I mange tilfælde står vi inden for vores roller som it -personale over for sikkerhedssituationer, som de er. det uautoriserede forsøg på at logge ind på vores domæne at få adgang til det og udføre opgaver, der ikke er tilladt eller autoriseret, og som alvorligt kan påvirke systemets ydeevne og alle de objekter, der er en del af organisationen.
Vi ved, at ubudne gæster eller dem, der ønsker at få adgang til systemet på en uautoriseret måde, forsøger at komme ind eksternt eller fra organisationen selv og forsøger at efterligne nogen af de aktive brugere af organisationen, hvorfor vi denne gang vil analysere hvordan kan vi overvåge, hvem der har forsøgt at nulstille en brugers adgangskode (Vi skal naturligvis validere med brugeren, hvis det ikke var ham) og på denne måde træffe sikkerhedsforanstaltninger eller dem, der er relevante i forhold til situationens sværhedsgrad.
Til denne analyse vil vi bruge et miljø Windows Server 2016.
1. Åbning af gruppepolitisk editor GPO
Det første skridt, vi vil tage, er at åbne Group Policy Manager ved hjælp af en af følgende muligheder:
- Indtastning af ruten:
starten / Alle applikationer / Management værktøjer / Gruppepolitisk ledelse
- Brug af kommandoen Kør (tastekombination
FORSTØRRE
Derfra redigerer vi politik relateret til forsøg og login.
2. Redigering af gruppepolitik
For at fortsætte med udgaven af gruppepolitikken vil vi vise vores domæne, i dette tilfælde solvetic.com, og vi vil højreklikke på Standard domænepolitik og der vælger vi indstillingen Redigere.
FORSTØRREI det viste vindue går vi til følgende rute:
- Opsætning af udstyr
- Direktiver
- Windows -indstillinger
- Sikkerhedsindstillinger
- Lokale direktiver
FORSTØRREVi dobbeltklikker på Revisionspolitik og vi finder politikken kaldet "Revision af kontoadministration”. Vi vil se, at standardværdien er "Det er ikke defineret”. Dobbeltklik på den eller højreklik og vælg Egenskaber og vi vil se, at følgende vindue vises:
3. Aktivering af revisionspolitikken
For at aktivere denne politik skal du blot markere feltet "definere denne politikindstilling”Og markér de felter, som vi anser for nødvendige (Korrekt / Fejl).
Når disse værdier er defineret, skal du trykke på ansøge og efterfølgende At acceptere for at ændringerne skal gemmes. Vi kan se, at vores politik er blevet ændret på en tilfredsstillende måde.
FORSTØRRE4. Kontrol af forsøg på ændring af adgangskode
Vi kan tvinge politikkerne på domænet ved at åbne CMD og indtaste kommandoen:gpupdate / force
Så politikkerne opdateres.For at kontrollere, at brugeren har forsøgt at foretage en adgangskodemodificering, åbner vi begivenhedsfremviseren ved hjælp af en af følgende muligheder:
- Fra kommandoen Kør indtaster du udtrykket:
eventvwr
Og trykke Gå ind eller At acceptere.
- Fra menuen Værktøjer i serveradministrator og vælge indstillingen Events viewer.
Vi vil se, at følgende vindue åbnes:
FORSTØRREVi kommer til at vælge indstillingen fra venstre side Windows / sikkerhedslogfiler. Når vi har valgt Sikkerhed i højre side, vælger vi indstillingen Filtrer aktuel rekord og i feltet Alle hændelses -id'er indtaster vi ID 4724, som er et sikkerheds -id relateret til forsøg på ændring af adgangskode.
Vi presser At acceptere for at se alle tilhørende begivenheder. Det opnåede resultat vil være følgende:
FORSTØRREVi kan se den nøjagtige dato og klokkeslæt for begivenheden, hvilket angiver, at det var et forsøg på nulstilling af adgangskode. Vi kan dobbeltklikke på arrangementet for at se flere detaljer om det.
Vi bemærker, at der er den konto, der forsøgte at foretage ændringen i dette tilfælde SolvAdm og den konto, hvortil ændringen blev forsøgt, i dette eksempel solvetic2.
På denne måde kan vi revider alle forsøg på at ændre brugeradgangskoder, både korrekte og fejlagtige og på denne måde visualisere detaljeret, hvem og hvornår der foretages eller forsøgte at foretage ændringen og dermed træffe de nødvendige foranstaltninger.
Hvis du vil indtaste grenen af retsmedicinske analyser, vi efterlader dig et link til et praktisk værktøj, der er meget udbredt til dette.
Windows retsmedicinsk revision
