Един от най -важните въпроси, които като администратори трябва да имаме предвид, е сигурността на нашите сървъри и оборудване, като гарантираме на тези, които имат достъп до тях и се грижим какви привилегии имат в него. Може да се случи, че някои потребители, случайно или не, правят промени в различни параметри на сървъра и точно както може да има промени, които не засягат производителността и стабилността на системата, други промени могат да повлияят значително на сигурността, поверителността и производителността на Windows Server 2016 и от своя страна това носи сериозни проблеми, които дори могат да доведат до правни проблеми.
В допълнение към създаването на резервни копия, една от най -добрите практики, които можем да прилагаме като администратори, ИТ мениджъри и като цяло като системен персонал, е прилагане на политика за одит, която ни позволява да следим кои потребители са влезли в Windows Server 2016 (Или предишни версии на W.Server) и по този начин да можете да анализирате дали системните повреди съвпадат с влизането на потребител, различен от оторизираните. Ще анализираме как можем да приложим тази политика в среда на Windows Server 2016.
1. Настройки на политиката за одит
Първата стъпка, която трябва да предприемем, за да създадем нашата одитна политика ще бъде да влезете в конзолата за управление на груповите политики или Конзола за управление на групови правила, за това ще използваме комбинацията от клавиши:
Натискаме Въведете или добре и ще видим следния прозорец:
Да бъдеш в GPO конзола ще се движим по следния начин:
Forest / Domains / Nuestro_Dominio / Domain Controllers / Политика за домейн контролери по подразбиране
Ние ще дадем щракнете с десния бутон върху Политика за домейн контролери по подразбиране и ние избираме редактиране За да влезете в редактора на групови правила, ще видим следната среда:
Там трябва да преминем към следния маршрут:
- Компютърна конфигурация
- Политики
- Настройки на Windows
- Настройки на сигурността
- Разширена конфигурация на политиката за одит
- Одитни политики
Увеличете
[color = rgb (169,169,169)] Кликнете върху изображението, за да го увеличите [/ color]
По този начин сме влезли в Опция за влизане / излизане и би трябвало активирайте одита за тези действия, така че когато потребител влезе, той ще бъде регистриран в инструмента за преглед на събития, така че по -късно да може да влезе и да извърши съответния анализ. Тъй като виждаме дясната част, имаме серия от опции, но трябва да редактираме следното:
- Одит на излизане
- Одиторско влизане
- Одит на други събития при влизане / излизане
Тези три (3) опции ще ни предоставят подробна информация за:
- Влизане в сесията
- Затваряне на сесиите
- Заключване на оборудването
- Връзки чрез отдалечен работен плот
- И т.н.
Просто щракнете двукратно върху трите (3) опции и активирайте полето Конфигурирайте следните одитни събития и проверете двете налични опции (Успех -задоволителен Y Неуспех - грешен), за да запазите пълен контрол върху събития за влизане и излизане в Windows Server 2016.
Натискаме Приложи и впоследствие добре за да запазите промените.
2. Анализирайте програмата за преглед на събития
След като сме конфигурирали правилно тези параметри, ще влезем в инструмента за преглед на събития, за да анализираме съответните събития.
Одитни събития при влизане и излизанеСега идентификационните номера на събитията, които трябва да имаме предвид, за да следим, са следните:
- 4624: Вход (събитие за сигурност)
- 4647: Излизане (събитие за сигурност)
- 6005: Стартиране на системата (системно събитие)
- 4778: Свързване към RDP - отдалечен работен плот (събитие за сигурност)
- 4779: Изход от RDP - отдалечен работен плот (събитие за сигурност)
- 4800: Заключване на оборудването (събитие за сигурност)
- 4801: Отключване на оборудването (събитие за сигурност)
Ще можем достъп до програмата за преглед на събития като използвате някоя от следните опции:
- Щракнете с десния бутон върху иконата за стартиране
Увеличете
[color = rgb (169,169,169)] Кликнете върху изображението, за да го увеличите [/ color]
С цел преглед на гореспоменатите събития ще изберем опцията Защита от раздела Windows Logs:
Увеличете[color = rgb (169,169,169)] Кликнете върху изображението, за да го увеличите [/ color]
След това ще дадем щракнете върху опцията Филтриране на текущия дневник за да можете да филтрирате по ID на събитието. Трябва да въведем ID или ID, които искаме да потвърдим, просто въвеждаме стойността (в този пример 4624) в полето Enter ID:
Натискаме добре и ще видим следния резултат:
Увеличете[color = # a9a9a9] Кликнете върху изображението, за да го увеличите [/ color]
Там можем да изберем някое от събитията, за да анализираме цялата ви информация:
Можем да видим в горната част потребителя, който е влязъл, домейна, в който са се свързали и други параметри, в долната част можем да видим вида на одита, датата и часа на събитието, описанието на събитието и други аспекти.
Насам създадохме политика на одит на ниво вход и изход което ще ни позволи да извършим цялостно управление и по всяко време за това кои потребители и кога са влезли в Windows Server 2016 и оттам да определят дали е имало някаква промяна в системата.
