Viens no vissvarīgākajiem jautājumiem, kas mums kā administratoriem jāpatur prātā, ir mūsu serveru un aprīkojuma drošība, nodrošinot tiem, kam tiem ir piekļuve, un rūpējoties par to, kādas privilēģijas viņiem ir. Var gadīties, ka kāds lietotājs nejauši vai nē veic izmaiņas dažādos servera parametros, un tāpat kā var būt izmaiņas, kas neietekmē sistēmas darbību un stabilitāti, citas izmaiņas var būtiski ietekmēt Windows drošību, konfidencialitāti un veiktspēju Server 2016, un tas savukārt rada nopietnas problēmas, kas var izraisīt pat juridiskas problēmas.
Papildus rezerves kopiju izveidei viena no labākajām praksēm, ko varam izmantot kā administratori, IT vadītāji un vispār kā sistēmas darbinieki, ir ieviest revīzijas politiku, kas ļauj mums uzraudzīt, kuri lietotāji ir pieteikušies sistēmā Windows Server 2016 (Vai iepriekšējās W.Server versijas) un tādā veidā, lai varētu analizēt, vai sistēmas kļūmes sakrīt ar cita lietotāja pieteikšanos, nevis atļautie. Mēs analizēsim, kā mēs varam īstenot šo politiku Windows Server 2016 vidē.
1. Audita politikas iestatījumi
Pirmais solis, kas mums jāveic, lai izveidotu savu revīzijas politika būs jāiet uz grupas politikas pārvaldības konsoli vai Grupas politikas pārvaldības konsole, šim nolūkam mēs izmantosim taustiņu kombināciju:
Mēs nospiežam Ievadiet vai Labi un mēs redzēsim šādu logu:
Atrodoties GPO konsole mēs pārvietojamies šādi:
Mežs / Domēni / Nuestro_Dominio / Domēna kontrolieri / Domēna kontrolleru noklusējuma politika
Mēs dosim ar peles labo pogu noklikšķiniet uz noklusējuma domēna kontrolleru politikas un mēs izvēlamies Rediģēt Lai ieietu grupas politikas redaktorā, mēs redzēsim šādu vidi:
Tur mums jādodas uz šādu maršrutu:
- Datora konfigurācija
- Politikas
- Windows iestatījumi
- Drošības iestatījumi
- Papildu audita politikas konfigurācija
- Revīzijas politikas
PALIELINĀT
[color = rgb (169,169,169)] Noklikšķiniet uz attēla, lai to palielinātu [/ color]
Tādā veidā mēs esam iegājuši Pieteikšanās / atteikšanās iespēja un mums vajadzētu iespējot revīziju šīm darbībām, tādēļ, kad lietotājs piesakās, viņi tiks reģistrēti notikumu skatītājā, lai vēlāk varētu ievadīt un veikt atbilstošo analīzi. Kā redzam pareizo daļu, mums ir vairākas iespējas, taču mums ir jārediģē šādi:
- Izrakstīšanās pārbaude
- Audita pieteikšanās
- Pārbaudiet citus pieteikšanās / izrakstīšanās notikumus
Šīs trīs (3) iespējas sniegs mums detalizētu informāciju par:
- Sesijas pieteikšanās
- Sesiju slēgšana
- Aprīkojuma slēdzene
- Savienojumi, izmantojot attālo darbvirsmu
- Utt.
Vienkārši veiciet dubultklikšķi uz trim (3) opcijām un aktivizējiet lodziņu Konfigurējiet šādus audita notikumus un pārbaudiet divas pieejamās iespējas (Panākumi -apmierinoši Y Neveiksme - nepareiza), lai pilnībā kontrolētu pieteikšanās un izrakstīšanās notikumus sistēmā Windows Server 2016.
Mēs nospiežam Piesakies un vēlāk Labi lai saglabātu izmaiņas.
2. Analizējiet notikumu skatītāju
Kad būsim pareizi konfigurējuši šos parametrus, mēs ieiesim notikumu skatītājā, lai analizētu attiecīgos notikumus.
Pieteikšanās un izrakstīšanās audita notikumiTagad notikumu ID, kas mums jāpatur prātā, lai uzraudzītu, ir šādi:
- 4624: Pieteikšanās (drošības notikums)
- 4647: Izrakstīšanās (drošības notikums)
- 6005: Sistēmas palaišana (sistēmas notikums)
- 4778: Savienojuma izveide ar LAP - attālā darbvirsma (drošības notikums)
- 4779: Izrakstīties no RDP - attālā darbvirsma (drošības notikums)
- 4800: Aprīkojuma bloķēšana (drošības notikums)
- 4801: Iekārtas atbloķēšana (drošības notikums)
Mēs varēsim piekļūt notikumu skatītājam izmantojot kādu no šīm iespējām:
- Ar peles labo pogu noklikšķiniet uz sākuma ikonas
PALIELINĀT
[color = rgb (169,169,169)] Noklikšķiniet uz attēla, lai to palielinātu [/ color]
Lai pārskatītu iepriekš minētos notikumus cilnē Windows žurnāli atlasīsim opciju Drošība:
PALIELINĀT[color = rgb (169,169,169)] Noklikšķiniet uz attēla, lai to palielinātu [/ color]
Tālāk mēs dosim noklikšķiniet uz opcijas Filtrēt pašreizējo žurnālu lai varētu filtrēt pēc notikuma ID. Mums jāievada ID vai ID, ko vēlamies apstiprināt, vienkārši ievadiet vērtību (šajā piemērā 4624) laukā Ievadīt ID:
Mēs nospiežam Labi un mēs redzēsim šādu rezultātu:
PALIELINĀT[color = # a9a9a9] Noklikšķiniet uz attēla, lai to palielinātu [/ color]
Tur mēs varam izvēlēties jebkuru no notikumiem, lai analizētu visu jūsu informāciju:
Augšējā daļā mēs varam redzēt lietotāju, kurš ir pieteicies, domēnu, kurā viņš ir izveidojis savienojumu, un citus parametrus, apakšējā daļā mēs varam redzēt audita veidu, notikuma datumu un laiku, notikuma aprakstu. un citi aspekti.
Šādā veidā mēs esam izveidojuši revīzijas politiku pieteikšanās un izrakstīšanās līmenī kas ļaus mums veikt pilnīgu pārvaldību un vienmēr noteikt, kuri lietotāji un kad viņi ir pieteikušies sistēmā Windows Server 2016, un no turienes noteikt, vai sistēmā nav veiktas izmaiņas.
