Configurați politici avansate pentru auditul GPO Windows Server

Configurați politici avansate pentru auditul GPO Windows Server

Fără îndoială, gestionarea corectă a serverului nostru se reflectă în funcționarea optimă a fiecărei caracteristici a serverului nostru și, prin urmare, în calea operațională a rețelei noastre.

Politicile avansate de audit ne oferă posibilitatea de a avea un control mai centralizat, deoarece ne facilitează verificarea evenimentelor care apar pe serverul nostru și putem determina mai clar ce se întâmplă în fiecare zi.

Vom examina modul de implementare a politicilor de securitate, presupunând că schema noastră de securitate poate fi împărțită în trei (3) domenii:

AutentificareFurnizați o identitate utilizatorului.

AutorizareOferă acces utilizatorului autentificat.

AuzPermite menținerea controlului asupra utilizatorilor conectați la sistem și a modificărilor pe care le pot executa.

Una dintre întrebările clasice este să știm dacă vrem cu adevărat să implementăm politici de securitate. Este ceva complet necesar să ai totul sub control și să eviți problemele.

De ce ar trebui să implementăm o politică de securitate?Este important ca administratori aplica politici de securitate pentru a revizui subiecte precum:

  • Ce utilizatori se conectează corect.
  • Câte încercări nereușite are un utilizator.
  • Modificări aduse în Active Directory al organizației noastre.
  • Modificări ale fișierelor specifice.
  • Cine a repornit sau a închis serverul și de ce.

În acest ghid veți afla cum să implementați, să auditați, să creați politici și tot ce aveți nevoie pentru mediul dvs. de afaceri cu serverele Windows Server în focarele pe care trebuie să le controlați.

1. Gestionați auditul cu politicile de grup GPO


Trebuie să specificăm ce tipuri de evenimente de sistem dorim să audităm utilizând politicile de grup.
Să vedem câteva dintre cele mai frecvente evenimente pe care le putem gestiona:

Conectare la cont

  • Descriere

Determină când sistemul auditează un cont înregistrat cu succes.

  • Configurare implicită

Conectarea cu succes a contului

Administrarea conturilor

  • Descriere

Determină când sistemul auditează fiecare eveniment al unui cont înregistrat, de exemplu modificări de parolă, ștergerea contului.

  • Configurare implicită

Administrarea activităților conturilor conectate în mod satisfăcător

Acces la Directorul de servicii

  • Descriere

Determină când sistemul auditează utilizatorul încercând să intre în Active Directory.

Autentificare

  • Descriere

Determină când sistemul auditează încercarea fiecărui utilizator de a se conecta sau de a se deconecta de la sistem.

  • Configurare implicită

Logare cu succes.

Schimbarea politicii

  • Descriere

Determină când sistemul auditează fiecare încercare de modificare a politicilor stabilite de domeniu.

  • Configurare implicită

Modificări de politică reușite

Sistem

  • Descriere

Determină când sistemul auditează orice modificare a sistemului.

  • Configurare implicită

Evenimente de sistem de succes.

Trebuie să luăm anumite măsuri de precauție atunci când creați politici de audit, de exemplu:

  • Nivelurile ridicate de audit pot afecta drastic performanța dispozitivului care urmează să fie auditat.
  • Când căutăm jurnalele evenimentelor, vom vedea că există mii de jurnale și căutarea ne poate afecta. Perioadele de timp care trebuie auditate trebuie să fie clar definite.
  • Cele mai actuale jurnale înlocuiesc cele mai vechi jurnale, acest lucru ne poate împiedica să vedem evenimente importante care au avut loc într-o perioadă anterioară.

2. Implementați politica de audit GPO


La implementarea unei politici de audit trebuie să parcurgem următorii pași:

Pasul 1
Deschidem Server Manager sau Server Manager. Facem clic pe Instrumente și alegem opțiunea Managementul politicilor de grup.

MARI

Astfel va afișa meniul GPO-uri, trebuie să afișăm domeniul curent și să facem clic dreapta pe Politica de domeniu implicită.

Pasul 2
Alegem opțiunea Editați | × si Editor de gestionare a politicilor de grup.

Implementăm următorul traseu:

  • Configurarea echipamentului
  • Directivele
  • Setări Windows
  • Setări de securitate
  • Directivele locale
  • Directiva de audit

Pasul 3
Vom vedea că este afișată o fereastră cu diferitele opțiuni de audit:

Facem dublu clic pe opțiune Verificați evenimentele de conectare, vom vedea că se deschide fereastra proprietăților auditului menționat.

Bifăm caseta de selectare Definiți această setare de politică pentru a activa această politică și activăm ambele casete (Corect și Eroare) și facem clic pe aplica și în cele din urmă în A accepta pentru a salva modificările.

Vom vedea modificările reflectate în auditul nostru:

3. Implementați politica de audit (fișier sau dosar)

Putem adăuga un tip de audit într-un anumit fișier sau folder, pentru aceasta vom efectua următorul proces:

Pasul 1
Noi dam Click dreapta în dosarul pe care dorim să-l atribuim auditului și alegem opțiunea Proprietăți.

La fereastră Proprietăți (editați) selectăm fila Securitate.

Pasul 2
Facem clic pe Opțiuni avansate și se va afișa următoarea fereastră:

Facem clic pe opțiune Audit și mai târziu în Adăuga.

Pasul 3
În fereastra afișată alegem opțiunea Selectați un director pentru a găsi ce politică să adăugați.

Am ales obiectul aplicării auditului:

În cele din urmă specificăm parametrii de audit (Citire, Scriere etc.), faceți clic pe A accepta pentru a salva modificările.

Cu acești pași, vom avea deja selecția pe care am ales-o auditată.

Tine mintePutem implementa politici de audit folosind instrumentul AuditPol.exe inclusă în Windows Server 2012, această comandă ne va afișa și ne va permite să gestionăm politicile noastre.

Sintaxa pe care o putem folosi pentru această comandă include următoarele:

  • / obține: Afișați politica actuală
  • /a stabilit: Stabiliți politica de audit
  • / listă: Afișați elementele politicii
  • / backup: Salvați politica de audit într-un fișier
  • / clar: Curățați politica de audit
  • /?: Afișați ajutor

4. Evenimente și evenimente din Vizualizatorul de evenimente


Când ne-am configurat politicile de securitate, în vizualizatorul de evenimente putem vedea toate evenimentele diferite care au avut loc pe serverul nostru, aceste evenimente sunt reprezentate printr-un cod numeric, să vedem câteva dintre cele mai reprezentative evenimente:

Audit de validare a acreditării

  • 4774: Un cont a fost mapat pentru autentificare
  • 4775: Un cont nu a fost mapat pentru autentificare
  • 4776: Controlorul de domeniu a încercat să valideze acreditările pentru un cont
  • 4777: Controlerul de domeniu nu a reușit să valideze acreditările pentru un cont

Auditarea evenimentelor pentru autentificarea contului

  • 4778: O sesiune a fost reconectată pe o stație Windows
  • 4779: O stație a fost deconectată de la o stație Windows
  • 4800: O stație a fost blocată
  • 4801: O stație a fost deblocată
  • 5632: A fost creată o cerință pentru autentificarea unei rețele Wi Fi
  • 5633: A fost creată o cerință pentru autentificarea unei rețele prin cablu

Audit de aplicații pentru managementul grupului

  • 4783: A fost creată o aplicație de bază de grup
  • 4784: O aplicație de grup de bază a fost modificată

Auditul managementului contului

  • 4741: A fost creat un cont de computer
  • 4742: Un cont de computer a fost modificat
  • 4743: Un cont de computer a fost șters

Auditul administrării grupului de distribuție

  • 4744: A fost creat un grup de distribuție local
  • 4746: Un membru a fost adăugat la un grup de distribuție local
  • 4747: Un membru a fost eliminat dintr-un grup de distribuție local
  • 4749: A fost creat un grup de distribuție global
  • 4750: Un grup de distribuție global a fost modificat
  • 4753: Un grup de distribuție global a fost eliminat
  • 4760: Un grup de securitate a fost modificat

Auditul administrării grupului de securitate

  • 4727: A fost creat un grup global de securitate
  • 4728: Un membru a fost adăugat la un grup global de securitate
  • 4729: Un membru a fost mutat într-un grup global de securitate
  • 4730: Un grup global de securitate a fost eliminat
  • 4731: A fost creat un grup local de securitate
  • 4732: Un membru a fost adăugat la un grup local de securitate

Auditul de gestionare a contului de utilizator

  • 4720: A fost creat un cont de utilizator
  • 4722: Un cont de utilizator a fost activat
  • 4723: A fost creată o încercare de modificare a parolei
  • 4725: Un cont de utilizator a fost dezactivat
  • 4726: Un cont de utilizator a fost șters
  • 4738: Un cont de utilizator a fost modificat
  • 4740: Un cont de utilizator a fost blocat
  • 4767: Un cont de utilizator a fost deblocat
  • 4781: Numele unui cont de utilizator a fost schimbat

Audituri de proces

  • 4688: A fost creat un nou proces
  • 4696: Un proces primar a fost atribuit unui proces
  • 4689: Un proces s-a încheiat

Audituri ale serviciilor de directoare

  • 5136: Un obiect de serviciu director a fost modificat
  • 5137: A fost creat un obiect de serviciu director
  • 5138: A fost recuperat un obiect de serviciu director
  • 5139: Un obiect de serviciu director a fost mutat
  • 5141: Un obiect de serviciu director a fost șters

Audituri de cont

  • 4634: Un cont a fost deconectat
  • 4647: Utilizatorul a început să se deconecteze
  • 4624: Un cont a fost autentificat cu succes
  • 4625: Un cont nu a reușit să se conecteze

Audituri de fișiere partajate

  • 5140: A fost accesat un obiect de rețea
  • 5142: A fost adăugat un obiect de rețea
  • 5143: Un obiect de rețea a fost modificat
  • 5144: Un obiect de rețea a fost șters

Alte tipuri de audituri

  • 4608: Windows a fost pornit
  • 4609: Windows a fost închis
  • 4616: Fusul orar a fost modificat
  • 5025: Paravanul de protecție Windows a fost oprit
  • 5024: Paravanul de protecție Windows a fost pornit

După cum putem vedea, există multe alte coduri pentru a reprezenta diferitele evenimente care se întâmplă zilnic pe serverul și rețeaua noastră, putem vedea toate codurile pe site-ul web Microsoft.

5. Acces la vizualizatorul de evenimente WServer 2012


Vom cunoaște procesul de accesare a vizualizatorului de evenimente de pe serverul nostru și de acolo pentru a putea filtra sau căuta evenimente specifice.

Trebuie să introducem Server Manager sau Server Manager. Acolo selectăm opțiunea vizualizator de eveniment din meniu Instrumente.

MARI

Acolo va fi afișată fereastra respectivă pentru a putea căuta evenimentele de pe dispozitivul nostru:

În meniul din stânga avem diferite opțiuni pentru a vedea evenimentele.

După cum vedem, putem filtrează după categorii Ce:

  • Jurnalele Windows
  • Jurnalele de aplicații
  • Microsoft

Și la rândul nostru putem căuta după subcategorii precum Aplicații, Securitate etc.

De exemplu, alegem opțiunea Securitate din meniu Jurnalele Windows.

MARI

Putem vedea în meniul central structura evenimentului:

  • Numele evenimentului
  • Data evenimentului
  • Sursă
  • ID eveniment (deja văzut înainte)
  • Categorie

În meniul din stânga găsim opțiuni pentru ajustarea vizualizatorului de evenimente, cum ar fi:

  • Deschideți înregistrările salvate: Ne permite să deschidem înregistrări pe care le-am salvat anterior.
  • Vizualizare personalizată: Ne permite să creăm o vizualizare pe baza nevoilor noastre, de exemplu o putem crea după ID-ul evenimentului, după dată, după categorie etc.
  • Importați vizualizarea personalizată: Ne permite să importăm vizualizarea creată într-o altă locație.
  • Înregistrare goală: Putem lăsa vizualizatorul de evenimente la zero.
  • Filtrează înregistrarea curentă: Putem executa parametri pentru a efectua o căutare mai specifică.
  • Proprietăți: Vizualizați proprietățile evenimentului.

Și astfel ne dăm seama că avem alte opțiuni în vizualizatorul nostru de evenimente.
Putem crea o politică de audit pentru dispozitivele amovibile, pentru aceasta vom executa următorul proces:

Intrăm în al nostru Administrator server
Alegem din meniu Instrumente optiunea Manager de politici de grup.

Trebuie să afișăm domeniul nostru, faceți clic dreapta, faceți clic Editați | × și introduceți următorul traseu:

  • Configurarea echipamentului
  • Directivele
  • Setări Windows
  • Setări de securitate
  • Setări avansate ale politicii de audit
  • Setări de politică
  • Acces la obiecte

Facem dublu clic pe Acces la obiecte, alegem opțiunea Verificați stocarea detașabilă.

Va fi afișată fereastra respectivă, activăm caseta de selectare Configurați următoarele evenimente de audit și alegem opțiunea Corect.

Pentru a salva modificările pe care facem clic aplica și mai târziu în A accepta.

După cum putem vedea, există instrumente care fac din gestionarea administrativă a unei rețele o sarcină extrem de importantă și responsabilă, trebuie să explorăm cu atenție tot ceea ce Windows Server 2012 ne oferă pentru a avea o rețea disponibilă întotdeauna.

Ascundeți unitățile GPO pentru Windows Server

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se elimină și se dezrootează pe Android
2
post-title
Cum să dezactivați modul incognito Chrome în Windows 10 sau macOS
3
post-title
Cum să verificați dacă Windows, Mac sau Linux au Bluetooth
4
post-title
Cum se pun notificări personalizate WhatsApp Xiaomi Mi A2
5
post-title
▷ Dezinstalați Chromium Windows 10 2021 ✔️ ELIMINAȚI

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -