Konfigurera avancerade policyer för Windows Server GPO -granskning

Konfigurera avancerade policyer för Windows Server GPO -granskning

Utan tvekan återspeglas den korrekta hanteringen av vår server i att varje kännetecken hos vår server fungerar optimalt och därför vårt nätverks driftsväg.

Avancerade granskningspolicyer ger oss möjlighet att ha en mer centraliserad kontroll eftersom de gör det lättare för oss att verifiera händelserna som inträffar på vår server och att tydligare kunna avgöra vad som händer dagligen.

Vi kommer att granska hur man genomför säkerhetspolicyer, förutsatt att vårt säkerhetsschema kan delas in i tre (3) områden:

AutentiseringGe användaren en identitet.

TillståndGer åtkomst till den autentiserade användaren.

HörselDet gör det möjligt att behålla kontrollen över de användare som är inloggade i systemet och de ändringar de kan utföra.

En av de klassiska frågorna är att veta om vi verkligen vill genomföra säkerhetspolicyer. Det är något helt nödvändigt att ha allt under kontroll och undvika problem.

Varför ska vi genomföra en säkerhetspolicy?Det är viktigt som administratörer tillämpa säkerhetspolicyer för att granska ämnen som:

  • Vilka användare som loggar in korrekt.
  • Hur många misslyckade försök en användare har.
  • Ändringar som gjorts i Active Directory för vår organisation.
  • Ändringar av specifika filer.
  • Vem startade om eller stängde av servern och varför.

I den här guiden lär du dig hur du implementerar, granskar, skapar policyer och allt du behöver för din affärsmiljö med Windows Server -servrar i de fokus som du behöver ha kontrollerat.

1. Hantera granskning med GPO Group Policies


Vi måste ange vilka typer av systemhändelser vi vill granska med hjälp av grupprinciper.
Låt oss se några av de vanligaste händelserna som vi kan hantera:

Kontoinloggning

  • Beskrivning

Avgör när systemet granskar ett framgångsrikt loggat konto.

  • Standardkonfiguration

Lyckad kontoinloggning

Kontoadministration

  • Beskrivning

Det avgör när systemet granskar varje händelse i ett loggat konto, till exempel lösenordsändringar, borttagning av konto.

  • Standardkonfiguration

Administration av kontots verksamhet inloggad på ett tillfredsställande sätt

Åtkomst till servicekatalogen

  • Beskrivning

Avgör när systemet granskar användarens försök att ange Active Directory.

Logga in

  • Beskrivning

Avgör när systemet granskar varje användares försök att logga in eller logga ut från systemet.

  • Standardkonfiguration

Lyckad inloggning.

Policyändring

  • Beskrivning

Avgör när systemet granskar varje försök att ändra domänens fastställda policyer.

  • Standardkonfiguration

Framgångsrika policyändringar

Systemet

  • Beskrivning

Bestämmer när systemet granskar eventuella ändringar i systemet.

  • Standardkonfiguration

Lyckade systemhändelser.

Vi måste vidta vissa försiktighetsåtgärder när du skapar revisionspolicyer till exempel:

  • Höga granskningsnivåer kan drastiskt påverka prestandan för den enhet som ska granskas.
  • När vi söker i loggarna för händelserna kommer vi att se att det finns tusentals loggar och sökningen kan påverka oss. Tidsramarna som ska granskas måste vara klart definierade.
  • De mest aktuella loggarna ersätter de äldsta loggarna, detta kan hindra oss från att se viktiga händelser som inträffade under en tidigare period.

2. Implementera GPO -revisionspolicy


Till genomföra en revisionspolicy vi måste utföra följande steg:

Steg 1
Vi öppnar vår Server Manager eller Server Manager. Vi klickar på Verktyg och vi väljer alternativet Grupppolicyhantering.

FÖRSTORA

Således kommer det att visa GPO-menyn, vi måste visa den aktuella domänen och högerklicka på Standard domänpolicy.

Steg 2
Vi väljer alternativet Redigera och den Group Policy Management Editor.

Vi distribuerar följande rutt:

  • Utrustning installation
  • Direktiv
  • Windows -inställningar
  • Säkerhetsinställningar
  • Lokala direktiv
  • Revisionsdirektiv

Steg 3
Vi kommer att se att ett fönster visas med de olika alternativ för granskning:

Vi dubbelklickar på alternativet Granska inloggningshändelser, kommer vi att se att fönstret för egenskaperna hos nämnda revision öppnas.

Vi markerar kryssrutan Definiera denna policyinställning för att aktivera denna policy, och vi aktiverar båda rutorna (Rätt och Fel) och klickar på Tillämpa och slutligen in Att acceptera för att spara ändringarna.

Vi kommer att se ändringarna återspeglas från vår revision:

3. Implementera revisionspolicy (fil eller mapp)

Vi kan lägga till en typ av granskning till en specifik fil eller mapp, för detta kommer vi att utföra följande process:

Steg 1
Vi ger Högerklicka i den mapp som vi vill tilldela granskning och välj alternativet Egenskaper.

I fönstret Egenskaper (redigera) vi väljer fliken Säkerhet.

Steg 2
Vi klickar på Avancerade alternativ och följande fönster visas:

Vi klickar på alternativet Granska och senare in Lägg till.

Steg 3
I fönstret som visas väljer vi alternativet Välj en huvudman för att hitta vilken policy som ska läggas till.

Vi valde invända mot att tillämpa revision:

Slutligen anger vi granskningsparametrarna (läs, skriv, etc.), klicka på Att acceptera för att spara ändringarna.

Med dessa steg kommer vi redan att ha det val vi valt valt granskat.

Kom ihågVi kan implementera revisionspolicyer med verktyget AuditPol.exe ingår i Windows Server 2012, kommer detta kommando att visa och låta oss hantera våra policyer.

Syntaxen som vi kan använda för det här kommandot inkluderar följande:

  • / skaffa sig: Visa aktuell policy
  • /uppsättning: Upprätta revisionspolicyn
  • / lista: Visa elementen i policyn
  • / backup: Spara granskningspolicyn i en fil
  • / klar: Rengör revisionspolicyn
  • /?: Visa hjälp

4. Händelser och evenemang från händelsevisaren


När vi har konfigurerat våra säkerhetspolicyer kan vi i händelsevisaren se alla olika händelser som har inträffat på vår server, dessa händelser representeras av en numerisk kod, låt oss se några av de mest representativa händelserna:

Granskning av legitimationsvalidering

  • 4774: Ett konto har mappats för inloggning
  • 4775: Ett konto har inte mappats för inloggning
  • 4776: Domänkontrollanten försökte validera autentiseringsuppgif.webpter för ett konto
  • 4777: Domänkontrollanten kunde inte verifiera autentiseringsuppgif.webpter för ett konto

Eventgranskning för kontoinloggning

  • 4778: En session återkopplades på en Windows -station
  • 4779: En station kopplades från en Windows -station
  • 4800: En station har blockerats
  • 4801: En station har låsts upp
  • 5632: Ett krav har skapats för att autentisera ett Wi Fi -nätverk
  • 5633: Ett krav har skapats för att autentisera ett trådbundet nätverk

Granskning av ansökningar för gruppledning

  • 4783: En grundläggande gruppapplikation har skapats
  • 4784: En grundläggande gruppapp har ändrats

Kontohanteringsrevision

  • 4741: Ett datorkonto har skapats
  • 4742: Ett datorkonto har ändrats
  • 4743: Ett datorkonto har raderats

Distributionsgruppens administrationsrevision

  • 4744: En lokal distributionsgrupp har skapats
  • 4746: En medlem har lagts till i en lokal distributionsgrupp
  • 4747: En medlem har tagits bort från en lokal distributionsgrupp
  • 4749: En global distributionsgrupp har skapats
  • 4750: En global distributionsgrupp har ändrats
  • 4753: En global distributionsgrupp har tagits bort
  • 4760: En säkerhetsgrupp har ändrats

Säkerhetsgruppens administrativa granskning

  • 4727: En global säkerhetsgrupp har skapats
  • 4728: En medlem har lagts till i en global säkerhetsgrupp
  • 4729: En medlem har tagits bort till en global säkerhetsgrupp
  • 4730: En global säkerhetsgrupp har tagits bort
  • 4731: En lokal säkerhetsgrupp har skapats
  • 4732: En medlem har lagts till i en lokal säkerhetsgrupp

Granskning av användarkontohantering

  • 4720: Ett användarkonto har skapats
  • 4722: Ett användarkonto har aktiverats
  • 4723: Ett försök att ändra lösenordet har skapats
  • 4725: Ett användarkonto har inaktiverats
  • 4726: Ett användarkonto har tagits bort
  • 4738: Ett användarkonto har ändrats
  • 4740: Ett användarkonto har blockerats
  • 4767: Ett användarkonto har låsts upp
  • 4781: Namnet på ett användarkonto har ändrats

Behandla granskningar

  • 4688: En ny process har skapats
  • 4696: En primär kod har tilldelats en process
  • 4689: En process har slutat

Katalogtjänstrevisioner

  • 5136: Ett katalogtjänstobjekt har ändrats
  • 5137: Ett katalogtjänstobjekt har skapats
  • 5138: Ett katalogtjänstobjekt har hämtats
  • 5139: Ett katalogtjänstobjekt har flyttats
  • 5141: Ett katalogtjänstobjekt har tagits bort

Konto granskningar

  • 4634: Ett konto har loggats ut
  • 4647: Användaren har börjat logga ut
  • 4624: Ett konto har loggats in
  • 4625: Ett konto misslyckades med att logga in

Delade filrevisioner

  • 5140: Ett nätverksobjekt öppnades
  • 5142: Ett nätverksobjekt har lagts till
  • 5143: Ett nätverksobjekt har ändrats
  • 5144: Ett nätverksobjekt har raderats

Andra typer av revisioner

  • 4608: Windows har startats
  • 4609: Windows har stängts av
  • 4616: Tidszonen har ändrats
  • 5025: Windows brandvägg har stoppats
  • 5024: Windows brandvägg har startats

Som vi kan se finns det många fler koder som representerar de olika händelserna som händer dagligen på vår server och vårt nätverk, vi kan se alla koder på Microsofts webbplats.

5. Åtkomst till WServer 2012 Event Viewer


Vi kommer att känna till processen för att komma åt händelsevisaren på vår server och därifrån för att kunna filtrera eller söka efter specifika händelser.

Vi måste ange Server Manager eller Server Manager. Där väljer vi alternativet Loggboken från menyn Verktyg.

FÖRSTORA

Där kommer respektive fönster att visas för att kunna söka efter händelserna på vår enhet:

I menyn till vänster har vi olika alternativ för att se händelserna.

Som vi ser kan vi filtrera efter kategorier Vad:

  • Windows -loggar
  • Programloggar
  • Microsoft

Och i sin tur kan vi söka efter underkategorier som applikation, säkerhet, etc.

Till exempel väljer vi alternativet säkerhet från menyn Windows -loggar.

FÖRSTORA

Vi kan se i den centrala menyn händelsestruktur:

  • Händelsens namn
  • Händelsedatum
  • Källa
  • Händelse -ID (redan sett tidigare)
  • Kategori

I menyn till vänster hittar vi alternativ för att justera vår eventvisare, till exempel:

  • Öppna sparade poster: Det tillåter oss att öppna poster som vi tidigare har sparat.
  • Anpassad vy: Det tillåter oss att skapa en vy baserat på våra behov, till exempel kan vi skapa den efter händelse -ID, efter datum, efter kategori, etc.
  • Importera anpassad vy: Det gör att vi kan importera vår skapade vy till en annan plats.
  • Tom post: Vi kan lämna eventvisaren på noll.
  • Filtrera aktuellt rekord: Vi kan köra parametrar för att utföra en mer specifik sökning.
  • Egenskaper: Visa händelsens egenskaper.

Och så inser vi att vi har andra alternativ i vår eventvisare.
Vi kan skapa en granskningspolicy för flyttbara enheter, för detta kommer vi att utföra följande process:

Vi går in i vår Serveradministratör
Vi väljer från menyn Verktyg alternativet Grupppolicyansvarig.

Vi måste visa vår domän, högerklicka, klicka Redigera och ange följande rutt:

  • Utrustning installation
  • Direktiv
  • Windows -inställningar
  • Säkerhetsinställningar
  • Avancerade inställningar för granskningspolicy
  • Policyinställningar
  • Tillgång till objekt

Vi dubbelklickar på Tillgång till objekt, vi väljer alternativet Granska flyttbart lagringsutrymme.

Det respektive fönstret visas, vi aktiverar kryssrutan Konfigurera följande revisionshändelser och vi väljer alternativet Korrekt.

För att spara ändringarna klickar vi på Tillämpa och senare in Att acceptera.

Som vi kan se finns det verktyg som gör den administrativa hanteringen av ett nätverk till en extremt viktig och ansvarsfull uppgif.webpt. Vi måste noggrant undersöka allt som Windows Server 2012 erbjuder oss för att alltid ha ett nätverk tillgängligt.

Dölj enheter för Windows Server GPO

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Hur man återställer Windows 10 -användarkontoprofil
2
post-title
Bästa verktygen för att dekryptera Ransomware
3
post-title
▷ Hur man tittar på videor på Xbox Series X eller Xbox Series S från USB
4
post-title
Hur man skapar din egen Animoji eller AR Emoji på Galaxy S9
5
post-title
Så här aktiverar du DirectDraw i Windows 10 - Gör det möjligt

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -