Един от най -чувствителните въпроси, които една организация има предвид, е сигурността и поверителността не само в нейните принципи, но и в цялата й инфраструктура (оборудване, данни, потребители и т.н.) и голяма част от цялата тази информация се съхранява в сървърите на организацията и ако имаме достъп до сървъра като администратор, координатори или системни помощници, ние сме изправени пред голяма отговорност да предотвратим неоторизиран достъп до системата.
Надявам се изобщо, че в много случаи те са били представяни достъп не се дължи на системата Y са направени неоторизирани промени и за съжаление Не е известно кой потребител е отговорен или кога е било събитието.
Ще дадем реален пример за тази ситуация:
В един момент в компанията някой влезе в сървъра и изтрие потребител, който, въпреки че имаше стандартно име, беше потребител, използван за достъп до продуктивна машина, следователно, когато потребителят беше изтрит, услугата беше деактивирана и имаше голям проблем и не можеше да се определи кой или как е направил промяната.
За щастие, Windows Server ни позволява да извършим процес за одит на всички събития, настъпили на сървъра и в това проучване ще анализираме как да приложим този одит просто и ефективно.
Средата, в която ще работим, ще бъде Техническа визуализация на Windows Server 2016 Datacenter 5.
1. Изпълнете одит на Active Directory
Първото нещо, което трябва да направим, е да влезем в конзолата за управление на груповите правила или gpmc, за това ще използваме комбинацията от клавиши:
В тези случаи трябва инсталирайте gpmc с някоя от следните опции:
- Въведете Server Manager и отворете опцията: Добавете роли и функции и по -късно в Характеристики - Характеристики за да изберете Управление на груповите политики.
- Чрез Windows PowerShell с помощта на командлет:
Windows -InstallFeature -Name GPMC
След като имаме достъп до gpmc, ще видим прозореца, където се появява Гора, ние го разгръщаме и по -късно Домейни, след това името на нашия домейн, след което показваме Домейнови контролери и накрая избираме Политика на домейн контролера по подразбиране.
Там щракваме с десния бутон върху Политика на домейн контролера по подразбиране и ние избираме редактиране или редактиране да направим някои корекции в него и по този начин да позволим записване на събитията, настъпили в нашия Windows Server 2016.
Ще видим следното:
Както виждаме, успяхме да получим достъп до редактор на груповите правила на контролера на домейн, сега като сме там, ще преминем към следния маршрут:
- Компютърна конфигурация
- Политики
- Настройки на Windows
- Настройки на сигурността
- Разширена конфигурация на политиката за одит
- Одитни политики
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Там трябва да конфигурираме параметрите на следните елементи:
- Вход в акаунт
- Управление на профила
- DS достъп
- Влизане / излизане
- Обект достъп
- Промяна на политиката
Нека конфигурираме Вход в акаунт, ще видим, че веднъж избрано от дясната страна се показва следното:
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Там трябва да конфигурираме всяка от тези опции, както следва. Щракнете двукратно върху всеки от тях и добавете следните параметри.
Активираме кутията Конфигурирайте следните одитни събития и маркираме двете налични полета, Успех Y Неуспех, (Тези стойности позволяват регистрирането на успешните и неуспешните събития).
Правим това с всеки и натискаме Приложи и по-късно добре за да запазите промените.
Ще повторим този процес за всички полета в следните параметри:
- Управление на профила
- DS достъп
- Влизане / излизане
- Обект достъп
- Промяна на политиката
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Можем да видим от дясната страна в колоната Одиторски събития че конфигурираните стойности са променени (Success and Failure).
След това ще принудим политиките, които сме променили, така че системата да ги приеме, за това ще влезем в командния ред на cmd и ще въведем следната команда:
gpupdate / сила[color = # a9a9a9] Актуализирайте правилата, без да се налага да рестартирате. [/ color]
Излизаме от cmd с помощта на командата exit. Сега отиваме да отворете редактора на ADSI или ADSI Edit използвайки термина adsiedit.msc от командата Run (Windows + R) или като въведете термина ADSI в полето за търсене на Windows Server 2016 и изберете Редактиране на ADSI.
Ще видим следния прозорец:
След като сме в ADSI Edit, щракваме с десния бутон върху Редактиране на ADSI от лявата страна и изберете Свържете се с.
Ще се покаже следният прозорец:
В провинцията Точка на свързване в раздела "Изберете добре известен контекст за именуване " Ще видим следните опции за свързване:
- Контекст на имената по подразбиране
- Конфигурация
- RootDSE
- Схема
Тези стойности определят начина на записване на събитията Windows Server 2016, в този случай трябва да изберем опцията Конфигурация така че събитията, които трябва да бъдат регистрирани, да приемат стойностите на конфигурацията, направена по -рано в gpmc.
Натискаме добре и трябва да повторим предишната стъпка, за да добавим другите стойности:
- По подразбиране
- RootDSE
- Схема
Това ще бъде появата на Редактиране на ADSI след като добавим всички полета.
Сега трябва да активираме одита във всяка от тези стойности, за това ще извършим процеса в Контекст за именуване по подразбиране и ще повторим този процес за останалите.
Показваме полето и щракваме с десния бутон върху реда на нашия домейн контролер и избираме Свойства (редактиране) - Имоти.
Ще видим следния прозорец, където избираме раздела Сигурност - Сигурност.
Там ще натиснем бутона Разширено - Разширено и ще видим следната среда, в която избираме раздела Одит - Одит.
Докато там ще кликнем върху Добавяне да добавите Всички и по този начин да можете да одитирате задачите, изпълнявани от всеки потребител, независимо от нивото им на привилегии; След като натиснем Добавяне, ще търсим потребителя така:
Натискаме добре и в показания прозорец ще проверим всички полета и само премахнем отметката от следното за одит:
- Пълен контрол
- Съдържание на списъка
- Прочетете всички имоти
- Разрешения за четене
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Натискаме добре за да запазите промените.
2. Одитни събития на промените, направени в AD
Нека не забравяме да извършим същите стъпки за другите стойности в възлите на Редактиране на ADSI. За да потвърдите, че всички промени, направени в Windows Server 2016 ако сте регистрирани, ще отворим програмата за преглед на събития, можем да я отворим, както следва:
- Щракнете с десния бутон върху иконата за стартиране и изберете Преглед на събития или Преглед на събития.
- От командата Run можем да въведем термина:
eventvwr
и натиснете Enter.
Ето така ще изглежда Event Viewer Windows Server 2016.
Увеличете
Както виждаме, отбелязваме, че имаме четири категории, които са:
- Персонализирани изгледи: От тази опция можем да създаваме персонализирани изгледи на събитията на сървъра.
- Регистрационни файлове на Windows: Чрез тази опция можем да анализираме всички събития, настъпили в средата на Windows, независимо дали на ниво защита, стартиране, събития, система и т.н.
- Регистрационни файлове за приложения и услуги: С тази алтернатива можем да видим събитията, които са се случили по отношение на услугите и приложенията, инсталирани на Windows Server 2016.
- Абонаменти: Това е нова функция във визуализатора, която ви позволява да анализирате всички събития, настъпили с абонаментите на Windows, като Azure.
Нека покажем например събитията, регистрирани на ниво сигурност, като изберем опцията Дневници на Windows и там избор Сигурност.
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Както виждаме, събитията се регистрират по ключова дума, дата и час на събитието, ID, който е много важен и т.н.
Ако анализираме, ще видим, че има хиляди събития и може да е трудно да се прочете едно по едно, за да се види кое събитие се е случило, за да опростим тази задача, можем да натиснем бутона Филтриране на текущия дневник за филтриране на събития по различни начини.
Там можем да филтрираме събитията по ниво на въздействие (критично, предпазливо и т.н.), по дата, по идентификатор и т.н.
Ако искаме да видим събития при влизане Можем да филтрираме по IKD 4624 (Вход) и ще получим следните резултати:
Увеличете
[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]
Можем да кликнете два пъти върху събитието или да кликнете с десния бутон и да изберете Свойства на събитието за да видите подробна информация за събитието, като дата и час, оборудване, където е записано събитието и др.
По този начин имаме под ръка голям инструмент за анализ на това кой е направил някаква промяна в потребител, обект или като цяло в средата на Windows Server 2016.
Някои от най -важните идентификационни номера, които можем да проверим, са:
ИД / Събитие528 Успешно влизане
520 Системното време е променено
529 Грешно влизане (Неизвестно име или грешна парола)
538 Излез от профила си
560 Отворен обект
4608 Стартиране на Windows
4609 Изключване на Windows
4627 Информация за членовете на групата
4657 Стойността на системния регистър е променена
4662 На обект е извършено събитие
4688 Създаден е нов процес
4698 Създадена е планирана задача
4699 Планирана задача е изтрита
4720 Създаден е потребителски акаунт
4722 Потребителски акаунт е активиран
4723 Направен е опит за промяна на паролата
4725 Потребителски акаунт е деактивиран
4726 Потребителски акаунт е изтрит
4728 Потребител е добавен към глобална група
4729 Потребител е премахнат от глобална група
4730 Група за сигурност е премахната
4731 Създадена е група за сигурност
4738 Потребителски акаунт е променен
4739 Правила за домейн са променени
4740 Потребителски акаунт е блокиран
4741 Създаден е екип
4742 Екип е променен
4743 Екип е елиминиран
4800 Компютърът е блокиран
4801 Оборудването е отключено
5024 Успешно стартиране на защитната стена
5030 Неуспешно стартиране на защитна стена
5051 Виртуализиран е файл
5139 Услуга за директории е преместена
5136 Услуга за директории е променена
Както можем да видим, имаме много идентификационни номера на разположение за анализ на всяко събитие, което се случва в нашата система. Windows Server 2016 и по този начин ни позволяват да имаме специфичен контрол върху тези събития, които могат да повлияят на производителността и сигурността на системата.
