En av de viktigste sakene vi som administratorer må huske på er sikkerheten til våre servere og utstyr, sikre de som har tilgang til dem og ta vare på hvilke privilegier de har i det. Det kan skje at noen brukere ved et uhell eller ikke gjør endringer i forskjellige serverparametere, og akkurat som det kan være endringer som ikke påvirker systemets ytelse og stabilitet, kan andre endringer påvirke sikkerheten, konfidensialiteten og ytelsen til Windows betydelig. Server 2016, og dette fører igjen til alvorlige problemer som til og med kan føre til juridiske problemer.
I tillegg til å ta sikkerhetskopier, er en av de beste fremgangsmåtene vi kan utføre som administratorer, IT -ledere og generelt som systempersonell implementere en revisjonspolicy som lar oss overvåke hvilke brukere som er logget på Windows Server 2016 (Eller tidligere versjoner av W.Server) og på denne måten for å kunne analysere om systemfeil sammenfaller med påloggingen til en annen bruker enn de autoriserte. Vi skal analysere hvordan vi kan implementere denne policyen i et Windows Server 2016 -miljø.
1. Revisjonspolicyinnstillinger
Det første trinnet vi må ta for å skape vår revisjonspolicy vil være å gå inn i Group Policy Management Console eller Konsern for styring av gruppepolitikk, for dette vil vi bruke tastekombinasjonen:
Vi trykker Tast inn eller greit og vi vil se følgende vindu:
Å være i GPO -konsoll vi skal bevege oss som følger:
Forest / Domains / Nuestro_Dominio / Domain Controllers / Standard Domain Controllers Policy
Vi vil gi høyreklikk på Standard Domain Controllers Policy og vi velger Redigere For å gå inn i gruppepolicyredigereren ser vi følgende miljø:
Der må vi gå til følgende rute:
- Datamaskinkonfigurasjon
- Retningslinjer
- Windows -innstillinger
- Sikkerhetsinnstillinger
- Avansert konfigurasjon av revisjonspolicy
- Revisjonspolicyer
FORSTØRRE
[color = rgb (169,169,169)] Klikk på bildet for å forstørre [/ color]
På denne måten har vi kommet inn i Alternativ for pålogging / avlogging og vi burde muliggjøre revisjon for disse handlingene, så når en bruker logger på, blir de registrert i hendelsesviseren, slik at de senere kan gå inn og utføre den tilsvarende analysen. Som vi ser den riktige delen har vi en rekke alternativer, men vi må redigere følgende:
- Revisjon avlogging
- Kontrollpålogging
- Kontroller andre påloggings- / avloggingshendelser
Disse tre (3) alternativene gir oss detaljert informasjon om:
- Øktpålogginger
- Sesjonsavslutninger
- Utstyrslås
- Tilkoblinger via eksternt skrivebord
- Etc.
Bare dobbeltklikk på de tre (3) alternativene og aktiver boksen Konfigurer følgende revisjonshendelser og sjekk de to tilgjengelige alternativene (Suksess -Tilfredsstillende Y Feil - feil) for å beholde full kontroll over påloggings- og avloggingshendelser i Windows Server 2016.
Vi trykker Søke om og senere greit for å lagre endringene.
2. Analyser event viewer
Når vi har konfigurert disse parameterne riktig, går vi inn i hendelsesviseren for å analysere de respektive hendelsene.
Logg inn og logg ut revisjonshendelserNå er IDene til hendelsene vi må huske på å overvåke følgende:
- 4624: Pålogging (sikkerhetshendelse)
- 4647: Logg av (sikkerhetshendelse)
- 6005: Systemoppstart (systemhendelse)
- 4778: Koble til et RDP - eksternt skrivebord (sikkerhetshendelse)
- 4779: Logg av fra RDP - Eksternt skrivebord (sikkerhetshendelse)
- 4800: Utstyrslås (sikkerhetshendelse)
- 4801: Lås opp utstyr (sikkerhetshendelse)
Vi vil få tilgang til event viewer ved å bruke ett av følgende alternativer:
- Høyreklikk på startikonet
FORSTØRRE
[color = rgb (169,169,169)] Klikk på bildet for å forstørre [/ color]
For å gjennomgå de nevnte hendelsene vi vil velge alternativet Sikkerhet fra kategorien Windows Logger:
FORSTØRRE[color = rgb (169,169,169)] Klikk på bildet for å forstørre [/ color]
Neste vil vi gi klikk på alternativet Filtrer nåværende logg for å kunne filtrere etter hendelses -ID. Vi må angi ID eller ID -er som vi vil validere, vi skriver ganske enkelt inn verdien (i dette eksemplet 4624) i feltet Enter ID:
Vi trykker greit og vi vil se følgende resultat:
FORSTØRRE[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Der kan vi velge hvilken som helst av hendelsene for å analysere all informasjonen din:
Vi kan se i den øvre delen brukeren som har logget på, domenet de har koblet til og andre parametere, i den nedre delen kan vi se typen revisjon, dato og klokkeslett for hendelsen, beskrivelsen av hendelsen og andre aspekter.
Denne måten vi har laget en revisjonspolicy på påloggings- og avloggingsnivå som vil tillate oss å utføre en total administrasjon og til enhver tid om hvilke brukere og når de har logget seg på Windows Server 2016 og derfra avgjøre om det var noen endringer i systemet.
