Vienas iš opiausių organizacijos galvų yra saugumas ir konfidencialumas ne tik savo principais, bet ir visa infrastruktūra (įranga, duomenys, vartotojai ir kt.), O didelė dalis šios informacijos yra saugoma serveriuose organizacijos ir jei turime prieigą prie serverio kaip administratoriai, koordinatoriai ar sistemos padėjėjai, mums tenka didelė atsakomybė užkirsti kelią neteisėtai prieigai prie sistemos.
Tikiuosi, kad daugeliu atvejų ne visai taip, kad kai kuriose situacijose jie buvo pateikti prieiga ne dėl sistemos Y buvo atlikti neteisėti pakeitimai ir deja Nežinoma, kuris vartotojas buvo atsakingas ar kada įvykis įvyko.
Pateiksime realų šios situacijos pavyzdį:
Tam tikru momentu įmonėje kažkas įėjo į serverį ir ištrynė vartotoją, kuris, nors ir turėjo standartinį vardą, buvo vartotojas, naudojamas prieigai prie produktyvios mašinos, todėl, kai vartotojas buvo ištrintas, paslauga buvo išjungta ir atsirado didelė problema ir ji negalėjo nustatyti, kas ar kaip padarė pakeitimą.
Laimei, „Windows Server“ leidžia atlikti visų serveryje įvykusių įvykių auditą ir šiame tyrime mes analizuosime kaip įgyvendinti šį auditą paprastai ir efektyviai.
Aplinka, kurioje dirbsime, bus „Windows Server 2016“ duomenų centro techninė peržiūra 5.
1. Įdiekite „Active Directory“ auditą
Pirmas dalykas, kurį turime padaryti, yra įeiti į grupės politikos valdymo pultą arba gpmc, tam naudosime klavišų kombinaciją:
Tokiais atvejais privalome įdiegti gpmc su bet kuria iš šių parinkčių:
- Įeikite į serverio tvarkyklę ir atidarykite šią parinktį: Pridėkite vaidmenų ir funkcijų ir vėliau į Savybės - Savybės pasirinkti Grupės politikos valdymas.
- Naudodami „Windows PowerShell“ naudodami cmdlet:
„Windows -InstallFeature“ -GPMC pavadinimas
Kai turėsime prieigą prie „gpmc“, pamatysime langą, kuriame jis rodomas Miškas, mes ją diegsime ir vėliau Domenai, tada mūsų domeno pavadinimą, tada rodome Domeno valdikliai ir galiausiai pasirenkame Numatytoji domeno valdiklio politika.
Ten dešiniuoju pelės mygtuku spustelėsime Numatytoji domeno valdiklio politika ir mes pasirenkame Redaguoti arba Redaguoti atlikti tam tikrus pakeitimus ir taip leisti įrašyti įvykius, įvykusius „Windows Server 2016“.
Pamatysime šiuos dalykus:
Kaip matome, mums pavyko pasiekti domenų valdiklių grupės politikos redaktoriusdabar, būdami ten, eisime šiuo maršrutu:
- Kompiuterio konfigūracija
- Politika
- „Windows“ nustatymai
- Apsaugos Nustatymai
- Išplėstinė audito politikos konfigūracija
- Audito politika
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Ten turime sukonfigūruoti šių elementų parametrus:
- Prisijungimas prie paskyros
- Sąskaitos valdymas
- DS prieiga
- Prisijungimas / atsijungimas
- Prieiga prie objekto
- Politikos pakeitimas
Sukonfigūruokime Prisijungimas prie paskyros, pamatysime, kad kai pasirinksite dešinėje pusėje, bus rodoma:
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Ten mes turime sukonfigūruoti kiekvieną iš šių parinkčių taip. Dukart spustelėkite kiekvieną ir pridėkite šiuos parametrus.
Mes suaktyviname langelį Konfigūruokite toliau nurodytus audito įvykius ir pažymime du galimus langelius, Sėkmė Y Nesėkmė, (Šios vertės leidžia registruoti sėkmingus ir nesėkmingus įvykius).
Mes tai darome su kiekvienu ir paspaudžiame Taikyti ir vėliau Gerai kad išsaugotumėte pakeitimus.
Pakartosime šį procesą visiems laukams pagal šiuos parametrus:
- Sąskaitos valdymas
- DS prieiga
- Prisijungimas / atsijungimas
- Prieiga prie objekto
- Politikos pakeitimas
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Mes matome dešinėje stulpelio pusėje Audito įvykiai kad sukonfigūruotos vertės buvo pakeistos (sėkmė ir nesėkmė).
Toliau mes priversime mūsų pakeistas strategijas taip, kad sistema jas imtųsi, tam mes įvesime komandinę eilutę cmd ir įvesime šią komandą:
gpupdate / force[color = # a9a9a9] Atnaujinkite politiką neperkraunant. [/ color]
Mes išeiname iš cmd naudodami komandą exit. Dabar mes ketiname atidarykite ADSI arba ADSI redagavimo redaktorių vartojant terminą adsiedit.msc iš komandos Vykdyti („Windows + R“) arba įvesdami terminą ADSI „Windows Server 2016“ paieškos laukelyje ir pasirinkdami ADSI redagavimas.
Pamatysime šį langą:
Kai būsime „ADSI Edit“, dešiniuoju pelės mygtuku spustelėkite ADSI redagavimas kairėje pusėje ir pasirinkite Prisijungti prie.
Bus parodytas toks langas:
Kaime Sujungimo taškas skirtuke "Pasirinkite gerai žinomą pavadinimo kontekstą " Pamatysime šias prisijungimo parinktis:
- Numatytasis pavadinimo kontekstas
- Konfigūracija
- RootDSE
- Schema
Šios vertės nustato, kaip turi būti registruojami įvykiai „Windows Server 2016“, šiuo atveju turime pasirinkti parinktį Konfigūracija kad registruojami įvykiai gautų anksčiau konfigūracijos gpmc reikšmes.
Mes spaudžiame Gerai ir mes turime pakartoti ankstesnį veiksmą, kad pridėtume kitas vertes:
- Numatytas
- RootDSE
- Schema
Tai bus išvaizda ADSI redagavimas pridėję visus laukus.
Dabar turime įgalinti kiekvienos iš šių verčių auditą, kad atliktume šį procesą Numatytasis pavadinimo kontekstas ir mes pakartosime šį procesą kitiems.
Mes rodome lauką ir dešiniuoju pelės mygtuku spustelėkite mūsų domeno valdiklio eilutę ir pasirenkame Ypatybės (redaguoti) - Savybės.
Pamatysime šį langą, kuriame pasirenkame skirtuką Saugumas - Saugumas.
Ten paspausime mygtuką Išplėstinė - Išplėstinė ir pamatysime šią aplinką, kurioje pasirenkame skirtuką Auditas - Auditas.
Kol ten spustelėsime Papildyti pridėti visus ir tokiu būdu turėti galimybę patikrinti bet kurio vartotojo atliktas užduotis, neatsižvelgiant į jų teisių lygį; Kai paspausime Pridėti, vartotojo ieškosime taip:
Mes spaudžiame Gerai ir rodomame lange mes pažymėsime visus langelius ir tik panaikinsime žymėjimą, kad atliktumėte auditą:
- Visiška kontrolė
- Sąrašo turinys
- Perskaitykite visas savybes
- Skaitymo leidimai
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Mes spaudžiame Gerai kad išsaugotumėte pakeitimus.
2. AD atliktų pakeitimų audito įvykiai
Prisiminkime, kad tuos pačius veiksmus atliktume ir kitoms mazgų reikšmėms ADSI redagavimas. Patvirtinti visus atliktus pakeitimus „Windows Server 2016“ užsiregistravę atidarysime renginio peržiūros priemonę, galime ją atidaryti taip:
- Dešiniuoju pelės mygtuku spustelėkite pradžios piktogramą ir pasirinkite Įvykių žiūrovas arba Renginių peržiūros priemonė.
- Iš komandos Vykdyti galime įvesti terminą:
įvykisvwr
ir paspauskite Enter.
Taip atrodys įvykių peržiūros priemonė „Windows Server 2016“.
DIDELIS
Kaip matome, pažymime, kad turime keturias kategorijas:
- Tinkintos peržiūros: Naudodami šią parinktį galime sukurti pasirinktinius įvykių serveryje vaizdus.
- „Windows“ žurnalai: Naudodami šią parinktį galime išanalizuoti visus įvykius, įvykusius „Windows“ aplinkoje, nesvarbu, ar tai būtų saugumo lygis, paleidimas, įvykiai, sistema ir kt.
- Programų ir paslaugų žurnalai: Naudodami šią alternatyvą galime matyti įvykius, susijusius su paslaugomis ir programomis, įdiegtomis „Windows Server 2016“.
- Prenumeratos: Tai nauja žiūrovo funkcija, leidžianti analizuoti visus įvykius, įvykusius naudojant „Windows“ prenumeratas, pvz., „Azure“.
Parodykime, pavyzdžiui, įvykius, užregistruotus saugumo lygiu, pasirinkę parinktį „Windows“ žurnalai ir ten renkantis Saugumas.
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Kaip matome, įvykiai registruojami pagal raktinį žodį, įvykio datą ir laiką, ID, kuris yra labai svarbus ir kt.
Jei analizuosime, pamatysime, kad įvykių yra tūkstančiai ir gali būti sunku perskaityti vieną po kito, kad pamatytumėte, kuris įvykis įvyko, norėdami supaprastinti šią užduotį, galime paspausti mygtuką Filtruoti dabartinį žurnalą įvairiais būdais filtruoti įvykius.
Ten galime filtruoti įvykius pagal įtakos lygį (kritinis, atsargūs ir tt), pagal datą, pagal ID ir kt.
Jei norime pamatyti prisijungimo įvykiai Mes galime filtruoti pagal IKD 4624 (prisijungimas) ir gausime šiuos rezultatus:
DIDELIS
[color = # a9a9a9] Norėdami padidinti, spustelėkite paveikslėlį [/ color]
Galime dukart spustelėti įvykį arba dešiniuoju pelės klavišu ir pasirinkti Įvykio ypatybės peržiūrėti išsamią informaciją apie įvykį, pvz., datą ir laiką, įrangą, kurioje įvykis buvo įrašytas, ir pan.
Tokiu būdu turime po ranka didelį įrankis, skirtas analizuoti, kas padarė pakeitimus vartotojui, objektui ar apskritai „Windows Server 2016“ aplinkai.
Kai kurie svarbiausi ID, kuriuos galime patikrinti, yra šie:
ID / įvykis528 Sėkmingas prisijungimas
520 Sistemos laikas buvo pakeistas
529 Neteisingas prisijungimas (nežinomas vardas arba neteisingas slaptažodis)
538 Atsijungti
560 Atidaryti objektą
4608 „Windows“ paleidimas
4609 „Windows“ išjungimas
4627 Informacija apie grupės narius
4657 Buvo pakeista registro vertė
4662 Įvykis buvo atliktas su objektu
4688 Sukurtas naujas procesas
4698 Suplanuota užduotis sukurta
4699 Suplanuota užduotis buvo ištrinta
4720 Sukurta vartotojo paskyra
4722 Įgalinta vartotojo paskyra
4723 Buvo bandoma pakeisti slaptažodį
4725 Vartotojo paskyra išjungta
4726 Vartotojo paskyra buvo ištrinta
4728 Vartotojas buvo pridėtas prie pasaulinės grupės
4729 Vartotojas pašalintas iš pasaulinės grupės
4730 Saugumo grupė pašalinta
4731 Sukurta saugumo grupė
4738 Vartotojo paskyra buvo pakeista
4739 Domeno politika buvo pakeista
4740 Vartotojo paskyra užblokuota
4741 Sukurta komanda
4742 Buvo pakeista komanda
4743 Komanda buvo pašalinta
4800 Kompiuteris užblokuotas
4801 Įranga buvo atrakinta
5024 Sėkmingai paleista užkarda
5030 Nepavyko paleisti ugniasienės
5051 Failas buvo virtualizuotas
5139 Katalogų paslauga buvo perkelta
5136 Buvo pakeista katalogų paslauga
Kaip matome, turime daug ID, kad galėtume išanalizuoti kiekvieną mūsų sistemoje vykstantį įvykį. „Windows Server 2016“ ir tai leidžia mums konkrečiai kontroliuoti tuos įvykius, kurie gali turėti įtakos sistemos veikimui ir saugumui.
