Konfigurējiet uzlabotās politikas Windows Server GPO auditam

Konfigurējiet uzlabotās politikas Windows Server GPO auditam

Neapšaubāmi, mūsu servera pareiza pārvaldība atspoguļojas katra mūsu servera raksturlieluma optimālā darbībā un līdz ar to arī mūsu tīkla darbības ceļā.

Uzlabotas revīzijas politikas dod mums iespēju centralizētāk kontrolēt, jo tās ļauj mums vieglāk pārbaudīt mūsu serverī notiekošos notikumus un skaidrāk noteikt, kas notiek ikdienā.

Mēs pārskatīsim, kā īstenot drošības politiku, pieņemot, ka mūsu drošības shēmu var iedalīt trīs (3) jomās:

AutentifikācijaSniedziet lietotājam identitāti.

AutorizācijaNodrošina piekļuvi autentificētam lietotājam.

DzirdeTas ļauj saglabāt kontroli pār lietotājiem, kuri ir pieteikušies sistēmā, un izmaiņām, kuras viņi var veikt.

Viens no klasiskajiem jautājumiem ir zināt, vai mēs patiešām vēlamies ieviest drošības politiku. Tas ir kaut kas pilnīgi nepieciešams, lai visu kontrolētu un izvairītos no problēmām.

Kāpēc mums būtu jāīsteno drošības politika?Tas ir svarīgi kā administratoriem piemērot drošības politikas pārskatīt tādas tēmas kā:

  • Kuri lietotāji piesakās pareizi.
  • Cik neveiksmīgu mēģinājumu ir lietotājam.
  • Izmaiņas, kas veiktas mūsu organizācijas aktīvajā direktorijā.
  • Izmaiņas konkrētos failos.
  • Kas restartēja vai izslēdza serveri un kāpēc.

Šajā rokasgrāmatā jūs uzzināsit, kā ieviest, pārbaudīt, izveidot politikas un visu, kas nepieciešams jūsu uzņēmējdarbības videi, izmantojot Windows Server serverus vietās, kuras jums ir jākontrolē.

1. Pārvaldiet revīziju, izmantojot GPO grupas politikas


Mums ir jānorāda, kāda veida sistēmas notikumus mēs vēlamies pārbaudīt, izmantojot grupas politikas.
Apskatīsim dažus visbiežāk sastopamos notikumus, kurus varam pārvaldīt:

Konta pieteikšanās

  • Apraksts

Nosaka, kad sistēma pārbauda veiksmīgi reģistrētu kontu.

  • Noklusējuma konfigurācija

Veiksmīga pieteikšanās kontā

Kontu administrēšana

  • Apraksts

Tas nosaka, kad sistēma pārbauda katru reģistrētā konta notikumu, piemēram, paroles maiņu, konta dzēšanu.

  • Noklusējuma konfigurācija

Kontu darbību administrēšana ir pieteikusies apmierinoši

Piekļuve pakalpojumu direktorijam

  • Apraksts

Nosaka, kad sistēma pārbauda lietotāja mēģinājumus iekļūt Active Directory.

Pieslēgties

  • Apraksts

Nosaka, kad sistēma pārbauda katra lietotāja mēģinājumu pieteikties sistēmā vai izrakstīties no tās.

  • Noklusējuma konfigurācija

Veiksmīga pieteikšanās.

Politikas maiņa

  • Apraksts

Nosaka, kad sistēma pārbauda katru mēģinājumu mainīt domēna izveidotās politikas.

  • Noklusējuma konfigurācija

Veiksmīgas politikas izmaiņas

Sistēma

  • Apraksts

Nosaka, kad sistēma pārbauda visas sistēmas izmaiņas.

  • Noklusējuma konfigurācija

Veiksmīgi sistēmas notikumi.

Mums ir jāveic daži piesardzības pasākumi veidojot revīzijas politikas, piemēram:

  • Augsts revīzijas līmenis var krasi ietekmēt pārbaudāmās ierīces darbību.
  • Meklējot notikumu žurnālos, mēs redzēsim, ka žurnālu ir tūkstošiem, un meklēšana var mūs ietekmēt. Pārbaudāmie termiņi ir skaidri jānosaka.
  • Jaunākie žurnāli aizstāj vecākos žurnālus, tas var liegt mums redzēt svarīgus notikumus, kas notikuši iepriekšējā periodā.

2. Īstenot GPO audita politiku


Uz īstenot revīzijas politiku mums ir jāveic šādas darbības:

1. darbība
Mēs atveram savu servera pārvaldnieku vai servera pārvaldnieku. Mēs noklikšķinām uz Rīki un mēs izvēlamies iespēju Grupas politikas vadība.

PALIELINĀT

Tādējādi tas parādīs GPO izvēlni, mums ir jāparāda pašreizējais domēns un ar peles labo pogu noklikšķiniet uz Noklusējuma domēna politika.

2. solis
Mēs izvēlamies iespēju Rediģēt un Grupas politikas pārvaldības redaktors.

Mēs izvēlamies šādu maršrutu:

  • Aprīkojuma uzstādīšana
  • Direktīvas
  • Windows iestatījumi
  • Drošības iestatījumi
  • Vietējās direktīvas
  • Revīzijas direktīva

3. solis
Mēs redzēsim, ka tiek parādīts logs ar atšķirīgo revīzijas iespējas:

Mēs veicam dubultklikšķi uz opcijas Auditēt pieteikšanās notikumus, mēs redzēsim, ka tiek atvērts minētā audita rekvizītu logs.

Mēs atzīmējam izvēles rūtiņu Definējiet šo politikas iestatījumu lai iespējotu šo politiku, mēs aktivizējam abus lodziņus (Labot un Kļūda) un noklikšķiniet uz Piesakies un beidzot iekšā Akceptēt lai saglabātu izmaiņas.

Mēs redzēsim izmaiņas, kas atspoguļotas mūsu revīzijā:

3. Īstenot revīzijas politiku (fails vai mape)

Mēs varam pievienot audita veidu konkrētam failam vai mapei, lai to paveiktu:

1. darbība
Mēs dodam ar peles labo pogu noklikšķiniet mapē, kurai vēlamies piešķirt auditu, un izvēlieties opciju Rekvizīti.

Logā Rekvizīti (rediģēt) mēs izvēlamies cilni Drošība.

2. solis
Mēs noklikšķinām uz Papildu opcijas, un tiks parādīts šāds logs:

Mēs noklikšķinām uz opcijas Audits un vēlāk iekšā Pievienot.

3. solis
Parādītajā logā mēs izvēlamies opciju Izvēlieties principālu lai atrastu, kādu politiku pievienot.

Mēs izvēlējāmies iebilst pret auditu:

Visbeidzot, mēs norādām audita parametrus (lasīt, rakstīt utt.), Noklikšķiniet uz Akceptēt lai saglabātu izmaiņas.

Ar šīm darbībām mēs jau pārbaudīsim mūsu izvēlēto atlasi.

AtcerietiesIzmantojot rīku, mēs varam ieviest revīzijas politikas AuditPol.exe iekļauta sistēmā Windows Server 2012, šī komanda parādīs un ļaus mums pārvaldīt mūsu politikas.

Sintakse, ko varam izmantot šai komandai, ietver šādu:

  • / gūt: Parādīt pašreizējo politiku
  • /komplekts: Izveidojiet revīzijas politiku
  • / saraksts: Parādiet politikas elementus
  • / rezerves kopija: Saglabājiet revīzijas politiku failā
  • / skaidrs: Notīriet revīzijas politiku
  • /?: Parādīt palīdzību

4. Notikumi un notikumi no notikumu skatītāja


Kad esam konfigurējuši savas drošības politikas, notikumu skatītājā mēs varam redzēt visus dažādus notikumus, kas notikuši mūsu serverī, šos notikumus attēlo ciparu kods. Apskatīsim dažus no reprezentatīvākajiem notikumiem:

Akreditācijas datu validācijas audits

  • 4774: Konts tika kartēts, lai pieteiktos
  • 4775: Konts netika kartēts, lai pieteiktos
  • 4776: Domēna kontrolieris mēģināja apstiprināt konta akreditācijas datus
  • 4777: Domēna kontrolierim neizdevās apstiprināt konta akreditācijas datus

Notikumu audits par konta pieteikšanos

  • 4778: Sesija tika atkārtoti savienota Windows stacijā
  • 4779: Stacija tika atvienota no Windows stacijas
  • 4800: Stacija ir bloķēta
  • 4801: Stacija ir atbloķēta
  • 5632: Ir izveidota prasība Wi -Fi tīkla autentificēšanai
  • 5633: Ir izveidota prasība, lai autentificētu vadu tīklu

Lietojumprogrammu audits grupas pārvaldībai

  • 4783: Ir izveidota pamata grupas lietojumprogramma
  • 4784: Pamata grupas lietotne ir mainīta

Konta vadības audits

  • 4741: Ir izveidots datora konts
  • 4742: Ir mainīts datora konts
  • 4743: Datora konts ir izdzēsts

Sadales grupas administrācijas audits

  • 4744: Ir izveidota vietējā izplatīšanas grupa
  • 4746: Dalībnieks ir pievienots vietējai izplatīšanas grupai
  • 4747: Dalībnieks ir noņemts no vietējās izplatīšanas grupas
  • 4749: Ir izveidota globāla izplatīšanas grupa
  • 4750: Globālā izplatīšanas grupa ir mainīta
  • 4753: Globālā izplatīšanas grupa ir noņemta
  • 4760: Drošības grupa ir mainīta

Drošības grupas administrācijas audits

  • 4727: Ir izveidota globāla drošības grupa
  • 4728: Dalībnieks ir pievienots globālai drošības grupai
  • 4729: Dalībnieks ir noņemts no globālās drošības grupas
  • 4730: Globālā drošības grupa ir noņemta
  • 4731: Ir izveidota vietējā drošības grupa
  • 4732: Dalībnieks ir pievienots vietējai drošības grupai

Lietotāja konta pārvaldības audits

  • 4720: Ir izveidots lietotāja konts
  • 4722: Lietotāja konts ir iespējots
  • 4723: Ir izveidots mēģinājums nomainīt paroli
  • 4725: Lietotāja konts ir atspējots
  • 4726: Lietotāja konts ir izdzēsts
  • 4738: Lietotāja konts ir mainīts
  • 4740: Lietotāja konts ir bloķēts
  • 4767: Lietotāja konts ir atbloķēts
  • 4781: Lietotāja konta nosaukums ir mainīts

Procesu revīzijas

  • 4688: Ir izveidots jauns process
  • 4696: Procesam ir piešķirts primārais kods
  • 4689: Ir beidzies process

Direktoriju pakalpojumu revīzijas

  • 5136: Ir mainīts direktoriju pakalpojuma objekts
  • 5137: Ir izveidots direktoriju pakalpojuma objekts
  • 5138: Ir izgūts direktoriju pakalpojuma objekts
  • 5139: Direktorija pakalpojuma objekts ir pārvietots
  • 5141: Direktorija pakalpojuma objekts ir izdzēsts

Kontu revīzijas

  • 4634: Konts ir izrakstīts
  • 4647: Lietotājs ir sācis izrakstīties
  • 4624: Konts ir veiksmīgi pieteicies
  • 4625: Nevarēja pierakstīties kontā

Koplietojamie failu auditi

  • 5140: Tika piekļūts tīkla objektam
  • 5142: Tīkla objekts ir pievienots
  • 5143: Tīkla objekts ir mainīts
  • 5144: Tīkla objekts ir izdzēsts

Citi revīzijas veidi

  • 4608: Windows ir palaists
  • 4609: Windows ir izslēgts
  • 4616: Laika josla ir mainīta
  • 5025: Windows ugunsmūris ir apturēts
  • 5024: Ir palaists Windows ugunsmūris

Kā redzam, ir daudz vairāk kodu, kas atspoguļo dažādus notikumus, kas notiek katru dienu mūsu serverī un tīklā, mēs varam redzēt visus kodus Microsoft vietnē.

5. Piekļuve notikumu skatītājam WServer 2012


Mēs uzzināsim procesu, lai piekļūtu sava servera notikumu skatītājam un no turienes varētu filtrēt vai meklēt konkrētus notikumus.

Mums jāievada servera pārvaldnieks vai servera pārvaldnieks. Tur mēs izvēlamies opciju notikumu skatītājs no izvēlnes Rīki.

PALIELINĀT

Tur tiks parādīts attiecīgais logs, lai varētu meklēt notikumus mūsu ierīcē:

Kreisās puses izvēlnē mums ir dažādas iespējas, lai redzētu notikumus.

Kā redzam, varam filtrēt pēc kategorijām Kas:

  • Windows žurnāli
  • Lietojumprogrammu žurnāli
  • Microsoft

Un mēs savukārt varam meklēt pēc apakškategorijām, piemēram, Lietojumprogramma, Drošība utt.

Piemēram, mēs izvēlamies iespēju Drošība no izvēlnes Windows žurnāli.

PALIELINĀT

Centrālajā izvēlnē mēs varam redzēt notikumu struktūra:

  • Pasākuma nosaukums
  • Pasākuma datums
  • Avots
  • Notikuma ID (jau redzēts iepriekš)
  • Kategorija

Kreisās puses izvēlnē mēs atrodam notikumu skatītāja pielāgošanas iespējas, piemēram:

  • Atvērt saglabātos ierakstus: Tas ļauj mums atvērt ierakstus, kurus iepriekš esam saglabājuši.
  • Pielāgots skats: Tas ļauj mums izveidot skatu, pamatojoties uz mūsu vajadzībām, piemēram, mēs varam to izveidot pēc notikuma ID, pēc datuma, pēc kategorijas utt.
  • Importēt pielāgotu skatu: Tas ļauj importēt izveidoto skatu uz citu vietu.
  • Tukšs ieraksts: Mēs varam atstāt notikumu skatītāju uz nulles.
  • Filtrēt pašreizējo ierakstu: Mēs varam palaist parametrus, lai veiktu precīzāku meklēšanu.
  • Rekvizīti: Skatiet notikuma rekvizītus.

Un tā mēs saprotam, ka mūsu pasākumu skatītājā ir citas iespējas.
Mēs varam izveidot audita politiku noņemamām ierīcēm, tāpēc mēs veiksim šādu procesu:

Mēs ieejam savā Servera administrators
Mēs izvēlamies no izvēlnes Rīki iespēja Grupas politikas vadītājs.

Mums ir jāparāda mūsu domēns, ar peles labo pogu noklikšķiniet, noklikšķiniet Rediģēt un ievadiet šādu maršrutu:

  • Aprīkojuma uzstādīšana
  • Direktīvas
  • Windows iestatījumi
  • Drošības iestatījumi
  • Papildu revīzijas politikas iestatījumi
  • Politikas iestatījumi
  • Piekļuve objektiem

Mēs veicam dubultklikšķi uz Piekļuve objektiem, mēs izvēlamies iespēju Pārbaudiet noņemamo krātuvi.

Tiks parādīts attiecīgais logs, mēs aktivizēsim izvēles rūtiņu Konfigurējiet šādus audita notikumus un mēs izvēlamies iespēju Pareizi.

Lai saglabātu izmaiņas, mēs noklikšķiniet uz Piesakies un vēlāk iekšā Akceptēt.

Kā redzam, ir rīki, kas padara tīkla administratīvo pārvaldību par ārkārtīgi svarīgu un atbildīgu uzdevumu, mums ir rūpīgi jāizpēta viss, ko Windows Server 2012 mums piedāvā, lai tīkls būtu vienmēr pieejams.

Slēpt diskus Windows Server GPO

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā pārtraukt Instagram fotoattēlu un videoklipu saglabāšanu operētājsistēmā Android
2
post-title
Services Kā atvērt pakalpojumus operētājsistēmā Windows 10
3
post-title
Kā lietot vispārīgus tipus Java
4
post-title
ZMOT jeb Patiesības nulles brīdis
5
post-title
Iespējojiet lietotni File Explorer (UWP), pieskarieties Windows 10

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -