Jedním z nejcitlivějších problémů, které má organizace na mysli, je bezpečnost a důvěrnost, a to nejen ve svých principech, ale v celé své infrastruktuře (vybavení, data, uživatelé atd.) A velká část všech těchto informací je uložena na serverech organizace a pokud máme přístup k serveru buď jako správce, koordinátoři nebo asistenti systému, stojíme před velkou odpovědností zabránit neoprávněnému přístupu do systému.
Doufám, že při mnoha příležitostech vůbec nebyly prezentovány přístup není kvůli systému Y byly provedeny neoprávněné změny a bohužel Není známo, který uživatel byl zodpovědný nebo kdy událost byla.
Uvedeme skutečný příklad této situace:
V určitém okamžiku ve společnosti někdo vstoupil na server a odstranil uživatele, který, ačkoliv měl standardní jméno, byl uživatelem používaným pro přístup k produktivnímu počítači, takže když byl uživatel odstraněn, služba byla deaktivována a došlo k velký problém a nebylo možné určit, kdo nebo jak změnu provedl.
Naštěstí nám Windows Server umožňuje provést proces auditu všech událostí, ke kterým došlo na serveru, a v této studii budeme analyzovat jak tento audit implementovat jednoduše a efektivně.
Prostředí, ve kterém budeme pracovat, bude Technický náhled Windows Server 2016 Datacenter 5.
1. Implementujte audit služby Active Directory
První věc, kterou musíme udělat, je zadat konzolu pro správu zásad skupiny nebo gpmc, k tomu použijeme kombinaci klíčů:
V těchto případech musíme nainstalovat gpmc s některou z následujících možností:
- Zadejte Správce serverů a otevřete možnost: Přidejte role a funkce a později v Funkce - Vlastnosti vybrat Správa zásad skupiny.
- Prostřednictvím prostředí Windows PowerShell pomocí rutiny:
Windows -InstallFeature -Name GPMC
Jakmile budeme mít přístup k gpmc, uvidíme okno, kde se objeví Les, nasadíme a později Domény, poté název naší domény, poté zobrazíme Řadiče domény a nakonec vybíráme Výchozí zásady řadiče domény.
Tam klikneme pravým tlačítkem Výchozí zásady řadiče domény a vybíráme Upravit nebo Upravit provést na něm určité úpravy a umožnit tak záznam událostí, ke kterým došlo v našem systému Windows Server 2016.
Uvidíme následující:
Jak vidíme, měli jsme přístup k editor zásad skupiny řadičů doményKdyž jsme tam, půjdeme na následující trasu:
- Konfigurace počítače
- Opatření
- Nastavení systému Windows
- Bezpečnostní nastavení
- Pokročilá konfigurace zásad auditu
- Zásady auditu
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Zde musíme nakonfigurovat parametry následujících prvků:
- Přihlášení k účtu
- Správa účtu
- DS přístup
- Přihlášení / odhlášení
- Objektový přístup
- Změna zásad
Pojďme konfigurovat Přihlášení k účtu, uvidíme, že po výběru na pravé straně se zobrazí následující:
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Tam musíme každou z těchto možností nakonfigurovat následovně. Poklepejte na každý z nich a přidejte následující parametry.
Aktivujeme box Konfigurujte následující události auditu a označíme dvě dostupná pole, Úspěch Y Selhání, (Tyto hodnoty umožňují protokolování úspěšných a neúspěšných událostí).
Uděláme to s každým a stiskneme Aplikovat a později dobře k uložení změn.
Tento postup zopakujeme pro všechna pole v následujících parametrech:
- Správa účtu
- DS přístup
- Přihlášení / odhlášení
- Objektový přístup
- Změna zásad
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Ve sloupci vidíme na pravé straně Události auditu že konfigurované hodnoty byly upraveny (Úspěch a Selhání).
Dále budeme vynucovat zásady, které jsme upravili, aby je systém převzal, proto zadáme příkazový řádek cmd a zadáme následující příkaz:
gpupdate / force[color = # a9a9a9] Aktualizujte zásady, aniž byste museli restartovat. [/ color]
Ukončíme cmd pomocí příkazu exit. Nyní se chystáme otevřete editor ADSI nebo ADSI Edit pomocí termínu adsiedit.msc z příkazu Spustit (Windows + R) nebo zadáním výrazu ADSI do vyhledávacího pole Windows Server 2016 a výběrem Úpravy ADSI.
Uvidíme následující okno:
Jakmile jsme v ADSI Edit, klikneme pravým tlačítkem Úpravy ADSI na levé straně a vyberte Připojit k.
Zobrazí se následující okno:
V přírodě Připojovací bod na kartě "Vyberte dobře známý kontext pojmenování “ Zobrazí se následující možnosti připojení:
- Výchozí kontext pojmenování
- Konfigurace
- RootDSE
- Schéma
Tyto hodnoty určují, jak mají být události zaznamenávány Windows Server 2016, v tomto případě musíme vybrat možnost Konfigurace aby události, které mají být zaznamenány, získaly hodnoty konfigurace dříve vytvořené v gpmc.
Stiskneme dobře a musíme zopakovat předchozí krok, abychom přidali další hodnoty:
- Výchozí
- RootDSE
- Schéma
Toto bude vzhled Úpravy ADSI jakmile přidáme všechna pole.
Nyní musíme povolit audit v každé z těchto hodnot, proto tento proces provedeme v Výchozí kontext pojmenování a tento proces budeme opakovat pro ostatní.
Zobrazíme pole a klikneme pravým tlačítkem na řádek našeho řadiče domény a vybereme Vlastnosti - Vlastnosti.
Uvidíme následující okno, kde vybereme záložku Bezpečnostní - Bezpečnostní.
Tam stiskneme tlačítko Pokročilý - Pokročilý a uvidíme následující prostředí, kde vybereme záložku Auditování - Audit.
Zatímco tam klikneme Přidat přidat Everyone a tímto způsobem mít možnost auditovat úkoly prováděné jakýmkoli uživatelem bez ohledu na úroveň jejich oprávnění; Jakmile stiskneme Přidat, budeme uživatele hledat takto:
Stiskneme dobře a v zobrazeném okně zaškrtneme všechna políčka a pouze zrušíme zaškrtnutí následujících políček pro audit:
- Plná kontrola
- Obsah seznamu
- Přečtěte si všechny vlastnosti
- Oprávnění ke čtení
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Stiskneme dobře k uložení změn.
2. Auditujte události provedené ve službě AD
Nezapomeňte provést stejné kroky pro ostatní hodnoty v uzlech Úpravy ADSI. Ověřit, že všechny změny, které jsou provedeny v Windows Server 2016 jsme zaregistrováni, otevřeme prohlížeč událostí, můžeme jej otevřít následovně:
- Klikněte pravým tlačítkem na ikonu start a vyberte Prohlížeč událostí nebo Prohlížeč událostí.
- Z příkazu Spustit můžeme zadat výraz:
eventvwr
a stiskněte Enter.
Takto bude vypadat Prohlížeč událostí Windows Server 2016.
ZVĚTŠIT
Jak vidíme, poznamenáváme, že máme čtyři kategorie, které jsou:
- Vlastní zobrazení: Z této možnosti můžeme vytvořit vlastní zobrazení událostí na serveru.
- Protokoly systému Windows: Prostřednictvím této možnosti můžeme analyzovat všechny události, ke kterým došlo v prostředí Windows, ať už na úrovni zabezpečení, spuštění, událostí, systému atd.
- Protokoly aplikací a služeb: Díky této alternativě můžeme vidět události, které nastaly v souvislosti se službami a aplikacemi nainstalovanými v systému Windows Server 2016.
- Předplatné: Je to nová funkce v prohlížeči, která vám umožňuje analyzovat všechny události, ke kterým došlo u předplatných Windows, například Azure.
Zobrazme například události registrované na úrovni zabezpečení výběrem možnosti Protokoly systému Windows a tam si vybírat Bezpečnostní.
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Jak vidíme, události jsou registrovány podle klíčového slova, data a času události, ID, které je velmi důležité atd.
Pokud budeme analyzovat, uvidíme, že existují tisíce událostí a může být obtížné číst jednu po druhé, abyste zjistili, která událost nastala, pro zjednodušení tohoto úkolu můžeme stisknout tlačítko Filtrovat aktuální protokol filtrovat události různými způsoby.
Tam můžeme filtrovat události podle úrovně ovlivnění (kritické, opatrné atd.), Podle data, podle ID atd.
Pokud chceme vidět přihlašovací události Můžeme filtrovat podle IKD 4624 (přihlášení) a získáme následující výsledky:
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Můžeme dvakrát kliknout na událost nebo kliknout pravým tlačítkem a vybrat Vlastnosti události zobrazit podrobné informace o události, jako je datum a čas, vybavení, kde byla událost zaznamenána atd.
Tímto způsobem máme po ruce velký nástroj k analýze, kdo provedl jakoukoli úpravu uživatele, objektu nebo obecně prostředí Windows Server 2016.
Některá z nejdůležitějších ID, která můžeme ověřit, jsou:
ID / událost528 Úspěšné přihlášení
520 Systémový čas byl upraven
529 Špatné přihlášení (neznámé jméno nebo špatné heslo)
538 Odhlásit se
560 Otevřený objekt
4608 Spuštění systému Windows
4609 Vypnutí systému Windows
4627 Informace o členovi skupiny
4657 Hodnota registru byla změněna
4662 Na objektu byla provedena událost
4688 Byl vytvořen nový proces
4698 Byl vytvořen naplánovaný úkol
4699 Naplánovaný úkol byl odstraněn
4720 Byl vytvořen uživatelský účet
4722 Uživatelský účet byl povolen
4723 Byl proveden pokus o změnu hesla
4725 Uživatelský účet byl deaktivován
4726 Uživatelský účet byl smazán
4728 Uživatel byl přidán do globální skupiny
4729 Uživatel byl odebrán z globální skupiny
4730 Skupina zabezpečení byla odebrána
4731 Byla vytvořena skupina zabezpečení
4738 Uživatelský účet byl upraven
4739 Zásady domény byly změněny
4740 Uživatelský účet byl zablokován
4741 Tým byl vytvořen
4742 Tým byl upraven
4743 Tým byl vyřazen
4800 Počítač byl zablokován
4801 Zařízení bylo odemčeno
5024 Úspěšné spuštění brány firewall
5030 Selhání spuštění brány firewall
5051 Soubor byl virtualizován
5139 Adresářová služba byla přesunuta
5136 Byla změněna adresářová služba
Jak vidíme, máme k dispozici mnoho ID pro analýzu každé události, ke které v našem systému dojde. Windows Server 2016 a tím nám umožňují mít konkrétní kontrolu nad těmi událostmi, které mohou ovlivnit výkon a zabezpečení systému.
