En av de mest känsliga frågorna som en organisation har i åtanke är säkerhet och konfidentialitet, inte bara i sina principer utan i hela dess infrastruktur (utrustning, data, användare etc.) och en stor del av all denna information lagras på servrarna organisationen och om vi har tillgång till servern antingen som administratör, koordinatorer eller systemassistenter, står vi inför ett stort ansvar för att förhindra obehörig åtkomst till systemet.
Vid många tillfällen hoppas jag inte alls att de i vissa situationer har presenterats åtkomst inte på grund av systemet Y obehöriga ändringar har gjorts och tyvärr Det är inte känt vilken användare som var ansvarig eller när händelsen var.
Vi ska ta ett verkligt exempel på denna situation:
Någon gång i företaget gick någon in på servern och raderade en användare som, även om han hade ett standardnamn, var en användare som användes för att komma åt en produktiv maskin, därför att när användaren raderades inaktiverades tjänsten och det fanns en stort problem och det var inte att kunna avgöra vem eller hur som gjorde ändringen.
Lyckligtvis tillåter Windows Server oss att utföra en process för att granska alla händelser som inträffade på servern och i denna studie kommer vi att analysera hur denna revision genomförs enkelt och effektivt.
Miljön som vi kommer att arbeta kommer att vara Windows Server 2016 Datacenter Technical Preview 5.
1. Implementera granskning av Active Directory
Det första vi måste göra är att gå in i grupppolicyhanteringskonsolen eller gpmc, för detta använder vi tangentkombinationen:
I dessa fall måste vi installera gpmc med något av följande alternativ:
- Ange Server Manager och öppna alternativet: Lägg till roller och funktioner och senare in Funktioner - Funktioner att välja Grupppolicyhantering.
- Genom Windows PowerShell med cmdlet:
Windows -InstallFeature -Name GPMC
När vi har tillgång till gpmc ser vi fönstret där det visas Skog, vi distribuerar det och senare Domäner, sedan namnet på vår domän, sedan visar vi Domänkontrollanter och slutligen väljer vi Standardpolicy för domänkontrollant.
Där kommer vi högerklicka på Standardpolicy för domänkontrollant och vi väljer Redigera eller Redigera att göra några justeringar på den och därmed tillåta inspelning av händelser som inträffade i vår Windows Server 2016.
Vi kommer att se följande:
Som vi kan se har vi kunnat komma åt redaktör för domänkontrollantgruppens policyernu när vi är där ska vi gå till följande rutt:
- Datorkonfiguration
- Policyer
- Windows -inställningar
- Säkerhetsinställningar
- Avancerad konfiguration av granskningspolicy
- Granskningspolicyer
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Där måste vi konfigurera parametrarna för följande element:
- Kontologgning
- Kontohantering
- DS Access
- Logga in / Logga ut
- Objektåtkomst
- Policyändring
Låt oss konfigurera Kontologgning, kommer vi att se att när den väljs till höger visas följande:
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Där måste vi konfigurera var och en av dessa alternativ enligt följande. Dubbelklicka på var och en och lägg till följande parametrar.
Vi aktiverar rutan Konfigurera följande revisionshändelser och vi markerar de två tillgängliga rutorna, Framgång Y Fel, (Dessa värden gör det möjligt att logga framgångsrika och misslyckade händelser).
Vi gör detta med var och en och trycker på Tillämpa och senare Okej för att spara ändringarna.
Vi kommer att upprepa denna process för alla fält i följande parametrar:
- Kontohantering
- DS Access
- Logga in / Logga ut
- Objektåtkomst
- Policyändring
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Vi kan se till höger i kolumnen Granskningsevenemang att de konfigurerade värdena har ändrats (framgång och misslyckande).
Därefter kommer vi att tvinga fram de principer som vi har modifierat så att systemet tar dem, för detta kommer vi in i kommandoraden cmd och anger följande kommando:
gpupdate / force[color = # a9a9a9] Uppdatera policyer utan att behöva starta om. [/ color]
Vi avslutar cmd med kommandot exit. Nu ska vi öppna redigeraren ADSI eller ADSI Edit använder termen adsiedit.msc från kommandot Kör (Windows + R) eller genom att ange termen ADSI i sökrutan Windows Server 2016 och välja ADSI Edit.
Vi kommer att se följande fönster:
När vi väl är inne i ADSI Edit högerklickar vi på ADSI Edit på vänster sida och välj Koppla till.
Följande fönster visas:
På landet Anslutningspunkt i fliken "Välj ett välkänt namnkontext " Vi kommer att se följande alternativ för att ansluta:
- Standardnamnkontext
- Konfiguration
- RootDSE
- Schema
Dessa värden avgör hur händelser ska spelas in Windows Server 2016, i det här fallet måste vi välja alternativet Konfiguration så att de händelser som ska loggas tar värdena för konfigurationen som tidigare gjorts i gpmc.
Vi trycker på Okej och vi måste upprepa föregående steg för att lägga till de andra värdena:
- Standard
- RootDSE
- Schema
Detta kommer att vara utseendet på ADSI Edit när vi har lagt till alla fält.
Nu måste vi möjliggöra granskning av var och en av dessa värden, för detta kommer vi att genomföra processen Standardnamnkontext och vi kommer att upprepa denna process för de andra.
Vi visar fältet och högerklickar på raden i vår domänkontrollant och väljer Egenskaper (redigera) - Egenskaper.
Vi kommer att se följande fönster där vi väljer fliken säkerhet - Säkerhet.
Där trycker vi på knappen Avancerad - Avancerad och vi kommer att se följande miljö där vi väljer fliken Revision - Granska.
Medan vi är där klickar vi på Lägg till att lägga till alla och på så sätt kunna granska uppgif.webpterna som utförs av alla användare oavsett deras privilegier; När vi trycker på Lägg till letar vi efter användaren så här:
Vi trycker på Okej och i fönstret som visas kommer vi att markera alla rutor och avmarkera endast följande för att granska:
- Full kontroll
- Lista innehåll
- Läs alla egenskaper
- Läs behörigheter
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Vi trycker på Okej för att spara ändringarna.
2. Granska händelser för ändringar som gjorts i AD
Låt oss komma ihåg att utföra samma steg för de andra värdena i noderna ADSI Edit. För att bekräfta att alla ändringar som görs i Windows Server 2016 är registrerade öppnar vi eventvisaren, vi kan öppna det enligt följande:
- Högerklicka på startikonen och välj Events viewer eller Loggboken.
- Från kommandot Kör kan vi ange termen:
eventvwr
och tryck på Enter.
Så här ser händelsevisaren ut Windows Server 2016.
FÖRSTORA
Som vi kan se noterar vi att vi har fyra kategorier som är:
- Anpassade vyer: Från detta alternativ kan vi skapa anpassade vyer över händelserna på servern.
- Windows -loggar: Genom detta alternativ kan vi analysera alla händelser som inträffade i Windows -miljön, vare sig det gäller säkerhetsnivå, start, händelser, system etc.
- Loggar för applikationer och tjänster: Med det här alternativet kan vi se de händelser som har inträffat avseende tjänster och applikationer som är installerade på Windows Server 2016.
- Prenumerationer: Det är en ny funktion i visningen som låter dig analysera alla händelser som inträffade med Windows -prenumerationer, till exempel Azure.
Låt oss till exempel visa händelser som registrerats på säkerhetsnivå genom att välja alternativet Windows -loggar och där väljer man säkerhet.
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Som vi kan se registreras händelserna efter nyckelord, datum och tid för händelsen, ID som är mycket viktigt, etc.
Om vi analyserar kommer vi att se att det finns tusentals händelser och det kan vara svårt att läsa en efter en för att se vilken händelse som inträffade, för att förenkla den här uppgif.webpten kan vi trycka på knappen Filtrera aktuell logg att filtrera händelser på olika sätt.
Där kan vi filtrera händelserna efter påverkansnivå (Kritisk, Försiktighet, etc.), efter datum, efter ID, etc.
Om vi vill se inloggningshändelser Vi kan filtrera efter IKD 4624 (inloggning) och vi får följande resultat:
FÖRSTORA
[color = # a9a9a9] Klicka på bilden för att förstora [/ color]
Vi kan dubbelklicka på händelsen eller högerklicka och välja Händelseegenskaper för att se detaljerad händelseinformation som datum och tid, utrustning där händelsen spelades in, etc.
På detta sätt har vi till hands en stor verktyg för att analysera vem som har gjort någon ändring av en användare, ett objekt eller i allmänhet i Windows Server 2016 -miljön.
Några av de viktigaste ID: n som vi kan verifiera är:
ID / händelse528 lyckad inloggning
520 Systemtiden har ändrats
529 Fel inloggning (okänt namn eller fel lösenord)
538 Logga ut
560 Öppet objekt
4608 Windows start
4609 Windows avstängning
4627 Gruppmedlemsinformation
4657 Ett registervärde har ändrats
4662 En händelse har utförts på ett objekt
4688 En ny process har skapats
4698 En schemalagd uppgif.webpt har skapats
4699 En schemalagd uppgif.webpt har tagits bort
4720 Ett användarkonto har skapats
4722 Ett användarkonto har aktiverats
4723 Ett försök gjordes att ändra ett lösenord
4725 Ett användarkonto har inaktiverats
4726 Ett användarkonto har tagits bort
4728 En användare har lagts till i en global grupp
4729 En användare har tagits bort från en global grupp
4730 En säkerhetsgrupp har tagits bort
4731 En säkerhetsgrupp har skapats
4738 Ett användarkonto har ändrats
4739 En domänpolicy har ändrats
4740 Ett användarkonto har blockerats
4741 Ett lag har skapats
4742 Ett lag har ändrats
4743 Ett lag har eliminerats
4800 Datorn har blockerats
4801 Utrustningen har låsts upp
5024 Framgångsrik start av brandväggen
5030 Det går inte att starta brandväggen
5051 En fil har virtualiserats
5139 En katalogtjänst har flyttats
5136 En katalogtjänst har ändrats
Som vi kan se har vi många ID: n tillgängliga för att analysera varje händelse som inträffar i vårt system. Windows Server 2016 och därmed tillåta oss att ha specifik kontroll över de händelser som kan påverka systemets prestanda och säkerhet.
