Konfigurer avanserte retningslinjer for Windows Server GPO -revisjon

Konfigurer avanserte retningslinjer for Windows Server GPO -revisjon

Utvilsomt gjenspeiles den riktige administrasjonen av serveren vår i optimal funksjon av hver egenskap ved serveren vår og dermed den operative banen til nettverket vårt.

Avanserte revisjonspolicyer gir oss muligheten til å ha en mer sentralisert kontroll siden de gjør det lettere for oss å verifisere hendelsene som skjer på serveren vår og å kunne bestemme mer tydelig hva som skjer på daglig basis.

Vi skal gjennomgå hvordan vi implementerer sikkerhetspolicyer, forutsatt at vår sikkerhetsordning kan deles inn i tre (3) områder:

GodkjenningGi brukeren en identitet.

AutorisasjonGir tilgang til den godkjente brukeren.

HørselDet gjør det mulig å opprettholde kontrollen over brukerne som er logget på systemet og endringene de kan utføre.

Et av de klassiske spørsmålene er å vite om vi virkelig ønsker å implementere sikkerhetspolitikk. Det er noe helt nødvendig å ha alt under kontroll og unngå problemer.

Hvorfor skal vi implementere en sikkerhetspolitikk?Det er viktig som administratorer bruke sikkerhetspolicyer å gå gjennom temaer som:

  • Hvilke brukere logger inn riktig.
  • Hvor mange mislykkede forsøk en bruker har.
  • Endringer gjort i Active Directory i organisasjonen vår.
  • Endringer i bestemte filer.
  • Hvem startet eller stengte serveren og hvorfor.

I denne veiledningen lærer du hvordan du implementerer, reviderer, lager retningslinjer og alt du trenger for forretningsmiljøet ditt med Windows Server -servere i fokusene du trenger å ha kontrollert.

1. Administrer revisjon med GPO Group Policies


Vi må spesifisere hvilke typer systemhendelser vi vil revidere ved hjelp av gruppepolicyer.
La oss se noen av de vanligste hendelsene vi kan administrere:

Kontoinnlogging

  • Beskrivelse

Bestemmer når systemet kontrollerer en vellykket logget konto.

  • Standardkonfigurasjon

Vellykket kontoinnlogging

Regnskapsadministrasjon

  • Beskrivelse

Det bestemmer når systemet kontrollerer hver hendelse i en logget konto, for eksempel passordendringer, sletting av konto.

  • Standardkonfigurasjon

Administrasjon av aktivitetene til kontoene logget inn tilfredsstillende

Tilgang til tjenestekatalogen

  • Beskrivelse

Bestemmer når systemet kontrollerer brukerens forsøk på å gå inn i Active Directory.

Logg Inn

  • Beskrivelse

Bestemmer når systemet kontrollerer hver brukers forsøk på å logge på eller logge ut av systemet.

  • Standardkonfigurasjon

Vellykket pålogging.

Retningslinjer

  • Beskrivelse

Bestemmer når systemet kontrollerer hvert forsøk på å endre domenets etablerte retningslinjer.

  • Standardkonfigurasjon

Vellykkede endringer i politikken

System

  • Beskrivelse

Bestemmer når systemet reviderer eventuelle endringer i systemet.

  • Standardkonfigurasjon

Vellykkede systemhendelser.

Vi må ta visse forhåndsregler når du oppretter revisjonspolicyer, for eksempel:

  • Høye nivåer av revisjon kan drastisk påvirke ytelsen til enheten som skal kontrolleres.
  • Når vi søker i loggene over hendelsene, vil vi se at det er tusenvis av logger og søket kan påvirke oss. Tidsrammene som skal revideres må være klart definert.
  • De mest aktuelle loggene erstatter de eldste loggene, dette kan forhindre oss i å se viktige hendelser som skjedde i en tidligere periode.

2. Implementere GPO -revisjonspolicy


Til implementere en revisjonspolicy vi må utføre følgende trinn:

Trinn 1
Vi åpner vår Server Manager eller Server Manager. Vi klikker videre Verktøy og vi velger alternativet Gruppepolitisk ledelse.

FORSTØRRE

Dermed vil den vise GPO-menyen, vi må vise gjeldende domene og høyreklikke på Standard domenepolicy.

Steg 2
Vi velger alternativet Redigere og Redaktør for gruppepolicybehandling.

Vi distribuerer følgende rute:

  • Utstyrsoppsett
  • Direktiver
  • Windows -innstillinger
  • Sikkerhetsinnstillinger
  • Lokale direktiver
  • Revisjonsdirektiv

Trinn 3
Vi vil se at et vindu vises med de forskjellige alternativer for revisjon:

Vi dobbeltklikker på alternativet Kontroller påloggingshendelser, vil vi se at vinduet for egenskapene til nevnte revisjon åpnes.

Vi merker av i ruten Definer denne policyinnstillingen for å aktivere denne policyen, og vi aktiverer begge boksene (Correct and Error) og klikker på Søke om og til slutt inn Å akseptere for å lagre endringene.

Vi vil se endringene reflektert fra vår revisjon:

3. Implementere revisjonspolicy (fil eller mappe)

Vi kan legge til en type revisjon i en bestemt fil eller mappe, for dette vil vi utføre følgende prosess:

Trinn 1
Vi gir Høyreklikk i mappen som vi vil tildele revisjon og velg alternativet Eiendommer.

I vinduet Egenskaper vi velger fanen Sikkerhet.

Steg 2
Vi klikker på Avanserte alternativer, og følgende vindu vises:

Vi klikker på alternativet Revidere og senere inn Legg til.

Trinn 3
I det viste vinduet velger vi alternativet Velg en rektor for å finne hvilken policy som skal legges til.

Vi valgte mot å søke revisjon:

Til slutt spesifiserer vi revisjonsparametrene (Les, Skriv, etc.), klikk på Å akseptere for å lagre endringene.

Med disse trinnene vil vi allerede få det utvalget vi har valgt revidert.

HuskeVi kan implementere revisjonspolicyer ved hjelp av verktøyet AuditPol.exe inkludert i Windows Server 2012, vil denne kommandoen vise og tillate oss å administrere retningslinjene våre.

Syntaksen som vi kan bruke for denne kommandoen inkluderer følgende:

  • / få: Vis gjeldende retningslinjer
  • /sett: Etablere revisjonspolitikken
  • / liste: Vis elementene i policyen
  • / backup: Lagre revisjonspolicyen i en fil
  • / klar: Rengjør revisjonspolicyen
  • /?: Vis hjelp

4. Hendelser og hendelser fra Event Viewer


Når vi har konfigurert våre sikkerhetspolicyer, kan vi i hendelsesviseren se alle de forskjellige hendelsene som har skjedd på serveren vår, disse hendelsene er representert med en numerisk kode, la oss se noen av de mest representative hendelsene:

Godkjenningsvalideringsrevisjon

  • 4774: En konto ble kartlagt for pålogging
  • 4775: En konto ble ikke tilordnet for pålogging
  • 4776: Domenekontrolleren prøvde å validere legitimasjon for en konto
  • 4777: Domenekontrolleren kunne ikke validere legitimasjon for en konto

Hendelsesrevisjon for pålogging av konto

  • 4778: En økt ble koblet til igjen på en Windows -stasjon
  • 4779: En stasjon ble koblet fra en Windows -stasjon
  • 4800: En stasjon har blitt blokkert
  • 4801: En stasjon har blitt låst opp
  • 5632: Det er opprettet et krav for å autentisere et Wi Fi -nettverk
  • 5633: Det er opprettet et krav for å autentisere et kablet nettverk

Søknadsrevisjon for gruppeledelse

  • 4783: En grunnleggende gruppeapplikasjon er opprettet
  • 4784: En grunnleggende gruppe -app er endret

Kontostyringsrevisjon

  • 4741: En datakonto er opprettet
  • 4742: En datakonto er endret
  • 4743: En datakonto er slettet

Distribusjonsgruppens administrasjonsrevisjon

  • 4744: Det er opprettet en lokal distribusjonsgruppe
  • 4746: Et medlem er lagt til i en lokal distribusjonsgruppe
  • 4747: Et medlem er fjernet fra en lokal distribusjonsgruppe
  • 4749: Det er opprettet en global distribusjonsgruppe
  • 4750: En global distribusjonsgruppe er endret
  • 4753: En global distribusjonsgruppe er fjernet
  • 4760: En sikkerhetsgruppe er endret

Sikkerhetsgruppeadministrasjonsrevisjon

  • 4727: Det er opprettet en global sikkerhetsgruppe
  • 4728: Et medlem har blitt lagt til i en global sikkerhetsgruppe
  • 4729: Et medlem er fjernet til en global sikkerhetsgruppe
  • 4730: En global sikkerhetsgruppe er fjernet
  • 4731: Det er opprettet en lokal sikkerhetsgruppe
  • 4732: Et medlem har blitt lagt til i en lokal sikkerhetsgruppe

Kontroll av brukerkonto

  • 4720: En brukerkonto er opprettet
  • 4722: En brukerkonto er aktivert
  • 4723: Et forsøk på å endre passordet er opprettet
  • 4725: En brukerkonto er deaktivert
  • 4726: En brukerkonto er slettet
  • 4738: En brukerkonto er endret
  • 4740: En brukerkonto er blokkert
  • 4767: En brukerkonto er låst opp
  • 4781: Navnet på en brukerkonto er endret

Behandle revisjoner

  • 4688: En ny prosess er opprettet
  • 4696: En primær kode er tilordnet en prosess
  • 4689: En prosess er avsluttet

Katalogtjenesterevisjoner

  • 5136: Et katalogtjenesteobjekt er endret
  • 5137: Et katalogtjenesteobjekt er opprettet
  • 5138: Et katalogtjenesteobjekt er hentet
  • 5139: Et katalogtjenesteobjekt er flyttet
  • 5141: Et katalogtjenesteobjekt er slettet

Kontorevisjoner

  • 4634: En konto er logget ut
  • 4647: Brukeren har begynt å logge ut
  • 4624: En konto er logget inn
  • 4625: En konto har ikke logget inn

Delte filrevisjoner

  • 5140: Du fikk tilgang til et nettverksobjekt
  • 5142: Et nettverksobjekt er lagt til
  • 5143: Et nettverksobjekt er endret
  • 5144: Et nettverksobjekt er slettet

Andre typer revisjoner

  • 4608: Windows er startet
  • 4609: Windows har blitt stengt
  • 4616: Tidssonen er endret
  • 5025: Windows brannmur er stoppet
  • 5024: Windows brannmur er startet

Som vi kan se, er det mange flere koder som representerer de forskjellige hendelsene som skjer daglig på vår server og vårt nettverk, og vi kan se alle kodene på Microsofts nettsted.

5. Tilgang til WServer 2012 Event Viewer


Vi kommer til å kjenne prosessen for å få tilgang til hendelsesviseren på serveren vår og derfra for å kunne filtrere eller søke etter bestemte hendelser.

Vi må angi Server Manager eller Server Manager. Der velger vi alternativet event viewer fra menyen Verktøy.

FORSTØRRE

Der vil det respektive vinduet vises for å kunne søke etter hendelsene på enheten vår:

I menyen til venstre har vi forskjellige alternativer for å se hendelsene.

Som vi ser kan vi filtrer etter kategorier Hva:

  • Windows -logger
  • Programlogger
  • Microsoft

Og igjen kan vi søke etter underkategorier som applikasjon, sikkerhet, etc.

For eksempel velger vi alternativet Sikkerhet fra menyen Windows -logger.

FORSTØRRE

Vi kan se i den sentrale menyen hendelsesstruktur:

  • Navnet på arrangementet
  • Hendelsesdato
  • Kilde
  • Hendelses -ID (allerede sett før)
  • Kategori

I menyen til venstre finner vi alternativer for å justere hendelsesviseren vår, for eksempel:

  • Åpne lagrede poster: Det lar oss åpne poster som vi tidligere har lagret.
  • Egendefinert visning: Den lar oss lage en visning basert på våre behov, for eksempel kan vi lage den etter hendelses -ID, etter dato, etter kategori, etc.
  • Importer egendefinert visning: Den lar oss importere den opprettede visningen til et annet sted.
  • Tom post: Vi kan sette event viewer på null.
  • Filtrer gjeldende rekord: Vi kan kjøre parametere for å utføre et mer spesifikt søk.
  • Eiendommer: Se egenskapene til arrangementet.

Og så innser vi at vi har andre alternativer i vår event viewer.
Vi kan lage en revisjonspolicy for flyttbare enheter, for dette vil vi utføre følgende prosess:

Vi går inn i vår Serveradministrator
Vi velger fra menyen Verktøy valget Gruppepolicyansvarlig.

Vi må vise domenet vårt, høyreklikk, klikk Redigere og angi følgende rute:

  • Utstyrsoppsett
  • Direktiver
  • Windows -innstillinger
  • Sikkerhetsinnstillinger
  • Avanserte innstillinger for revisjonspolicy
  • Policyinnstillinger
  • Tilgang til objekter

Vi dobbeltklikker på Tilgang til objekter, velger vi alternativet Kontroller flyttbar lagring.

Det respektive vinduet vises, vi aktiverer avmerkingsboksen Konfigurer følgende revisjonshendelser og vi velger alternativet Riktig.

For å lagre endringene klikker vi på Søke om og senere inn Å akseptere.

Som vi kan se, er det verktøy som gjør administrasjon av et nettverk til en ekstremt viktig og ansvarlig oppgave. Vi må grundig utforske alt som Windows Server 2012 tilbyr oss for å ha et nettverk alltid tilgjengelig.

Skjul stasjoner for Windows Server GPO

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
CAT 6, 5e eller fibernettverkskabelegenskaper
2
post-title
Hvordan dele internett Xiaomi Mi A2
3
post-title
▷ Slik aktiverer eller deaktiverer du forhåndsvisningssignal for lenker
4
post-title
Opprett virtuell maskin fra min Windows 10 -PC med VMware
5
post-title
Lær å kurere innhold med Paper.li

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -