Geavanceerd beleid configureren voor controle van Windows Server GPO

Geavanceerd beleid configureren voor controle van Windows Server GPO

Ongetwijfeld wordt het juiste beheer van onze server weerspiegeld in het optimaal functioneren van elk kenmerk van onze server en dus het operationele pad van ons netwerk.

Geavanceerd auditbeleid geeft ons de mogelijkheid om een ​​meer gecentraliseerde controle te hebben, omdat ze het voor ons gemakkelijker maken om de gebeurtenissen die plaatsvinden op onze server te verifiëren en om duidelijker te kunnen bepalen wat er van dag tot dag gebeurt.

We gaan bekijken hoe we beveiligingsbeleid kunnen implementeren, ervan uitgaande dat ons beveiligingsschema kan worden onderverdeeld in drie (3) gebieden:

authenticatieGeef de gebruiker een identiteit.

autorisatieBiedt toegang aan de geverifieerde gebruiker.

horenHet maakt het mogelijk om controle te behouden over de gebruikers die zijn ingelogd op het systeem en de wijzigingen die ze kunnen uitvoeren.

Een van de klassieke vragen is om te weten of we echt beveiligingsbeleid willen implementeren. Het is absoluut noodzakelijk om alles onder controle te hebben en problemen te voorkomen.

Waarom zouden we een veiligheidsbeleid voeren?Het is belangrijk als beheerders beveiligingsbeleid toepassen om onderwerpen te bekijken zoals:

  • Welke gebruikers correct inloggen.
  • Hoeveel mislukte pogingen een gebruiker heeft.
  • Wijzigingen aangebracht in de Active Directory van onze organisatie.
  • Wijzigingen in specifieke bestanden.
  • Wie heeft de server opnieuw opgestart of afgesloten en waarom.

In deze handleiding leert u hoe u beleid implementeert, controleert, maakt en alles wat u nodig heeft voor uw zakelijke omgeving met Windows Server-servers in de focus die u moet hebben.

1. Controle beheren met GPO-groepsbeleid


We moeten specificeren welke soorten systeemgebeurtenissen we willen controleren met behulp van groepsbeleid.
Laten we eens kijken naar enkele van de meest voorkomende evenementen die we kunnen beheren:

Account login

  • Beschrijving

Bepaalt wanneer het systeem een ​​succesvol ingelogd account controleert.

  • Standaardconfiguratie

Succesvolle accountaanmelding

Accountbeheer

  • Beschrijving

Het bepaalt wanneer het systeem elke gebeurtenis van een geregistreerd account controleert, bijvoorbeeld wachtwoordwijzigingen, accountverwijdering.

  • Standaardconfiguratie

Beheer van de activiteiten van de accounts die naar tevredenheid zijn ingelogd

Toegang tot de Services Directory

  • Beschrijving

Bepaalt wanneer het systeem controleert of de gebruiker probeert Active Directory te openen.

Log in

  • Beschrijving

Bepaalt wanneer het systeem de pogingen van elke gebruiker om in of uit te loggen bij het systeem controleert.

  • Standaardconfiguratie

Succesvolle log in.

Beleidswijziging

  • Beschrijving

Bepaalt wanneer het systeem elke poging controleert om het vastgestelde beleid van het domein te wijzigen.

  • Standaardconfiguratie

Succesvolle beleidswijzigingen

Systeem

  • Beschrijving

Bepaalt wanneer het systeem eventuele wijzigingen in het systeem controleert.

  • Standaardconfiguratie

Succesvolle systeemgebeurtenissen.

We moeten bepaalde voorzorgsmaatregelen nemen bij het maken van auditbeleid, bijvoorbeeld:

  • Hoge niveaus van auditing kunnen de prestaties van het te auditen apparaat drastisch beïnvloeden.
  • Wanneer we de logboeken van de gebeurtenissen doorzoeken, zullen we zien dat er duizenden logboeken zijn en de zoekopdracht kan ons beïnvloeden. De te controleren termijnen moeten duidelijk worden gedefinieerd.
  • De meest actuele logs vervangen de oudste logs, dit kan voorkomen dat we belangrijke gebeurtenissen zien die in een voorgaande periode hebben plaatsgevonden.

2. GPO-auditbeleid implementeren


Tot een auditbeleid implementeren we moeten de volgende stappen uitvoeren:

Stap 1
We openen onze Server Manager of Server Manager. We klikken op Hulpmiddelen en we kiezen voor de optie Groepsbeleidsmanagement.

VERGROTEN

Het zal dus het GPO-menu weergeven, we moeten het huidige domein weergeven en met de rechtermuisknop klikken op Standaard domeinbeleid.

Stap 2
We kiezen voor de optie Bewerking en de Groepsbeleidsbeheer-editor.

We zetten de volgende route in:

  • Apparatuur instellen
  • richtlijnen
  • Windows-instellingen
  • Veiligheidsinstellingen
  • Lokale richtlijnen
  • Auditrichtlijn

Stap 3
We zullen zien dat er een venster wordt weergegeven met de verschillende opties om te controleren:

We dubbelklikken op de optie Inloggebeurtenissen controleren, zullen we zien dat het venster met de eigenschappen van genoemde audit wordt geopend.

We markeren het selectievakje Definieer deze beleidsinstelling om dit beleid in te schakelen, en we activeren beide vakjes (Correct en Error) en klikken op Van toepassing zijn en eindelijk binnen Accepteren om de wijzigingen op te slaan.

We zullen de veranderingen zien die in onze controle worden weerspiegeld:

3. Auditbeleid implementeren (bestand of map)

We kunnen een soort audit toevoegen aan een specifiek bestand of map, hiervoor voeren we het volgende proces uit:

Stap 1
Wij geven klik met de rechtermuisknop in de map die we audit willen toewijzen en kies de optie Eigenschappen.

In het raam Eigenschappen (bewerken) we selecteren het tabblad Veiligheid.

Stap 2
We klikken op Geavanceerde opties en het volgende venster wordt weergegeven:

We klikken op de optie Audit en later Toevoegen.

Stap 3
In het weergegeven venster kiezen we de optie Selecteer een opdrachtgever om te zien welk beleid u moet toevoegen.

We kozen voor de bezwaar om audit toe te passen:

Tot slot specificeren we de audit parameters (Lezen, Schrijven, etc.), klik op Accepteren om de wijzigingen op te slaan.

Met deze stappen hebben we de door ons gekozen selectie al geauditeerd.

HerinnerenWe kunnen auditbeleid implementeren met behulp van de tool AuditPol.exe opgenomen in Windows Server 2012, zal deze opdracht weergeven en ons in staat stellen om ons beleid te beheren.

De syntaxis die we voor deze opdracht kunnen gebruiken, omvat de volgende:

  • / krijgen: Huidig ​​beleid weergeven
  • /set: Opstellen van het auditbeleid
  • / lijst: De elementen van het beleid weergeven
  • / back-up: Sla het auditbeleid op in een bestand
  • / Doorzichtig: Het auditbeleid opschonen
  • /?: Help weergeven

4. Evenementen en evenementen uit de Event Viewer


Wanneer we ons beveiligingsbeleid hebben geconfigureerd, kunnen we in de gebeurtenisviewer alle verschillende gebeurtenissen zien die op onze server hebben plaatsgevonden. Deze gebeurtenissen worden weergegeven door een numerieke code, laten we eens kijken naar enkele van de meest representatieve gebeurtenissen:

Audit validatie van referenties

  • 4774: Er is een account toegewezen om in te loggen
  • 4775: Er is geen account toegewezen om in te loggen
  • 4776: De domeincontroller heeft geprobeerd de inloggegevens voor een account te valideren
  • 4777: De domeincontroller kan de referenties voor een account niet valideren

Gebeurteniscontrole voor accountaanmelding

  • 4778: Er is opnieuw verbinding gemaakt met een sessie op een Windows-station
  • 4779: Een station is losgekoppeld van een Windows-station
  • 4800: Een zender is geblokkeerd
  • 4801: Een station is ontgrendeld
  • 5632: Er is een vereiste gemaakt om een ​​Wi-Fi-netwerk te verifiëren
  • 5633: Er is een vereiste gemaakt om een ​​bekabeld netwerk te verifiëren

Applicatiecontrole voor groepsbeheer

  • 4783: Er is een basisgroepstoepassing gemaakt
  • 4784: Een basisgroepsapp is aangepast

Accountbeheer audit

  • 4741: Er is een computeraccount aangemaakt
  • 4742: Een computeraccount is gewijzigd
  • 4743: Een computeraccount is verwijderd

Beheer audit distributiegroep

  • 4744: Er is een lokale distributiegroep gemaakt
  • 4746: Een lid is toegevoegd aan een lokale distributiegroep
  • 4747: Een lid is verwijderd uit een lokale distributiegroep
  • 4749: Er is een wereldwijde distributiegroep gemaakt
  • 4750: Een wereldwijde distributiegroep is gewijzigd
  • 4753: Een wereldwijde distributiegroep is verwijderd
  • 4760: Er is een beveiligingsgroep gewijzigd

Audit van beveiligingsgroepbeheer

  • 4727: Er is een wereldwijde beveiligingsgroep gemaakt
  • 4728: Er is een lid toegevoegd aan een globale beveiligingsgroep
  • 4729: Een lid is verwijderd uit een globale beveiligingsgroep
  • 4730: Een wereldwijde beveiligingsgroep is verwijderd
  • 4731: Er is een lokale beveiligingsgroep gemaakt
  • 4732: Een lid is toegevoegd aan een lokale beveiligingsgroep

Controle gebruikersaccountbeheer

  • 4720: Er is een gebruikersaccount aangemaakt
  • 4722: Er is een gebruikersaccount ingeschakeld
  • 4723: Er is een poging gedaan om het wachtwoord te wijzigen
  • 4725: Een gebruikersaccount is uitgeschakeld
  • 4726: Een gebruikersaccount is verwijderd
  • 4738: Een gebruikersaccount is gewijzigd
  • 4740: Een gebruikersaccount is geblokkeerd
  • 4767: Een gebruikersaccount is ontgrendeld
  • 4781: De naam van een gebruikersaccount is gewijzigd

Procesaudits

  • 4688: Er is een nieuw proces gemaakt
  • 4696: Er is een primaire code toegewezen aan een proces
  • 4689: Een proces is beëindigd

Audits van directoryservices

  • 5136: Een directoryservice-object is gewijzigd
  • 5137: Er is een directoryservice-object gemaakt
  • 5138: Er is een directoryservice-object opgehaald
  • 5139: Een directoryservice-object is verplaatst
  • 5141: Een directoryservice-object is verwijderd

Accountcontroles

  • 4634: Een account is uitgelogd
  • 4647: Gebruiker is begonnen met uitloggen
  • 4624: Een account is succesvol ingelogd
  • 4625: Een account kan niet inloggen

Audits van gedeelde bestanden

  • 5140: Er is toegang tot een netwerkobject verkregen
  • 5142: Er is een netwerkobject toegevoegd
  • 5143: Een netwerkobject is gewijzigd
  • 5144: Een netwerkobject is verwijderd

Andere soorten audits

  • 4608: Windows is gestart
  • 4609: Windows is afgesloten
  • 4616: De tijdzone is gewijzigd
  • 5025: Windows-firewall is gestopt
  • 5024: Windows-firewall is gestart

Zoals we kunnen zien, zijn er veel meer codes om de verschillende gebeurtenissen weer te geven die dagelijks op onze server en ons netwerk plaatsvinden, we kunnen alle codes op de Microsoft-website zien.

5. Toegang tot de WServer 2012 Event Viewer


We gaan het proces kennen om toegang te krijgen tot de gebeurtenisviewer van onze server en van daaruit om te kunnen filteren of zoeken naar specifieke gebeurtenissen.

We moeten de Server Manager of Server Manager invoeren. Daar selecteren we de optie evenement kijker uit het menu Hulpmiddelen.

VERGROTEN

Daar wordt het betreffende venster weergegeven om naar de gebeurtenissen op ons apparaat te kunnen zoeken:

In het menu aan de linkerkant hebben we verschillende opties om de evenementen te zien.

Zoals we zien kunnen we filter op categorieën Wat:

  • Windows-logboeken
  • Toepassingslogboeken
  • Microsoft

En op onze beurt kunnen we zoeken op subcategorieën zoals Toepassing, Beveiliging, enz.

We kiezen bijvoorbeeld voor de optie Veiligheid uit het menu Windows-logboeken.

VERGROTEN

We zien in het centrale menu de evenement structuur:

  • Naam van het evenement
  • Evenement datum
  • Bron
  • Gebeurtenis-ID (al eerder gezien)
  • Categorie

In het menu aan de linkerkant vinden we opties om onze eventviewer aan te passen, zoals:

  • Opgeslagen records openen: Hiermee kunnen we records openen die we eerder hebben opgeslagen.
  • Aangepaste weergave: Hiermee kunnen we een weergave maken op basis van onze behoeften, we kunnen deze bijvoorbeeld maken op gebeurtenis-ID, op datum, op categorie, enz.
  • Aangepaste weergave importeren: Hiermee kunnen we onze gemaakte weergave naar een andere locatie importeren.
  • Leeg record: We kunnen de eventviewer op nul laten staan.
  • Huidige record filteren: We kunnen parameters uitvoeren om een ​​meer specifieke zoekopdracht uit te voeren.
  • Eigenschappen: Bekijk de eigenschappen van het evenement.

En zo realiseren we ons dat we andere opties hebben in onze eventviewer.
We kunnen een auditbeleid maken voor verwijderbare apparaten, hiervoor zullen we het volgende proces uitvoeren:

We gaan onze Serverbeheerder
Wij kiezen uit het menu Hulpmiddelen de optie Groepsbeleidsmanager.

We moeten ons domein weergeven, klik met de rechtermuisknop, klik Bewerking en voer de volgende route in:

  • Apparatuur instellen
  • richtlijnen
  • Windows-instellingen
  • Veiligheidsinstellingen
  • Geavanceerde instellingen voor controlebeleid
  • Beleidsinstellingen
  • Toegang tot objecten

We dubbelklikken op Toegang tot objecten, we kiezen voor de optie Verwisselbare opslag controleren.

Het respectieve venster wordt weergegeven, we activeren het selectievakje Configureer de volgende auditgebeurtenissen: en we kiezen voor de optie Juist.

Om de wijzigingen op te slaan klikken we op Van toepassing zijn en later Accepteren.

Zoals we kunnen zien, zijn er tools die het administratief beheer van een netwerk tot een uiterst belangrijke en verantwoordelijke taak maken, we moeten alles wat Windows Server 2012 ons biedt grondig onderzoeken om een ​​netwerk altijd beschikbaar te hebben.

Verberg stations Windows Server GPO

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Bescherm PS5 PSN-account - Snel en gemakkelijk
2
post-title
Fix Xiaomi Mi A3 geluidsprobleem
3
post-title
Op beveiliging gebaseerde Tails 3.5-update voor Linux beschikbaar
4
post-title
▷ Verander taal LOL Mac - League of Legends
5
post-title
Bootstrap verlengen

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -