Ved mange anledninger, innenfor våre roller som IT -personell, står vi overfor sikkerhetssituasjoner slik de er. de uautoriserte forsøk på å logge på domenet vårt å få tilgang til det og utføre oppgaver som ikke er tillatt eller autorisert og som kan påvirke systemets ytelse og alle objektene som er en del av organisasjonen alvorlig.
Vi vet at inntrengere eller de som ønsker å få tilgang til systemet på en uautorisert måte prøver å gå inn eksternt eller fra organisasjonen selv, og prøver å etterligne noen av de aktive brukerne av organisasjonen, og derfor skal vi analysere denne gangen hvordan kan vi overvåke hvem som har prøvd å tilbakestille passordet til en bruker (Tydeligvis må vi validere med brukeren hvis det ikke var ham) og på denne måten ta sikkerhetstiltak eller de som er relevante i henhold til alvorlighetsgraden av situasjonen.
For denne analysen skal vi bruke et miljø Windows Server 2016.
1. Åpning av gruppepolicyredaktør GPO
Det første trinnet vi vil ta er å åpne Group Policy Manager ved å bruke ett av følgende alternativer:
- Angi ruten:
begynnelse / Alle applikasjoner / Administrasjonsverktøy / Gruppepolitisk ledelse
- Bruk av kommandoen Kjør (tastekombinasjon
FORSTØRRE
Derfra vil vi redigere retningslinjer knyttet til forsøk og pålogging.
2. Redigerer gruppepolicy
For å fortsette med utgaven av gruppepolicyen skal vi vise domenet vårt, i dette tilfellet solvetic.com, og vi vil høyreklikke på Standard domenepolicy og der vil vi velge alternativet Redigere.
FORSTØRREI det viste vinduet går vi til følgende rute:
- Utstyrsoppsett
- Direktiver
- Windows -innstillinger
- Sikkerhetsinnstillinger
- Lokale direktiver
FORSTØRREVi dobbeltklikker på Revisjonspolicy og vi finner politikken som heter "Revisjonskontostyring”. Vi vil se at standardverdien er "Det er ikke definert”. Dobbeltklikk på den eller høyreklikk og velg Egenskaper og vi vil se at følgende vindu vises:
3. Aktivering av revisjonspolicyen
For å aktivere denne policyen, bare merk av i boksen "definere denne policyinnstillingen”Og merk av i boksene vi anser som nødvendige (Rett / feil).
Når disse verdiene er definert, trykker du på Søke om og senere Å akseptere for at endringene skal lagres. Vi kan se at vår policy er endret på en tilfredsstillende måte.
FORSTØRRE4. Kontrollerer forsøk på endring av passord
Vi kan tvinge retningslinjene på domenet ved å åpne CMD og skrive inn kommandoen:gpupdate / force
Slik at retningslinjene oppdateres.For å bekrefte at brukeren har prøvd å endre passordet, skal vi åpne hendelsesviseren ved å bruke ett av følgende alternativer:
- Fra Run -kommandoen skriver du inn begrepet:
eventvwr
Og trykke Tast inn eller Å akseptere.
- Fra menyen Verktøy i serveradministrator og velge alternativet Hendelser viewer.
Vi vil se at følgende vindu åpnes:
FORSTØRREVi kommer til å velge alternativet fra venstre side Windows / Sikkerhetslogger. Når vi har valgt Sikkerhet på høyre side, velger vi alternativet Filtrer gjeldende rekord og i feltet Alle hendelses -ID -er vil vi legge inn ID 4724, som er en sikkerhets -ID relatert til passordendringsforsøkene.
Vi trykker Å akseptere for å se alle tilknyttede hendelser. Resultatet som oppnås vil være følgende:
FORSTØRREVi kan se den eksakte datoen og klokkeslettet for hendelsen som indikerer at det var et forsøk på tilbakestilling av passord. Vi kan dobbeltklikke på arrangementet for å se flere detaljer om det.
Vi merker oss at det er kontoen som prøvde å gjøre endringen, i dette tilfellet SolvAdm og kontoen som endringen ble forsøkt til, i dette eksemplet solvetic2.
På denne måten kan vi revider alle forsøk på å endre brukerpassord, både riktig og feilaktig og på denne måten visualisere i detalj hvem og når de ble gjort eller prøvd å gjøre endringen og dermed ta de nødvendige tiltakene.
Hvis du vil angi grenen av rettsmedisinske analyser, gir vi deg en lenke til et praktisk verktøy som er mye brukt for dette.
Windows rettsmedisinsk revisjon
