Konfiguruj zaawansowane zasady inspekcji GPO systemu Windows Server

Konfiguruj zaawansowane zasady inspekcji GPO systemu Windows Server

Niewątpliwie prawidłowe zarządzanie naszym serwerem znajduje odzwierciedlenie w optymalnym funkcjonowaniu każdej cechy naszego serwera, a co za tym idzie, ścieżce operacyjnej naszej sieci.

Zaawansowane zasady audytu dają nam możliwość bardziej scentralizowanej kontroli, ponieważ ułatwiają nam weryfikację zdarzeń występujących na naszym serwerze i dokładniejsze określenie, co dzieje się na co dzień.

Przyjrzymy się, jak wdrożyć polityki bezpieczeństwa, zakładając, że nasz schemat bezpieczeństwa można podzielić na trzy (3) obszary:

UwierzytelnianiePodaj tożsamość użytkownikowi.

UpoważnienieZapewnia dostęp do uwierzytelnionego użytkownika.

PrzesłuchaniePozwala zachować kontrolę nad zalogowanymi do systemu użytkownikami i zmianami, które mogą wprowadzać.

Jednym z klasycznych pytań jest to, czy naprawdę chcemy wdrażać polityki bezpieczeństwa. Trzeba mieć wszystko pod kontrolą i unikać problemów.

Dlaczego powinniśmy wdrożyć politykę bezpieczeństwa?To ważne jako administratorzy stosować polityki bezpieczeństwa przeglądanie tematów takich jak:

  • Którzy użytkownicy logują się poprawnie.
  • Ile nieudanych prób ma użytkownik.
  • Zmiany dokonane w Active Directory naszej organizacji.
  • Zmiany w określonych plikach.
  • Kto zrestartował lub wyłączył serwer i dlaczego.

W tym przewodniku dowiesz się, jak wdrażać, przeprowadzać audyty, tworzyć zasady i wszystko, czego potrzebujesz dla swojego środowiska biznesowego z serwerami Windows Server w centrach, które musisz kontrolować.

1. Zarządzaj audytem za pomocą zasad grupy GPO


Musimy określić, jakie typy zdarzeń systemowych chcemy audytować za pomocą polityk grupowych.
Zobaczmy niektóre z najczęstszych wydarzeń, którymi możemy zarządzać:

Login do konta

  • Opis

Określa, kiedy system przeprowadza audyt pomyślnie zalogowanego konta.

  • Konfiguracja domyślna

Pomyślne logowanie do konta

Administracja rachunkami

  • Opis

Określa, kiedy system przeprowadza audyt każdego zdarzenia zalogowanego konta, na przykład zmiany hasła, usunięcie konta.

  • Konfiguracja domyślna

Zadowalające zarządzanie działaniami kont zalogowanych

Dostęp do katalogu usług

  • Opis

Określa, kiedy system przeprowadza audyt użytkownika podczas próby wejścia do Active Directory.

Zaloguj sie

  • Opis

Określa, kiedy system kontroluje próby zalogowania się lub wylogowania się każdego użytkownika z systemu.

  • Konfiguracja domyślna

Udane logowanie.

Zmiana zasad

  • Opis

Określa, kiedy system przeprowadza audyt każdej próby zmiany ustalonych zasad domeny.

  • Konfiguracja domyślna

Udane zmiany zasad

System

  • Opis

Określa, kiedy system przeprowadza audyt wszelkich zmian w systemie.

  • Konfiguracja domyślna

Udane zdarzenia systemowe.

Musimy podjąć pewne środki ostrożności przy tworzeniu polityki audytu, na przykład:

  • Wysoki poziom audytu może drastycznie wpłynąć na wydajność urządzenia, które ma zostać poddane audytowi.
  • Kiedy przeszukamy dzienniki zdarzeń, zobaczymy, że istnieją tysiące dzienników, a wyszukiwanie może na nas wpłynąć. Ramy czasowe do audytu muszą być jasno określone.
  • Najnowsze logi zastępują najstarsze logi, co może uniemożliwić nam zobaczenie ważnych wydarzeń, które miały miejsce w poprzednim okresie.

2. Implementuj politykę audytu GPO


W celu wdrożyć politykę audytu musimy wykonać następujące kroki:

Krok 1
Otwieramy naszego Menedżera serwera lub Menedżera serwera. Klikamy Narzędzia a my wybieramy opcję Zarządzanie polityką grupy.

POWIĘKSZAĆ

W ten sposób wyświetli menu GPO, musimy wyświetlić bieżącą domenę i kliknąć prawym przyciskiem myszy Domyślna polityka domeny.

Krok 2
Wybieramy opcję Edytować i Edytor zarządzania zasadami grupy.

Wdrażamy następującą trasę:

  • Konfiguracja sprzętu
  • Dyrektywy
  • Ustawienia systemu Windows
  • Ustawienia bezpieczeństwa
  • Dyrektywy lokalne
  • Dyrektywa audytowa

Krok 3
Zobaczymy, że wyświetla się okno z różnymi opcje do audytu:

Dwukrotnie klikamy opcję Audytuj zdarzenia logowania, zobaczymy, że otworzy się okno właściwości wspomnianego audytu.

Zaznaczamy pole wyboru Zdefiniuj to ustawienie zasad aby włączyć tę politykę, a my aktywujemy oba pola (Poprawne i Błędne) i klikamy Zastosować i wreszcie w Akceptować aby zapisać zmiany.

Zobaczymy zmiany odzwierciedlone w naszym audycie:

3. Implementuj zasady audytu (plik lub folder)

Do konkretnego pliku lub folderu możemy dodać rodzaj audytu, w tym celu przeprowadzimy następujący proces:

Krok 1
Dajemy kliknij prawym przyciskiem myszy w folderze, do którego chcemy przypisać audyt i wybierz opcję Nieruchomości.

W oknie Właściwości (edytuj) wybieramy zakładkę Bezpieczeństwo.

Krok 2
Klikamy na Opcje zaawansowane i wyświetli się następujące okno:

Klikamy na opcję Rewizja a później w Dodać.

Krok 3
W wyświetlonym oknie wybieramy opcję Wybierz zleceniodawcę aby dowiedzieć się, jaką politykę dodać.

Wybraliśmy sprzeciw wobec zastosowania audytu:

Na koniec określamy parametry audytu (odczyt, zapis itp.), kliknij Akceptować aby zapisać zmiany.

Dzięki tym krokom będziemy już mieli wybraną przez nas selekcję do audytu.

PamiętaćZa pomocą narzędzia możemy wdrożyć polityki audytu AuditPol.exe zawarte w systemie Windows Server 2012, to polecenie wyświetli i pozwoli nam zarządzać naszymi zasadami.

Składnia, której możemy użyć dla tego polecenia, obejmuje:

  • / dostwać: Wyświetl aktualną politykę
  • /ustawić: Ustal politykę audytu
  • / lista: Wyświetl elementy polityki
  • / utworzyć kopię zapasową: Zapisz politykę audytu w pliku
  • / jasne: Wyczyść politykę audytu
  • /?: Wyświetl pomoc

4. Wydarzenia i wydarzenia z Podglądu wydarzeń


Po skonfigurowaniu naszych zasad bezpieczeństwa w przeglądarce zdarzeń możemy zobaczyć wszystkie różne zdarzenia, które miały miejsce na naszym serwerze, zdarzenia te są reprezentowane przez kod numeryczny, zobaczmy niektóre z najbardziej reprezentatywnych zdarzeń:

Audyt walidacji poświadczeń

  • 4774: Konto zostało zmapowane do logowania
  • 4775: Konto nie zostało zmapowane do logowania
  • 4776: Kontroler domeny próbował zweryfikować poświadczenia dla konta
  • 4777: Kontroler domeny nie mógł zweryfikować poświadczeń dla konta

Audyt zdarzeń dla logowania na konto

  • 4778: Sesja została ponownie połączona na stacji Windows
  • 4779: Stacja została odłączona od stacji Windows
  • 4800: Stacja została zablokowana
  • 4801: Stacja została odblokowana
  • 5632: Utworzono wymaganie do uwierzytelniania sieci Wi-Fi
  • 5633: Stworzono wymaganie do uwierzytelniania sieci przewodowej

Audyt aplikacji do zarządzania grupą

  • 4783: Utworzono podstawową aplikację grupową
  • 4784: Zmodyfikowano podstawową aplikację grupową

Audyt zarządzania kontem

  • 4741: Utworzono konto komputerowe
  • 4742: Konto komputera zostało zmodyfikowane
  • 4743: Konto komputera zostało usunięte

Audyt administracyjny grupy dystrybucyjnej

  • 4744: Utworzono lokalną grupę dystrybucyjną
  • 4746: Członek został dodany do lokalnej grupy dystrybucyjnej
  • 4747: Członek został usunięty z lokalnej grupy dystrybucyjnej
  • 4749: Utworzono globalną grupę dystrybucyjną
  • 4750: Zmodyfikowano globalną grupę dystrybucyjną
  • 4753: Globalna grupa dystrybucyjna została usunięta
  • 4760: Grupa bezpieczeństwa została zmodyfikowana

Audyt administracyjny grup bezpieczeństwa

  • 4727: Utworzono globalną grupę bezpieczeństwa
  • 4728: Członek został dodany do globalnej grupy bezpieczeństwa
  • 4729: Członek został usunięty z globalnej grupy bezpieczeństwa
  • 4730: Usunięto globalną grupę bezpieczeństwa
  • 4731: Utworzono lokalną grupę bezpieczeństwa
  • 4732: Członek został dodany do lokalnej grupy bezpieczeństwa

Audyt zarządzania kontem użytkownika

  • 4720: Utworzono konto użytkownika
  • 4722: Konto użytkownika zostało włączone
  • 4723: Utworzono próbę zmiany hasła
  • 4725: Konto użytkownika zostało wyłączone
  • 4726: Konto użytkownika zostało usunięte
  • 4738: Konto użytkownika zostało zmodyfikowane
  • 4740: Konto użytkownika zostało zablokowane
  • 4767: Konto użytkownika zostało odblokowane
  • 4781: Nazwa konta użytkownika została zmieniona

Audyty procesów

  • 4688: Utworzono nowy proces
  • 4696: Kod podstawowy został przypisany do procesu
  • 4689: Proces się zakończył

Audyty usług katalogowych

  • 5136: Obiekt usługi katalogowej został zmodyfikowany
  • 5137: Utworzono obiekt usługi katalogowej
  • 5138: Pobrano obiekt usługi katalogowej
  • 5139: Obiekt usługi katalogowej został przeniesiony
  • 5141: Obiekt usługi katalogowej został usunięty

Audyty kont

  • 4634: Konto zostało wylogowane
  • 4647: Użytkownik zaczął się wylogowywać
  • 4624: Konto zostało pomyślnie zalogowane
  • 4625: Nie udało się zalogować na konto

Udostępnione audyty plików

  • 5140: Uzyskano dostęp do obiektu sieciowego
  • 5142: Dodano obiekt sieciowy
  • 5143: Obiekt sieciowy został zmodyfikowany
  • 5144: Obiekt sieciowy został usunięty

Inne rodzaje audytów

  • 4608: Windows został uruchomiony
  • 4609: Windows został zamknięty
  • 4616: Strefa czasowa została zmodyfikowana
  • 5025: Zapora systemu Windows została zatrzymana
  • 5024: Zapora systemu Windows została uruchomiona

Jak widzimy, jest o wiele więcej kodów reprezentujących różne wydarzenia, które mają miejsce codziennie na naszym serwerze i w naszej sieci, możemy zobaczyć wszystkie kody na stronie internetowej Microsoft.

5. Dostęp do przeglądarki zdarzeń WServer 2012


Poznamy proces dostępu do przeglądarki zdarzeń na naszym serwerze i stamtąd, aby móc filtrować lub wyszukiwać określone zdarzenia.

Musimy wejść do Menedżera serwera lub Menedżera serwera. Tam wybieramy opcję Podgląd zdarzeń z menu Narzędzia.

POWIĘKSZAĆ

Tam zostanie wyświetlone odpowiednie okno, aby móc wyszukać zdarzenia na naszym urządzeniu:

W menu po lewej stronie mamy różne opcje podglądu wydarzeń.

Jak widzimy, możemy filtruj według kategorii Co:

  • Dzienniki Windows
  • Dzienniki aplikacji
  • Microsoft

A z kolei możemy wyszukiwać według podkategorii takich jak Application, Security itp.

Na przykład wybieramy opcję Bezpieczeństwo z menu Dzienniki systemu Windows.

POWIĘKSZAĆ

W centralnym menu widzimy: struktura wydarzenia:

  • Nazwa wydarzenia
  • Data wydarzenia
  • Źródło
  • Identyfikator zdarzenia (już widziany wcześniej)
  • Kategoria

W menu po lewej stronie znajdziemy opcje dostosowania naszej przeglądarki zdarzeń, takie jak:

  • Otwórz zapisane rekordy: Pozwala nam otwierać rekordy, które wcześniej zapisaliśmy.
  • Widok niestandardowy: Pozwala nam stworzyć widok w oparciu o nasze potrzeby, na przykład możemy stworzyć go według identyfikatora wydarzenia, daty, kategorii itp.
  • Importuj widok niestandardowy: Pozwala nam to zaimportować stworzony przez nas widok do innej lokalizacji.
  • Pusty rekord: Możemy pozostawić przeglądarkę zdarzeń na zero.
  • Filtruj bieżący rekord: Możemy uruchomić parametry, aby przeprowadzić bardziej szczegółowe wyszukiwanie.
  • Nieruchomości: Zobacz właściwości wydarzenia.

W ten sposób zdajemy sobie sprawę, że w naszej przeglądarce wydarzeń mamy inne opcje.
Możemy stworzyć politykę audytu dla urządzeń wymiennych, w tym celu wykonamy następujący proces:

Wchodzimy w nasze Administrator serwera
Wybieramy z menu Narzędzia opcja Menedżer zasad grupy.

Musimy wyświetlić naszą domenę, kliknij prawym przyciskiem myszy, kliknij Edytować i wprowadź następującą trasę:

  • Konfiguracja sprzętu
  • Dyrektywy
  • Ustawienia systemu Windows
  • Ustawienia bezpieczeństwa
  • Zaawansowane ustawienia zasad audytu
  • Ustawienia polityki
  • Dostęp do obiektów

Dwukrotnie klikamy Dostęp do obiektów, wybieramy opcję Kontroluj pamięć wymienną.

Wyświetli się odpowiednie okno, aktywujemy pole wyboru Skonfiguruj następujące zdarzenia audytu a my wybieramy opcję Prawidłowy.

Aby zapisać zmiany, klikamy Zastosować a później w Akceptować.

Jak widać, istnieją narzędzia, które sprawiają, że administracyjne zarządzanie siecią jest niezwykle ważnym i odpowiedzialnym zadaniem, musimy dokładnie zbadać wszystko, co oferuje nam Windows Server 2012, aby sieć była zawsze dostępna.

Ukryj dyski Windows Server GPO

Będziesz pomóc w rozwoju serwisu, dzieląc stronę ze swoimi znajomymi

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Jak aktywować powiadomienia na ekranie blokady Huawei P smart Z
2
post-title
Jak dodać lub nie umieścić odcisku palca na Xiaomi Mi A3
3
post-title
Jak wykonać kopię zapasową kopii zapasowej Samsung Galaxy J52021-2022
4
post-title
Jak nagrywać ekran Windows 10, 8, 7 za pomocą VLC Media Player
5
post-title
▷ Zainstaluj KDE Plasma na Ubuntu 21.04

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -