Jedním z nejdůležitějších problémů, které musíme jako správci mít na paměti, je bezpečnost našich serverů a zařízení, zajištění těch, kteří k nim mají přístup, a péče o to, jaká privilegia v nich mají. Může se stát, že některý uživatel omylem nebo ne, provede úpravy různých parametrů serveru a stejně jako mohou nastat změny, které nemají vliv na výkon a stabilitu systému, mohou jiné změny významně ovlivnit zabezpečení, důvěrnost a výkon systému Windows. Server 2016 a to zase přináší vážné problémy, které mohou dokonce vést k právním problémům.
Kromě vytváření záložních kopií je jednou z osvědčených postupů, které můžeme provádět jako správci, IT manažeři a obecně jako pracovníci systému, implementovat zásady auditu, které nám umožní sledovat, kteří uživatelé jsou přihlášeni do systému Windows Server 2016 (Nebo předchozí verze W.Serveru) a tímto způsobem bude možné analyzovat, zda se selhání systému shodují s přihlášením jiného uživatele, než je oprávněný. Budeme analyzovat, jak můžeme tyto zásady implementovat v prostředí Windows Server 2016.
1. Nastavení zásad auditu
První krok, který musíme udělat, abychom vytvořili naše zásady auditu bude vstoupit do konzoly pro správu zásad skupiny nebo Konzola pro správu zásad skupinyK tomu použijeme kombinaci kláves:
Stiskneme Vstupte nebo dobře a uvidíme následující okno:
Být v GPO konzole přesuneme se následovně:
Forest / Domains / Nuestro_Dominio / Domain Controllers / Default Domain Controllers Policy
Dáme klikněte pravým tlačítkem na Zásady výchozího řadiče domény a vybíráme Upravit Pro vstup do editoru zásad skupiny uvidíme následující prostředí:
Tam musíme jít na následující trasu:
- Konfigurace počítače
- Opatření
- Nastavení systému Windows
- Bezpečnostní nastavení
- Pokročilá konfigurace zásad auditu
- Zásady auditu
ZVĚTŠIT
[color = rgb (169,169,169)] Kliknutím na obrázek zvětšíte [/ color]
Tímto způsobem jsme vstoupili do Možnost přihlášení / odhlášení a měli bychom povolit auditování pro tyto akce, takže když se uživatel přihlásí, bude zaregistrován v prohlížeči událostí, aby později mohl zadat a provést odpovídající analýzu. Jak vidíme správnou část, máme řadu možností, ale musíme upravit následující:
- Odhlášení auditu
- Auditovat přihlášení
- Auditujte další události přihlášení / odhlášení
Tyto tři (3) možnosti nám poskytnou podrobné informace o:
- Přihlašovací údaje relace
- Ukončení zasedání
- Zámek zařízení
- Připojení přes vzdálenou plochu
- Atd.
Poklepejte na tři (3) možnosti a aktivujte pole Konfigurujte následující události auditu a zkontrolujte dvě dostupné možnosti (Úspěch -uspokojivý Y Selhání - špatně) zachovat plnou kontrolu nad událostmi přihlášení a odhlášení v systému Windows Server 2016.
Stiskneme Aplikovat a následně dobře k uložení změn.
2. Analyzujte prohlížeč událostí
Jakmile jsme správně nakonfigurovali tyto parametry, vstoupíme do prohlížeče událostí, abychom analyzovali příslušné události.
Události auditu přihlášení a odhlášeníNyní ID událostí, které musíme mít na paměti, jsou následující:
- 4624: Přihlášení (bezpečnostní událost)
- 4647: Odhlášení (bezpečnostní událost)
- 6005: Spuštění systému (událost systému)
- 4778: Připojení k RDP - vzdálená plocha (událost zabezpečení)
- 4779: Odhlášení z RDP - Vzdálená plocha (událost zabezpečení)
- 4800: Zámek zařízení (bezpečnostní událost)
- 4801: Odemknutí zařízení (bezpečnostní událost)
Budeme moci přístup k prohlížeči událostí pomocí některé z následujících možností:
- Klikněte pravým tlačítkem na ikonu start
ZVĚTŠIT
[color = rgb (169,169,169)] Kliknutím na obrázek zvětšíte [/ color]
Za účelem přezkoumání výše uvedených událostí vybereme možnost Zabezpečení na kartě Protokoly systému Windows:
ZVĚTŠIT[color = rgb (169,169,169)] Kliknutím na obrázek zvětšíte [/ color]
Příště dáme klikněte na možnost Filtrovat aktuální protokol aby bylo možné filtrovat podle ID události. Musíme zadat ID nebo ID, která chceme ověřit, jednoduše zadejte hodnotu (v tomto příkladu 4624) do pole Zadejte ID:
Stiskneme dobře a uvidíme následující výsledek:
ZVĚTŠIT[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Zde můžeme vybrat libovolnou událost a analyzovat všechny vaše informace:
V horní části vidíme uživatele, který se přihlásil, doménu, ve které se připojili a další parametry, v dolní části vidíme typ auditu, datum a čas události, popis události a další aspekty.
Tudy vytvořili jsme zásady auditu na úrovni přihlášení a odhlášení což nám umožní provádět úplnou správu a vždy o tom, kteří uživatelé a kdy se přihlásili do systému Windows Server 2016 a odtud určit, zda došlo k nějaké změně systému.
