Utvivlsomt afspejles den korrekte administration af vores server i den optimale funktion af hver egenskab af vores server og derfor vores netværks operationelle vej.
Avancerede revisionspolitikker giver os mulighed for at have en mere centraliseret kontrol, da de gør det lettere for os at verificere de hændelser, der sker på vores server, og for at kunne fastslå mere tydeligt, hvad der sker på daglig basis.
Vi vil gennemgå, hvordan vi implementerer sikkerhedspolitikker, forudsat at vores sikkerhedsordning kan opdeles i tre (3) områder:
GodkendelseGiv brugeren en identitet.
BemyndigelseGiver adgang til den godkendte bruger.
HøringDet giver mulighed for at bevare kontrollen over de brugere, der er logget ind i systemet, og de ændringer, de kan udføre.
Et af de klassiske spørgsmål er at vide, om vi virkelig vil implementere sikkerhedspolitikker. Det er noget helt nødvendigt at have alt under kontrol og undgå problemer.
Hvorfor skal vi implementere en sikkerhedspolitik?Det er vigtigt som administratorer anvende sikkerhedspolitikker at gennemgå emner som:
- Hvilke brugere logger korrekt ind.
- Hvor mange mislykkede forsøg en bruger har.
- Ændringer foretaget i Active Directory i vores organisation.
- Ændringer til bestemte filer.
- Hvem genstartede eller lukkede serveren og hvorfor.
I denne vejledning lærer du, hvordan du implementerer, reviderer, opretter politikker og alt hvad du har brug for til dit forretningsmiljø med Windows Server -servere i de fokusområder, som du skal have kontrolleret.
1. Administrer revision med GPO Group Policies
Vi skal angive, hvilke typer systemhændelser vi vil revidere ved hjælp af gruppepolitikker.
Lad os se nogle af de mest almindelige begivenheder, som vi kan administrere:
Konto -login
- Beskrivelse
Bestemmer, hvornår systemet kontrollerer en vellykket logget konto.
- Standardkonfiguration
Vellykket login til konto
Regnskabsadministration
- Beskrivelse
Det bestemmer, hvornår systemet reviderer hver begivenhed af en logget konto, f.eks. Ændringer af adgangskode, sletning af konto.
- Standardkonfiguration
Administration af regnskabets aktiviteter logget tilfredsstillende på
Adgang til Services Directory
- Beskrivelse
Bestemmer, hvornår systemet kontrollerer brugerens forsøg på at komme ind i Active Directory.
Log på
- Beskrivelse
Bestemmer, hvornår systemet kontrollerer hver brugers forsøg på at logge på eller logge ud af systemet.
- Standardkonfiguration
Vellykket login.
Politisk ændring
- Beskrivelse
Bestemmer, hvornår systemet reviderer hvert forsøg på at ændre domænet etablerede politikker.
- Standardkonfiguration
Vellykkede politiske ændringer
System
- Beskrivelse
Bestemmer, hvornår systemet reviderer eventuelle ændringer af systemet.
- Standardkonfiguration
Vellykkede systemhændelser.
Vi skal tage visse forholdsregler når du opretter revisionspolitikker for eksempel:
- Høje niveauer af revision kan drastisk påvirke ydelsen af den enhed, der skal revideres.
- Når vi søger i logfilerne over begivenhederne, vil vi se, at der er tusindvis af logfiler, og søgningen kan påvirke os. Tidsrammerne, der skal revideres, skal være klart definerede.
- De mest aktuelle logfiler erstatter de ældste logfiler, dette kan forhindre os i at se vigtige begivenheder, der fandt sted i en tidligere periode.
2. Gennemfør GPO -revisionspolitik
Til implementere en revisionspolitik vi skal udføre følgende trin:
Trin 1
Vi åbner vores Server Manager eller Server Manager. Vi klikker videre Værktøjer og vi vælger muligheden Gruppepolitisk ledelse.
FORSTØRRE
Således vil det vise GPO'er-menuen, vi skal vise det aktuelle domæne og højreklikke på Standard domænepolitik.
Trin 2
Vi vælger muligheden Redigere og Group Policy Management Editor.
Vi anvender følgende rute:
- Opsætning af udstyr
- Direktiver
- Windows -indstillinger
- Sikkerhedsindstillinger
- Lokale direktiver
- Revisionsdirektiv
Trin 3
Vi vil se, at der vises et vindue med de forskellige muligheder for revision:
Vi dobbeltklikker på indstillingen Revider loginbegivenheder, vil vi se, at vinduet for egenskaberne ved nævnte revision åbnes.
Vi markerer afkrydsningsfeltet Definer denne politikindstilling for at aktivere denne politik, og vi aktiverer begge felter (Ret og fejl) og klikker på ansøge og endelig ind At acceptere for at gemme ændringerne.
Vi vil se ændringerne afspejlet i vores revision:
3. Gennemfør revisionspolitik (fil eller mappe)
Vi kan tilføje en type revision til en bestemt fil eller mappe, for dette vil vi udføre følgende proces:
Trin 1
Vi giver Højreklik i den mappe, som vi vil tildele revision, og vælg indstillingen Ejendomme.
I vinduet Egenskaber vi vælger fanen Sikkerhed.
Trin 2
Vi klikker på Avancerede muligheder, og følgende vindue vises:
Vi klikker på indstillingen Revidere og senere ind Tilføje.
Trin 3
I det viste vindue vælger vi indstillingen Vælg en rektor for at finde, hvilken politik der skal tilføjes.
Vi valgte indsigelse mod at anvende revision:
Endelig angiver vi revisionsparametrene (Læs, Skriv osv.), Klik på At acceptere for at gemme ændringerne.
Med disse trin vil vi allerede få det udvalg, vi har valgt, revideret.
HuskVi kan implementere revisionspolitikker ved hjælp af værktøjet AuditPol.exe inkluderet i Windows Server 2012, viser denne kommando og giver os mulighed for at administrere vores politikker.
Syntaksen, som vi kan bruge til denne kommando, omfatter følgende:
- / få: Vis den aktuelle politik
- /sæt: Fastsætte revisionspolitikken
- / liste: Vis elementerne i politikken
- / backup: Gem revisionspolitikken i en fil
- / klar: Rengør revisionspolitikken
- /?: Vis hjælp
4. Begivenheder og begivenheder fra Event Viewer
Når vi har konfigureret vores sikkerhedspolitikker, kan vi i event viewer se alle de forskellige hændelser, der er sket på vores server, disse begivenheder er repræsenteret med en numerisk kode, lad os se nogle af de mest repræsentative begivenheder:
Godkendelsesvalideringsrevision
- 4774: En konto blev kortlagt til login
- 4775: En konto blev ikke kortlagt til login
- 4776: Domænecontrolleren forsøgte at validere legitimationsoplysninger for en konto
- 4777: Domænecontrolleren kunne ikke validere legitimationsoplysninger for en konto
Begivenhedsrevision for konto -login
- 4778: En session blev genforbundet på en Windows -station
- 4779: En station blev afbrudt fra en Windows -station
- 4800: En station er blevet blokeret
- 4801: En station er blevet låst op
- 5632: Der er oprettet et krav for at godkende et Wi Fi -netværk
- 5633: Der er oprettet et krav om godkendelse af et kablet netværk
Ansøgningsrevision til gruppeledelse
- 4783: Der er oprettet en grundlæggende gruppeapplikation
- 4784: En grundlæggende gruppe -app er blevet ændret
Kontostyringsrevision
- 4741: Der er oprettet en computerkonto
- 4742: En computerkonto er blevet ændret
- 4743: En computerkonto er blevet slettet
Distributionsgruppeadministrationsrevision
- 4744: Der er oprettet en lokal distributionsgruppe
- 4746: Et medlem er blevet føjet til en lokal distributionsgruppe
- 4747: Et medlem er blevet fjernet fra en lokal distributionsgruppe
- 4749: Der er oprettet en global distributionsgruppe
- 4750: En global distributionsgruppe er blevet ændret
- 4753: En global distributionsgruppe er blevet fjernet
- 4760: En sikkerhedsgruppe er blevet ændret
Sikkerhedsgruppeadministration revision
- 4727: Der er oprettet en global sikkerhedsgruppe
- 4728: Et medlem er blevet føjet til en global sikkerhedsgruppe
- 4729: Et medlem er blevet fjernet til en global sikkerhedsgruppe
- 4730: En global sikkerhedsgruppe er blevet fjernet
- 4731: Der er oprettet en lokal sikkerhedsgruppe
- 4732: Et medlem er blevet føjet til en lokal sikkerhedsgruppe
Brugerkontostyringsrevision
- 4720: Der er oprettet en brugerkonto
- 4722: En brugerkonto er blevet aktiveret
- 4723: Der er oprettet et forsøg på at ændre adgangskoden
- 4725: En brugerkonto er blevet deaktiveret
- 4726: En brugerkonto er blevet slettet
- 4738: En brugerkonto er blevet ændret
- 4740: En brugerkonto er blevet blokeret
- 4767: En brugerkonto er blevet låst op
- 4781: Navnet på en brugerkonto er blevet ændret
Behandl revisioner
- 4688: En ny proces er blevet oprettet
- 4696: En primær kode er blevet tildelt en proces
- 4689: En proces er slut
Revision af telefonbogstjenester
- 5136: Et bibliotekstjenesteobjekt er blevet ændret
- 5137: Et bibliotekstjenesteobjekt er blevet oprettet
- 5138: Et bibliotekstjenesteobjekt er blevet hentet
- 5139: Et bibliotekstjenesteobjekt er blevet flyttet
- 5141: Et bibliotekstjenesteobjekt er blevet slettet
Konto revisioner
- 4634: En konto er blevet logget ud
- 4647: Bruger er begyndt at logge ud
- 4624: En konto er blevet logget ind
- 4625: En konto kunne ikke logge ind
Delte filrevisioner
- 5140: Der blev adgang til et netværksobjekt
- 5142: Der er tilføjet et netværksobjekt
- 5143: Et netværksobjekt er blevet ændret
- 5144: Et netværksobjekt er blevet slettet
Andre former for revisioner
- 4608: Windows er startet
- 4609: Windows er blevet lukket
- 4616: Tidszonen er blevet ændret
- 5025: Windows firewall er stoppet
- 5024: Windows firewall er startet
Som vi kan se, er der mange flere koder, der repræsenterer de forskellige hændelser, der sker dagligt på vores server og vores netværk, vi kan se alle koderne på Microsofts websted.
5. Adgang til WServer 2012 Event Viewer
Vi kender processen med at få adgang til event -vieweren på vores server og derfra for at kunne filtrere eller søge efter bestemte begivenheder.
Vi skal indtaste Server Manager eller Server Manager. Der vælger vi indstillingen event viewer fra menuen Værktøjer.
FORSTØRRE
Der vil det respektive vindue blive vist for at kunne søge efter begivenhederne på vores enhed:
I menuen til venstre har vi forskellige muligheder for at se begivenhederne.
Som vi ser, kan vi filtrer efter kategorier Hvad:
- Windows logfiler
- Applikationslogfiler
- Microsoft
Og til gengæld kan vi søge efter underkategorier som applikation, sikkerhed osv.
For eksempel vælger vi indstillingen Sikkerhed fra menuen Windows logfiler.
FORSTØRRE
Vi kan se i den centrale menu hændelsesstruktur:
- Begivenhedens navn
- Begivenhedsdato
- Kilde
- Begivenheds -id (allerede set før)
- Kategori
I menuen til venstre finder vi muligheder for at justere vores event viewer, såsom:
- Åbn gemte poster: Det giver os mulighed for at åbne poster, som vi tidligere har gemt.
- Tilpasset visning: Det giver os mulighed for at oprette en visning baseret på vores behov, for eksempel kan vi oprette den efter hændelses -id, efter dato, efter kategori osv.
- Importér tilpasset visning: Det giver os mulighed for at importere vores oprettede visning til et andet sted.
- Tom rekord: Vi kan forlade event viewer på nul.
- Filtrer nuværende rekord: Vi kan køre parametre for at udføre en mere specifik søgning.
- Ejendomme: Se begivenhedens egenskaber.
Og så indser vi, at vi har andre muligheder i vores event viewer.
Vi kan oprette en revisionspolitik for flytbare enheder, derfor udfører vi følgende proces:
Vi går ind i vores Serveradministrator
Vi vælger fra menuen Værktøjer muligheden Gruppepolitisk leder.
Vi skal vise vores domæne, højreklik, klik Redigere og indtast følgende rute:
- Opsætning af udstyr
- Direktiver
- Windows -indstillinger
- Sikkerhedsindstillinger
- Avancerede indstillinger for revisionspolitik
- Politikindstillinger
- Adgang til objekter
Vi dobbeltklikker på Adgang til objekter, vi vælger indstillingen Revider flytbar lagerplads.
Det respektive vindue vises, vi aktiverer afkrydsningsfeltet Konfigurer følgende revisionshændelser og vi vælger muligheden Korrekt.
For at gemme ændringerne klikker vi på ansøge og senere ind At acceptere.
Som vi kan se, er der værktøjer, der gør den administrative administration af et netværk til en ekstremt vigtig og ansvarlig opgave, vi skal grundigt undersøge alt, hvad Windows Server 2012 tilbyder os for altid at have et netværk tilgængeligt.
Skjul drev Windows Server GPO
