Конфигурирайте разширени политики за одит на GPO на Windows Server

Несъмнено правилното управление на нашия сървър се отразява в оптималното функциониране на всяка характеристика на нашия сървър и следователно в оперативния път на нашата мрежа.

Разширените политики за одит ни дават възможност за по-централизиран контрол, тъй като ни улесняват да проверяваме събитията, които се случват на нашия сървър, и да можем да определяме по-ясно какво се случва всеки ден.

Ще прегледаме как да прилагаме политиките за сигурност, като приемем, че нашата схема за сигурност може да бъде разделена на три (3) области:

УдостоверяванеОсигурете самоличност на потребителя.

УпълномощаванеОсигурява достъп на удостоверения потребител.

СлухТя позволява да се поддържа контрол върху потребителите, влезли в системата, и промените, които те могат да извършат.

Един от класическите въпроси е да знаем дали наистина искаме да прилагаме политики за сигурност. Това е нещо напълно необходимо, за да имате всичко под контрол и да избегнете проблеми.

Защо трябва да прилагаме политика за сигурност?Важно е като администратори прилагат политики за сигурност за преглед на теми като:

• Кои потребители влизат правилно.

• Колко неуспешни опита има потребител.

• Промени, направени в Active Directory на нашата организация.

• Промени в конкретни файлове.

• Кой рестартира или изключи сървъра и защо.

В това ръководство ще научите как да внедрявате, проверявате, създавате политики и всичко необходимо за вашата бизнес среда със сървърите на Windows Server във фокусите, които трябва да контролирате.

1. Управлявайте одита с групови правила на GPO

Трябва да посочим какви видове системни събития искаме да одитираме, като използваме групови правила.
Нека да видим някои от най -често срещаните събития, които можем да управляваме:

Влизане в акаунта

• Описание

Определя кога системата одитира успешно регистриран акаунт.

• Конфигурация по подразбиране

Успешно влизане в акаунта

Администриране на сметки

• Описание

Той определя кога системата одитира всяко събитие от регистриран акаунт, например смяна на парола, изтриване на акаунт.

• Конфигурация по подразбиране

Администриране на дейностите на регистрираните сметки задоволително

Достъп до Директорията на услугите

• Описание

Определя кога системата одитира потребителя да се опита да влезе в Active Directory.

Влизам

• Описание

Определя кога системата одитира опита на всеки потребител да влезе или да излезе от системата.

• Конфигурация по подразбиране

Успешно влизане.

Промяна на политиката

• Описание

Определя кога системата одитира всеки опит за промяна на установените политики на домейна.

• Конфигурация по подразбиране

Успешни промени в политиката

Система

• Описание

Определя кога системата одитира всякакви промени в системата.

• Конфигурация по подразбиране

Успешни системни събития.

Трябва да вземем определени предпазни мерки при създаване на политики за одит например:

• Високите нива на одит могат драстично да повлияят на работата на устройството, което ще се одитира.

• Когато търсим в дневниците на събитията, ще видим, че има хиляди регистрационни файлове и търсенето може да ни засегне. Сроковете, които трябва да бъдат одитирани, трябва да бъдат ясно определени.

• Най -актуалните дневници заменят най -старите, това може да ни попречи да видим важни събития, настъпили в предишен период.

2. Прилагане на политиката за одит на GPO

Да се прилагане на политика на одит трябва да извършим следните стъпки:

Етап 1
Отваряме нашия Server Manager или Server Manager. Кликваме върху Инструменти и избираме опцията Управление на груповите политики.

Увеличете

По този начин ще се покаже менюто за GPO, трябва да покажем текущия домейн и да кликнете с десния бутон върху Политика за домейн по подразбиране.

Стъпка 2
Избираме опцията редактиране и Редактор за управление на групови политики.

Разгръщаме следния маршрут:

• Настройка на оборудването
• Директиви
• Настройки на Windows
• Настройки на сигурността
• Местни директиви
• Директива за одита

Стъпка 3
Ще видим, че се показва прозорец с различните опции за одит:

Щракваме два пъти върху опцията Одит на събития при влизане, ще видим, че се отваря прозорецът със свойствата на споменатия одит.

Поставяме отметка в квадратчето Определете тази настройка на правилата за да активираме тази политика и активираме двете полета (Correct и Error) и кликваме върху Приложи и накрая в Да приеме за да запазите промените.

Ще видим промените, отразени от нашия одит:

3. Прилагане на политика за одит (файл или папка)

Можем да добавим вид одит към конкретен файл или папка, за това ще извършим следния процес:

Етап 1
Ние даваме Кликнете с десния бутон в папката, която искаме да възложим одит и изберете опцията Имоти.

В прозореца Свойства (редактиране) избираме раздела Сигурност.

Стъпка 2
Кликваме върху Разширени опции и ще се покаже следният прозорец:

Кликваме върху опцията Одит и по -късно в Добавяне.

Стъпка 3
В показания прозорец избираме опцията Изберете главница за да намерите каква политика да добавите.

Ние избрахме възражение за прилагане на одит:

Накрая посочваме одиторските параметри (Четене, Писане и т.н.), кликнете върху Да приеме за да запазите промените.

С тези стъпки вече ще одитираме избраната от нас селекция.

ПомняМожем да прилагаме одитни политики, използвайки инструмента AuditPol.exe включена в Windows Server 2012, тази команда ще се покаже и ще ни позволи да управляваме нашите политики.

Синтаксисът, който можем да използваме за тази команда, включва следното:

• / get: Показване на текущата политика
• /комплект: Установете одитната политика
• / списък: Показване на елементите на политиката
• / архивиране: Запазете политиката за одит във файл
• / ясно: Почистете политиката за одит
• /?: Показване на помощ

4. Събития и събития от програмата за преглед на събития

Когато сме конфигурирали нашите политики за сигурност, в инструмента за преглед на събития можем да видим всички различни събития, настъпили на нашия сървър, тези събития са представени с цифров код, нека да видим някои от най -представителните събития:

Одит на валидиране на идентификационни данни

• 4774: Профил е картографиран за влизане
• 4775: Профил не е картографиран за влизане
• 4776: Контролерът на домейн се опита да потвърди идентификационни данни за акаунт
• 4777: Контролерът на домейна не успя да потвърди идентификационни данни за акаунт

Одит на събития за влизане в акаунт

• 4778: Сесия беше свързана отново на станция с Windows
• 4779: Станцията е прекъсната от станция с Windows
• 4800: Блокирана е станция
• 4801: Станция е отключена
• 5632: Създадено е изискване за удостоверяване на Wi Fi мрежа
• 5633: Създадено е изискване за удостоверяване на кабелна мрежа

Одит на приложения за управление на група

• 4783: Създадено е основно групово приложение
• 4784: Основно групово приложение е променено

Одит за управление на сметки

• 4741: Създаден е компютърен акаунт
• 4742: Профил на компютър е променен
• 4743: Компютърен акаунт е изтрит

Одит на администрацията на групата за разпространение

• 4744: Създадена е локална група за разпространение
• 4746: Член е добавен към локална група за разпространение
• 4747: Член е премахнат от локална група за разпространение
• 4749: Създадена е глобална група за разпространение
• 4750: Глобална група за разпространение е променена
• 4753: Глобална група за разпространение е премахната
• 4760: Група за сигурност е променена

Одит на администрацията на група за сигурност

• 4727: Създадена е глобална група за сигурност
• 4728: Член е добавен към глобална група за сигурност
• 4729: Член е премахнат в глобална група за сигурност
• 4730: Глобална група за сигурност е премахната
• 4731: Създадена е локална група за сигурност
• 4732: Член е добавен към местна група за сигурност

Одит за управление на потребителски акаунти

• 4720: Създаден е потребителски акаунт
• 4722: Потребителски акаунт е активиран
• 4723: Създаден е опит за промяна на паролата
• 4725: Потребителски акаунт е деактивиран
• 4726: Потребителски акаунт е изтрит
• 4738: Потребителски акаунт е променен
• 4740: Потребителски акаунт е блокиран
• 4767: Потребителски акаунт е отключен
• 4781: Името на потребителски акаунт е променено

Одити на процеса

• 4688: Създаден е нов процес
• 4696: На процес е присвоен първичен код
• 4689: Процесът приключи

Одити на услугите на директории

• 5136: Обект на услуга за директории е променен
• 5137: Създаден е обект за обслужване на директории
• 5138: Обект на услуга за директории е извлечен
• 5139: Обект за обслужване на директории е преместен
• 5141: Обект за обслужване на директории е изтрит

Одити на сметки

• 4634: Профил е излязъл
• 4647: Потребителят започна да излиза
• 4624: Профил е успешно влязъл
• 4625: Профилът не успя да влезе

Одити на споделени файлове

• 5140: Достъпен е мрежов обект
• 5142: Добавен е мрежов обект
• 5143: Променен е мрежов обект
• 5144: Мрежов обект е изтрит

Други видове одити

• 4608: Windows е стартиран
• 4609: Windows е изключен
• 4616: Часовата зона е променена
• 5025: Защитната стена на Windows е спряна
• 5024: Защитната стена на Windows е стартирана

Както виждаме, има много повече кодове, които представляват различните събития, които се случват ежедневно на нашия сървър и нашата мрежа, можем да видим всички кодове на уебсайта на Microsoft.

5. Достъп до WServer 2012 Event Viewer

Ще знаем процеса за достъп до инструмента за преглед на събития на нашия сървър и оттам, за да можем да филтрираме или търсим конкретни събития.

Трябва да влезем в Server Manager или Server Manager. Там избираме опцията Преглед на събития от менюто Инструменти.

Увеличете

Там ще се покаже съответният прозорец, за да можете да търсите събитията на нашето устройство:

В лявото странично меню имаме различни опции за преглед на събитията.

Както виждаме, можем филтрирайте по категории Какво:

• Дневници на Windows
• Регистрационни файлове на приложения
• Microsoft

И от своя страна можем да търсим по подкатегории като Приложение, Защита и т.н.

Например избираме опцията Сигурност от менюто Дневници на Windows.

Увеличете

Можем да видим в централното меню структура на събитието:

• Име на събитието
• Дата на събитие
• Източник
• Идент. № на събитието (вече видян преди)
• Категория

В лявото странично меню намираме опции за настройка на нашия преглед на събития, като например:

• Отваряне на запазени записи: Позволява ни да отваряме записи, които преди това сме запазили.

• Персонализиран изглед: Тя ни позволява да създадем изглед въз основа на нашите нужди, например можем да го създадем по идентификатор на събитие, по дата, по категория и т.н.

• Импортиране на персонализиран изглед: Тя ни позволява да импортираме създадения ни изглед на друго място.

• Празен запис: Можем да оставим прегледа на събитията на нула.

• Филтрирайте текущия запис: Можем да стартираме параметри, за да извършим по -конкретно търсене.

• Имоти: Вижте свойствата на събитието.

И така осъзнаваме, че имаме и други възможности в нашия преглед на събития.
Можем да създадем политика за одит на сменяеми устройства, за това ще изпълним следния процес:

Влизаме в нашата Администратор на сървъра
Избираме от менюто Инструменти опцията Мениджър на групови правила.

Трябва да покажем нашия домейн, щракнете с десния бутон, щракнете редактиране и въведете следния маршрут:

• Настройка на оборудването
• Директиви
• Настройки на Windows
• Настройки на сигурността
• Разширени настройки на политиката за одит
• Настройки на правилата
• Достъп до обекти

Щракваме два пъти върху Достъп до обекти, избираме опцията Одит на подвижно хранилище.

Ще се покаже съответният прозорец, активираме квадратчето за отметка Конфигурирайте следните одитни събития и избираме опцията Правилно.

Щракнете върху, за да запазите промените Приложи и по -късно в Да приеме.

Както виждаме, има инструменти, които правят административното управление на мрежата изключително важна и отговорна задача, трябва задълбочено да проучим всичко, което Windows Server 2012 ни предлага, за да имаме мрежа винаги на разположение.

Скриване на дискове на Windows Server GPO