U mnogim prilikama, u okviru naše uloge IT osoblja, suočavamo se sa sigurnosnim situacijama poput njih. neovlašteni pokušaji prijave na našu domenu pristupiti i izvršavati zadatke koji nisu dopušteni ili ovlašteni i koji mogu ozbiljno utjecati na performanse sustava i svih objekata koji su dio organizacije.
Znamo da uljezi ili oni koji žele pristupiti sustavu na neovlašten način pokušavaju ući izvana ili iz same organizacije, pokušavajući se predstaviti kao aktivni korisnik organizacije, pa ćemo ovaj put analizirati kako možemo nadzirati tko je pokušao poništiti lozinku korisnika (Očito se moramo potvrditi s korisnikom ako to nije bio on) i na taj način poduzeti sigurnosne mjere ili one koje su primjerene prema ozbiljnosti situacije.
Za ovu analizu koristit ćemo okruženje Windows Server 2016.
1. Otvaranje GPO -a uređivača pravila grupe
Prvi korak koji ćemo poduzeti je otvaranje Upravitelja grupnih pravila pomoću bilo koje od sljedećih opcija:
- Unošenje rute:
početak / Sve aplikacije / Alati za upravljanje / Upravljanje grupnim politikama
- Pomoću naredbe Run (kombinacija tipki POVEĆAJTE
Odatle ćemo urediti pravila vezana za pokušaje i prijavu.
2. Uređivanje pravila grupe
Kako bismo nastavili s izdavanjem pravila grupe, prikazat ćemo našu domenu, u ovom slučaju Riječ Soltic.com, i desnom tipkom miša kliknite Zadana pravila domene i tamo ćemo odabrati opciju Uredi.POVEĆAJTE
U prikazanom prozoru ići ćemo na sljedeću rutu:
- Postavljanje opreme
- Direktive
- Postavke sustava Windows
- Sigurnosne postavke
- Lokalne direktive
POVEĆAJTE
Dvaput kliknemo na Politika revizije i locirat ćemo politiku pod nazivom „Revizijsko upravljanje računom”. Vidjet ćemo da je zadana vrijednost "Nije definirano”. Dvaput kliknite na nju ili kliknite desnom tipkom miša i odaberite Svojstva (uredi) i vidjet ćemo da se prikazuje sljedeći prozor:
3. Omogućavanje politike revizije
Da biste omogućili ovo pravilo, samo označite okvir "definirajte ovu postavku politike”I označite okvire koje smatramo potrebnima (Točno / Pogreška).Nakon što su definirane ove vrijednosti, pritisnite Primijeni i naknadno Prihvatiti za spremanje promjena. Vidimo da je naša politika izmijenjena na zadovoljavajući način.
POVEĆAJTE
4. Provjera pokušaja promjene lozinke
Politike na domeni možemo nametnuti otvaranjem CMD -a i unošenjem naredbe:gpupdate / force
Tako da se politike ažuriraju.Da bismo provjerili je li korisnik pokušao izmijeniti lozinku, otvorit ćemo preglednik događaja pomoću bilo koje od sljedećih opcija:
- Iz naredbe Run unesite izraz:
eventvwr
I pritiskom Unesi ili Prihvatiti.
- Iz izbornika Alati u administrator servera i odabirom opcije Preglednik događaja.
Vidjet ćemo da se otvara sljedeći prozor:
POVEĆAJTE
Odabrat ćemo, s lijeve strane, opciju Windows / Sigurnosni dnevnici. Nakon što odaberemo Sigurnost s desne strane, biramo opciju Filtrirajte tekući zapis a u polje Svi ID -ovi događaja unijet ćemo ID 4724 koji je sigurnosni ID vezan uz pokušaje promjene lozinke.
Pritišćemo Prihvatiti da biste vidjeli sve povezane događaje. Dobiveni rezultat bit će sljedeći:
POVEĆAJTE
Možemo vidjeti točan datum i vrijeme događaja koji pokazuju da je to pokušaj poništavanja lozinke. Možemo dvaput kliknuti na događaj kako bismo vidjeli više pojedinosti o njemu.
Napominjemo da postoji račun koji je pokušao izvršiti promjenu, u ovom slučaju SolvAdm i račun na koji je pokušana promjena, u ovom primjeru rješen2.
Ovako možemo pregledati sve pokušaje promjene korisničkih lozinki, ispravne i pogrešne te na ovaj način detaljno vizualiziraju tko je i kada izvršio ili pokušao izvršiti promjenu i tako poduzeti potrebne mjere.
Ako želite unijeti podružnicu revizije forenzičke analize, ostavljamo vam vezu na praktičan alat koji se za to naširoko koristi.
Windows forenzička revizija