En av de mest følsomme problemene som en organisasjon har i tankene er sikkerhet og konfidensialitet, ikke bare i prinsippene, men i hele infrastrukturen (utstyr, data, brukere osv.), Og en stor del av all denne informasjonen lagres på serverne organisasjonen, og hvis vi har tilgang til serveren enten som administrator, koordinatorer eller systemassistenter, står vi overfor et stort ansvar for å forhindre uautorisert tilgang til systemet.
Ved mange anledninger, håper jeg ikke at det i det hele tatt er at de i noen situasjoner har blitt presentert tilgang ikke på grunn av systemet Y uautoriserte endringer er gjort og dessverre Det er ikke kjent hvilken bruker som var ansvarlig eller når hendelsen var.
Vi skal gi et reelt eksempel på denne situasjonen:
På et tidspunkt i firmaet kom noen inn på serveren og slettet en bruker som, selv om han hadde et standardnavn, var en bruker som ble brukt for å få tilgang til en produktiv maskin, og derfor ble tjenesten deaktivert når brukeren ble slettet og det var en stort problem, og det var ikke kunne avgjøre hvem eller hvordan som gjorde endringen.
Heldigvis lar Windows Server oss utføre en prosess for å kontrollere alle hendelsene som skjedde på serveren, og i denne studien skal vi analysere hvordan du gjennomfører denne revisjonen enkelt og effektivt.
Miljøet vi vil jobbe vil være Windows Server 2016 Datacenter Technical Preview 5.
1. Gjennomføre revisjon av Active Directory
Det første vi må gjøre er å gå inn i gruppepolicyhåndteringskonsollen eller gpmc, for dette bruker vi tastekombinasjonen:
I disse tilfellene må vi installer gpmc med ett av følgende alternativer:
- Gå inn i Server Manager og åpne alternativet: Legg til roller og funksjoner og senere inn Funksjoner - Funksjoner å velge Gruppepolitisk ledelse.
- Gjennom Windows PowerShell ved hjelp av cmdlet:
Windows -InstallFeature -Name GPMC
Når vi har tilgang til gpmc, ser vi vinduet der det vises skog, distribuerer vi den og senere Domener, deretter navnet på domenet vårt, så viser vi Domenekontrollere og til slutt velger vi Standard retningslinjer for domenekontroller.
Der vil vi høyreklikke på Standard retningslinjer for domenekontroller og vi velger Redigere eller Redigere for å gjøre noen justeringer på den og dermed tillate registrering av hendelsene som skjedde i vår Windows Server 2016.
Vi vil se følgende:
Som vi kan se, har vi fått tilgang til redaktør for Domain Controller Group Policiesnå som vi er der skal vi gå til følgende rute:
- Datamaskinkonfigurasjon
- Retningslinjer
- Windows -innstillinger
- Sikkerhetsinnstillinger
- Avansert konfigurasjon av revisjonspolicy
- Revisjonspolicyer
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Der må vi konfigurere parametrene til følgende elementer:
- Logg på konto
- Kontoadministrasjon
- DS Access
- Pålogging / avlogging
- Objekttilgang
- Retningslinjer
La oss konfigurere Logg på konto, vil vi se at når det først er valgt på høyre side, vises følgende:
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Der må vi konfigurere hvert av disse alternativene som følger. Dobbeltklikk på hver enkelt og legg til følgende parametere.
Vi aktiverer boksen Konfigurer følgende revisjonshendelser og vi merker de to tilgjengelige boksene, Suksess Y Feil, (Disse verdiene gjør det mulig å logge de vellykkede og mislykkede hendelsene).
Vi gjør dette med hver enkelt og trykker på Søke om og senere greit for å lagre endringene.
Vi vil gjenta denne prosessen for alle feltene i følgende parametere:
- Kontoadministrasjon
- DS Access
- Pålogging / avlogging
- Objekttilgang
- Retningslinjer
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Vi kan se på høyre side i kolonnen Revidere hendelser at de konfigurerte verdiene er endret (suksess og feil).
Deretter skal vi tvinge retningslinjene som vi har endret slik at systemet tar dem, for dette går vi inn i kommandolinjen cmd og skriver inn følgende kommando:
gpupdate / force[color = # a9a9a9] Oppdater retningslinjer uten å måtte starte på nytt. [/ color]
Vi avslutter cmd ved hjelp av kommandoen exit. Nå skal vi åpne ADSI eller ADSI Edit editor bruker begrepet adsiedit.msc fra Kjør -kommandoen (Windows + R) eller ved å skrive inn begrepet ADSI i søkeboksen Windows Server 2016 og velge ADSI Edit.
Vi ser følgende vindu:
Når vi er inne i ADSI Edit vil vi høyreklikke på ADSI Edit på venstre side og velg Koble til.
Følgende vindu vises:
På landsbygda Tilkoblingspunkt i fanen "Velg en velkjent navnekontekst " Vi vil se følgende alternativer for å koble til:
- Standard navngivningskontekst
- Konfigurasjon
- RootDSE
- Skjema
Disse verdiene bestemmer hvordan hendelser skal registreres i Windows Server 2016, i dette tilfellet må vi velge alternativet Konfigurasjon slik at hendelsene som skal logges tar verdiene til konfigurasjonen som tidligere ble gjort i gpmc.
Vi trykker greit og vi må gjenta forrige trinn for å legge til de andre verdiene:
- Misligholde
- RootDSE
- Skjema
Dette vil være utseendet på ADSI Edit når vi har lagt til alle feltene.
Nå må vi aktivere revisjonen i hver av disse verdiene, for dette vil vi utføre prosessen i Standard navngivningskontekst og vi kommer til å gjenta denne prosessen for de andre.
Vi viser feltet og høyreklikker på linjen til domenekontrolleren vår og velger Egenskaper - Eiendommer.
Vi vil se følgende vindu der vi velger fanen Sikkerhet - Sikkerhet.
Der trykker vi på knappen Avansert - Avansert og vi vil se følgende miljø der vi velger fanen Revisjon - Revidere.
Mens vi er der, klikker vi på Legg til å legge til Alle og på denne måten kunne revidere oppgavene som utføres av enhver bruker uavhengig av deres privilegier; Når vi trykker på Legg til, ser vi etter brukeren slik:
Vi trykker greit og i vinduet som vises, vil vi merke av for alle boksene og bare fjerne merket for følgende for å kontrollere:
- Full kontroll
- Liste innhold
- Les alle eiendommer
- Les tillatelser
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Vi trykker greit for å lagre endringene.
2. Revider hendelser av endringer gjort i AD
La oss huske å utføre de samme trinnene for de andre verdiene i nodene til ADSI Edit. For å validere at alle endringene som er gjort i Windows Server 2016 er registrert, åpner vi eventviseren, vi kan åpne den som følger:
- Høyreklikk på startikonet og velg Hendelser viewer eller Event Viewer.
- Fra Run -kommandoen kan vi skrive inn begrepet:
eventvwr
og trykk Enter.
Slik vil Event Viewer se ut Windows Server 2016.
FORSTØRRE
Som vi kan se, bemerker vi at vi har fire kategorier som er:
- Egendefinerte visninger: Fra dette alternativet kan vi lage tilpassede visninger av hendelsene på serveren.
- Windows -logger: Gjennom dette alternativet kan vi analysere alle hendelsene som skjedde i Windows -miljøet, enten på sikkerhetsnivå, oppstart, hendelser, system, etc.
- Logger for applikasjoner og tjenester: Med dette alternativet kan vi se hendelsene som har skjedd angående tjenestene og programmene som er installert på Windows Server 2016.
- Abonnementer: Det er en ny funksjon i visningen som lar deg analysere alle hendelsene som skjedde med Windows -abonnementer, for eksempel Azure.
La oss for eksempel vise hendelsene som er registrert på sikkerhetsnivå ved å velge alternativet Windows -logger og det å velge Sikkerhet.
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Som vi kan se, er hendelsene registrert etter nøkkelord, dato og klokkeslett for hendelsen, ID som er veldig viktig, etc.
Hvis vi analyserer vil vi se at det er tusenvis av hendelser, og det kan være vanskelig å lese en etter en for å se hvilken hendelse som skjedde, for å forenkle denne oppgaven kan vi trykke på knappen Filtrer gjeldende logg å filtrere hendelser på forskjellige måter.
Der kan vi filtrere hendelsene etter påvirkningsnivå (Kritisk, Forsiktig, etc.), etter dato, etter ID, etc.
Hvis vi vil se påloggingshendelser Vi kan filtrere etter IKD 4624 (pålogging), og vi får følgende resultater:
FORSTØRRE
[color = # a9a9a9] Klikk på bildet for å forstørre [/ color]
Vi kan dobbeltklikke på arrangementet eller høyreklikke og velge Hendelsesegenskaper for å se detaljert hendelsesinformasjon som dato og klokkeslett, utstyr der hendelsen ble spilt inn, etc.
På denne måten har vi en stor på hånden verktøy for å analysere hvem som har gjort noen endringer i en bruker, et objekt eller generelt i Windows Server 2016 -miljøet.
Noen av de viktigste ID -ene vi kan bekrefte er:
ID / hendelse528 Vellykket pålogging
520 Systemtiden er endret
529 Feil pålogging (ukjent navn eller feil passord)
538 Logg ut
560 Åpent objekt
4608 Windows oppstart
4609 Windows -nedleggelse
4627 Informasjon om gruppemedlemmer
4657 En registerverdi er endret
4662 En hendelse har blitt utført på et objekt
4688 En ny prosess er opprettet
4698 En planlagt oppgave er opprettet
4699 En planlagt oppgave er slettet
4720 En brukerkonto er opprettet
4722 En brukerkonto er aktivert
4723 Det ble gjort et forsøk på å gjøre passordendring
4725 En brukerkonto er deaktivert
4726 En brukerkonto er slettet
4728 En bruker er lagt til i en global gruppe
4729 En bruker er fjernet fra en global gruppe
4730 En sikkerhetsgruppe er fjernet
4731 Det er opprettet en sikkerhetsgruppe
4738 En brukerkonto er endret
4739 En domenepolicy er endret
4740 En brukerkonto er blokkert
4741 Et lag er opprettet
4742 Et lag er endret
4743 Et lag er eliminert
4800 Datamaskinen har blitt blokkert
4801 Utstyret er låst opp
5024 Vellykket oppstart av brannmuren
5030 Kan ikke starte brannmur
5051 En fil har blitt virtualisert
5139 En katalogtjeneste er flyttet
5136 En katalogtjeneste er endret
Som vi kan se, har vi mange ID -er tilgjengelig for å analysere hver hendelse som skjer i systemet vårt. Windows Server 2016 og dermed tillate oss å ha spesifikk kontroll over de hendelsene som kan påvirke ytelsen og sikkerheten til systemet.
