Et af de mest følsomme spørgsmål, som en organisation har i tankerne, er sikkerhed og fortrolighed, ikke kun i sine principper, men i hele sin infrastruktur (udstyr, data, brugere osv.), Og en stor del af alle disse oplysninger gemmes på serverne af organisationen, og hvis vi har adgang til serveren enten som administrator, koordinatorer eller systemassistenter, står vi over for et stort ansvar for at forhindre uautoriseret adgang til systemet.
Ved mange lejligheder håber jeg slet ikke, at de i nogle situationer er blevet præsenteret adgang ikke på grund af systemet Y uautoriserede ændringer er foretaget og desværre Det vides ikke, hvilken bruger der var ansvarlig, eller hvornår begivenheden var.
Vi vil sætte et reelt eksempel på denne situation:
På et tidspunkt i virksomheden kom nogen ind på serveren og slettede en bruger, der, selvom han havde et standardnavn, var en bruger, der blev brugt til at få adgang til en produktiv maskine, og da brugeren blev slettet, blev tjenesten deaktiveret, og der var en stort problem, og det var ikke kunne afgøre, hvem eller hvordan der foretog ændringen.
Heldigvis tillader Windows Server os at udføre en proces for at kontrollere alle de hændelser, der opstod på serveren, og i denne undersøgelse skal vi analysere hvordan denne revision skal gennemføres enkelt og effektivt.
Det miljø, vi vil arbejde på, vil være Windows Server 2016 Datacenter Teknisk forhåndsvisning 5.
1. Gennemfør revision af Active Directory
Den første ting, vi skal gøre, er at indtaste gruppepolitikstyringskonsollen eller gpmc, til dette vil vi bruge tastekombinationen:
I disse tilfælde skal vi installer gpmc med en af følgende muligheder:
- Indtast Server Manager, og åbn indstillingen: Tilføj roller og funktioner og senere ind Funktioner - Funktioner at vælge Gruppepolitisk ledelse.
- Gennem Windows PowerShell ved hjælp af cmdlet:
Windows -InstallFeature -Name GPMC
Når vi har adgang til gpmc, ser vi vinduet, hvor det vises Skov, vi implementerer det og senere Domæner, derefter navnet på vores domæne, så viser vi Domænecontrollere og endelig vælger vi Standardpolicy for domænecontroller.
Der vil vi højreklikke på Standardpolicy for domænecontroller og vi vælger Redigere eller Redigere at foretage nogle justeringer på det og dermed tillade registrering af de begivenheder, der opstod i vores Windows Server 2016.
Vi vil se følgende:
Som vi kan se, har vi haft adgang til redaktør af Domain Controller Group Policiesnu hvor vi er der, skal vi gå til følgende rute:
- Computerkonfiguration
- Politikker
- Windows -indstillinger
- Sikkerhedsindstillinger
- Avanceret konfiguration af revisionspolitik
- Revisionspolitikker
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Der skal vi konfigurere parametrene for følgende elementer:
- Logon på konto
- Kontostyring
- DS Adgang
- Logon / Logoff
- Objektadgang
- Politisk ændring
Lad os konfigurere Logon på konto, vil vi se, at når det er valgt i højre side, vises følgende:
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Der skal vi konfigurere hver af disse muligheder som følger. Dobbeltklik på hver enkelt og tilføj følgende parametre.
Vi aktiverer boksen Konfigurer følgende revisionshændelser og vi markerer de to tilgængelige kasser, Succes Y Fiasko, (Disse værdier gør det muligt at logge de vellykkede og mislykkede hændelser).
Vi gør dette med hver enkelt og trykker på ansøge og senere okay for at gemme ændringerne.
Vi vil gentage denne proces for alle felterne i følgende parametre:
- Kontostyring
- DS Adgang
- Logon / Logoff
- Objektadgang
- Politisk ændring
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Vi kan se på højre side i kolonnen Revision begivenheder at de konfigurerede værdier er blevet ændret (succes og fejl).
Dernæst vil vi tvinge de politikker, vi har ændret, så systemet tager dem, for dette vil vi indtaste kommandolinjen cmd og indtaste følgende kommando:
gpupdate / force[color = # a9a9a9] Opdater politikker uden at skulle genstarte. [/ color]
Vi forlader cmd ved hjælp af kommandoen exit. Nu skal vi Åbn ADSI eller ADSI Edit editor ved hjælp af udtrykket adsiedit.msc fra kommandoen Kør (Windows + R) eller ved at indtaste udtrykket ADSI i søgefeltet Windows Server 2016 og vælge ADSI Edit.
Vi ser følgende vindue:
Når vi er inde i ADSI Edit, vil vi højreklikke på ADSI Edit på venstre side, og vælg Forbinde til.
Følgende vindue vises:
Ude på landet Tilslutningspunkt i fanen "Vælg en velkendt navngivningskontekst " Vi ser følgende muligheder for at oprette forbindelse:
- Standard navngivningskontekst
- Konfiguration
- RootDSE
- Skema
Disse værdier bestemmer, hvordan hændelser skal registreres i Windows Server 2016, i dette tilfælde skal vi vælge indstillingen Konfiguration så de hændelser, der skal logges, tager værdierne for den konfiguration, der tidligere blev foretaget i gpmc.
Vi presser okay og vi skal gentage det foregående trin for at tilføje de andre værdier:
- Standard
- RootDSE
- Skema
Dette vil være udseendet af ADSI Edit når vi har tilføjet alle felterne.
Nu skal vi aktivere revisionen i hver af disse værdier, for dette vil vi udføre processen i Standard navngivningskontekst og vi kommer til at gentage denne proces for de andre.
Vi viser feltet og højreklikker på linjen i vores domænecontroller og vælger Egenskaber - Ejendomme.
Vi vil se følgende vindue, hvor vi vælger fanen Sikkerhed - Sikkerhed.
Der vil vi trykke på knappen Fremskreden - Fremskreden og vi vil se følgende miljø, hvor vi vælger fanen Revision - Revidere.
Mens vi er der, klikker vi videre Tilføje at tilføje Alle og på denne måde kunne revidere de opgaver, der udføres af enhver bruger, uanset deres niveau af privilegier; Når vi trykker på Tilføj, leder vi efter brugeren sådan:
Vi presser okay og i det viste vindue kontrollerer vi alle bokse og fjerner kun markeringen for følgende for at kontrollere:
- Fuld kontrol
- Liste indhold
- Læs alle ejendomme
- Læs tilladelser
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Vi presser okay for at gemme ændringerne.
2. Revider begivenheder for ændringer foretaget i AD
Lad os huske at udføre de samme trin for de andre værdier i noderne ADSI Edit. For at validere, at alle de ændringer, der foretages i Windows Server 2016 er registreret, åbner vi eventviseren, vi kan åbne den som følger:
- Højreklik på startikonet og vælg Events viewer eller Event Viewer.
- Fra kommandoen Kør kan vi indtaste udtrykket:
eventvwr
og tryk på Enter.
Sådan ser Event Viewer ud Windows Server 2016.
FORSTØRRE
Som vi kan se, bemærker vi, at vi har fire kategorier, der er:
- Tilpassede visninger: Fra denne mulighed kan vi oprette brugerdefinerede visninger af hændelserne på serveren.
- Windows -logfiler: Gennem denne mulighed kan vi analysere alle de hændelser, der fandt sted i Windows -miljøet, hvad enten det var på sikkerhedsniveau, opstart, begivenheder, system osv.
- Log og applikationer: Med dette alternativ kan vi se de begivenheder, der er sket vedrørende tjenester og applikationer, der er installeret på Windows Server 2016.
- Abonnementer: Det er en ny funktion i fremviseren, der giver dig mulighed for at analysere alle de hændelser, der opstod med Windows -abonnementer, f.eks. Azure.
Lad os f.eks. Vise begivenhederne registreret på sikkerhedsniveau ved at vælge indstillingen Windows logfiler og der vælger Sikkerhed.
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Som vi kan se, er begivenhederne registreret efter nøgleord, dato og klokkeslæt for begivenheden, ID som er meget vigtigt osv.
Hvis vi analyserer, vil vi se, at der er tusindvis af begivenheder, og det kan være svært at læse en efter en for at se, hvilken hændelse der er sket, for at forenkle denne opgave kan vi trykke på knappen Filtrer aktuel log at filtrere begivenheder på forskellige måder.
Der kan vi filtrere hændelserne efter påvirkningsniveau (kritisk, forsigtig osv.), Efter dato, efter ID osv.
Hvis vi vil se logon begivenheder Vi kan filtrere efter IKD 4624 (Logon), og vi får følgende resultater:
FORSTØRRE
[color = # a9a9a9] Klik på billedet for at forstørre [/ color]
Vi kan dobbeltklikke på begivenheden eller højreklikke og vælge Begivenhedsegenskaber for at se detaljerede begivenhedsoplysninger såsom dato og klokkeslæt, udstyr, hvor begivenheden blev optaget osv.
På denne måde har vi en stor på hånden værktøj til at analysere, hvem der har foretaget ændringer til en bruger, et objekt eller generelt til Windows Server 2016 -miljøet.
Nogle af de vigtigste id'er, som vi kan verificere, er:
ID / begivenhed528 Vellykket login
520 Systemtiden er blevet ændret
529 Forkert login (ukendt navn eller forkert adgangskode)
538 Log ud
560 Åbn objekt
4608 Windows opstart
4609 Windows lukning
4627 Oplysninger om gruppemedlemmer
4657 En registreringsværdi er blevet ændret
4662 En begivenhed er blevet udført på et objekt
4688 En ny proces er blevet oprettet
4698 Der er oprettet en planlagt opgave
4699 En planlagt opgave er blevet slettet
4720 Der er oprettet en brugerkonto
4722 En brugerkonto er blevet aktiveret
4723 Der blev forsøgt at ændre en adgangskode
4725 En brugerkonto er blevet deaktiveret
4726 En brugerkonto er blevet slettet
4728 En bruger er blevet føjet til en global gruppe
4729 En bruger er blevet fjernet fra en global gruppe
4730 En sikkerhedsgruppe er blevet fjernet
4731 Der er oprettet en sikkerhedsgruppe
4738 En brugerkonto er blevet ændret
4739 En domænepolitik er blevet ændret
4740 En brugerkonto er blevet blokeret
4741 Et hold er blevet oprettet
4742 Et hold er blevet ændret
4743 Et hold er blevet elimineret
4800 Computeren er blevet blokeret
4801 Udstyret er låst op
5024 Vellykket opstart af Firewall
5030 Undladelse af at starte Firewall
5051 En fil er blevet virtualiseret
5139 En telefonbogstjeneste er blevet flyttet
5136 En telefonbogstjeneste er blevet ændret
Som vi kan se, har vi mange ID'er til rådighed til at analysere hver hændelse, der forekommer i vores system. Windows Server 2016 og dermed give os mulighed for at have specifik kontrol over de hændelser, der kan påvirke systemets ydeevne og sikkerhed.
