Daugeliu atvejų, dirbdami kaip IT darbuotojai, susiduriame su tokiomis saugumo situacijomis, kokios yra. neteisėti bandymai prisijungti prie mūsų domeno prieiti prie jo ir atlikti neleistinas ar įgaliotas užduotis, kurios gali rimtai paveikti sistemos ir visų organizacijos dalių veikimą.
Mes žinome, kad įsibrovėliai ar tie, kurie nori neteisėtai pasiekti sistemą, bando patekti iš išorės arba iš pačios organizacijos, bandydami apsimesti bet kuriuo iš aktyvių organizacijos vartotojų, todėl šį kartą mes analizuosime kaip galime stebėti, kas bandė iš naujo nustatyti vartotojo slaptažodį (Akivaizdu, kad turime patvirtinti su vartotoju, jei tai nebuvo jis) ir tokiu būdu imtis saugumo priemonių arba tų, kurios yra svarbios atsižvelgiant į situacijos sunkumą.
Šiai analizei naudosime aplinką „Windows Server 2016“.
1. Atidaromas grupės politikos redaktorius GPO
Pirmasis žingsnis, kurį mes imsimės, yra atidaryti grupės politikos tvarkyklę, naudojant bet kurią iš šių parinkčių:
- Įėjimas į maršrutą:
pradžia / Visos programos / Valdymo įrankiai / Grupės politikos valdymas
- Naudojant komandą Vykdyti (klavišų kombinacija
DIDELIS
Iš ten redaguosime politika, susijusi su bandymais ir prisijungimu.
2. Redaguoti grupės politiką
Norėdami tęsti grupės politikos leidimą, parodysime savo domeną, šiuo atveju solvetic.com, ir dešiniuoju pelės mygtuku spustelėkite Numatytoji domeno politika ir ten mes pasirinksime variantą Redaguoti.
DIDELISRodomame lange eisime šiuo maršrutu:
- Įrangos sąranka
- Direktyvos
- „Windows“ nustatymai
- Apsaugos Nustatymai
- Vietos direktyvos
DIDELISDukart spustelėkite Audito politika ir mes surasime politiką, pavadintą „Audito sąskaitos valdymas“. Pamatysime, kad numatytoji vertė yra "Jis nėra apibrėžtas“. Dukart spustelėkite jį arba dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Ypatybės (redaguoti) ir pamatysime, kad rodomas toks langas:
3. Audito politikos įgalinimas
Jei norite įgalinti šią politiką, tiesiog pažymėkite laukelį „apibrėžti šį politikos nustatymą“Ir pažymėkite langelius, kurie, mūsų manymu, yra būtini (Teisinga / Klaida).
Kai šios vertės bus apibrėžtos, paspauskite Taikyti ir vėliau Sutikti kad pakeitimai būtų išsaugoti. Matome, kad mūsų politika patenkinamai pakeista.
DIDELIS4. Tikrinami bandymai pakeisti slaptažodį
Mes galime priversti domeno politiką atidarę CMD ir įvesdami komandą:gpupdate / force
Kad politika būtų atnaujinta.Norėdami patikrinti, ar vartotojas bandė pakeisti slaptažodį, atidarysime įvykių peržiūros priemonę naudodami bet kurią iš šių parinkčių:
- Iš komandos Vykdyti įveskite terminą:
įvykisvwr
Ir spaudžiant Įveskite arba Sutikti.
- Iš meniu Įrankiai viduje serverio administratorius ir pasirinkę parinktį Įvykių žiūrovas.
Pamatysime, kad atsidaro šis langas:
DIDELISMes iš kairės pusės pasirinksime parinktį „Windows“ / saugos žurnalai. Kai dešinėje pusėje pasirenkame Saugumas, pasirenkame parinktį Filtruoti dabartinį įrašą ir lauke Visi įvykių ID įvesime ID 4724, kuris yra saugumo ID, susijęs su bandymais pakeisti slaptažodį.
Mes spaudžiame Sutikti pamatyti visus susijusius įvykius. Gautas rezultatas bus toks:
DIDELISMes matome tikslią įvykio datą ir laiką, nurodydami, kad tai buvo bandymas iš naujo nustatyti slaptažodį. Mes galime dukart spustelėti įvykį, kad pamatytume daugiau informacijos apie jį.
Atkreipiame dėmesį, kad šiuo atveju yra paskyra, kuri bandė atlikti pakeitimą SolvAdm ir sąskaitą, į kurią bandyta pakeisti, šiame pavyzdyje solvetas2.
Tokiu būdu mes galime tikrinti visus bandymus pakeisti vartotojo slaptažodžius, ir teisingi, ir klaidingi, ir tokiu būdu išsamiai vizualizuoti, kas ir kada padarė ar bandė atlikti pakeitimą ir taip imtis būtinų priemonių.
Jei norite patekti į filialą teismo ekspertizės auditai, paliekame jums nuorodą į praktinę priemonę, plačiai naudojamą šiam tikslui.
„Windows“ teismo ekspertizė
