Konfigurujte rozšířené zásady pro auditování GPO systému Windows Server

Konfigurujte rozšířené zásady pro auditování GPO systému Windows Server | Microsoft 2024
Konfigurujte rozšířené zásady pro auditování GPO systému Windows Server | Microsoft 2024

Správná správa našeho serveru se bezpochyby odráží v optimálním fungování každé charakteristiky našeho serveru, a tedy i provozní cesty naší sítě.

Pokročilé zásady auditu nám dávají možnost centralizovanějšího řízení, protože nám usnadňují ověřování událostí, které se vyskytují na našem serveru, a dokážeme jasněji určit, co se děje na každodenní bázi.

Budeme zkoumat, jak implementovat zásady zabezpečení, za předpokladu, že naše schéma zabezpečení lze rozdělit do tří (3) oblastí:

OvěřeníPoskytněte uživateli identitu.

PovoleníPoskytuje přístup k ověřenému uživateli.

SluchUmožňuje udržovat kontrolu nad uživateli přihlášenými do systému a nad změnami, které mohou provést.

Jednou z klasických otázek je vědět, zda opravdu chceme implementovat zásady zabezpečení. Je něco naprosto nezbytného mít vše pod kontrolou a vyvarovat se problémů.

Proč bychom měli implementovat bezpečnostní politiku?Je to důležité jako administrátoři použít bezpečnostní zásady kontrolovat témata jako:

  • Kteří uživatelé se přihlásí správně.
  • Kolik neúspěšných pokusů má uživatel.
  • Změny provedené ve službě Active Directory naší organizace.
  • Změny konkrétních souborů.
  • Kdo a proč restartoval nebo vypnul server.

V této příručce se dozvíte, jak implementovat, auditovat, vytvářet zásady a vše, co potřebujete pro své obchodní prostředí se servery Windows Server v ohnisku, které musíte mít pod kontrolou.

1. Spravujte auditování pomocí zásad skupiny GPO


Musíme určit, jaké typy systémových událostí chceme auditovat pomocí zásad skupiny.
Podívejme se na některé z nejběžnějších událostí, které můžeme spravovat:

Přihlášení k účtu

  • Popis

Určuje, kdy systém audituje úspěšně přihlášený účet.

  • Výchozí konfigurace

Úspěšné přihlášení k účtu

Správa účtů

  • Popis

Určuje, kdy systém provede audit každé události přihlášeného účtu, například změny hesla, odstranění účtu.

  • Výchozí konfigurace

Správa aktivit účtů uspokojivě přihlášených

Přístup do adresáře služeb

  • Popis

Určuje, kdy systém audituje, že se uživatel pokusí vstoupit do služby Active Directory.

Přihlásit se

  • Popis

Určuje, kdy systém audituje pokusy každého uživatele o přihlášení nebo odhlášení ze systému.

  • Výchozí konfigurace

Úspěšné přihlášení.

Změna zásad

  • Popis

Určuje, kdy systém audituje každý pokus o změnu zavedených zásad domény.

  • Výchozí konfigurace

Úspěšné změny zásad

Systém

  • Popis

Určuje, kdy systém audituje jakékoli změny systému.

  • Výchozí konfigurace

Úspěšné systémové události.

Musíme přijmout určitá opatření při vytváření zásad auditu například:

  • Vysoká úroveň auditování může drasticky ovlivnit výkon zařízení, které má být auditováno.
  • Když prohledáme protokoly událostí, uvidíme, že existují tisíce protokolů a vyhledávání nás může ovlivnit. Časové rámce, které mají být auditovány, musí být jasně definovány.
  • Nejaktuálnější protokoly nahrazují nejstarší protokoly, což nám může zabránit vidět důležité události, ke kterým došlo v předchozím období.

2. Implementujte zásady auditu GPO


Na implementovat zásady auditu musíme provést následující kroky:

Krok 1
Otevřeme správce serveru nebo správce serveru. Klikneme na Nástroje a vybereme možnost Správa zásad skupiny.

ZVĚTŠIT

Zobrazí se tedy nabídka GPO, musíme zobrazit aktuální doménu a kliknout na ni pravým tlačítkem Výchozí zásady domény.

Krok 2
Vybíráme možnost Upravit a Editor správy zásad skupiny.

Nasazujeme následující trasu:

  • Nastavení vybavení
  • Směrnice
  • Nastavení systému Windows
  • Bezpečnostní nastavení
  • Místní směrnice
  • Směrnice o auditu

Krok 3
Uvidíme, že se zobrazí okno s různými možnosti auditu:

Poklepeme na možnost Auditujte přihlašovací události, uvidíme, že se otevře okno vlastností uvedeného auditu.

Zaškrtneme políčko Definujte toto nastavení zásad abychom tuto zásadu povolili, aktivujeme obě pole (Správná a Chyba) a klikneme na Aplikovat a nakonec dovnitř Přijmout k uložení změn.

Uvidíme změny promítnuté z našeho auditu:

3. Implementujte zásady auditu (soubor nebo složka)

Do konkrétního souboru nebo složky můžeme přidat typ auditu, proto provedeme následující postup:

Krok 1
Dáme klikněte pravým tlačítkem myši ve složce, které chceme přiřadit audit, a vyberte možnost Vlastnosti.

V okně Vlastnosti vybereme záložku Bezpečnostní.

Krok 2
Klikneme na Pokročilé možnosti a zobrazí se následující okno:

Klikneme na možnost Audit a později v Přidat.

Krok 3
V zobrazeném okně vybereme možnost Vyberte jistinu zjistit, jaké zásady přidat.

Vybrali jsme si objekt použít audit:

Nakonec zadáme parametry auditu (čtení, zápis atd.), Klikneme na Přijmout k uložení změn.

S těmito kroky již budeme mít výběr, který jsme vybrali, auditován.

Zapamatovat siPomocí nástroje můžeme implementovat zásady auditu AuditPol.exe zahrnutý v systému Windows Server 2012, tento příkaz zobrazí a umožní nám spravovat naše zásady.

Syntaxe, kterou můžeme pro tento příkaz použít, zahrnuje následující:

  • / dostat: Zobrazit aktuální zásady
  • /soubor: Stanovte zásady auditu
  • / seznam: Zobrazte prvky zásad
  • / záloha: Uložte zásady auditu do souboru
  • / Průhledná: Vyčistěte zásady auditu
  • /?: Zobrazit nápovědu

4. Události a události z Prohlížeče událostí


Když jsme nakonfigurovali naše zásady zabezpečení, v prohlížeči událostí můžeme vidět všechny různé události, ke kterým došlo na našem serveru, tyto události jsou reprezentovány číselným kódem, podívejme se na některé nejreprezentativnější události:

Audit ověření pověření

  • 4774: Účet byl namapován pro přihlášení
  • 4775: Účet nebyl namapován pro přihlášení
  • 4776: Řadič domény se pokusil ověřit přihlašovací údaje pro účet
  • 4777: Řadiči domény se nepodařilo ověřit přihlašovací údaje pro účet

Audit událostí pro přihlášení k účtu

  • 4778: Relace byla znovu připojena ke stanici Windows
  • 4779: Stanice byla odpojena od stanice Windows
  • 4800: Stanice byla zablokována
  • 4801: Stanice byla odemčena
  • 5632: Byl vytvořen požadavek na ověření sítě Wi Fi
  • 5633: Byl vytvořen požadavek na autentizaci kabelové sítě

Auditování aplikací pro správu skupiny

  • 4783: Byla vytvořena základní skupinová aplikace
  • 4784: Byla upravena aplikace základní skupiny

Audit vedení účtu

  • 4741: Byl vytvořen počítačový účet
  • 4742: Účet počítače byl upraven
  • 4743: Účet počítače byl smazán

Audit administrace distribuční skupiny

  • 4744: Byla vytvořena místní distribuční skupina
  • 4746: Člen byl přidán do místní distribuční skupiny
  • 4747: Člen byl odebrán z místní distribuční skupiny
  • 4749: Byla vytvořena globální distribuční skupina
  • 4750: Globální distribuční skupina byla upravena
  • 4753: Globální distribuční skupina byla odebrána
  • 4760: Skupina zabezpečení byla upravena

Audit administrace skupiny zabezpečení

  • 4727: Byla vytvořena globální skupina zabezpečení
  • 4728: Člen byl přidán do globální skupiny zabezpečení
  • 4729: Člen byl odebrán do globální skupiny zabezpečení
  • 4730: Globální skupina zabezpečení byla odebrána
  • 4731: Byla vytvořena místní skupina zabezpečení
  • 4732: Člen byl přidán do místní skupiny zabezpečení

Audit správy uživatelských účtů

  • 4720: Byl vytvořen uživatelský účet
  • 4722: Uživatelský účet byl povolen
  • 4723: Byl vytvořen pokus o změnu hesla
  • 4725: Uživatelský účet byl deaktivován
  • 4726: Uživatelský účet byl smazán
  • 4738: Uživatelský účet byl upraven
  • 4740: Uživatelský účet byl zablokován
  • 4767: Uživatelský účet byl odemčen
  • 4781: Název uživatelského účtu byl změněn

Procesní audity

  • 4688: Byl vytvořen nový proces
  • 4696: Procesu byl přiřazen primární kód
  • 4689: Proces byl ukončen

Audity adresářových služeb

  • 5136: Objekt adresářové služby byl upraven
  • 5137: Byl vytvořen objekt adresářové služby
  • 5138: Byl načten objekt adresářové služby
  • 5139: Objekt adresářové služby byl přesunut
  • 5141: Objekt adresářové služby byl odstraněn

Audity účtu

  • 4634: Účet byl odhlášen
  • 4647: Uživatel se začal odhlašovat
  • 4624: Účet byl úspěšně přihlášen
  • 4625: Účet se nepodařilo přihlásit

Audity sdílených souborů

  • 5140: Bylo přistupováno k síťovému objektu
  • 5142: Byl přidán síťový objekt
  • 5143: Objekt sítě byl upraven
  • 5144: Objekt sítě byl odstraněn

Jiné typy auditů

  • 4608: Windows byl spuštěn
  • 4609: Windows byl vypnut
  • 4616: Časové pásmo bylo upraveno
  • 5025: Brána firewall systému Windows byla zastavena
  • 5024: Brána firewall systému Windows byla spuštěna

Jak vidíme, existuje mnoho dalších kódů, které představují různé události, ke kterým dochází denně na našem serveru a v naší síti, takže všechny kódy můžeme vidět na webových stránkách společnosti Microsoft.

5. Přístup k prohlížeči událostí WServer 2012


Zjistíme postup pro přístup k prohlížeči událostí našeho serveru a odtud budeme moci filtrovat nebo vyhledávat konkrétní události.

Musíme zadat Správce serveru nebo Správce serveru. Tam vybereme možnost prohlížeč událostí z nabídky Nástroje.

ZVĚTŠIT

Tam se zobrazí příslušné okno, aby bylo možné vyhledávat události na našem zařízení:

V nabídce na levé straně máme různé možnosti zobrazení událostí.

Jak vidíme, můžeme filtrovat podle kategorií Co:

  • Protokoly systému Windows
  • Protokoly aplikací
  • Microsoft

A zase můžeme vyhledávat podle podkategorií, jako je aplikace, zabezpečení atd.

Například vybereme možnost Bezpečnostní z nabídky Protokoly systému Windows.

ZVĚTŠIT

V centrální nabídce můžeme vidět struktura událostí:

  • Název akce
  • Datum události
  • Zdroj
  • ID události (již bylo vidět dříve)
  • Kategorie

V nabídce na levé straně najdeme možnosti pro úpravu našeho prohlížeče událostí, například:

  • Otevřít uložené záznamy: Umožňuje nám otevřít záznamy, které jsme dříve uložili.
  • Vlastní zobrazení: Umožňuje nám vytvořit pohled na základě našich potřeb, například jej můžeme vytvořit podle ID události, podle data, podle kategorie atd.
  • Importovat vlastní zobrazení: Umožňuje nám importovat náš vytvořený pohled na jiné místo.
  • Prázdný záznam: Prohlížeče událostí můžeme nechat na nule.
  • Filtrovat aktuální záznam: Můžeme spustit parametry pro provedení konkrétnějšího vyhledávání.
  • Vlastnosti: Zobrazit vlastnosti události.

A tak si uvědomujeme, že v prohlížeči událostí máme další možnosti.
Můžeme vytvořit zásadu auditu pro vyměnitelná zařízení, proto provedeme následující postup:

Vstupujeme do našeho Správce serveru
Vybíráme z nabídky Nástroje možnost Správce zásad skupiny.

Musíme zobrazit naši doménu, kliknout pravým tlačítkem, kliknout Upravit a zadejte následující trasu:

  • Nastavení vybavení
  • Směrnice
  • Nastavení systému Windows
  • Bezpečnostní nastavení
  • Pokročilá nastavení zásad auditu
  • Nastavení zásad
  • Přístup k objektům

Dvakrát klikneme na Přístup k objektům, vybereme možnost Auditujte vyměnitelné úložiště.

Zobrazí se příslušné okno, aktivujeme zaškrtávací políčko Konfigurujte následující události auditu a vybereme možnost Opravit.

Pro uložení změn klikneme na Aplikovat a později v Přijmout.

Jak vidíme, existují nástroje, díky nimž je správa správy sítě nesmírně důležitým a zodpovědným úkolem. Musíme důkladně prozkoumat vše, co nám Windows Server 2012 nabízí, abychom měli síť vždy k dispozici.

Skrýt jednotky GPO systému Windows Server

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Nejlepší aplikace pro prohlížení obrázků GIF.webp v systému Windows 10
2
post-title
Jak nakonfigurovat bránu firewall iptables pro zabezpečení Linuxu
3
post-title
WhatsApp Business je nyní oficiální: objevte všechny podrobnosti
4
post-title
▷ Oprava ERROR PS5 CE-112069-9 ✔️ - Při přenosu dat po síti došlo k chybě
5
post-title
Jak odstranit zvýraznění na nových kartách ve Firefoxu Quantum

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -