Viens no jutīgākajiem jautājumiem, ko organizācija ir domājusi, ir drošība un konfidencialitāte ne tikai principos, bet visā infrastruktūrā (aprīkojums, dati, lietotāji utt.), Un liela daļa no šīs informācijas tiek glabāta serveros un ja mums ir piekļuve serverim vai nu kā administratoram, koordinatoriem vai sistēmas palīgiem, mums ir jāuzņemas liela atbildība novērst nesankcionētu piekļuvi sistēmai.
Daudzos gadījumos, es ceru, ka tā nemaz nav, ir tas, ka dažās situācijās tie ir tikuši prezentēti piekļuve nav sistēmas dēļ Y ir veiktas neatļautas izmaiņas un diemžēl Nav zināms, kurš lietotājs bija atbildīgs vai kad notikums notika.
Mēs sniegsim reālu šīs situācijas piemēru:
Kādā brīdī uzņēmumā kāds ienāca serverī un izdzēsa lietotāju, kurš, lai gan viņam bija standarta vārds, bija lietotājs, ko izmantoja, lai piekļūtu produktīvai mašīnai, tāpēc, kad lietotājs tika izdzēsts, pakalpojums tika atspējots un bija liela problēma, un tā nevarēja noteikt, kas vai kā veica izmaiņas.
Par laimi, Windows Server ļauj mums veikt procesu, lai pārbaudītu visus serverī notikušos notikumus, un šajā pētījumā mēs analizēsim kā īstenot šo revīziju vienkārši un efektīvi.
Vide, kurā strādāsim, būs Windows Server 2016 datu centra tehniskais priekšskatījums 5.
1. Īstenot Active Directory auditu
Pirmā lieta, kas mums jādara, ir ieiet grupas politikas pārvaldības konsolē vai gpmc, šim nolūkam mēs izmantosim taustiņu kombināciju:
Šajos gadījumos mums ir instalēt gpmc ar kādu no šīm iespējām:
- Atveriet servera pārvaldnieku un atveriet opciju: Pievienojiet lomas un funkcijas un vēlāk iekšā Funkcijas - funkcijas lai izvēlētos Grupas politikas vadība.
- Izmantojot Windows PowerShell, izmantojot cmdlet:
Windows -InstallFeature -Name GPMC
Tiklīdz mums būs piekļuve gpmc, mēs redzēsim logu, kur tas parādās Mežs, mēs to izvietojam un vēlāk Domēni, pēc tam mūsu domēna nosaukumu, tad mēs parādām Domēna kontrolieri un visbeidzot mēs izvēlamies Noklusējuma domēna kontrollera politika.
Tur mēs ar peles labo pogu noklikšķiniet uz Noklusējuma domēna kontrollera politika un mēs izvēlamies Rediģēt vai Rediģēt lai tajā veiktu dažus pielāgojumus un tādējādi ļautu ierakstīt notikumus, kas notika mūsu Windows Server 2016.
Mēs redzēsim sekojošo:
Kā redzam, mums ir bijusi iespēja piekļūt domēna kontroliera grupas politikas redaktors, tagad tur esam, mēs dosimies uz šādu maršrutu:
- Datora konfigurācija
- Politikas
- Windows iestatījumi
- Drošības iestatījumi
- Papildu audita politikas konfigurācija
- Revīzijas politikas
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Tur mums jākonfigurē šādu elementu parametri:
- Konta pieteikšanās
- Kontu pārvaldība
- DS piekļuve
- Pieteikšanās / Izrakstīšanās
- Piekļuve objektiem
- Politikas maiņa
Konfigurēsim Konta pieteikšanās, mēs redzēsim, ka pēc izvēles labajā pusē tiek parādīts šāds:
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Tur mums ir jākonfigurē katra no šīm opcijām šādi. Veiciet dubultklikšķi uz katra no tiem un pievienojiet šādus parametrus.
Mēs aktivizējam lodziņu Konfigurējiet šādus audita notikumus un mēs atzīmējam divas pieejamās kastes, Panākumi Y Neveiksme, (Šīs vērtības ļauj reģistrēt veiksmīgos un neveiksmīgos notikumus).
Mēs to darām ar katru un nospiediet Piesakies un vēlāk Labi lai saglabātu izmaiņas.
Mēs atkārtosim šo procesu visiem laukiem šādos parametros:
- Kontu pārvaldība
- DS piekļuve
- Pieteikšanās / izrakstīšanās
- Piekļuve objektiem
- Politikas maiņa
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Mēs varam redzēt kolonnas labajā pusē Revīzijas notikumi ka konfigurētās vērtības ir mainītas (Veiksme un Neveiksme).
Tālāk mēs piespiedīsim mūsu grozītās politikas, lai sistēma tās pārņemtu, tāpēc mēs ievadīsim komandrindu cmd un ievadīsim šādu komandu:
gpupdate / force[color = # a9a9a9] Atjauniniet politikas bez pārstartēšanas. [/ color]
Mēs izejam no cmd, izmantojot komandu exit. Tagad mēs ejam atveriet ADSI vai ADSI rediģēšanas redaktoru izmantojot terminu adsiedit.msc no komandas Palaist (Windows + R) vai Windows Server 2016 meklēšanas lodziņā ievadot terminu ADSI un atlasot ADSI rediģēšana.
Mēs redzēsim šādu logu:
Kad esam nonākuši ADSI rediģēšanas iekšpusē, ar peles labo pogu noklikšķiniet uz ADSI rediģēšana kreisajā pusē un izvēlieties Pievienot.
Tiks parādīts šāds logs:
Laukos Savienojuma punkts cilnē "Izvēlieties labi zināmu nosaukumu kontekstu " Mēs redzēsim šādas savienojuma iespējas:
- Noklusējuma nosaukšanas konteksts
- Konfigurācija
- RootDSE
- Shēma
Šīs vērtības nosaka notikumu reģistrēšanas veidu Windows Server 2016, šajā gadījumā mums jāizvēlas opcija Konfigurācija lai reģistrējamie notikumi iegūtu iepriekš konfigurētās vērtības gpmc.
Mēs nospiežam Labi un mums ir jāatkārto iepriekšējā darbība, lai pievienotu citas vērtības:
- Noklusējuma
- RootDSE
- Shēma
Tas būs izskats ADSI rediģēšana kad esam pievienojuši visus laukus.
Tagad mums ir jāiespējo revīzija katrā no šīm vērtībām, lai to paveiktu Noklusējuma nosaukuma konteksts un mēs atkārtosim šo procesu citiem.
Mēs parādām lauku un ar peles labo pogu noklikšķiniet uz mūsu domēna kontrollera līnijas un atlasām Rekvizīti (rediģēt) - Rekvizīti.
Mēs redzēsim šādu logu, kurā atlasīsim cilni Drošība - Drošība.
Tur mēs nospiedīsim pogu Uzlabots - Uzlabots un mēs redzēsim šādu vidi, kurā atlasīsim cilni Revīzija - Audits.
Kamēr mēs noklikšķināsim uz Pievienot pievienot ikvienu un šādā veidā var pārbaudīt jebkura lietotāja veiktos uzdevumus neatkarīgi no viņu privilēģiju līmeņa; Kad mēs nospiežam Pievienot, mēs meklēsim lietotāju šādi:
Mēs nospiežam Labi un parādītajā logā mēs atzīmēsim visas izvēles rūtiņas un, lai pārbaudītu, noņemiet atzīmi tikai no:
- Pilnīga kontrole
- Saraksta saturs
- Izlasiet visus rekvizītus
- Lasīšanas atļaujas
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Mēs nospiežam Labi lai saglabātu izmaiņas.
2. AD veikto izmaiņu revīzijas notikumi
Atcerēsimies, ka tās pašas darbības jāveic arī citām vērtībām mezglos ADSI rediģēšana. Lai apstiprinātu, ka visas veiktās izmaiņas Windows Server 2016 ir reģistrēti, mēs atvērsim pasākuma skatītāju, mēs varam to atvērt šādi:
- Ar peles labo pogu noklikšķiniet uz sākuma ikonas un atlasiet Notikumu skatītājs vai Pasākumu skatītājs.
- No komandas Palaist mēs varam ievadīt terminu:
eventvwr
un nospiediet taustiņu Enter.
Šādi izskatīsies notikumu skatītājs Windows Server 2016.
PALIELINĀT
Kā redzam, mēs atzīmējam, ka mums ir četras kategorijas:
- Pielāgoti skati: Izmantojot šo opciju, mēs varam izveidot pielāgotus notikumu skatu serverī.
- Windows žurnāli: Izmantojot šo opciju, mēs varam analizēt visus notikumus, kas notikuši Windows vidē, neatkarīgi no tā, vai tie ir drošības līmenī, startēšanas laikā, notikumos, sistēmā utt.
- Lietojumprogrammu un pakalpojumu žurnāli: Izmantojot šo alternatīvu, mēs varam redzēt notikumus, kas notikuši saistībā ar pakalpojumiem un lietojumprogrammām, kas instalētas sistēmā Windows Server 2016.
- Abonementi: Tā ir jauna funkcija skatītājā, kas ļauj analizēt visus notikumus, kas notika ar Windows abonementiem, piemēram, Azure.
Parādīsim, piemēram, drošības līmenī reģistrētos notikumus, izvēloties opciju Windows žurnāli un tur izvēlas Drošība.
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Kā redzam, notikumi tiek reģistrēti pēc atslēgvārda, notikuma datuma un laika, ID, kas ir ļoti svarīgi utt.
Ja mēs analizēsim, mēs redzēsim, ka ir tūkstošiem notikumu un var būt grūti lasīt pa vienam, lai redzētu, kurš notikums notika, lai vienkāršotu šo uzdevumu, mēs varam nospiest pogu Filtrēt pašreizējo žurnālu lai filtrētu notikumus dažādos veidos.
Tur mēs varam filtrēt notikumus pēc ietekmes līmeņa (kritisks, piesardzība utt.), Pēc datuma, pēc ID utt.
Ja mēs vēlamies redzēt pieteikšanās notikumi Mēs varam filtrēt pēc IKD 4624 (pieteikšanās), un mēs iegūsim šādus rezultātus:
PALIELINĀT
[color = # a9a9a9] Noklikšķiniet uz attēla, lai palielinātu [/ color]
Mēs varam divreiz noklikšķināt uz notikuma vai ar peles labo pogu un izvēlēties Pasākuma rekvizīti lai skatītu detalizētu informāciju par notikumu, piemēram, datumu un laiku, aprīkojumu, kurā notikums tika ierakstīts utt.
Tādā veidā mums ir pa rokai liels rīks, lai analizētu, kurš ir veicis izmaiņas lietotājā, objektā vai kopumā Windows Server 2016 vidē.
Daži no svarīgākajiem ID, kurus varam pārbaudīt, ir šādi:
ID / notikums528 Veiksmīga pieteikšanās
520 Sistēmas laiks ir mainīts
529 Nepareiza pieteikšanās (nezināms vārds vai nepareiza parole)
538 Izlogoties
560 Atvērt objektu
4608 Windows palaišana
4609 Windows izslēgšana
4627 Informācija par grupas dalībniekiem
4657 Reģistra vērtība ir mainīta
4662 Objektam ir veikts notikums
4688 Ir izveidots jauns process
4698 Ir izveidots ieplānots uzdevums
4699 Plānotais uzdevums ir izdzēsts
4720 Ir izveidots lietotāja konts
4722 Lietotāja konts ir iespējots
4723 Tika mēģināts mainīt paroli
4725 Lietotāja konts ir atspējots
4726 Lietotāja konts ir izdzēsts
4728 Lietotājs ir pievienots globālai grupai
4729 Lietotājs ir noņemts no globālās grupas
4730 Drošības grupa ir noņemta
4731 Ir izveidota drošības grupa
4738 Lietotāja konts ir mainīts
4739 Domēna politika ir mainīta
4740 Lietotāja konts ir bloķēts
4741 Ir izveidota komanda
4742 Komanda ir mainīta
4743 Komanda ir izslēgta
4800 Dators ir bloķēts
4801 Iekārta ir atbloķēta
5024 Veiksmīga ugunsmūra palaišana
5030 Neizdevās palaist ugunsmūri
5051 Fails ir virtualizēts
5139 Direktorija pakalpojums ir pārvietots
5136 Ir mainīts direktoriju pakalpojums
Kā redzam, mums ir pieejami daudzi ID, lai analizētu katru notikumu, kas notiek mūsu sistēmā. Windows Server 2016 un tādējādi ļauj mums īpaši kontrolēt tos notikumus, kas var ietekmēt sistēmas darbību un drošību.
