In onze rol als IT-personeel worden we vaak geconfronteerd met beveiligingssituaties zoals ze zijn. de ongeautoriseerde pogingen om in te loggen op ons domein om er toegang toe te krijgen en taken uit te voeren die niet zijn toegestaan of geautoriseerd en die de prestaties van het systeem en alle objecten die deel uitmaken van de organisatie ernstig kunnen beïnvloeden.
We weten dat indringers of degenen die op ongeoorloofde wijze toegang willen krijgen tot het systeem, extern of vanuit de organisatie zelf proberen binnen te komen, in een poging zich voor te doen als een van de actieve gebruikers van de organisatie. Daarom gaan we deze keer analyseren hoe kunnen we controleren wie heeft geprobeerd het wachtwoord van een gebruiker opnieuw in te stellen? (Uiteraard moeten we met de gebruiker valideren als hij het niet was) en op deze manier veiligheidsmaatregelen nemen of die relevant zijn in overeenstemming met de ernst van de situatie.
Voor deze analyse gaan we een omgeving gebruiken Windows Server 2016.
1. Groepsbeleid-editor GPO openen
De eerste stap die we zullen nemen, is om Groepsbeleidsbeheer te openen met een van de volgende opties:
- Invoeren van de route:
begin / Alle toepassingen / Management tools / Groepsbeleidsmanagement
- Met behulp van de opdracht Uitvoeren (toetscombinatie VERGROTEN
Van daaruit zullen we de . bewerken beleid met betrekking tot pogingen en inloggen.
2. Groepsbeleid bewerken
Om door te gaan met de editie van het groepsbeleid gaan we ons domein weergeven, in dit geval solvetic.com, en we zullen met de rechtermuisknop op klikken Standaard domeinbeleid en daar zullen we de optie selecteren Bewerking.VERGROTEN
In het weergegeven venster gaan we naar de volgende route:
- Apparatuur instellen
- richtlijnen
- Windows-instellingen
- Veiligheidsinstellingen
- Lokale richtlijnen
VERGROTEN
We dubbelklikken op Auditbeleid en we zullen het beleid met de naam "Accountbeheer controleren”. We zullen zien dat de standaardwaarde is "Het is niet gedefinieerd”. Dubbelklik erop of klik met de rechtermuisknop en selecteer Eigenschappen (bewerken) en we zullen zien dat het volgende venster wordt weergegeven:
3. Het auditbeleid inschakelen
Vink het vakje aan om dit beleid in te schakelen "deze beleidsinstelling definiëren”En vink de vakjes aan die wij nodig achten (Correct / Error).Zodra deze waarden zijn gedefinieerd, drukt u op Van toepassing zijn en vervolgens Accepteren om de wijzigingen op te slaan. We zien dat ons beleid naar tevredenheid is aangepast.
VERGROTEN
4. Pogingen om wachtwoord te wijzigen controleren
We kunnen het beleid op het domein afdwingen door CMD te openen en de opdracht in te voeren:gpupdate / forceren
Zodat het beleid wordt bijgewerkt.Om te controleren of de gebruiker heeft geprobeerd een wachtwoordwijziging aan te brengen, gaan we de gebeurtenisviewer openen met een van de volgende opties:
- Voer vanuit de opdracht Uitvoeren de term in:
eventvwr
En druk op Binnenkomen of Accepteren.
- Uit het menu Hulpmiddelen in de serverbeheerder en het selecteren van de optie Evenementenkijker.
We zullen zien dat het volgende venster wordt geopend:
VERGROTEN
We gaan aan de linkerkant de optie selecteren Windows / Beveiligingslogboeken. Zodra we Beveiliging aan de rechterkant selecteren, kiezen we de optie Huidige record filteren en in het veld Alle gebeurtenis-ID's voeren we de ID 4724 in, een beveiligings-ID die verband houdt met de pogingen om het wachtwoord te wijzigen.
wij drukken op Accepteren om alle bijbehorende evenementen te zien. Het verkregen resultaat is het volgende:
VERGROTEN
We kunnen de exacte datum en tijd van de gebeurtenis zien, wat aangeeft dat het een poging was om het wachtwoord opnieuw in te stellen. We kunnen dubbelklikken op het evenement om er meer details over te zien.
We merken op dat er een account is dat probeerde de wijziging aan te brengen, in dit geval SolvAdm en het account waarnaar de wijziging is geprobeerd, in dit voorbeeld oplossend2.
Op deze manier kunnen we alle pogingen om gebruikerswachtwoorden te wijzigen controleren, zowel correct als foutief en visualiseer op deze manier tot in detail wie en wanneer de wijziging heeft aangebracht of heeft geprobeerd aan te brengen en zo de nodige maatregelen te nemen.
Als u de vestiging van . wilt betreden forensische analyse-audits, laten we u een link achter op een praktisch hulpmiddel dat hiervoor veel wordt gebruikt.
Forensische controle van Windows