Jedną z najbardziej wrażliwych kwestii, o których myśli organizacja, jest bezpieczeństwo i poufność, nie tylko jej zasad, ale całej infrastruktury (sprzętu, danych, użytkowników itp.), a duża część wszystkich tych informacji jest przechowywana na serwerach organizacji i jeśli mamy dostęp do serwera jako administrator, koordynatorzy lub asystenci systemu, to ponosimy dużą odpowiedzialność za uniemożliwienie nieautoryzowanego dostępu do systemu.
Przy wielu okazjach, mam nadzieję, że wcale nie są one przedstawiane w niektórych sytuacjach dostęp nie ze względu na system Tak dokonano nieautoryzowanych zmian i niestety Nie wiadomo, który użytkownik był odpowiedzialny ani kiedy zdarzenie miało miejsce.
Podamy prawdziwy przykład tej sytuacji:
W pewnym momencie w firmie ktoś wszedł na serwer i usunął użytkownika, który chociaż miał standardową nazwę, był użytkownikiem używanym do uzyskiwania dostępu do maszyny produkcyjnej, dlatego po usunięciu użytkownika usługa została wyłączona i pojawił się duży problem i nie można było ustalić, kto i jak dokonał zmiany.
Na szczęście Windows Server pozwala nam przeprowadzić proces audytu wszystkich zdarzeń, które wystąpiły na serwerze i w tym opracowaniu będziemy analizować jak przeprowadzić ten audyt prosto i skutecznie.
Środowisko, w którym będziemy pracować, będzie Windows Server 2016 Datacenter Technical Preview 5.
1. Wdrożenie audytu Active Directory
Pierwszą rzeczą, którą musimy zrobić, to wejść do konsoli zarządzania zasadami grupy lub gpmc, do tego użyjemy kombinacji klawiszy:
W takich przypadkach musimy zainstaluj gpmc z dowolną z następujących opcji:
- Wejdź do Menedżera serwera i otwórz opcję: Dodaj role i funkcje a później w Funkcje - Funkcje wybrać Zarządzanie polityką grupy.
- Za pomocą programu Windows PowerShell za pomocą polecenia cmdlet:
Windows-InstallFeature - nazwa konsoli zarządzania zasadami grupy
Gdy mamy dostęp do gpmc, zobaczymy okno, w którym się pojawia Las, wdrażamy i później Domeny, następnie nazwa naszej domeny, następnie wyświetlamy Kontrolery domeny i na koniec wybieramy Domyślna polityka kontrolera domeny.
Tam klikniemy prawym przyciskiem myszy Domyślna polityka kontrolera domeny a my wybieramy Edytować lub Edytować aby wprowadzić na nim pewne poprawki, a tym samym umożliwić rejestrowanie zdarzeń, które miały miejsce w naszym Windows Server 2016.
Zobaczymy:
Jak widzimy, udało nam się uzyskać dostęp do redaktor zasad grupy kontrolera domeny, będąc tam, udamy się na następującą trasę:
- konfiguracja komputera
- Zasady
- Ustawienia systemu Windows
- Ustawienia bezpieczeństwa
- Zaawansowana konfiguracja zasad audytu
- Zasady audytu
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Tam musimy skonfigurować parametry następujących elementów:
- Logowanie do konta
- Zarządzanie kontem
- Dostęp do DS
- Logowanie/Wylogowanie
- Dostęp do obiektów
- Zmiana zasad
Skonfigurujmy Logowanie do konta, zobaczymy, że po wybraniu po prawej stronie wyświetlane jest:
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Tam musimy skonfigurować każdą z tych opcji w następujący sposób. Kliknij dwukrotnie każdy z nich i dodaj następujące parametry.
Aktywujemy pudełko Skonfiguruj następujące zdarzenia audytu i zaznaczamy dwa dostępne pudełka, Sukces Tak Awaria, (Te wartości umożliwiają rejestrowanie udanych i nieudanych zdarzeń).
Robimy to z każdym i naciskamy Zastosować i później w porządku aby zapisać zmiany.
Powtórzymy ten proces dla wszystkich pól w następujących parametrach:
- Zarządzanie kontem
- Dostęp do DS
- Logowanie/Wylogowanie
- Dostęp do obiektów
- Zmiana zasad
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Widzimy po prawej stronie w kolumnie Wydarzenia audytowe że skonfigurowane wartości zostały zmodyfikowane (Sukces i Porażka).
Następnie wymusimy zmodyfikowane przez nas polityki, aby system je przejął, w tym celu wejdziemy do wiersza poleceń cmd i wpiszemy następujące polecenie:
gpupdate / życie[color = # a9a9a9] Aktualizuj zasady bez konieczności ponownego uruchamiania. [/ color]
Wychodzimy z cmd za pomocą polecenia exit. Teraz zamierzamy otwórz edytor ADSI lub ADSI Edit używając terminu adsiedit.msc z polecenia Uruchom (Windows + R) lub wpisując termin ADSI w polu wyszukiwania systemu Windows Server 2016 i wybierając Edytuj ADSI.
Zobaczymy następujące okno:
Po wejściu do edycji ADSI klikniemy prawym przyciskiem myszy Edytuj ADSI po lewej stronie i wybierz Połącz z.
Wyświetli się następujące okno:
Na wsi Punkt połączenia w zakładce "Wybierz dobrze znany kontekst nazewnictwa ” Zobaczymy następujące opcje połączenia:
- Domyślny kontekst nazewnictwa
- Konfiguracja
- RootDSE
- Schemat
Te wartości określają, w jaki sposób zdarzenia mają być rejestrowane w Windows Server 2016, w tym przypadku musimy wybrać opcję Konfiguracja aby rejestrowane zdarzenia przyjmowały wartości konfiguracji wykonanej wcześniej w gpmc.
Naciskamy w porządku i musimy powtórzyć poprzedni krok, aby dodać inne wartości:
- Domyślny
- RootDSE
- Schemat
To będzie wygląd Edytuj ADSI po dodaniu wszystkich pól.
Teraz musimy włączyć audyt w każdej z tych wartości, w tym celu przeprowadzimy proces w Domyślny kontekst nazewnictwa i zamierzamy powtórzyć ten proces dla innych.
Wyświetlamy pole i klikamy prawym przyciskiem myszy linię naszego kontrolera domeny i wybieramy Właściwości (edytuj) - Nieruchomości.
Zobaczymy następujące okno, w którym wybieramy zakładkę Bezpieczeństwo - Bezpieczeństwo.
Tam naciśniemy przycisk Zaawansowany - Zaawansowany i zobaczymy następujące środowisko, w którym wybieramy zakładkę Audyt - Rewizja.
Tam klikniemy Dodać dodać Wszyscy iw ten sposób mieć możliwość audytu zadań wykonywanych przez dowolnego użytkownika, niezależnie od poziomu jego uprawnień; Po naciśnięciu Dodaj będziemy szukać użytkownika w następujący sposób:
Naciskamy w porządku a w wyświetlonym oknie zaznaczymy wszystkie pola i odznaczymy tylko następujące do audytu:
- Pełna kontrola
- Zawartość listy
- Przeczytaj wszystkie właściwości
- Uprawnienia do odczytu
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Naciskamy w porządku aby zapisać zmiany.
2. Audytuj zdarzenia zmian dokonanych w AD
Pamiętajmy, aby te same kroki wykonać dla pozostałych wartości w węzłach Edytuj ADSI. Aby sprawdzić, czy wszystkie zmiany wprowadzone w Windows Server 2016 są zarejestrowani otworzymy przeglądarkę zdarzeń, możemy ją otworzyć w następujący sposób:
- Kliknij prawym przyciskiem myszy ikonę startu i wybierz Przeglądarka wydarzeń lub Podgląd zdarzeń.
- Z polecenia Uruchom możemy wpisać termin:
eventvwr
i naciśnij Enter.
Tak będzie wyglądać Podgląd zdarzeń w Windows Server 2016.
POWIĘKSZAĆ
Jak widzimy, zauważamy, że mamy cztery kategorie, które są:
- Widoki niestandardowe: Z tej opcji możemy tworzyć niestandardowe widoki zdarzeń na serwerze.
- Dzienniki Windows: Dzięki tej opcji możemy analizować wszystkie zdarzenia, które wystąpiły w środowisku Windows, czy to na poziomie bezpieczeństwa, uruchamiania, zdarzeń, systemu itp.
- Dzienniki aplikacji i usług: Dzięki tej alternatywie możemy zobaczyć zdarzenia, które miały miejsce w odniesieniu do usług i aplikacji zainstalowanych na Windows Server 2016.
- Subskrypcje: Jest to nowa funkcja w przeglądarce, która pozwala analizować wszystkie zdarzenia, które miały miejsce w przypadku subskrypcji Windows, takich jak Azure.
Wyświetlmy na przykład zdarzenia zarejestrowane na poziomie bezpieczeństwa wybierając opcję Dzienniki Windows i tam wybierając Bezpieczeństwo.
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Jak widać, zdarzenia rejestrowane są po słowie kluczowym, dacie i godzinie zdarzenia, bardzo ważnym identyfikatorze itp.
Jeśli przeanalizujemy, zobaczymy, że zdarzeń jest tysiące i może być trudno odczytać jedno po drugim, aby zobaczyć, które zdarzenie wystąpiło, aby uprościć to zadanie, możemy nacisnąć przycisk Filtruj bieżący dziennik filtrować zdarzenia na różne sposoby.
Tam możemy filtrować zdarzenia według poziomu afektacji (Krytyczny, Ostrożny itp.), według daty, według ID itp.
Jeśli chcemy zobaczyć zdarzenia logowania Możemy filtrować według IKD 4624 (Logon) i otrzymamy następujące wyniki:
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Możemy dwukrotnie kliknąć wydarzenie lub kliknąć prawym przyciskiem myszy i wybrać Właściwości wydarzenia aby wyświetlić szczegółowe informacje o zdarzeniu, takie jak data i godzina, sprzęt, w którym zdarzenie zostało zarejestrowane itp.
W ten sposób mamy pod ręką duży narzędzie do analizy, kto dokonał jakiejkolwiek modyfikacji użytkownika, obiektu lub ogólnie środowiska Windows Server 2016.
Niektóre z najważniejszych identyfikatorów, które możemy zweryfikować, to:
Identyfikator / Wydarzenie528 udane logowanie
520 Zmieniono czas systemowy
529 Błędny login (nieznana nazwa lub błędne hasło)
538 Wyloguj
560 Otwórz obiekt
4608 Uruchamianie systemu Windows
4609 Wyłączenie systemu Windows
4627 Informacje o członkach grupy
4657 Wartość rejestru została zmodyfikowana
4662 Na obiekcie miało miejsce zdarzenie
4688 Utworzono nowy proces
4698 Utworzono zaplanowane zadanie
4699 Zaplanowane zadanie zostało usunięte
4720 Utworzono konto użytkownika
4722 Konto użytkownika zostało włączone
4723 Podjęto próbę zmiany hasła
4725 Konto użytkownika zostało wyłączone
4726 Konto użytkownika zostało usunięte
4728 Użytkownik został dodany do grupy globalnej
4729 Użytkownik został usunięty z grupy globalnej
4730 Grupa bezpieczeństwa została usunięta
4731 Utworzono grupę bezpieczeństwa
4738 Konto użytkownika zostało zmodyfikowane
4739 Polityka domeny została zmodyfikowana
4740 Konto użytkownika zostało zablokowane
4741 Powstał zespół
4742 Zespół został zmodyfikowany
4743 Drużyna została wyeliminowana
4800 Komputer został zablokowany
4801 Sprzęt został odblokowany
5024 Pomyślne uruchomienie zapory
5030 Nieudane uruchomienie zapory
5051 Plik został zwirtualizowany
5139 Usługa katalogowa została przeniesiona
5136 Usługa katalogowa została zmodyfikowana
Jak widzimy, mamy do dyspozycji wiele identyfikatorów do analizy każdego zdarzenia, które występuje w naszym systemie. Windows Server 2016 a tym samym pozwalają nam mieć określoną kontrolę nad tymi zdarzeniami, które mogą mieć wpływ na wydajność i bezpieczeństwo systemu.
