Vid många tillfällen, inom våra roller som IT -personal, står vi inför sådana säkerhetssituationer som de är. de obehöriga försök att logga in på vår domän att komma åt den och utföra uppgif.webpter som inte är tillåtna eller auktoriserade och som kan påverka systemets prestanda och alla objekt som ingår i organisationen på allvar.
Vi vet att inkräktare eller de som vill komma åt systemet på ett obehörigt sätt försöker gå in antingen externt eller från organisationen själv och försöker efterlikna någon av de aktiva användarna av organisationen, varför vi den här gången kommer att analysera hur kan vi övervaka vem som har försökt återställa lösenordet för en användare (Uppenbarligen måste vi validera med användaren om det inte var han) och på så sätt vidta säkerhetsåtgärder eller de som är relevanta beroende på situationens svårighetsgrad.
För denna analys kommer vi att använda en miljö Windows Server 2016.
1. Öppnande grupppolicyredaktör GPO
Det första steget vi tar är att öppna Group Policy Manager med något av följande alternativ:
- Ange rutten:
början / Alla applikationer / Hanteringsverktyg / Grupppolicyhantering
- Använda kommandot Kör (tangentkombination FÖRSTORA
Därifrån kommer vi att redigera policy relaterad till försök och inloggning.
2. Redigera grupppolicy
För att fortsätta med utgåvan av grupppolicyn kommer vi att visa vår domän, i det här fallet solvetic.com, och vi kommer att högerklicka på Standard domänpolicy och där väljer vi alternativet Redigera.FÖRSTORA
I fönstret som visas kommer vi att gå till följande rutt:
- Utrustning installation
- Direktiv
- Windows -inställningar
- Säkerhetsinställningar
- Lokala direktiv
FÖRSTORA
Vi dubbelklickar på Revisionspolicy och vi kommer att hitta policyn som heter "Granskning av kontohantering”. Vi ser att standardvärdet är "Det är inte definierat”. Dubbelklicka på den eller högerklicka och välj Egenskaper (redigera) och vi kommer att se att följande fönster visas:
3. Aktivera revisionspolicyn
Markera kryssrutan för att aktivera denna policydefiniera denna policyinställning”Och markera de rutor som vi anser nödvändiga (rätt / fel).När dessa värden har definierats trycker du på Tillämpa och därefter Att acceptera för att ändringarna ska sparas. Vi kan se att vår policy har ändrats på ett tillfredsställande sätt.
FÖRSTORA
4. Kontrollerar försök till lösenordsändring
Vi kan tvinga policyn på domänen genom att öppna CMD och ange kommandot:gpupdate / force
Så att policyn uppdateras.För att verifiera att användaren har försökt göra en lösenordsändring kommer vi att öppna händelsevisaren med något av följande alternativ:
- Från kommandot Kör anger du termen:
eventvwr
Och trycker Stiga på eller Att acceptera.
- Från menyn Verktyg i serveradministratör och väljer alternativet Events viewer.
Vi ser att följande fönster öppnas:
FÖRSTORA
Vi kommer att välja alternativet från vänster Windows / säkerhetsloggar. När vi väl valt Säkerhet på höger sida väljer vi alternativet Filtrera aktuellt rekord och i fältet Alla händelse -ID kommer vi att ange ID 4724 som är ett säkerhets -ID relaterat till lösenordsändringsförsöken.
Vi trycker på Att acceptera för att se alla tillhörande händelser. Resultatet blir följande:
FÖRSTORA
Vi kan se exakt datum och tid för händelsen som indikerar att det var ett försök till återställning av lösenord. Vi kan dubbelklicka på evenemanget för att se mer information om det.
Vi noterar att det finns kontot som försökte göra ändringen, i det här fallet SolvAdm och kontot till vilket ändringen försökte, i detta exempel solvetic2.
Så här kan vi granska alla försök att ändra användarlösenord, både korrekta och felaktiga och på så sätt visualisera i detalj vem och när de gjordes eller försökte göra ändringen och därmed vidta nödvändiga åtgärder.
Om du vill ange grenen av kriminaltekniska analyser, lämnar vi dig en länk till ett praktiskt verktyg som ofta används för detta.
Windows rättsmedicinsk granskning