Cum să înregistrați și să auditați modificările aduse Active Directory

Cum să înregistrați și să auditați modificările aduse Active Directory

Una dintre cele mai sensibile probleme pe care o organizație le are în vedere este securitatea și confidențialitatea, nu numai în principiile sale, ci și în întreaga sa infrastructură (echipamente, date, utilizatori etc.) și o mare parte din toate aceste informații sunt stocate în servere. organizației și dacă avem acces la server fie ca administrator, coordonatori sau asistenți de sistem, ne confruntăm cu o mare responsabilitate de a preveni accesul neautorizat la sistem.

În multe ocazii, sper că deloc, este că în unele situații au fost prezentate accesul nu se datorează sistemului Da s-au făcut modificări neautorizate și din păcate Nu se știe care utilizator a fost responsabil sau când a fost evenimentul.

Vom pune un exemplu real al acestei situații:

La un moment dat în companie, cineva a intrat pe server și a șters un utilizator care, deși avea un nume standard, era un utilizator folosit pentru a accesa o mașină productivă, prin urmare, atunci când utilizatorul a fost șters, serviciul a fost dezactivat și a existat un mare problemă și nu a putut determina cine sau cum a făcut schimbarea.

Din fericire, Windows Server ne permite să desfășurăm un proces de auditare a tuturor evenimentelor care au avut loc pe server și în acest studiu vom analiza modul de implementare a acestui audit simplu și eficient.

Mediul în care vom lucra va fi Windows Server 2016 Datacenter Technical Preview 5.

1. Implementați auditul Active Directory


Primul lucru pe care trebuie să-l facem este să intrăm în consola de gestionare a politicilor de grup sau gpmc, pentru aceasta vom folosi combinația de taste:

În aceste cazuri trebuie instalați gpmc cu oricare dintre următoarele opțiuni:

  • Introduceți Server Manager și deschideți opțiunea: Adăugați roluri și caracteristici și mai târziu în Caracteristici - Caracteristici a selecta Managementul politicilor de grup.
  • Prin Windows PowerShell folosind cmdlet-ul: 
     Windows-InstallFeature -Nume GPMC

Odată ce avem acces la gpmc vom vedea fereastra unde apare pădure, îl implementăm și mai târziu Domenii, apoi numele domeniului nostru, apoi afișăm Controlere de domeniu și în cele din urmă selectăm Politica implicită a controlerului de domeniu.

Acolo vom face clic dreapta pe Politica implicită a controlerului de domeniu și selectăm Editați | × sau Editați | × pentru a face unele ajustări și a permite astfel înregistrarea evenimentelor care au avut loc în Windows Server 2016.

Vom vedea următoarele:

După cum putem vedea, am putut accesa editor al politicilor grupului de controler de domeniu, acum fiind acolo, vom merge la următorul traseu:

  • Configurare computer
  • Politici
  • Setări Windows
  • Setări de securitate
  • Configurare avansată a politicii de audit
  • Politici de audit

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

Acolo trebuie să configurăm parametrii următoarelor elemente:

  • Conectare cont
  • Managementul contului
  • Acces DS
  • Logare / Deconectare
  • Acces la obiect
  • Schimbarea politicii

Să configurăm Conectare cont, vom vedea că, odată selectat în partea dreaptă, se afișează următoarele:

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

Acolo trebuie să configurăm fiecare dintre aceste opțiuni după cum urmează. Faceți dublu clic pe fiecare și adăugați următorii parametri.

Activăm caseta Configurați următoarele evenimente de audit și marcăm cele două casete disponibile, Succes Da Eșec, (Aceste valori permit înregistrarea evenimentelor reușite și eșuate).

Facem acest lucru cu fiecare și apăsăm aplica Și mai târziu Bine pentru a salva modificările.

Vom repeta acest proces pentru toate câmpurile din următorii parametri:

  • Managementul contului
  • Acces DS
  • Logare / Deconectare
  • Acces la obiect
  • Schimbarea politicii

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

Putem vedea în partea dreaptă a coloanei Evenimente de audit că valorile configurate au fost modificate (succes și eșec).

În continuare vom forța politicile pe care le-am modificat astfel încât sistemul să le ia, pentru aceasta vom introduce linia de comandă cmd și vom introduce următoarea comandă: 

 gpupdate / forță
[color = # a9a9a9] Actualizați politicile fără a fi nevoie să reporniți. [/ color]

Ieșim din cmd folosind comanda exit. Acum mergem la deschideți editorul ADSI sau ADSI Edit folosind termenul adsiedit.msc din comanda Run (Windows + R) sau introducând termenul ADSI în caseta de căutare Windows Server 2016 și selectând Editare ADSI.

Vom vedea următoarea fereastră:

Odată ce ne aflăm în ADSI Edit vom face clic dreapta pe Editare ADSI în partea stângă și selectați Conectează la.

Va fi afișată următoarea fereastră:

La tara Punct de conexiune în fila „Selectați un context de denumire bine cunoscut " Vom vedea următoarele opțiuni pentru conectare:

  • Context de denumire implicit
  • Configurare
  • RootDSE
  • Schemă

Aceste valori determină modul în care trebuie înregistrate evenimentele Windows Server 2016, în acest caz trebuie să selectăm opțiunea Configurare astfel încât evenimentele de înregistrat să ia valorile configurației făcute anterior în gpmc.

Apăsăm Bine și trebuie să repetăm ​​pasul anterior pentru a adăuga celelalte valori:

  • Mod implicit
  • RootDSE
  • Schemă

Aceasta va fi apariția Editare ADSI odată ce am adăugat toate câmpurile.

Acum trebuie să activăm auditul în fiecare dintre aceste valori, pentru aceasta vom efectua procesul în Context implicit de denumire și vom repeta acest proces pentru ceilalți.

Afișăm câmpul și facem clic dreapta pe linia controlerului nostru de domeniu și selectăm Proprietăți (editați) - Proprietăți.

Vom vedea următoarea fereastră în care selectăm fila Securitate - Securitate.

Acolo vom apăsa butonul Avansat - Avansat și vom vedea următorul mediu în care selectăm fila Audit - Audit.

În timp ce vom fi acolo vom face clic pe Adăuga să adauge pe Toți și în acest fel să poată audita sarcinile îndeplinite de orice utilizator indiferent de nivelul lor de privilegii; Odată ce apăsăm Adăugare, vom căuta utilizatorul astfel:

Apăsăm Bine iar în fereastra afișată vom bifa toate casetele și debifăm următoarele pentru auditare:

  • Control total
  • Conține lista
  • Citiți toate proprietățile
  • Permisiuni de citire

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

Apăsăm Bine pentru a salva modificările.

2. Verificați evenimentele modificărilor făcute în AD


Să ne amintim să efectuăm aceiași pași pentru celelalte valori din nodurile din Editare ADSI. Pentru a valida toate modificările efectuate în Windows Server 2016 sunt înregistrate vom deschide vizualizatorul de evenimente, îl putem deschide după cum urmează:
  • Faceți clic dreapta pe pictograma Start și selectați Vizualizator de evenimente sau Vizualizator de eveniment.
  • Din comanda Run, putem introduce termenul: 
     eventvwr
    și apăsați Enter.

Așa va arăta vizualizatorul de evenimente Windows Server 2016.

MARI

După cum putem vedea, observăm că avem patru categorii care sunt:

  • Vizualizări personalizate: Din această opțiune putem crea vizualizări personalizate ale evenimentelor de pe server.
  • Jurnalele Windows: Prin această opțiune putem analiza toate evenimentele care au avut loc în mediul Windows, fie la nivel de securitate, pornire, evenimente, sistem etc.
  • Aplicații și jurnale de servicii: Cu această alternativă putem vedea evenimentele care au avut loc cu privire la serviciile și aplicațiile instalate pe Windows Server 2016.
  • Abonamente: Este o caracteristică nouă în vizualizator care vă permite să analizați toate evenimentele care au avut loc cu abonamentele Windows, cum ar fi Azure.

Să afișăm, de exemplu, evenimentele înregistrate la nivel de securitate selectând opțiunea Jurnalele Windows și acolo alegând Securitate.

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

După cum putem vedea, evenimentele sunt înregistrate după cuvinte cheie, data și ora evenimentului, ID-ul care este foarte important etc.
Dacă analizăm, vom vedea că există mii de evenimente și poate fi dificil să citești unul câte unul pentru a vedea ce eveniment a avut loc, pentru a simplifica această sarcină putem apăsa butonul Filtrează jurnalul curent pentru a filtra evenimentele în diferite moduri.

Acolo putem filtra evenimentele după nivel de afectare (critic, precauție etc.), după dată, după ID etc.

Dacă vrem să vedem evenimente de conectare Putem filtra după IKD 4624 (Logon) și vom obține următoarele rezultate:

MARI

[color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

Putem face dublu clic pe eveniment sau faceți clic dreapta și selectați Proprietăți eveniment pentru a vizualiza informații detaliate despre eveniment, cum ar fi data și ora, echipamentul unde a fost înregistrat evenimentul etc.

În acest fel avem la îndemână un mare instrument pentru a analiza cine a făcut orice modificare a unui utilizator, a unui obiect sau, în general, a mediului Windows Server 2016.

Unele dintre cele mai importante ID-uri pe care le putem verifica sunt:

ID / Eveniment528 logare cu succes
520 Ora sistemului a fost modificată
529 Conectare greșită (nume necunoscut sau parolă greșită)
538 Deconectează-te
560 Obiect deschis
4608 Pornire Windows
4609 Oprire Windows
4627 Informații despre membrii grupului
4657 O valoare de registru a fost modificată
4662 Un eveniment a fost efectuat pe un obiect
4688 A fost creat un nou proces
4698 A fost creată o sarcină programată
4699 O sarcină programată a fost ștearsă
4720 A fost creat un cont de utilizator
4722 Un cont de utilizator a fost activat
4723 S-a încercat modificarea parolei
4725 Un cont de utilizator a fost dezactivat
4726 Un cont de utilizator a fost șters
4728 Un utilizator a fost adăugat într-un grup global
4729 Un utilizator a fost eliminat dintr-un grup global
4730 Un grup de securitate a fost eliminat
4731 A fost creat un grup de securitate
4738 Un cont de utilizator a fost modificat
4739 O politică de domeniu a fost modificată
4740 Un cont de utilizator a fost blocat
4741 A fost creată o echipă
4742 O echipă a fost modificată
4743 O echipă a fost eliminată
4800 Calculatorul a fost blocat
4801 Echipamentul a fost deblocat
5024 Pornirea cu succes a paravanului de protecție
5030 Eșec la pornirea paravanului de protecție
5051 Un fișier a fost virtualizat
5139 Un serviciu director a fost mutat
5136 Un serviciu director a fost modificat

După cum putem vedea, avem multe ID-uri disponibile pentru a analiza fiecare eveniment care are loc în sistemul nostru. Windows Server 2016 și astfel ne permite să avem un control specific asupra acelor evenimente care pot afecta performanța și securitatea sistemului.

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Instalați și configurați Flask
2
post-title
Cum se construiește serverul web Apache, PHP 5 și Mysql de la zero
3
post-title
▷ Aplicații duale Samsung Galaxy A02, A02s și A12: WhatsApp și Facebook dual
4
post-title
▷ DISC 100 Windows 10 SOLUTION
5
post-title
▷ Cu majuscule text Word ✔️ Ușor și rapid

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -