Daudzos gadījumos, pildot IT personāla pienākumus, mēs saskaramies ar tādām drošības situācijām, kādas tās ir. nesankcionēti mēģinājumi pieteikties mūsu domēnā lai piekļūtu tai un veiktu uzdevumus, kas nav atļauti vai atļauti un kas var nopietni ietekmēt sistēmas darbību un visus objektus, kas ietilpst organizācijā.
Mēs zinām, ka iebrucēji vai tie, kas vēlas sistēmai piekļūt neatļautā veidā, mēģina iekļūt ārēji vai no pašas organizācijas, cenšoties uzdoties par kādu no aktīvajiem organizācijas lietotājiem, tāpēc šoreiz mēs analizēsim kā mēs varam uzraudzīt, kurš ir mēģinājis atiestatīt lietotāja paroli (Acīmredzot mums ir jāapstiprina kopā ar lietotāju, ja tas nebija viņš) un tādā veidā jāveic drošības pasākumi vai tie, kas ir atbilstoši situācijas nopietnībai.
Šai analīzei mēs izmantosim vidi Windows Server 2016.
1. Tiek atvērts grupas politikas redaktors
Pirmais solis, ko mēs veiksim, ir atvērt grupas politikas pārvaldnieku, izmantojot kādu no šīm iespējām:
- Ievadot maršrutu:
sākums / Visas lietojumprogrammas / Pārvaldības rīki / Grupas politikas vadība
- Izmantojot komandu Palaist (taustiņu kombinācija
PALIELINĀT
No turienes mēs rediģēsim politika saistībā ar mēģinājumiem un pieteikšanos.
2. Grupas politikas rediģēšana
Lai turpinātu grupas politikas izdevumu, mēs parādīsim savu domēnu, šajā gadījumā solvetic.com, un mēs ar peles labo pogu noklikšķiniet uz Noklusējuma domēna politika un tur mēs izvēlēsimies iespēju Rediģēt.
PALIELINĀTParādītajā logā mēs dosimies uz šādu maršrutu:
- Aprīkojuma uzstādīšana
- Direktīvas
- Windows iestatījumi
- Drošības iestatījumi
- Vietējās direktīvas
PALIELINĀTMēs veicam dubultklikšķi uz Revīzijas politika un mēs atradīsim politiku ar nosaukumu “Audita konta pārvaldība”. Mēs redzēsim, ka noklusējuma vērtība ir "Tas nav definēts”. Veiciet dubultklikšķi uz tā vai ar peles labo pogu noklikšķiniet un atlasiet Rekvizīti (rediģēt) un mēs redzēsim, ka tiek parādīts šāds logs:
3. Revīzijas politikas iespējošana
Lai iespējotu šo politiku, vienkārši atzīmējiet izvēles rūtiņu "definējiet šo politikas iestatījumu”Un atzīmējiet rūtiņas, kuras mēs uzskatām par nepieciešamām (Pareizi / Kļūda).
Kad šīs vērtības ir definētas, nospiediet Piesakies un vēlāk Akceptēt lai izmaiņas tiktu saglabātas. Mēs redzam, ka mūsu politika ir apmierinoši mainīta.
PALIELINĀT4. Pārbauda paroles maiņas mēģinājumus
Mēs varam piespiest politikas domēnā, atverot CMD un ievadot komandu:gpupdate / force
Lai politika tiktu atjaunināta.Lai pārbaudītu, vai lietotājs ir mēģinājis mainīt paroli, mēs atvērsim notikumu skatītāju, izmantojot kādu no šīm iespējām:
- No komandas Palaist ievadiet terminu:
eventvwr
Un nospiežot Ievadiet vai Akceptēt.
- No izvēlnes Rīki iekš servera administrators un izvēloties opciju Notikumu skatītājs.
Mēs redzēsim, ka tiek atvērts šāds logs:
PALIELINĀTMēs izvēlēsimies iespēju no kreisās puses Windows / drošības žurnāli. Kad labajā pusē esam atlasījuši Drošība, mēs izvēlamies opciju Filtrēt pašreizējo ierakstu un laukā Visi notikumu ID mēs ievadīsim ID 4724, kas ir drošības ID, kas saistīts ar paroles maiņas mēģinājumiem.
Mēs nospiežam Akceptēt lai redzētu visus saistītos notikumus. Iegūtais rezultāts būs šāds:
PALIELINĀTMēs varam redzēt precīzu notikuma datumu un laiku, norādot, ka tas bija paroles atiestatīšanas mēģinājums. Mēs varam veikt dubultklikšķi uz notikuma, lai redzētu sīkāku informāciju par to.
Mēs atzīmējam, ka šajā gadījumā ir konts, kas mēģināja veikt izmaiņas SolvAdm un kontu, uz kuru tika mēģināts veikt izmaiņas, šajā piemērā solvīts 2.
Tādā veidā mēs varam pārbaudiet visus mēģinājumus mainīt lietotāja paroles, gan pareizi, gan kļūdaini un tādā veidā detalizēti vizualizēt, kas un kad veica vai mēģināja veikt izmaiņas, un tādējādi veikt nepieciešamos pasākumus.
Ja vēlaties ienākt filiālē kriminālistikas analīzes revīzijas, mēs atstājam jums saiti uz praktisku rīku, ko plaši izmanto šim nolūkam.
Windows tiesu ekspertīze
