釋一下原因嗎?

     

    感激!

     

     

    2007年8月10日 上午 07:10
  • 不好意思...應該要用 audit object access 而不是 directory services access.

    Directory Services Access 是稽核 DC 的物件

    Object Access 是稽核檔案存取

    設定 Object Acceess 時有把 Success 以及 Failure 同時也打勾嗎? 然後直行 gpupdate.

    2007年8月10日 上午 07:22
  • Hi, Ryan:

     

    我也是設定成功失敗皆紀錄,但是security log只看到兩種user的log , [administrator , system],沒有看到網域使用者的帳號ㄝ?

     

    這會是啥摩原因呢?

     

     

    thank.

    2007年8月10日 上午 07:34
  • 你有在 file server 上設定 SACL 嗎? 把 file server 上的 audit 打開就會看到.

    2007年8月10日 上午 08:21
  • HI , Ryan:

     

    你的意思是設定了群組原則之後,還必須在我要稽核的資料匣上設定要稽核的對象(Auditing Entries)嗎?

    也就是說單單設定了群組原則只是啟動了稽核的功能,但是要要對誰稽核,還必須額外設定稽核對象和物件嗎?

    這樣才可以將存取的紀錄寫到seurity logs?

     

     

     

    thanks.

     

     

    2007年8月10日 上午 08:45
  •  

    那個EXCHANGE SERVER 就不要搬了哦..

    免得你又要為這個搬了EXCH -SERV 而苦惱哦~~

    2007年8月10日 上午 08:46
  • Hi , Eric:

     

     

     謝謝你的資訊,問題已解決.

     

    2007年8月16日 上午 06:11