除了设置访问者和资源的访问规则以外,您还可以指定要写入审核日志中的 Windows 事件。 您可以按照组、配置文件组或按照用户,为整个组织指定此类审核策略。
示例:为配置文件组的所有成员设置审核策略
以下示例说明了如何为属于配置文件组一部分的所有用户设置审核策略:
newgrp profileGroup audit(failure) owner(nobody)
newusr user1 profile(profileGroup) owner(nobody)
chusr user1 audit-
您现在可以检查该设置是否有效:
runas /user:user1 cmd.exe
secons -whoami
该命令显示用于授权的信息,该信息保存在 user1 的 ACEE 中。
ACEE audit mode is: Failure; Originated from Profile group definition
该消息确认了审核策略是源于用户附加到的配置文件组所。
示例:为组成员设置审核策略
在此示例中,名为“Forward Inc”的虚构公司要使用 CA ControlMinder 来保护 /production 目录中的所有文件。 /production 目录在本地环境中具有完全访问权限。
Forward Inc 想要拒绝并审核所有试图访问 /production 目录的操作。 然而,Forward Inc 又允许开发人员对 /production 目录进行读取。 而且不审核该访问。 拒绝并审核开发人员试图写入 /production 目录的操作。
开发人员可以要求对 /production 目录的完全访问权限。 Forward Inc 审核具有完全访问权限的用户在 /production 目录中执行的所有活动。
以下过程说明 Forward Inc 实施以上方案要采取的步骤:
authorize FILE /production/* access(none) uid(*)
该规则将默认访问设置为“none”。
editres FILE /production/* audit(failure)
该规则审核访问 /production 目录的所有失败操作。
authorize FILE /production/* access(read) xgid(Developers)
该规则允许 Developer 组成员对 /production 目录具有读取权限。
注意:在步骤 4 中设置的规则可以帮助确保 CA ControlMinder 审核所有用户(包括 Development 组成员)执行的所有失败访问操作。
authorize FILE /production/* access(all) xgid(Dev_Access_All)
该规则允许 Dev_Access_All 组成员对 /production 目录具有完全访问权限。
chxgrp Dev_Access_All audit(all)
该规则审核 Dev_Access_All 组成员执行的每一个操作。
该用户对 /production 目录有完全访问权限,且 CA ControlMinder 审核用户执行的每个操作。
注意:该用户必须启动新的登录会话才能使组成员身份中的变化生效。
该用户现在对 /production 目录有读取权限。 CA ControlMinder 拒绝并审核 /production 目录中用户所执行的所有其他访问操作。
注意:该用户必须启动新的登录会话才能使组成员身份中的变化生效。
|
版权所有 © 2013 CA。
保留所有权利。
|
|