Jedno od najosjetljivijih pitanja koje organizacija ima na umu je sigurnost i povjerljivost, ne samo u svojim načelima, već i u cijeloj infrastrukturi (oprema, podaci, korisnici itd.), A veliki dio svih tih podataka pohranjen je na poslužiteljima organizacije i ako imamo pristup poslužitelju bilo kao administrator, koordinator ili pomoćnik sustava, suočeni smo s velikom odgovornošću za sprječavanje neovlaštenog pristupa sustavu.
U mnogim prilikama, nadam se da uopće nije, da su u nekim situacijama bile prezentirane pristup nije zbog sustava Y izvršene su neovlaštene izmjene i nažalost Nije poznato koji je korisnik odgovoran niti kada se događaj dogodio.
Navest ćemo pravi primjer ove situacije:
U nekom trenutku u tvrtki netko je ušao na poslužitelj i izbrisao korisnika koji je, iako je imao standardno ime, korisnik koji se koristio za pristup produktivnom stroju, stoga je, kad je korisnik izbrisan, usluga onemogućena i došlo je do veliki problem i nije se moglo utvrditi tko ili kako je napravio promjenu.
Srećom, Windows Server nam omogućuje da provedemo postupak revizije svih događaja koji su se dogodili na poslužitelju, a u ovoj ćemo studiji analizirati kako provesti ovu reviziju jednostavno i učinkovito.
Okruženje u kojem ćemo raditi će biti Tehnički pregled sustava Windows Server 2016 Datacenter 5.
1. Provedite reviziju aktivnog imenika
Prvo što moramo učiniti je ući u konzolu za upravljanje pravilima grupe ili gpmc, za to ćemo koristiti kombinaciju tipki:
U tim slučajevima moramo instalirajte gpmc s bilo kojom od sljedećih opcija:
- Unesite Upravitelj poslužitelja i otvorite opciju: Dodajte uloge i značajke a kasnije u Značajke - Značajke odabrati Upravljanje grupnim politikama.
- Kroz Windows PowerShell pomoću cmdleta:
Windows -InstallFeature -Name GPMC
Nakon što pristupimo gpmc -u, vidjet ćemo prozor gdje se pojavljuje Šuma, implementiramo ga i kasnije Domene, zatim naziv naše domene, pa prikažemo Kontroleri domena i na kraju biramo Zadane politike kontrolera domene.
Tamo ćemo kliknuti desnom tipkom miša Zadane politike kontrolera domene i mi biramo Uredi ili Uredi izvršiti neke prilagodbe na njemu i tako omogućiti bilježenje događaja koji su se dogodili na našem Windows poslužitelju 2016.
Vidjet ćemo sljedeće:
Kao što vidimo, uspjeli smo pristupiti urednik Pravila grupe kontrolora domene, budući da smo tamo, idemo na sljedeću rutu:
- Konfiguracija računala
- Pravila
- Postavke sustava Windows
- Sigurnosne postavke
- Napredna konfiguracija politike revizije
- Pravila revizije
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Tamo moramo konfigurirati parametre sljedećih elemenata:
- Prijava na račun
- Upravljanje računom
- Pristup DS -u
- Prijava / odjava
- Pristup objektima
- Promjena politike
Konfigurirajmo Prijava na račun, vidjet ćemo da je jednom odabrano s desne strane prikazano sljedeće:
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Tu moramo konfigurirati svaku od ovih opcija na sljedeći način. Dvaput kliknite na svaki od njih i dodajte sljedeće parametre.
Aktiviramo kutiju Konfigurirajte sljedeće revizijske događaje i označavamo dvije dostupne kutije, Uspjeh Y Neuspjeh, (Ove vrijednosti omogućuju bilježenje uspješnih i neuspjelih događaja).
To radimo sa svakim od njih i pritisnemo Primijeni a kasnije u redu za spremanje promjena.
Ponovit ćemo ovaj postupak za sva polja u sljedećim parametrima:
- Upravljanje računom
- Pristup DS -u
- Prijava / odjava
- Pristup objektima
- Promjena politike
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Možemo vidjeti s desne strane u koloni Revizijski događaji da su konfigurirane vrijednosti izmijenjene (Success and Failure).
Zatim ćemo forsirati politike koje smo izmijenili tako da ih sustav prihvati, za to ćemo unijeti naredbenu liniju cmd i unijeti sljedeću naredbu:
gpupdate / force[color = # a9a9a9] Ažurirajte pravila bez ponovnog pokretanja. [/ color]
Izlazimo iz cmd -a pomoću naredbe exit. Sada ćemo otvorite uređivač ADSI ili ADSI Edit koristeći izraz adsiedit.msc iz naredbe Run (Windows + R) ili unosom pojma ADSI u okvir za pretraživanje Windows Server 2016 i odabirom ADSI Uređivanje.
Vidjet ćemo sljedeći prozor:
Kad uđemo u ADSI Edit, desnom tipkom miša kliknite ADSI Uređivanje na lijevoj strani i odaberite Spojite se na.
Prikazat će se sljedeći prozor:
U prirodi Priključna točka na kartici "Odaberite dobro poznati kontekst imenovanja " Vidjet ćemo sljedeće mogućnosti povezivanja:
- Zadani kontekst imenovanja
- Konfiguracija
- RootDSE
- Shema
Ove vrijednosti određuju način na koji će se događaji bilježiti Windows Server 2016, u ovom slučaju moramo odabrati opciju Konfiguracija tako da događaji koji se bilježe poprimaju vrijednosti konfiguracije prethodno napravljene u gpmc.
Pritišćemo u redu i moramo ponoviti prethodni korak da bismo dodali ostale vrijednosti:
- Zadano
- RootDSE
- Shema
To će biti pojava ADSI Uređivanje nakon što smo dodali sva polja.
Sada moramo omogućiti reviziju svake od ovih vrijednosti, jer ćemo za to provesti postupak u Zadani kontekst imenovanja i mi ćemo ponoviti ovaj postupak za ostale.
Prikazujemo polje i desnom tipkom miša kliknemo na red našeg kontrolera domene i odaberemo Svojstva (uredi) - Svojstva.
Vidjet ćemo sljedeći prozor u kojem odabiremo karticu Sigurnost - Sigurnost.
Tamo ćemo pritisnuti gumb Napredna - Napredna i vidjet ćemo sljedeće okruženje gdje odabiremo karticu Revizija - Revizija.
Dok smo tamo, kliknite na Dodati dodati Sve i na taj način moći pregledati zadatke koje izvršava bilo koji korisnik bez obzira na njihovu razinu privilegija; Kada pritisnemo Dodaj, korisnika ćemo potražiti ovako:
Pritišćemo u redu i u prikazanom prozoru provjerit ćemo sve okvire, a za reviziju poništiti samo sljedeće:
- Potpuna kontrola
- Sadržaj popisa
- Pročitajte sva svojstva
- Dopuštenja za čitanje
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Pritišćemo u redu za spremanje promjena.
2. Revizijski događaji promjena izvršenih u AD -u
Sjetimo se da iste korake treba izvesti i za ostale vrijednosti u čvorovima ADSI Uređivanje. Potvrditi da su sve promjene napravljene u Windows Server 2016 ako ste registrirani, otvorit ćemo preglednik događaja, možemo ga otvoriti na sljedeći način:
- Desnom tipkom miša kliknite ikonu početka i odaberite Preglednik događaja ili Preglednik događaja.
- Iz naredbe Run možemo unijeti izraz:
eventvwr
i pritisnite Enter.
Ovako će izgledati Event Viewer Windows Server 2016.
POVEĆAJTE
Kao što vidimo, napominjemo da imamo četiri kategorije koje su:
- Prilagođeni prikazi: Pomoću ove opcije možemo stvoriti prilagođene prikaze događaja na poslužitelju.
- Zapisi u sustavu Windows: Pomoću ove opcije možemo analizirati sve događaje koji su se dogodili u Windows okruženju, bilo na sigurnosnoj razini, pokretanju, događajima, sustavu itd.
- Dnevnici aplikacija i usluga: Pomoću ove alternative možemo vidjeti događaje koji su se dogodili u vezi sa uslugama i aplikacijama instaliranim na Windows Server 2016.
- Pretplate: To je nova značajka u pregledniku koja vam omogućuje da analizirate sve događaje koji su se dogodili s Windows pretplatama, poput Azure.
Prikažimo, na primjer, događaje registrirane na sigurnosnoj razini odabirom opcije Zapisi u sustavu Windows i tamo biranje Sigurnost.
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Kao što vidimo, događaji se registriraju prema ključnoj riječi, datumu i vremenu događaja, ID -u koji je vrlo važan itd.
Ako analiziramo, vidjet ćemo da postoji tisuće događaja i može biti teško čitati jedan po jedan da bismo vidjeli koji se događaj dogodio, kako bismo pojednostavili ovaj zadatak možemo pritisnuti gumb Filtriraj zapisnik struje filtrirati događaje na različite načine.
Tamo možemo filtrirati događaje prema razini utjecaja (kritično, oprezno itd.), Prema datumu, prema ID -u itd.
Ako želimo vidjeti događaji pri prijavi Možemo filtrirati prema IKD 4624 (Prijava) i dobit ćemo sljedeće rezultate:
POVEĆAJTE
[color = # a9a9a9] Kliknite na sliku za povećanje [/ color]
Možemo dvaput kliknuti na događaj ili desnim klikom i odabrati Svojstva događaja za pregled detaljnih informacija o događaju kao što su datum i vrijeme, oprema na kojoj je događaj snimljen itd.
Na ovaj način imamo pri ruci veliku alat za analizu tko je promijenio korisnika, objekt ili općenito okruženje Windows Server 2016.
Neki od najvažnijih ID -ova koje možemo provjeriti su:
ID / događaj528 Uspješna prijava
520 Sistemsko vrijeme je izmijenjeno
529 Pogrešna prijava (nepoznato ime ili pogrešna lozinka)
538 Odjavite se
560 Otvoreni objekt
4608 Pokretanje sustava Windows
4609 Isključivanje sustava Windows
4627 Podaci o članovima grupe
4657 Vrijednost registra je izmijenjena
4662 Na objektu je izveden događaj
4688 Novi proces je kreiran
4698 Izrađen je zakazani zadatak
4699 Zakazani zadatak je izbrisan
4720 Korisnički račun je kreiran
4722 Omogućen je korisnički račun
4723 Pokušana je promjena lozinke
4725 Korisnički račun je onemogućen
4726 Korisnički račun je izbrisan
4728 Korisnik je dodan u globalnu grupu
4729 Korisnik je uklonjen iz globalne grupe
4730 Uklonjena je sigurnosna grupa
4731 Stvorena je sigurnosna grupa
4738 Korisnički račun je izmijenjen
4739 Politika domene je izmijenjena
4740 Korisnički račun je blokiran
4741 Stvoren je tim
4742 Tim je izmijenjen
4743 Tim je eliminiran
4800 Računalo je blokirano
4801 Oprema je otključana
5024 Uspješno pokretanje vatrozida
5030 Pokretanje vatrozida nije uspjelo
5051 Datoteka je virtualizirana
5139 Usluga imenika je premještena
5136 Usluga imenika je izmijenjena
Kao što vidimo, na raspolaganju imamo mnogo ID -ova za analizu svakog događaja koji se dogodi u našem sustavu. Windows Server 2016 te nam na taj način omogućuju posebnu kontrolu nad onim događajima koji mogu utjecati na performanse i sigurnost sustava.
