Konfigūruokite išplėstines „Windows Server“ GPO audito strategijas

Konfigūruokite išplėstines „Windows Server“ GPO audito strategijas

Be abejo, teisingas mūsų serverio valdymas atsispindi optimaliame kiekvienos mūsų serverio charakteristikos veikime, taigi ir mūsų tinklo veiklos kelyje.

Išplėstinė audito politika suteikia mums galimybę labiau centralizuotai valdyti, nes mums lengviau patikrinti įvykius, kurie vyksta mūsų serveryje, ir aiškiau nustatyti, kas vyksta kasdien.

Peržiūrėsime, kaip įgyvendinti saugumo politiką, darant prielaidą, kad mūsų saugumo schemą galima suskirstyti į tris (3) sritis:

AutentifikavimasPateikite vartotojui tapatybę.

LeidimasSuteikia prieigą prie autentifikuoto vartotojo.

KlausaTai leidžia kontroliuoti vartotojus, prisijungusius prie sistemos, ir pakeitimus, kuriuos jie gali atlikti.

Vienas iš klasikinių klausimų yra žinoti, ar tikrai norime įgyvendinti saugumo politiką. Visiškai būtina viską kontroliuoti ir išvengti problemų.

Kodėl turėtume įgyvendinti saugumo politiką?Tai svarbu kaip administratoriams taikyti saugumo politiką peržiūrėti tokias temas kaip:

  • Kurie vartotojai prisijungia teisingai.
  • Kiek nesėkmingų bandymų vartotojas turi.
  • Mūsų organizacijos „Active Directory“ pakeitimai.
  • Konkrečių failų pakeitimai.
  • Kas iš naujo paleido arba išjungė serverį ir kodėl.

Šiame vadove sužinosite, kaip įdiegti, tikrinti, kurti politiką ir viską, ko reikia jūsų verslo aplinkai naudojant „Windows Server“ serverius tose vietose, kurias turite valdyti.

1. Tvarkykite auditą naudodami GPO grupės politiką


Turime nurodyti, kokių tipų sistemos įvykius norime tikrinti naudodami grupės politiką.
Pažvelkime į dažniausiai pasitaikančius įvykius, kuriuos galime valdyti:

Prisijungimas prie paskyros

  • apibūdinimas

Nustato, kada sistema tikrina sėkmingai užregistruotą paskyrą.

  • Numatytoji konfigūracija

Sėkmingas prisijungimas prie paskyros

Sąskaitų administravimas

  • apibūdinimas

Jis nustato, kada sistema tikrina kiekvieną registruotos paskyros įvykį, pavyzdžiui, slaptažodžio pakeitimus, paskyros ištrynimą.

  • Numatytoji konfigūracija

Patenkinamai prisiregistravusių sąskaitų veiklos administravimas

Prieiga prie paslaugų katalogo

  • apibūdinimas

Nustato, kada sistema tikrina vartotojo bandymus įeiti į „Active Directory“.

Prisijungti

  • apibūdinimas

Nustato, kada sistema tikrina kiekvieno vartotojo bandymą prisijungti arba atsijungti nuo sistemos.

  • Numatytoji konfigūracija

Sėkmingas prisijungimas.

Politikos pakeitimas

  • apibūdinimas

Nustato, kada sistema tikrina kiekvieną bandymą pakeisti nustatytą domeno politiką.

  • Numatytoji konfigūracija

Sėkmingi politikos pakeitimai

Sistema

  • apibūdinimas

Nustato, kada sistema tikrina bet kokius sistemos pakeitimus.

  • Numatytoji konfigūracija

Sėkmingi sistemos įvykiai.

Turime imtis tam tikrų atsargumo priemonių kuriant audito politiką, pavyzdžiui:

  • Didelis audito lygis gali smarkiai paveikti tikrinamo įrenginio veikimą.
  • Ieškodami įvykių žurnaluose pamatysime, kad yra tūkstančiai žurnalų ir paieška gali mus paveikti. Turi būti aiškiai apibrėžti audito laikotarpiai.
  • Naujausi žurnalai pakeičia seniausius žurnalus, todėl negalime matyti svarbių įvykių, įvykusių ankstesniu laikotarpiu.

2. Įgyvendinti GPO audito politiką


Į įgyvendinti audito politiką turime atlikti šiuos veiksmus:

1 žingsnis
Atidarome serverio tvarkyklę arba serverio tvarkyklę. Spustelime Įrankiai ir mes pasirenkame variantą Grupės politikos valdymas.

DIDELIS

Taigi jis parodys GPO meniu, turime parodyti dabartinį domeną ir dešiniuoju pelės mygtuku spustelėti Numatytoji domeno politika.

2 žingsnis
Mes pasirenkame variantą Redaguoti ir Grupės politikos valdymo redaktorius.

Mes skleidžiame šį maršrutą:

  • Įrangos sąranka
  • Direktyvos
  • „Windows“ nustatymai
  • Apsaugos Nustatymai
  • Vietos direktyvos
  • Audito direktyva

3 žingsnis
Pamatysime, kad rodomas langas su skirtingais audito galimybės:

Dukart spustelėkite parinktį Patikrinkite prisijungimo įvykius, pamatysime, kad atsidaro minėto audito ypatybių langas.

Mes pažymime langelį Apibrėžkite šį politikos nustatymą kad įjungtumėte šią politiką, suaktyviname abu langelius („Correct“ ir „Error“) ir spustelėkite Taikyti ir pagaliau į vidų Sutikti kad išsaugotumėte pakeitimus.

Matysime, kaip pasikeitė mūsų auditas:

3. Įgyvendinkite audito politiką (failą ar aplanką)

Mes galime pridėti audito tipą prie konkretaus failo ar aplanko, todėl atliksime šį procesą:

1 žingsnis
Mes duodame dešiniuoju pelės mygtuku spustelėkite aplanke, kuriam norime priskirti auditą, ir pasirinkite parinktį Savybės.

Lange Ypatybės (redaguoti) mes pasirenkame skirtuką Saugumas.

2 žingsnis
Spustelime Išplėstinės parinktys ir pasirodys šis langas:

Spustelime parinktį Auditas ir vėliau į Papildyti.

3 žingsnis
Rodomame lange pasirenkame parinktį Pasirinkite direktorių rasti, kokią politiką pridėti.

Mes pasirinkome nesutikti, kad būtų taikomas auditas:

Galiausiai nurodome audito parametrus (skaityti, rašyti ir pan.), Spustelėkite Sutikti kad išsaugotumėte pakeitimus.

Atlikę šiuos veiksmus, mes jau turėsime audituotą pasirinkimą.

PrisimintiNaudodami įrankį galime įgyvendinti audito politiką AuditPol.exe įtraukta į „Windows Server 2012“, ši komanda bus rodoma ir leis mums valdyti savo politiką.

Sintaksė, kurią galime naudoti šiai komandai, yra tokia:

  • / gauti: Rodyti dabartinę politiką
  • /rinkinys: Nustatykite audito politiką
  • / sąrašas: Parodykite politikos elementus
  • / atsarginė kopija: Išsaugokite audito politiką faile
  • / aišku: Išvalykite audito politiką
  • /?: Rodyti pagalbą

4. Įvykiai ir įvykiai iš įvykių peržiūros priemonės


Kai sukonfigūravome savo saugumo politiką, įvykių peržiūros priemonėje galime matyti visus skirtingus įvykius, įvykusius mūsų serveryje, šie įvykiai vaizduojami skaitmeniniu kodu, pažiūrėkime keletą labiausiai reprezentatyvių įvykių:

Įgaliojimų patvirtinimo auditas

  • 4774: Prisijungti buvo susieta paskyra
  • 4775: Paskyra nebuvo susieta su prisijungimo duomenimis
  • 4776: Domeno valdiklis bandė patvirtinti paskyros kredencialus
  • 4777: Domeno valdikliui nepavyko patvirtinti paskyros kredencialų

Įvykių auditas paskyros prisijungimui

  • 4778: Seansas buvo vėl prijungtas prie „Windows“ stoties
  • 4779: Stotis buvo atjungta nuo „Windows“ stoties
  • 4800: Stotis buvo užblokuota
  • 4801: Stotis buvo atrakinta
  • 5632: Sukurtas reikalavimas autentifikuoti „Wi -Fi“ tinklą
  • 5633: Sukurtas reikalavimas autentifikuoti laidinį tinklą

Paraiškų auditas grupės valdymui

  • 4783: Sukurta pagrindinė grupės programa
  • 4784: Pagrindinė grupės programa buvo pakeista

Sąskaitos valdymo auditas

  • 4741: Sukurta kompiuterio paskyra
  • 4742: Buvo pakeista kompiuterio paskyra
  • 4743: Kompiuterio paskyra buvo ištrinta

Paskirstymo grupės administravimo auditas

  • 4744: Sukurta vietinė platinimo grupė
  • 4746: Narys buvo įtrauktas į vietinę platinimo grupę
  • 4747: Narys pašalintas iš vietinės platinimo grupės
  • 4749: Buvo sukurta pasaulinė platinimo grupė
  • 4750: Buvo pakeista pasaulinė platinimo grupė
  • 4753: Visuotinė platinimo grupė buvo pašalinta
  • 4760: Saugos grupė buvo pakeista

Apsaugos grupės administravimo auditas

  • 4727: Buvo sukurta pasaulinė saugumo grupė
  • 4728: Vienas narys buvo įtrauktas į pasaulinę saugumo grupę
  • 4729: Vienas narys pašalintas iš pasaulinės saugumo grupės
  • 4730: Pasaulinė saugumo grupė buvo pašalinta
  • 4731: Sukurta vietinė saugumo grupė
  • 4732: Narys buvo įtrauktas į vietinę saugumo grupę

Vartotojo abonemento valdymo auditas

  • 4720: Sukurta vartotojo paskyra
  • 4722: Įgalinta vartotojo paskyra
  • 4723: Sukurtas bandymas pakeisti slaptažodį
  • 4725: Vartotojo paskyra išjungta
  • 4726: Vartotojo paskyra buvo ištrinta
  • 4738: Vartotojo paskyra buvo pakeista
  • 4740: Vartotojo paskyra užblokuota
  • 4767: Vartotojo paskyra buvo atrakinta
  • 4781: Pakeistas vartotojo abonemento pavadinimas

Procesų auditai

  • 4688: Sukurtas naujas procesas
  • 4696: Procesui priskirtas pirminis kodas
  • 4689: Procesas baigėsi

Katalogų paslaugų auditas

  • 5136: Buvo pakeistas katalogų paslaugos objektas
  • 5137: Sukurtas katalogų paslaugos objektas
  • 5138: Buvo gautas katalogų paslaugos objektas
  • 5139: Katalogų paslaugos objektas buvo perkeltas
  • 5141: Katalogų paslaugos objektas buvo ištrintas

Sąskaitų auditas

  • 4634: Paskyra buvo atsijungta
  • 4647: Vartotojas pradėjo atsijungti
  • 4624: Paskyra sėkmingai prisijungta
  • 4625: Nepavyko prisijungti prie paskyros

Bendri failų auditai

  • 5140: Buvo pasiektas tinklo objektas
  • 5142: Pridėtas tinklo objektas
  • 5143: Tinklo objektas buvo pakeistas
  • 5144: Tinklo objektas buvo ištrintas

Kiti audito tipai

  • 4608: „Windows“ buvo paleista
  • 4609: „Windows“ buvo uždarytas
  • 4616: Laiko juosta pakeista
  • 5025: „Windows“ užkarda sustabdyta
  • 5024: „Windows“ užkarda buvo paleista

Kaip matome, yra daug daugiau kodų, atspindinčių įvairius įvykius, kurie kasdien vyksta mūsų serveryje ir tinkle, visus kodus galime pamatyti „Microsoft“ svetainėje.

5. Prieiga prie „WServer 2012 Event Viewer“


Mes žinosime, kaip pasiekti serverio įvykių peržiūros programą ir iš ten galėsime filtruoti arba ieškoti konkrečių įvykių.

Turime įeiti į serverio tvarkyklę arba serverio tvarkyklę. Ten mes pasirenkame variantą renginio žiūrovas iš meniu Įrankiai.

DIDELIS

Ten bus rodomas atitinkamas langas, kuriame bus galima ieškoti įvykių mūsų įrenginyje:

Kairėje pusėje esančiame meniu turime įvairių variantų, kaip pamatyti įvykius.

Kaip matome, galime filtruoti pagal kategorijas Ką:

  • „Windows“ žurnalai
  • Programų žurnalai
  • „Microsoft“

Ir savo ruožtu galime ieškoti pagal subkategorijas, tokias kaip „Application“, „Security“ ir kt.

Pavyzdžiui, mes pasirenkame variantą Saugumas iš meniu „Windows“ žurnalai.

DIDELIS

Centriniame meniu matome renginio struktūra:

  • Renginio pavadinimas
  • Renginio data
  • Šaltinis
  • Įvykio ID (jau matytas anksčiau)
  • Kategorija

Kairiajame meniu rasite parinktis, kaip sureguliuoti įvykių peržiūros priemonę, pavyzdžiui:

  • Atidaryti išsaugotus įrašus: Tai leidžia mums atidaryti įrašus, kuriuos anksčiau išsaugojome.
  • Tinkintas vaizdas: Tai leidžia mums sukurti rodinį pagal mūsų poreikius, pavyzdžiui, galime jį sukurti pagal įvykio ID, datą, kategoriją ir pan.
  • Importuoti pasirinktinį rodinį: Tai leidžia mums importuoti sukurtą vaizdą į kitą vietą.
  • Tuščias įrašas: Mes galime palikti įvykio žiūrovą nuliui.
  • Filtruoti dabartinį įrašą: Mes galime paleisti parametrus, kad galėtume atlikti konkretesnę paiešką.
  • Savybės: Peržiūrėkite įvykio ypatybes.

Taigi mes suprantame, kad renginių žiūryklėje turime kitų galimybių.
Mes galime sukurti keičiamų įrenginių audito politiką, todėl atliksime šį procesą:

Įeiname į savo Serverio administratorius
Mes pasirenkame iš meniu Įrankiai variantas Grupės politikos vadovas.

Turime parodyti savo domeną, dešiniuoju pelės mygtuku spustelėkite, spustelėkite Redaguoti ir įveskite šį maršrutą:

  • Įrangos sąranka
  • Direktyvos
  • „Windows“ nustatymai
  • Apsaugos Nustatymai
  • Išplėstiniai audito politikos nustatymai
  • Politikos nustatymai
  • Prieiga prie objektų

Dukart spustelėkite Prieiga prie objektų, pasirenkame variantą Patikrinkite išimamą saugyklą.

Bus rodomas atitinkamas langas, suaktyvinsime žymimąjį langelį Konfigūruokite toliau nurodytus audito įvykius ir mes pasirenkame variantą Teisingai.

Norėdami išsaugoti pakeitimus, spustelėkite Taikyti ir vėliau į Sutikti.

Kaip matome, yra įrankių, dėl kurių administracinis tinklo valdymas tampa nepaprastai svarbia ir atsakinga užduotimi. Turime nuodugniai ištirti viską, ką „Windows Server 2012“ mums siūlo, kad tinklas būtų visada pasiekiamas.

Slėpti diskus „Windows Server“ GPO

Padėsite svetainės plėtrą, dalintis puslapį su draugais

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Kaip sutrumpinti nuorodas
2
post-title
Geriausi „iPhone XS“, „iPhone XR“ ir „iPhone XS Max“ belaidžiai įkrovikliai 2020–2022 m
3
post-title
▷ Žr. „WiFi“ slaptažodį „Windows 10 2021“ ✔️
4
post-title
Kaip rodyti URL „Safari Mac“
5
post-title
Kaip įdiegti „Grafana“ „Ubuntu 18“

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -