V mnoha případech se v rámci našich rolí IT pracovníků potýkáme s bezpečnostními situacemi, jaké jsou. neoprávněné pokusy o přihlášení do naší domény přistupovat k němu a provádět úkoly, které nejsou povoleny ani autorizovány a které mohou vážně ovlivnit výkon systému a všech objektů, které jsou součástí organizace.
Víme, že vetřelci nebo ti, kteří chtějí neoprávněným způsobem vstoupit do systému, se pokoušejí vstoupit buď externě, nebo ze samotné organizace, přičemž se snaží vydávat za kteréhokoli z aktivních uživatelů organizace, a proto se tentokrát chystáme analyzovat jak můžeme sledovat, kdo se pokusil obnovit heslo uživatele (Očividně musíme ověřit u uživatele, pokud to nebyl on) a tímto způsobem přijmout bezpečnostní opatření nebo ta, která jsou relevantní podle závažnosti situace.
Pro tuto analýzu použijeme prostředí Windows Server 2016.
1. Otevírá se editor zásad skupiny GPO
Prvním krokem, který uděláme, je otevření Správce zásad skupiny pomocí některé z následujících možností:
- Zadání trasy:
začátek / Všechny aplikace / Nástroje pro správu / Správa zásad skupiny
- Použití příkazu Spustit (kombinace kláves
ZVĚTŠIT
Odtud upravíme soubor zásady týkající se pokusů a přihlášení.
2. Úpravy zásad skupiny
Chcete -li pokračovat ve vydání zásad skupiny, zobrazíme naši doménu, v tomto případě solvetic.com, a klikneme pravým tlačítkem na Výchozí zásady domény a tam vybereme možnost Upravit.
ZVĚTŠITV zobrazeném okně přejdeme na následující trasu:
- Nastavení vybavení
- Směrnice
- Nastavení systému Windows
- Bezpečnostní nastavení
- Místní směrnice
ZVĚTŠITDvakrát klikneme na Zásady auditu a vyhledáme zásadu s názvem „Správa účtu auditu“. Uvidíme, že výchozí hodnota je "Není definováno“. Poklepejte na něj nebo klikněte pravým tlačítkem a vyberte Vlastnosti a uvidíme, že se zobrazí následující okno:
3. Povolení zásad auditu
Chcete -li tuto zásadu povolit, zaškrtněte políčko "definovat toto nastavení zásad”A označte pole, která považujeme za nezbytná (Opravit / Chyba).
Jakmile jsou tyto hodnoty definovány, stiskněte Aplikovat a následně Přijmout aby se změny uložily. Vidíme, že naše zásady byly uspokojivým způsobem upraveny.
ZVĚTŠIT4. Kontrola pokusů o změnu hesla
Zásady v doméně můžeme vynutit otevřením CMD a zadáním příkazu:gpupdate / force
Aby se zásady aktualizovaly.Abychom ověřili, že se uživatel pokusil provést úpravu hesla, otevřeme prohlížeč událostí pomocí některé z následujících možností:
- Z příkazu Run zadejte výraz:
eventvwr
A stisknutí Vstupte nebo Přijmout.
- Z nabídky Nástroje v správce serveru a výběrem možnosti Prohlížeč událostí.
Uvidíme, že se otevře následující okno:
ZVĚTŠITZ levé strany vybereme možnost Protokoly Windows / Zabezpečení. Jakmile vybereme Zabezpečení na pravé straně, vybereme možnost Filtrovat aktuální záznam a do pole Všechna ID událostí zadáme ID 4724, což je bezpečnostní ID související s pokusy o změnu hesla.
Stiskneme Přijmout zobrazit všechny související události. Získaný výsledek bude následující:
ZVĚTŠITVidíme přesné datum a čas události, což naznačuje, že se jednalo o pokus o reset hesla. Dvojitým kliknutím na událost zobrazíme další podrobnosti.
Všimli jsme si, že v tomto případě existuje účet, který se pokusil provést změnu SolvAdm a účet, na který se pokusila změna, v tomto případě solvetic2.
Tímto způsobem můžeme auditovat všechny pokusy o změnu uživatelských hesel, správné i chybné, a tímto způsobem podrobně vizualizovat, kdo a kdy provedl nebo se pokusil provést změnu, a přijmout tak nezbytná opatření.
Pokud chcete zadat pobočku audity forenzní analýzy, ponecháme vám odkaz na praktický nástroj, který je k tomu široce používán.
Forenzní audit Windows
