В много случаи, в рамките на ролята ни на ИТ персонал, ние сме изправени пред ситуации на сигурност като тях. на неоторизирани опити за влизане в нашия домейн за достъп и изпълнение на задачи, които не са разрешени или разрешени и които могат сериозно да повлияят на работата на системата и на всички обекти, които са част от организацията.
Знаем, че натрапници или тези, които искат достъп до системата по неупълномощен начин, се опитват да влязат или външно, или от самата организация, опитвайки се да се представят за някой от активните потребители на организацията, затова този път ще анализираме как можем да наблюдаваме кой се е опитал да нулира паролата на потребител (Очевидно трябва да потвърдим с потребителя, ако не е той) и по този начин да вземем мерки за сигурност или тези, които са подходящи според тежестта на ситуацията.
За този анализ ще използваме среда Windows Server 2016.
1. Отваряне на GPO редактор на групови правила
Първата стъпка, която ще предприемем, е да отворим мениджъра на груповите правила, използвайки някоя от следните опции:
- Въвеждане на маршрута:
началото / Всички приложения / Инструменти за управление / Управление на груповите политики
- Използване на командата Run (комбинация от клавиши Увеличете
От там ще редактираме политика, свързана с опити и влизане.
2. Редактиране на групови правила
За да продължим с изданието на груповата политика, ще покажем нашия домейн, в този случай Soltictic.com, и щракваме с десния бутон върху Политика за домейн по подразбиране и там ще изберем опцията редактиране.Увеличете
В показания прозорец ще преминем към следния маршрут:
- Настройка на оборудването
- Директиви
- Настройки на Windows
- Настройки на сигурността
- Местни директиви
Увеличете
Щракваме два пъти върху Одитна политика и ще намерим политиката, наречена „Управление на одитния акаунт”. Ще видим, че стойността по подразбиране е "Не е дефинирано”. Щракнете двукратно върху него или щракнете с десния бутон и изберете Свойства (редактиране) и ще видим, че се показва следният прозорец:
3. Активиране на политиката за одит
За да активирате тази политика, просто поставете отметка в квадратчето „дефинирайте тази настройка на политика”И маркирайте полетата, които считаме за необходими (Правилно / Грешка).След като тези стойности са определени, натиснете Приложи и впоследствие Да приеме за да бъдат запазени промените. Виждаме, че нашата политика е променена по задоволителен начин.
Увеличете
4. Проверка на опитите за смяна на паролата
Можем да наложим политиките в домейна, като отворим CMD и въведем командата:gpupdate / сила
За да се актуализират правилата.За да проверим дали потребителят се е опитал да промени паролата, ще отворим инструмента за преглед на събития, използвайки някоя от следните опции:
- От командата Run, въведете термина:
eventvwr
И натискане Въведете или Да приеме.
- От менюто Инструменти в администратор на сървъра и избор на опцията Преглед на събития.
Ще видим, че се отваря следният прозорец:
Увеличете
Ще изберем от лявата страна опцията Дневници на Windows / Защита. След като изберете Защита от дясната страна, избираме опцията Филтрирайте текущия запис и в полето Всички идентификатори на събития ще въведем ID 4724, който е идентификационен номер на защитата, свързан с опитите за промяна на паролата.
Натискаме Да приеме за да видите всички свързани събития. Полученият резултат ще бъде следният:
Увеличете
Можем да видим точната дата и час на събитието, което показва, че това е опит за нулиране на парола. Можем да кликнете два пъти върху събитието, за да видите повече подробности за него.
Отбелязваме, че в този случай има акаунт, който се е опитал да направи промяната SolvAdm и акаунта, в който е направена промяната, в този пример решаващ2.
По този начин можем проверете всички опити за промяна на потребителски пароли, както правилно, така и погрешно и по този начин визуализира в детайли кой и кога е направил или се е опитал да направи промяната и по този начин да предприеме необходимите мерки.
Ако искате да влезете в клона на одити за съдебномедицински анализ, оставяме ви връзка към практически инструмент, широко използван за това.
Съдебномедицински одит на Windows