Upload
ferdinand-baert
View
266
Download
1
Embed Size (px)
Citation preview
Hoofdstuk 7: Beveiliging en beheer
Beveiliging en beheer 2
Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot een domein of tot de individuele systemen in het domein of op het netwerk.
Beveiliging en beheer
Beveiliging en beheer 3
Met behulp van beleid vermijdt u dat gebruikers handelingen verrichten die door het bedrijf niet zijn toegestaan.
Via de beleidsinstellingen kunnen gebruikersmogelijkheden helder, overzichtelijk en automatisch worden aangeboden.
Beveiliging en beheer
Beveiliging en beheer 4
Beleid kunt u op twee manieren instellen: ◦ met de MMC-module Local Security Policy ◦ met de MMC-module Group Policy Management
Editor.
Beveiliging en beheer
Beveiliging en beheer 5
In de MMC-module Local Security Policy bevinden zich de beveiligingsinstellingen voor een computer in het netwerk.
Dit is hetzelfde als de MMC Lokaal beveiligingsbeleid in Windows Vista.
Local Security Policy
Beveiliging en beheer 6
U start deze MMC-module via Start, Administratieve Tools, Local Security Policy.
Local Security Policy
Beveiliging en beheer 7
U kunt de MMC Local Security Policy ook opvragen met het commando secpol.msc
Local Security Policy
Beveiliging en beheer 8
Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen bestaat
Local Security Policy
Beveiliging en beheer 9
Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen
bestaat
Local Security Policy
Account PoliciesLocal Policies
Windows Firewall with Advanced Security
Network List Manager PoliciesPublic Key
PoliciesSoftware Restriction PoliciesIP Security Policies on Local Computer
Beveiliging en beheer 10
De Account Policies dienen om de veiligheid te vergroten en zijn onderverdeeld in drie containers :◦ Password Policy;◦ Account Lockout Policy;◦ Kerberos Policy.
Local Security Policy – Account policies
Beveiliging en beheer 11
Dubbelklik op de container Account Policies. De drie containers: Password Policy,
Account Lockout Policy en Kerberos Policy verschijnen.
Local Security Policy –Account policies
Beveiliging en beheer 12
Dit beleid bepaalt de veiligheidseisen op de computer (niet per gebruiker).
Als u dubbelklikt op de container Password Policy kunt u in het rechtervenster zes instellingen voor het wachtwoordbeleid aanpassen
Local Security Policy –Password policy
Beveiliging en beheer 13
In de rechtervenster ziet u dat op zes verschillende instellingen het wachtwoordbeleid kunt aanpassen.
Local Security Policy –Password policy
Beveiliging en beheer 14
Windows Server 2008 onthoudt eerder gebruikte wachtwoorden.
Als standaard is dit beleid ingesteld op 24 verschillende wachtwoorden. Dit betekent dat de laatste 24 wachtwoorden worden onthouden. Een wachtwoord kan dus pas weer gebruikt worden nadat het 24 keer is gewijzigd.
Password policy – Enforce password history
Beveiliging en beheer 15
Klik op Enforce password history; u ziet dat u de ingestelde waarde 24 niet kunt veranderen.
Password policy – Enforce password history
Beveiliging en beheer 16
De reden is simpel: u hebt de server gepromoveerd tot domeincontroller.
Binnen een domein geldt dat de instellingen van de Default Domain Policy boven de Local Security Policy gaat.
De lokale waarden worden overgenomen door de Default domain Settings.
Password policy – Enforce password history
Beveiliging en beheer 17
Groepsbeleid kan zowel op het niveau van het domein als op het niveau van de organisatie-eenheden (OU’s) bepaald worden.
Hierdoor kunnen we een algemeen beleid voor het domein bepalen en variaties (aanvullingen of uitzonderingen) daarop vastleggen per OU.
Groepsbeleid
Beveiliging en beheer 18
Alle domeincontrollers in het domein worden beïnvloed door de instellingen die in deze MMC-module worden opgeslagen.
U roept dit beleid op met de MMC-module Group Policy Management Editor.
Groepsbeleid
Beveiliging en beheer 19
Een GPO of Group Policy Object (groepsbeleidsobject) biedt de mogelijkheid om instellingen voor groepsbeleid op te slaan in een enkel object. GPO’s worden opgeslagen in de Active Directory (AD).
Groepsbeleid
Beveiliging en beheer 20
U kunt ook een GPO aanmaken op basis van een reeds bestaande GPO (Source Starter GPO).
Dan heeft het nieuwe groepsbeleidsobject alle instellingen en bijhorende waarden die in het Source Starter GPO werden gedefinieerd.
Groepsbeleid
Beveiliging en beheer 21
GPO’s worden verwerkt op het niveau waarop ze geplaatst zijn.
Er kunnen meerdere GPO’s in één domein aangemaakt worden.
Groepsbeleid
Beveiliging en beheer 22
GPO’s worden in de volgende volgorde uitgevoerd:◦ De lokale GPO.◦ De Site niveau geplaatste GPO’s.◦ De op domein niveau geplaatste GPO’s.◦ Ten slotte de in een OU geplaatste GPO’s.
groepsbeleid
Beveiliging en beheer 23
Bepaalde OU’s worden nogmaals onderverdeeld in andere OU’s.
De GPO’s die in de OU op een lager niveau zijn verstrekt, gaan boven die op een hoger niveau.
Groepsbeleid
Beveiliging en beheer 24
Het maken van groepsbeleid doet u met de Group Policy Management Editor als volgt.
Group Policy Management Editor
Beveiliging en beheer 25
Open de Group Policy Management Editor via Start, Administrative Tools, Group Policy Management.
Group Policy Management Editor
Beveiliging en beheer 26
Navigeer naar het domein: GVB.be in Forest: GVB.be/Domains).
Klik met rechts op de domeinnaam en maak een nieuw GPO (Group Policy Object).
Group Policy Management Editor
Beveiliging en beheer 27
Selecteer Create a GPO in this domain, and link it here.
Group Policy Management Editor
Beveiliging en beheer 28
Geef de GPO een nieuwe naam Main GPO en klik vervolgens op OK.
Group Policy Management Editor
Beveiliging en beheer 29
Verwijder de GPO Main GPO door er met de rechtermuisknop op te klikken en Delete te selecteren
Group Policy Management Editor
Beveiliging en beheer 30
U gaat nu de GPO Default Domain Policy bewerken.
Group Policy Management Editor
Beveiliging en beheer 31
Open de GPO Default Domain Policy; klik erop met de rechtermuisknop en kies Edit.
Group Policy Management Editor
Beveiliging en beheer 32
Bij het openen van de Group Policy Management Editor ziet u dat binnen een GPO tweemodules voorkomen:◦ Computer Configuration.◦ User Configuration.
Group Policy Management Editor
Beveiliging en beheer 33
In deze modules bevinden zich verschillende containers, ingedeeld naar specifiek te configureren policies.
Group Policy Management Editor -User en Computer configuration
Beveiliging en beheer 34
Deze module bevat de groepspolicies voor het computersysteem onafhankelijk van de gebruiker.
Dit beleid wordt toegepast tijdens het opstarten van het computersysteem.
Group Policy Management Editor -Computer Configuration
Beveiliging en beheer 35
Deze module bevat de groepspolicies voor de gebruiker onafhankelijk van het computersysteem.
Group Policy Management Editor -User configuration
Beveiliging en beheer 36
Via Computer configuration, Windows Settings, Security Settings kunt u het beleid via een GPO dat gelinkt kan zijn aan een site, een domein of een OU bekijken of bewerken.
Group Policy Management Editor -Computer configuration
Beveiliging en beheer 37
Selecteer de container “Account Policies” en open vervolgens de container “Password Policy”.
Group Policy Management Editor -Computer configuration
Beveiliging en beheer 38
U ziet dezelfde zes verschillende opties als bij de Password Security van de Local Security Policy.◦ Enforce password history.◦ Maximum password age.◦ Minimum password age.◦ Minimum password length.◦ Password must meet complexity requirements.◦ Store password using reversible encryption.
Group Policy Management Editor -Computer configuration
Beveiliging en beheer 39
Group Policy Management Editor -Computer configuration
Beveiliging en beheer 40
Met deze optie dwingt u de gebruiker een wachtwoord niet steeds opnieuw te gebruiken.
Group Policy Management Editor - Enforce password history
Beveiliging en beheer 41
Als hier de waarde 24 staat, wat de standaardinstelling is, betekent dit dat een wachtwoord pas weer kan worden gebruikt als er tussentijds 24 verschillende wachtwoorden zijn gebruikt.
Group Policy Management Editor - Enforce password history
Beveiliging en beheer 42
Selecteer de optie Define this policy setting en verander de waarde 24 in de waarde 3. Klik op OK.
Group Policy Management Editor - Enforce password history
Beveiliging en beheer 43
Met deze optie dwingt u de gebruiker een wachtwoord een maximum aantal dagen te gebruiken.
Indien deze periode is verstreken, moet een nieuw wachtwoord worden gebruikt.
Standaard verloopt het wachtwoord na 42 dagen. Dus na 42 dagen moet de gebruiker een nieuw wachtwoord instellen.
Group Policy Management Editor - Maximum password age
Beveiliging en beheer 44
Afhankelijk van de belangrijkheid, kan de beheerder een kortere of een langere tijd instellen.
Natuurlijk is het beter het wachtwoord niet te lang laten staan, omdat dan de geheimhouding niet meer is verzekerd.
Group Policy Management Editor - Maximum password age
Beveiliging en beheer 45
Dubbelklik op de policy Maximum password age. Laat de standaardinstelling staan en klik op OK.
Group Policy Management Editor - Maximum password age
Beveiliging en beheer 46
Met deze optie dwingt u de gebruiker een wachtwoord gedurende een minimum aantal dagen te gebruiken, voordat een nieuw wachtwoord kan worden gebruikt.
Hiermee voorkomt u dat de gebruiker heel snel een aantal wachtwoorden gebruikt en dan weer gebruik kan maken van zijn oude wachtwoord.
Group Policy Management Editor - Minimum password age
Beveiliging en beheer 47
Verander de standaardwaarde in 30 en klik vervolgens op OK.
Group Policy Management Editor - Minimum password age
Beveiliging en beheer 48
Met deze optie dwingt u de gebruiker een vastgesteld aantal karakters te gebruiken.
Hiermee wordt vermeden dat gebruikers lege of te korte wachtwoorden kunnen gebruiken. Standaard is de instelling 7 karakters.
Group Policy Management Editor - Minimum password length
Beveiliging en beheer 49
Verander deze standaardwaarde in de waarde 5.
Group Policy Management Editor - Minimum password length
Beveiliging en beheer 50
Met deze optie dwingt u de gebruiker een combinatie van hoofdletters, letters, leestekens en cijfers te gebruiken.
Het niveau van de netwerkbeveiliging neemt hierdoor toe.
Group Policy Management Editor - Password must meet complexity requirements
Beveiliging en beheer 51
Laat de standaardinstelling staan op “Enable” en klikt op “OK”.
Group Policy Management Editor - Password must meet complexity requirements
Beveiliging en beheer 52
Dit beleid geeft de mogelijkheid applicaties te draaien die protocollen gebruiken die voor authenticatiedoeleinden kennis moeten hebben van het wachtwoord van de gebruiker.
Wachtwoorden opslaan met omkeerbare encryptie is hetzelfde als cleartext versies opslaan van deze wachtwoorden. Juist om deze reden zou dit beleid nooit aangezet mogen worden.
Group Policy Management Editor - Store password using reversible
Beveiliging en beheer 53
Laat deze optie ongewijzigd of “Disable”.
Group Policy Management Editor - Store password using reversible
Beveiliging en beheer 54
Het “Password Policy” is nu volledig ingesteld.
Group Policy Management Editor - Password Policy
Beveiliging en beheer 55
Zoals we al hebben gezien, zijn GPO’s goede mogelijkheden om centraal uw netwerk te beheren.
U kunt namelijk organisatie-eenheden aanmaken. Deze zijn meestal een afspiegeling van uw organisatie.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 56
Wij hebben al een OU ‘Leerlingen’ aangemaakt.
U kunt dan een GPO aanmaken; een Group Policy Object.
Let op: deze worden niet op een groep gezet, maar op een Organisational Unit.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 57
Start de Group Policy Management console. Selecteer Group Policy Objects, klik met de
rechtermuisknop en selecteer vervolgens New.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 58
Geef de nieuwe GPO de naam Leerlingen en klik vervolgens op.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 59
De GPO Leerlingen is aangemaakt.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 60
Link de GPO aan de organisatie eenheid Leerlingen.
Klik op de OU Leerlingen met de rechtermuisknop en selecteer Link an Existing GPO…
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 61
Dubbelklik op de GPO Leerlingen.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 62
De GPO Leerlingen is nu gekoppeld aan de organisatie groep Leerlingen.
Een nieuwe GPO aanmaken op een Organisational Unit
Beveiliging en beheer 63
Stel het wachtwoordbeleid in voor de GPO Leerlingen.◦ Geschiedenis wachtwoord bijhouden op 3.◦ Maximum leeftijd van het wachtwoord 30.◦ Minimum leeftijd van het wachtwoord 29.◦ Minimum lengte van het wachtwoord 5.
Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 1
Beveiliging en beheer 64
Om te vermijden dat de harde schijven van de fileserver worden volgeschreven, kunt u de opslagcapaciteit instellen.
U kunt dat doen voor alle gebruikers van het domein of per organisatie-eenheid.
Wij gaan de opslagcapaciteit instellen op de organisatie-eenheid Leerlingen.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 65
Start de Group Policy Management Console. Open de GPO Leerlingen. Open de container Disk Quotas via Computer
Configuration/Administrative Templates/System/Disk Quotas.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 66
Dubbelklik op de setting Enable disk quotas. Selecteer het keuzerondje Enable en klik vervolgens op de knop Next Settings om de eerst volgende setting in te stellen.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 67
Enable Enforce disk quota limit Properties en klik vervolgens op Next Settings.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 68
Enable de Default quota and warning level Properties. Wijzig de waarde op 500 MB.
Rol de pagina naar beneden via het pijltje en wijzig de Warning Value op 400 MB.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 69
Als de gebruiker (in de OU Leerlingen) een diskcapaciteit van 400 MB bereikt heeft, ontvangt hij een waarschuwing. Bij het bereiken van een diskcapaciteit van 500 MB kan hij niets meer opslaan.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 70
Hier kunt u eventueel de log activeren om een overzicht te hebben wie de opslagcapaciteit bereikt heeft.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 71
Enable de log. De opslagcapaciteit is ingesteld voor de
organisatie-eenheid Leerlingen.
Opslagcapaciteit instellen via GPO
Beveiliging en beheer 72
Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 2 Experimenteer met de volgende
beveiligingen:◦ Leerlingen mogen geen gebruik maken van de
opdrachtprompt.◦ Leerlingen mogen geen software installeren.◦ Leerlingen mogen het netwerk niet
doorbladeren.◦ Leerlingen mogen het bureaublad niet wijzigen.◦ Maak een veilig beheersnetwerk via deze GPO.
Beveiliging en beheer 73
Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 3 Maak een nieuwe GPO Leerkrachten aan. Koppel de GPO Leerkrachten aan de OU
Leerkrachten.
Beveiliging en beheer 74
De administrator heeft doorgaans wel wat beters te doen dan wachtwoorden resetten.
Daarom kunt u deze taak gerust delegeren aan de groep Leerkrachten.
Het delegeren van beheerstaken
Beveiliging en beheer 75
Met het delegeren van beheertaken alleen heeft u er nog niet voor gezorgd dat de gebruiker of gebruikersgroep het beheer ook daadwerkelijk kan uitvoeren.
Daarvoor moeten de noodzakelijke beheertools aan die gebruiker of gebruikersgroep ter beschikking worden gesteld.
Het delegeren van beheerstaken
Beveiliging en beheer 76
De mogelijkheden tot het delegeren voor beheertaken zijn:◦ U kunt beheertaken delegeren voor sites, domeinen
of organisatie-eenheden.◦ Beheertaken kunt u aan gebruikers of
gebruikersgroepen.◦ U kunt precies bepalen welke beheertaken u
delegeert.
Het delegeren van beheerstaken
Beveiliging en beheer 77
Start de MMC Active Directory Users and Computers.
Open het snelmenu van de organisatie-eenheid Leerlingen.
Het delegeren van beheerstaken
Beveiliging en beheer 78
Klik Delegate Control.
Het delegeren van beheerstaken
Beveiliging en beheer 79
De wizard Delegation of Control start. Klik op Next.
Het delegeren van beheerstaken
Beveiliging en beheer 80
Het venster Users or Groups wordt geopend. Klik op de knop Add om gebruikers of groepen
toe te voegen.
Het delegeren van beheerstaken
Beveiliging en beheer 81
Type Leerkrachten in het tekstvak en klik op OK.
Klik vervolgens op Next.
Het delegeren van beheerstaken
Beveiliging en beheer 82
Het wizardvenster Tasks to Delegate verschijnt.
De taken die zijn aangevinkt, delegeert u naar de groep Leerkrachten.
Het delegeren van beheerstaken
Beveiliging en beheer 83
Vink enkel de taak Reset user password and force password change at next logon aan, zodanig deze taak gedelegeerd wordt. Klik op Next.
Het delegeren van beheerstaken
Beveiliging en beheer 84
De beheertaken voor de organisatie-eenheid Leerlingen zijn ingesteld.
Klik op Finish.
Het delegeren van beheerstaken
Beveiliging en beheer 85
U heeft de groep Leerkrachten nog geen tools ter beschikking gesteld om de beheertaken uit te voeren.
Maak een nieuwe GPO Leerkrachten voor de organisatie-eenheid Leerkrachten.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 86
Nu gaat u een MMC (Microsoft Management Console) aanmaken, zodanig gebruikers lid van de groep Leerkrachten het wachtwoord van de leerlingen kunnen resetten.
MMC is een omgeving waarin een of meer management utilities kunnen worden geplaatst.
Door het MMC ontwerp zijn deze utilities allemaal volgens eenzelfde structuur te bedienen.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 87
Meld u aan als administrator op de hoofdserver.
Maak een nieuwe map tools aan en deel deze voor de gebruikers van de groep Leerkrachten waar later de MMC in zal bewaard worden.
Type het command MMC in de tekstbox Start Search.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 88
Type het command MMC in de tekstbox Start Search.
Het MMC constructievenster verschijnt.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 89
Selecteer in het constructievenster het menu File en selecteer vervolgens de optie Add / Remove Snap-in….
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 90
Selecteer Active Directory Users and Computers en klik op de knop Add. Klik vervolgens op OK.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 91
De gekozen Snap-in verschijnt in de Name zone.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 92
U gaat nu de MMC opslaan in verschillende Console Modi.
Selecteer in de MMC console1 het menu File en vervolgens de optie Options.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 93
U ziet dat er vier verschillende console modi zijn: Author mode.
Hiermee heeft u de bevoegdheid tot het toevoegen, bewerken of verwijderen snap ins. De toegang tot de console menu’s zijn ook mogelijk.
User mode – full access.De gebruikers kunnen geen snap ins toevoegen. De toegang tot de console menu’s zijn wel toegestaan.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 94
User mode – limited access, multiple window.De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kunnen wel meerdere vensters in de MMC worden weergegeven.
User mode – limited access, single window.De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kan maar één venster in de MMC worden weergegeven.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 95
U kunt eventueel ook een vinkje plaatsen bij: Do not save changes to this console.
De gebruikers kunnen de aangebrachte wijzigingen niet opslaan.
Allow the user to customize views.De optie Customize is niet meer in het menu View aanwezig.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 96
Bewaar de MMC in de Author mode. Vervolgens slaat u de MMC op onder de naam
“Reset password.msc in C:\tools.
Het delegeren van beheerstaken –Beheertools beschikbaar stellen
Beveiliging en beheer 97
Ga nu naar uw Vista client. Meld u aan als JJanssens2 (een leerkracht) en
typ \\hoofdserver\Tools in. Dubbelklik vervolgens op de MMC Reset
password.
Beheertools beschikbaar stellen –Het testen van de MMC
Beveiliging en beheer 98
Open de container Active Directory Users and Computers en dubbelklik op initialen.be.
Open de organisatie-eenheid Leerlingen.
Beheertools beschikbaar stellen –Het testen van de MMC
Beveiliging en beheer 99
Klik via de rechtermuisknop de gebruikersnaam welk wachtwoord u wilt resetten en selecteer Reset Password.
Voer het nieuwe wachtwoord in en bevestig dit. Het wachtwoord is gereset.
Beheertools beschikbaar stellen –Het testen van de MMC
Beveiliging en beheer
Auditing is bedoeld om het systeem te controleren op bepaalde acties en op wat er gelukt is of mislukt. U kunt bijvoorbeeld controleren hoe vaak het aanmelden is gelukt of mislukt.
Het hoofddoel van auditing is natuurlijk troubleshooting. U kunt al de fouten in de logboek Event Viewer bekijken.
Configureren en werken met audit policies
100
Beveiliging en beheer
Meld u aan als administrator op de Hoofdserver.
Open de MMC Group Policy Management via start en dubbelklik op het domein initialen.be.
Configureren en werken met audit policies
101
Beveiliging en beheer
Dubbelklik de container Group Policy Objects. Bewerk via de rechtermuisknop de policy
Leerlingen die u al eerder hebt aangemaakt
Configureren en werken met audit policies
102
Beveiliging en beheer
Open computer configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy.
Configureren en werken met audit policies
103
Beveiliging en beheer
Dubbelklik op Audit system events. Selecteer Define these policy settings en
failure.
Configureren en werken met audit policies
104
Beveiliging en beheer
Nu worden alle foutieve pogingen van aanmelden in het logbestand geregistreerd.
Configureren en werken met audit policies
105
Beveiliging en beheer
Er zijn negen verschillende opties van de Audit Policies:◦ Audit account logon events.◦ Audit account management.◦ Audit directory service access.◦ Audit logon events.◦ Audit object access.◦ Audit policy change.◦ Audit privilege use.◦ Audit process tracking.◦ Audit system events.
Configureren en werken met audit policies
106
Beveiliging en beheer
Registreert het aan- en afmelden van gebruikers op het domein, alsmede het slagen (Success) of niet slagen (Failure) ervan.
De verschillende opties –Audit account logon events
107
Beveiliging en beheer
Registreert elke wijziging van gebruikeraccount en groepen; daarbij hoort het wijzigen van wachtwoorden. Hier kunt u ook loggen of dat met succes of niet is gebeurt.
De verschillende opties –Audit account management
108
Beveiliging en beheer
Registreert elke toegang tot de Active Directory.
De verschillende opties –Audit directory service access
109
Beveiliging en beheer
Registreert als er een toegangsverificatie plaats vindt. De event heeft betrekking op het lokale systeem.
De verschillende opties –Audit logon events
110
Beveiliging en beheer
Registreert de toegang tot een map, bestand of printer. Dit werkt enkel en alleen indien op het object zelf Auditing is aangezet.
De verschillende opties –Audit object access
111
Beveiliging en beheer
Registreert de wijzigingen die gemaakt worden in het policy beleid.
De verschillende opties –Audit policy change
112
Beveiliging en beheer
Registreert dat een gebruiker gebruik maakt van privileges. Dit werkt alleen indien op het object zelf Auditing is aangezet.
De verschillende opties –Audit privilege use
113
Beveiliging en beheer
Registreert gebeurtenissen die te maken hebben met de voortgang van het proces.
De verschillende opties –Audit process tracking
114
Beveiliging en beheer
Registreert systeem events zoals het starten en afsluiten van het systeem.
De verschillende opties –Audit system events
115
Beveiliging en beheer
We gaan de effecten eens bekijken in de praktijk.
Meld u op de hoofdserver aan als administrator.
Configureren en werken met audit policies – Testen van audit polcies
116
Beveiliging en beheer
Open de Event viewer via Start / Administrative Tools / Event Viewer.
Configureren en werken met audit policies – Testen van audit polcies
117
Beveiliging en beheer
Selecteer Windows Logs en vervolgens Security.
Configureren en werken met audit policies – Testen van audit polcies
118
Beveiliging en beheer
Verwijder alle items in deze log. Klik via de rechtermuisknop op Security en selecteer Clear Log of klik aan de rechterzijde op Clear log.
Configureren en werken met audit policies – Testen van audit polcies
119
Beveiliging en beheer
U kunt deze log bewaren, leegmaken of de transactie ongedaan maken. Klik op Clear.
Configureren en werken met audit policies – Testen van audit polcies
120
Beveiliging en beheer
Meld u nu aan op de Windows Vista als JVermeulen (een leerling) en maak met opzet een fout in het wachtwoord.
Configureren en werken met audit policies – Testen van audit polcies
121
Beveiliging en beheer
In de log kunt u zien dat de gebruiker JVermeulen een verkeerd wachtwoord heeft ingegeven.
Configureren en werken met audit policies – Testen van audit polcies
122
Beveiliging en beheer
Het is mogelijk om een GPO te exporteren naar een HTML-bestand.
Zo is het gemakkelijk om bijvoorbeeld de documentatiemap te vervolledigen.
Een HTML bestand maken van een GPO
123
Beveiliging en beheer
Open de MMC Group Policy Management. Dubbelklik op de OU Leerlingen.
Een HTML bestand maken van een GPO
124
Beveiliging en beheer
Klik op de rechterhelft op de Link Order met de rechtermuisknop en selecteer Save Report.
Een HTML bestand maken van een GPO
125
Beveiliging en beheer
Geef het bestand de naam Leerlingen in en klik op de knop Save.
Een HTML bestand maken van een GPO
126
Beveiliging en beheer
Het HTML bestand bevat alle ingestelde en gewijzigde beveiligingen.
Een HTML bestand maken van een GPO
127
Beveiliging en beheer 128
Einde Hoofdstuk 7