Utan tvekan återspeglas den korrekta hanteringen av vår server i att varje kännetecken hos vår server fungerar optimalt och därför vårt nätverks driftsväg.
Avancerade granskningspolicyer ger oss möjlighet att ha en mer centraliserad kontroll eftersom de gör det lättare för oss att verifiera händelserna som inträffar på vår server och att tydligare kunna avgöra vad som händer dagligen.
Vi kommer att granska hur man genomför säkerhetspolicyer, förutsatt att vårt säkerhetsschema kan delas in i tre (3) områden:
AutentiseringGe användaren en identitet.
TillståndGer åtkomst till den autentiserade användaren.
HörselDet gör det möjligt att behålla kontrollen över de användare som är inloggade i systemet och de ändringar de kan utföra.
En av de klassiska frågorna är att veta om vi verkligen vill genomföra säkerhetspolicyer. Det är något helt nödvändigt att ha allt under kontroll och undvika problem.
Varför ska vi genomföra en säkerhetspolicy?Det är viktigt som administratörer tillämpa säkerhetspolicyer för att granska ämnen som:
- Vilka användare som loggar in korrekt.
- Hur många misslyckade försök en användare har.
- Ändringar som gjorts i Active Directory för vår organisation.
- Ändringar av specifika filer.
- Vem startade om eller stängde av servern och varför.
I den här guiden lär du dig hur du implementerar, granskar, skapar policyer och allt du behöver för din affärsmiljö med Windows Server -servrar i de fokus som du behöver ha kontrollerat.
1. Hantera granskning med GPO Group Policies
Vi måste ange vilka typer av systemhändelser vi vill granska med hjälp av grupprinciper.
Låt oss se några av de vanligaste händelserna som vi kan hantera:
Kontoinloggning
- Beskrivning
Avgör när systemet granskar ett framgångsrikt loggat konto.
- Standardkonfiguration
Lyckad kontoinloggning
Kontoadministration
- Beskrivning
Det avgör när systemet granskar varje händelse i ett loggat konto, till exempel lösenordsändringar, borttagning av konto.
- Standardkonfiguration
Administration av kontots verksamhet inloggad på ett tillfredsställande sätt
Åtkomst till servicekatalogen
- Beskrivning
Avgör när systemet granskar användarens försök att ange Active Directory.
Logga in
- Beskrivning
Avgör när systemet granskar varje användares försök att logga in eller logga ut från systemet.
- Standardkonfiguration
Lyckad inloggning.
Policyändring
- Beskrivning
Avgör när systemet granskar varje försök att ändra domänens fastställda policyer.
- Standardkonfiguration
Framgångsrika policyändringar
Systemet
- Beskrivning
Bestämmer när systemet granskar eventuella ändringar i systemet.
- Standardkonfiguration
Lyckade systemhändelser.
Vi måste vidta vissa försiktighetsåtgärder när du skapar revisionspolicyer till exempel:
- Höga granskningsnivåer kan drastiskt påverka prestandan för den enhet som ska granskas.
- När vi söker i loggarna för händelserna kommer vi att se att det finns tusentals loggar och sökningen kan påverka oss. Tidsramarna som ska granskas måste vara klart definierade.
- De mest aktuella loggarna ersätter de äldsta loggarna, detta kan hindra oss från att se viktiga händelser som inträffade under en tidigare period.
2. Implementera GPO -revisionspolicy
Till genomföra en revisionspolicy vi måste utföra följande steg:
Steg 1
Vi öppnar vår Server Manager eller Server Manager. Vi klickar på Verktyg och vi väljer alternativet Grupppolicyhantering.
FÖRSTORA
Således kommer det att visa GPO-menyn, vi måste visa den aktuella domänen och högerklicka på Standard domänpolicy.
Steg 2
Vi väljer alternativet Redigera och den Group Policy Management Editor.
Vi distribuerar följande rutt:
- Utrustning installation
- Direktiv
- Windows -inställningar
- Säkerhetsinställningar
- Lokala direktiv
- Revisionsdirektiv
Steg 3
Vi kommer att se att ett fönster visas med de olika alternativ för granskning:
Vi dubbelklickar på alternativet Granska inloggningshändelser, kommer vi att se att fönstret för egenskaperna hos nämnda revision öppnas.
Vi markerar kryssrutan Definiera denna policyinställning för att aktivera denna policy, och vi aktiverar båda rutorna (Rätt och Fel) och klickar på Tillämpa och slutligen in Att acceptera för att spara ändringarna.
Vi kommer att se ändringarna återspeglas från vår revision:
3. Implementera revisionspolicy (fil eller mapp)
Vi kan lägga till en typ av granskning till en specifik fil eller mapp, för detta kommer vi att utföra följande process:
Steg 1
Vi ger Högerklicka i den mapp som vi vill tilldela granskning och välj alternativet Egenskaper.
I fönstret Egenskaper (redigera) vi väljer fliken Säkerhet.
Steg 2
Vi klickar på Avancerade alternativ och följande fönster visas:
Vi klickar på alternativet Granska och senare in Lägg till.
Steg 3
I fönstret som visas väljer vi alternativet Välj en huvudman för att hitta vilken policy som ska läggas till.
Vi valde invända mot att tillämpa revision:
Slutligen anger vi granskningsparametrarna (läs, skriv, etc.), klicka på Att acceptera för att spara ändringarna.
Med dessa steg kommer vi redan att ha det val vi valt valt granskat.
Kom ihågVi kan implementera revisionspolicyer med verktyget AuditPol.exe ingår i Windows Server 2012, kommer detta kommando att visa och låta oss hantera våra policyer.
Syntaxen som vi kan använda för det här kommandot inkluderar följande:
- / skaffa sig: Visa aktuell policy
- /uppsättning: Upprätta revisionspolicyn
- / lista: Visa elementen i policyn
- / backup: Spara granskningspolicyn i en fil
- / klar: Rengör revisionspolicyn
- /?: Visa hjälp
4. Händelser och evenemang från händelsevisaren
När vi har konfigurerat våra säkerhetspolicyer kan vi i händelsevisaren se alla olika händelser som har inträffat på vår server, dessa händelser representeras av en numerisk kod, låt oss se några av de mest representativa händelserna:
Granskning av legitimationsvalidering
- 4774: Ett konto har mappats för inloggning
- 4775: Ett konto har inte mappats för inloggning
- 4776: Domänkontrollanten försökte validera autentiseringsuppgif.webpter för ett konto
- 4777: Domänkontrollanten kunde inte verifiera autentiseringsuppgif.webpter för ett konto
Eventgranskning för kontoinloggning
- 4778: En session återkopplades på en Windows -station
- 4779: En station kopplades från en Windows -station
- 4800: En station har blockerats
- 4801: En station har låsts upp
- 5632: Ett krav har skapats för att autentisera ett Wi Fi -nätverk
- 5633: Ett krav har skapats för att autentisera ett trådbundet nätverk
Granskning av ansökningar för gruppledning
- 4783: En grundläggande gruppapplikation har skapats
- 4784: En grundläggande gruppapp har ändrats
Kontohanteringsrevision
- 4741: Ett datorkonto har skapats
- 4742: Ett datorkonto har ändrats
- 4743: Ett datorkonto har raderats
Distributionsgruppens administrationsrevision
- 4744: En lokal distributionsgrupp har skapats
- 4746: En medlem har lagts till i en lokal distributionsgrupp
- 4747: En medlem har tagits bort från en lokal distributionsgrupp
- 4749: En global distributionsgrupp har skapats
- 4750: En global distributionsgrupp har ändrats
- 4753: En global distributionsgrupp har tagits bort
- 4760: En säkerhetsgrupp har ändrats
Säkerhetsgruppens administrativa granskning
- 4727: En global säkerhetsgrupp har skapats
- 4728: En medlem har lagts till i en global säkerhetsgrupp
- 4729: En medlem har tagits bort till en global säkerhetsgrupp
- 4730: En global säkerhetsgrupp har tagits bort
- 4731: En lokal säkerhetsgrupp har skapats
- 4732: En medlem har lagts till i en lokal säkerhetsgrupp
Granskning av användarkontohantering
- 4720: Ett användarkonto har skapats
- 4722: Ett användarkonto har aktiverats
- 4723: Ett försök att ändra lösenordet har skapats
- 4725: Ett användarkonto har inaktiverats
- 4726: Ett användarkonto har tagits bort
- 4738: Ett användarkonto har ändrats
- 4740: Ett användarkonto har blockerats
- 4767: Ett användarkonto har låsts upp
- 4781: Namnet på ett användarkonto har ändrats
Behandla granskningar
- 4688: En ny process har skapats
- 4696: En primär kod har tilldelats en process
- 4689: En process har slutat
Katalogtjänstrevisioner
- 5136: Ett katalogtjänstobjekt har ändrats
- 5137: Ett katalogtjänstobjekt har skapats
- 5138: Ett katalogtjänstobjekt har hämtats
- 5139: Ett katalogtjänstobjekt har flyttats
- 5141: Ett katalogtjänstobjekt har tagits bort
Konto granskningar
- 4634: Ett konto har loggats ut
- 4647: Användaren har börjat logga ut
- 4624: Ett konto har loggats in
- 4625: Ett konto misslyckades med att logga in
Delade filrevisioner
- 5140: Ett nätverksobjekt öppnades
- 5142: Ett nätverksobjekt har lagts till
- 5143: Ett nätverksobjekt har ändrats
- 5144: Ett nätverksobjekt har raderats
Andra typer av revisioner
- 4608: Windows har startats
- 4609: Windows har stängts av
- 4616: Tidszonen har ändrats
- 5025: Windows brandvägg har stoppats
- 5024: Windows brandvägg har startats
Som vi kan se finns det många fler koder som representerar de olika händelserna som händer dagligen på vår server och vårt nätverk, vi kan se alla koder på Microsofts webbplats.
5. Åtkomst till WServer 2012 Event Viewer
Vi kommer att känna till processen för att komma åt händelsevisaren på vår server och därifrån för att kunna filtrera eller söka efter specifika händelser.
Vi måste ange Server Manager eller Server Manager. Där väljer vi alternativet Loggboken från menyn Verktyg.
FÖRSTORA
Där kommer respektive fönster att visas för att kunna söka efter händelserna på vår enhet:
I menyn till vänster har vi olika alternativ för att se händelserna.
Som vi ser kan vi filtrera efter kategorier Vad:
- Windows -loggar
- Programloggar
- Microsoft
Och i sin tur kan vi söka efter underkategorier som applikation, säkerhet, etc.
Till exempel väljer vi alternativet säkerhet från menyn Windows -loggar.
FÖRSTORA
Vi kan se i den centrala menyn händelsestruktur:
- Händelsens namn
- Händelsedatum
- Källa
- Händelse -ID (redan sett tidigare)
- Kategori
I menyn till vänster hittar vi alternativ för att justera vår eventvisare, till exempel:
- Öppna sparade poster: Det tillåter oss att öppna poster som vi tidigare har sparat.
- Anpassad vy: Det tillåter oss att skapa en vy baserat på våra behov, till exempel kan vi skapa den efter händelse -ID, efter datum, efter kategori, etc.
- Importera anpassad vy: Det gör att vi kan importera vår skapade vy till en annan plats.
- Tom post: Vi kan lämna eventvisaren på noll.
- Filtrera aktuellt rekord: Vi kan köra parametrar för att utföra en mer specifik sökning.
- Egenskaper: Visa händelsens egenskaper.
Och så inser vi att vi har andra alternativ i vår eventvisare.
Vi kan skapa en granskningspolicy för flyttbara enheter, för detta kommer vi att utföra följande process:
Vi går in i vår Serveradministratör
Vi väljer från menyn Verktyg alternativet Grupppolicyansvarig.
Vi måste visa vår domän, högerklicka, klicka Redigera och ange följande rutt:
- Utrustning installation
- Direktiv
- Windows -inställningar
- Säkerhetsinställningar
- Avancerade inställningar för granskningspolicy
- Policyinställningar
- Tillgång till objekt
Vi dubbelklickar på Tillgång till objekt, vi väljer alternativet Granska flyttbart lagringsutrymme.
Det respektive fönstret visas, vi aktiverar kryssrutan Konfigurera följande revisionshändelser och vi väljer alternativet Korrekt.
För att spara ändringarna klickar vi på Tillämpa och senare in Att acceptera.
Som vi kan se finns det verktyg som gör den administrativa hanteringen av ett nätverk till en extremt viktig och ansvarsfull uppgif.webpt. Vi måste noggrant undersöka allt som Windows Server 2012 erbjuder oss för att alltid ha ett nätverk tillgängligt.
Dölj enheter för Windows Server GPO