Be abejo, teisingas mūsų serverio valdymas atsispindi optimaliame kiekvienos mūsų serverio charakteristikos veikime, taigi ir mūsų tinklo veiklos kelyje.
Išplėstinė audito politika suteikia mums galimybę labiau centralizuotai valdyti, nes mums lengviau patikrinti įvykius, kurie vyksta mūsų serveryje, ir aiškiau nustatyti, kas vyksta kasdien.
Peržiūrėsime, kaip įgyvendinti saugumo politiką, darant prielaidą, kad mūsų saugumo schemą galima suskirstyti į tris (3) sritis:
AutentifikavimasPateikite vartotojui tapatybę.
LeidimasSuteikia prieigą prie autentifikuoto vartotojo.
KlausaTai leidžia kontroliuoti vartotojus, prisijungusius prie sistemos, ir pakeitimus, kuriuos jie gali atlikti.
Vienas iš klasikinių klausimų yra žinoti, ar tikrai norime įgyvendinti saugumo politiką. Visiškai būtina viską kontroliuoti ir išvengti problemų.
Kodėl turėtume įgyvendinti saugumo politiką?Tai svarbu kaip administratoriams taikyti saugumo politiką peržiūrėti tokias temas kaip:
- Kurie vartotojai prisijungia teisingai.
- Kiek nesėkmingų bandymų vartotojas turi.
- Mūsų organizacijos „Active Directory“ pakeitimai.
- Konkrečių failų pakeitimai.
- Kas iš naujo paleido arba išjungė serverį ir kodėl.
Šiame vadove sužinosite, kaip įdiegti, tikrinti, kurti politiką ir viską, ko reikia jūsų verslo aplinkai naudojant „Windows Server“ serverius tose vietose, kurias turite valdyti.
1. Tvarkykite auditą naudodami GPO grupės politiką
Turime nurodyti, kokių tipų sistemos įvykius norime tikrinti naudodami grupės politiką.
Pažvelkime į dažniausiai pasitaikančius įvykius, kuriuos galime valdyti:
Prisijungimas prie paskyros
- apibūdinimas
Nustato, kada sistema tikrina sėkmingai užregistruotą paskyrą.
- Numatytoji konfigūracija
Sėkmingas prisijungimas prie paskyros
Sąskaitų administravimas
- apibūdinimas
Jis nustato, kada sistema tikrina kiekvieną registruotos paskyros įvykį, pavyzdžiui, slaptažodžio pakeitimus, paskyros ištrynimą.
- Numatytoji konfigūracija
Patenkinamai prisiregistravusių sąskaitų veiklos administravimas
Prieiga prie paslaugų katalogo
- apibūdinimas
Nustato, kada sistema tikrina vartotojo bandymus įeiti į „Active Directory“.
Prisijungti
- apibūdinimas
Nustato, kada sistema tikrina kiekvieno vartotojo bandymą prisijungti arba atsijungti nuo sistemos.
- Numatytoji konfigūracija
Sėkmingas prisijungimas.
Politikos pakeitimas
- apibūdinimas
Nustato, kada sistema tikrina kiekvieną bandymą pakeisti nustatytą domeno politiką.
- Numatytoji konfigūracija
Sėkmingi politikos pakeitimai
Sistema
- apibūdinimas
Nustato, kada sistema tikrina bet kokius sistemos pakeitimus.
- Numatytoji konfigūracija
Sėkmingi sistemos įvykiai.
Turime imtis tam tikrų atsargumo priemonių kuriant audito politiką, pavyzdžiui:
- Didelis audito lygis gali smarkiai paveikti tikrinamo įrenginio veikimą.
- Ieškodami įvykių žurnaluose pamatysime, kad yra tūkstančiai žurnalų ir paieška gali mus paveikti. Turi būti aiškiai apibrėžti audito laikotarpiai.
- Naujausi žurnalai pakeičia seniausius žurnalus, todėl negalime matyti svarbių įvykių, įvykusių ankstesniu laikotarpiu.
2. Įgyvendinti GPO audito politiką
Į įgyvendinti audito politiką turime atlikti šiuos veiksmus:
1 žingsnis
Atidarome serverio tvarkyklę arba serverio tvarkyklę. Spustelime Įrankiai ir mes pasirenkame variantą Grupės politikos valdymas.
DIDELIS
Taigi jis parodys GPO meniu, turime parodyti dabartinį domeną ir dešiniuoju pelės mygtuku spustelėti Numatytoji domeno politika.
2 žingsnis
Mes pasirenkame variantą Redaguoti ir Grupės politikos valdymo redaktorius.
Mes skleidžiame šį maršrutą:
- Įrangos sąranka
- Direktyvos
- „Windows“ nustatymai
- Apsaugos Nustatymai
- Vietos direktyvos
- Audito direktyva
3 žingsnis
Pamatysime, kad rodomas langas su skirtingais audito galimybės:
Dukart spustelėkite parinktį Patikrinkite prisijungimo įvykius, pamatysime, kad atsidaro minėto audito ypatybių langas.
Mes pažymime langelį Apibrėžkite šį politikos nustatymą kad įjungtumėte šią politiką, suaktyviname abu langelius („Correct“ ir „Error“) ir spustelėkite Taikyti ir pagaliau į vidų Sutikti kad išsaugotumėte pakeitimus.
Matysime, kaip pasikeitė mūsų auditas:
3. Įgyvendinkite audito politiką (failą ar aplanką)
Mes galime pridėti audito tipą prie konkretaus failo ar aplanko, todėl atliksime šį procesą:
1 žingsnis
Mes duodame dešiniuoju pelės mygtuku spustelėkite aplanke, kuriam norime priskirti auditą, ir pasirinkite parinktį Savybės.
Lange Ypatybės (redaguoti) mes pasirenkame skirtuką Saugumas.
2 žingsnis
Spustelime Išplėstinės parinktys ir pasirodys šis langas:
Spustelime parinktį Auditas ir vėliau į Papildyti.
3 žingsnis
Rodomame lange pasirenkame parinktį Pasirinkite direktorių rasti, kokią politiką pridėti.
Mes pasirinkome nesutikti, kad būtų taikomas auditas:
Galiausiai nurodome audito parametrus (skaityti, rašyti ir pan.), Spustelėkite Sutikti kad išsaugotumėte pakeitimus.
Atlikę šiuos veiksmus, mes jau turėsime audituotą pasirinkimą.
PrisimintiNaudodami įrankį galime įgyvendinti audito politiką AuditPol.exe įtraukta į „Windows Server 2012“, ši komanda bus rodoma ir leis mums valdyti savo politiką.
Sintaksė, kurią galime naudoti šiai komandai, yra tokia:
- / gauti: Rodyti dabartinę politiką
- /rinkinys: Nustatykite audito politiką
- / sąrašas: Parodykite politikos elementus
- / atsarginė kopija: Išsaugokite audito politiką faile
- / aišku: Išvalykite audito politiką
- /?: Rodyti pagalbą
4. Įvykiai ir įvykiai iš įvykių peržiūros priemonės
Kai sukonfigūravome savo saugumo politiką, įvykių peržiūros priemonėje galime matyti visus skirtingus įvykius, įvykusius mūsų serveryje, šie įvykiai vaizduojami skaitmeniniu kodu, pažiūrėkime keletą labiausiai reprezentatyvių įvykių:
Įgaliojimų patvirtinimo auditas
- 4774: Prisijungti buvo susieta paskyra
- 4775: Paskyra nebuvo susieta su prisijungimo duomenimis
- 4776: Domeno valdiklis bandė patvirtinti paskyros kredencialus
- 4777: Domeno valdikliui nepavyko patvirtinti paskyros kredencialų
Įvykių auditas paskyros prisijungimui
- 4778: Seansas buvo vėl prijungtas prie „Windows“ stoties
- 4779: Stotis buvo atjungta nuo „Windows“ stoties
- 4800: Stotis buvo užblokuota
- 4801: Stotis buvo atrakinta
- 5632: Sukurtas reikalavimas autentifikuoti „Wi -Fi“ tinklą
- 5633: Sukurtas reikalavimas autentifikuoti laidinį tinklą
Paraiškų auditas grupės valdymui
- 4783: Sukurta pagrindinė grupės programa
- 4784: Pagrindinė grupės programa buvo pakeista
Sąskaitos valdymo auditas
- 4741: Sukurta kompiuterio paskyra
- 4742: Buvo pakeista kompiuterio paskyra
- 4743: Kompiuterio paskyra buvo ištrinta
Paskirstymo grupės administravimo auditas
- 4744: Sukurta vietinė platinimo grupė
- 4746: Narys buvo įtrauktas į vietinę platinimo grupę
- 4747: Narys pašalintas iš vietinės platinimo grupės
- 4749: Buvo sukurta pasaulinė platinimo grupė
- 4750: Buvo pakeista pasaulinė platinimo grupė
- 4753: Visuotinė platinimo grupė buvo pašalinta
- 4760: Saugos grupė buvo pakeista
Apsaugos grupės administravimo auditas
- 4727: Buvo sukurta pasaulinė saugumo grupė
- 4728: Vienas narys buvo įtrauktas į pasaulinę saugumo grupę
- 4729: Vienas narys pašalintas iš pasaulinės saugumo grupės
- 4730: Pasaulinė saugumo grupė buvo pašalinta
- 4731: Sukurta vietinė saugumo grupė
- 4732: Narys buvo įtrauktas į vietinę saugumo grupę
Vartotojo abonemento valdymo auditas
- 4720: Sukurta vartotojo paskyra
- 4722: Įgalinta vartotojo paskyra
- 4723: Sukurtas bandymas pakeisti slaptažodį
- 4725: Vartotojo paskyra išjungta
- 4726: Vartotojo paskyra buvo ištrinta
- 4738: Vartotojo paskyra buvo pakeista
- 4740: Vartotojo paskyra užblokuota
- 4767: Vartotojo paskyra buvo atrakinta
- 4781: Pakeistas vartotojo abonemento pavadinimas
Procesų auditai
- 4688: Sukurtas naujas procesas
- 4696: Procesui priskirtas pirminis kodas
- 4689: Procesas baigėsi
Katalogų paslaugų auditas
- 5136: Buvo pakeistas katalogų paslaugos objektas
- 5137: Sukurtas katalogų paslaugos objektas
- 5138: Buvo gautas katalogų paslaugos objektas
- 5139: Katalogų paslaugos objektas buvo perkeltas
- 5141: Katalogų paslaugos objektas buvo ištrintas
Sąskaitų auditas
- 4634: Paskyra buvo atsijungta
- 4647: Vartotojas pradėjo atsijungti
- 4624: Paskyra sėkmingai prisijungta
- 4625: Nepavyko prisijungti prie paskyros
Bendri failų auditai
- 5140: Buvo pasiektas tinklo objektas
- 5142: Pridėtas tinklo objektas
- 5143: Tinklo objektas buvo pakeistas
- 5144: Tinklo objektas buvo ištrintas
Kiti audito tipai
- 4608: „Windows“ buvo paleista
- 4609: „Windows“ buvo uždarytas
- 4616: Laiko juosta pakeista
- 5025: „Windows“ užkarda sustabdyta
- 5024: „Windows“ užkarda buvo paleista
Kaip matome, yra daug daugiau kodų, atspindinčių įvairius įvykius, kurie kasdien vyksta mūsų serveryje ir tinkle, visus kodus galime pamatyti „Microsoft“ svetainėje.
5. Prieiga prie „WServer 2012 Event Viewer“
Mes žinosime, kaip pasiekti serverio įvykių peržiūros programą ir iš ten galėsime filtruoti arba ieškoti konkrečių įvykių.
Turime įeiti į serverio tvarkyklę arba serverio tvarkyklę. Ten mes pasirenkame variantą renginio žiūrovas iš meniu Įrankiai.
DIDELIS
Ten bus rodomas atitinkamas langas, kuriame bus galima ieškoti įvykių mūsų įrenginyje:
Kairėje pusėje esančiame meniu turime įvairių variantų, kaip pamatyti įvykius.
Kaip matome, galime filtruoti pagal kategorijas Ką:
- „Windows“ žurnalai
- Programų žurnalai
- „Microsoft“
Ir savo ruožtu galime ieškoti pagal subkategorijas, tokias kaip „Application“, „Security“ ir kt.
Pavyzdžiui, mes pasirenkame variantą Saugumas iš meniu „Windows“ žurnalai.
DIDELIS
Centriniame meniu matome renginio struktūra:
- Renginio pavadinimas
- Renginio data
- Šaltinis
- Įvykio ID (jau matytas anksčiau)
- Kategorija
Kairiajame meniu rasite parinktis, kaip sureguliuoti įvykių peržiūros priemonę, pavyzdžiui:
- Atidaryti išsaugotus įrašus: Tai leidžia mums atidaryti įrašus, kuriuos anksčiau išsaugojome.
- Tinkintas vaizdas: Tai leidžia mums sukurti rodinį pagal mūsų poreikius, pavyzdžiui, galime jį sukurti pagal įvykio ID, datą, kategoriją ir pan.
- Importuoti pasirinktinį rodinį: Tai leidžia mums importuoti sukurtą vaizdą į kitą vietą.
- Tuščias įrašas: Mes galime palikti įvykio žiūrovą nuliui.
- Filtruoti dabartinį įrašą: Mes galime paleisti parametrus, kad galėtume atlikti konkretesnę paiešką.
- Savybės: Peržiūrėkite įvykio ypatybes.
Taigi mes suprantame, kad renginių žiūryklėje turime kitų galimybių.
Mes galime sukurti keičiamų įrenginių audito politiką, todėl atliksime šį procesą:
Įeiname į savo Serverio administratorius
Mes pasirenkame iš meniu Įrankiai variantas Grupės politikos vadovas.
Turime parodyti savo domeną, dešiniuoju pelės mygtuku spustelėkite, spustelėkite Redaguoti ir įveskite šį maršrutą:
- Įrangos sąranka
- Direktyvos
- „Windows“ nustatymai
- Apsaugos Nustatymai
- Išplėstiniai audito politikos nustatymai
- Politikos nustatymai
- Prieiga prie objektų
Dukart spustelėkite Prieiga prie objektų, pasirenkame variantą Patikrinkite išimamą saugyklą.
Bus rodomas atitinkamas langas, suaktyvinsime žymimąjį langelį Konfigūruokite toliau nurodytus audito įvykius ir mes pasirenkame variantą Teisingai.
Norėdami išsaugoti pakeitimus, spustelėkite Taikyti ir vėliau į Sutikti.
Kaip matome, yra įrankių, dėl kurių administracinis tinklo valdymas tampa nepaprastai svarbia ir atsakinga užduotimi. Turime nuodugniai ištirti viską, ką „Windows Server 2012“ mums siūlo, kad tinklas būtų visada pasiekiamas.
Slėpti diskus „Windows Server“ GPO