W wielu przypadkach, w ramach naszych ról jako personel IT, mamy do czynienia z sytuacjami bezpieczeństwa takimi, jakie są. ten nieautoryzowane próby logowania do naszej domeny dostęp do niego i wykonywanie niedozwolonych lub autoryzowanych zadań, które mogą poważnie wpłynąć na działanie systemu i wszystkich obiektów wchodzących w skład organizacji.
Wiemy, że intruzi lub ci, którzy chcą uzyskać dostęp do systemu w sposób nieuprawniony, próbują wejść z zewnątrz lub z samej organizacji, próbując podszywać się pod któregoś z aktywnych użytkowników organizacji, dlatego tym razem przyjrzymy się analizie jak możemy monitorować, kto próbował zresetować hasło użytkownika? (Oczywiście musimy potwierdzić z użytkownikiem, jeśli to nie on) i w ten sposób podjąć środki bezpieczeństwa lub te, które są odpowiednie w zależności od powagi sytuacji.
Do tej analizy użyjemy środowiska Windows Server 2016.
1. Otwieram edytor zasad grupy GPO
Pierwszym krokiem, który zrobimy, jest otwarcie Menedżera zasad grupy przy użyciu dowolnej z następujących opcji:
- Wjazd na trasę:
początek / Wszystkie aplikacje / Narzędzia do zarządzania / Zarządzanie polityką grupy
- Korzystanie z polecenia Uruchom (kombinacja klawiszy
POWIĘKSZAĆ
Stamtąd będziemy edytować polityka dotycząca prób i logowania.
2. Edycja zasad grupy
Aby kontynuować edycję polityki grupowej, wyświetlimy naszą domenę, w tym przypadku solvetic.com, i klikniemy prawym przyciskiem myszy Domyślna polityka domeny i tam wybierzemy opcję Edytować.
POWIĘKSZAĆW wyświetlonym oknie przejdziemy do następującej trasy:
- Konfiguracja sprzętu
- Dyrektywy
- Ustawienia systemu Windows
- Ustawienia bezpieczeństwa
- Lokalne dyrektywy
POWIĘKSZAĆDwukrotnie klikamy Polityka audytu i zlokalizujemy polisę o nazwie „Audyt zarządzania kontem”. Zobaczymy, że domyślna wartość to „Nie jest zdefiniowany”. Kliknij go dwukrotnie lub kliknij prawym przyciskiem myszy i wybierz Właściwości (edytuj) i zobaczymy, że wyświetla się następujące okno:
3. Włączanie polityki audytu
Aby włączyć tę zasadę, po prostu zaznacz pole „zdefiniuj to ustawienie zasad”I zaznacz pola, które uważamy za konieczne (Poprawne / Błąd).
Po zdefiniowaniu tych wartości naciśnij Zastosować a następnie Akceptować aby zmiany zostały zapisane. Widzimy, że nasza polityka została zmodyfikowana w zadowalający sposób.
POWIĘKSZAĆ4. Sprawdzanie prób zmiany hasła
Możemy wymusić polityki na domenie otwierając CMD i wpisując polecenie:gpupdate / życie
Aby zasady były aktualizowane.Aby sprawdzić, czy użytkownik próbował dokonać modyfikacji hasła, otworzymy przeglądarkę zdarzeń za pomocą dowolnej z następujących opcji:
- Z polecenia Uruchom wpisując termin:
eventvwr
I naciskając Wchodzić lub Akceptować.
- Z menu Narzędzia w administrator serwera i wybierając opcję Przeglądarka wydarzeń.
Zobaczymy, że otworzy się następujące okno:
POWIĘKSZAĆWybieramy z lewej strony opcję Dzienniki Windows / bezpieczeństwa. Po wybraniu opcji Bezpieczeństwo po prawej stronie wybieramy opcję Filtruj bieżący rekord a w polu Wszystkie identyfikatory zdarzeń wprowadzimy ID 4724, który jest identyfikatorem bezpieczeństwa związanym z próbami zmiany hasła.
Naciskamy Akceptować aby zobaczyć wszystkie powiązane wydarzenia. Otrzymany wynik będzie następujący:
POWIĘKSZAĆMożemy zobaczyć dokładną datę i godzinę zdarzenia wskazującą, że była to próba zresetowania hasła. Możemy dwukrotnie kliknąć wydarzenie, aby zobaczyć więcej szczegółów na jego temat.
Zauważamy, że istnieje konto, które próbowało dokonać zmiany, w tym przypadku SolvAdm i konto, na którym próbowano zmienić, w tym przykładzie solwent2.
W ten sposób możemy audytuj wszystkie próby zmiany haseł użytkowników, zarówno poprawne, jak i błędne, i w ten sposób szczegółowo wizualizować, kto i kiedy dokonał lub próbował dokonać zmiany, a tym samym podjąć niezbędne środki.
Jeśli chcesz wejść do oddziału audyty kryminalistyczne, zostawiamy Ci link do praktycznego narzędzia szeroko stosowanego do tego.
Audyt kryminalistyczny Windows
