Bekijk gebruikers die inloggen op Windows Server

Bekijk gebruikers die inloggen op Windows Server | Microsoft 2024
Bekijk gebruikers die inloggen op Windows Server | Microsoft 2024

Een van de belangrijkste zaken die we als beheerders in gedachten moeten houden, is de beveiliging van onze servers en apparatuur, het waarborgen van degenen die er toegang toe hebben en zorgen voor de privileges die ze daarin hebben. Het kan gebeuren dat een gebruiker, per ongeluk of niet, wijzigingen aanbrengt in verschillende serverparameters en net zoals er wijzigingen kunnen zijn die de prestaties en stabiliteit van het systeem niet beïnvloeden, kunnen andere wijzigingen de veiligheid, vertrouwelijkheid en prestaties van Windows aanzienlijk beïnvloeden Server 2016 en dit brengt op zijn beurt ernstige problemen met zich mee die zelfs tot juridische problemen kunnen leiden.

Naast het maken van back-upkopieën, is een van de best practices die we als beheerders, IT-managers en in het algemeen als systeempersoneel kunnen uitvoeren, een controlebeleid implementeren waarmee we kunnen controleren welke gebruikers zijn ingelogd op Windows Server 2016 (Of eerdere versies van W.Server) en op deze manier te kunnen analyseren of de systeemstoringen samenvallen met de login van een andere gebruiker dan de geautoriseerde. We gaan analyseren hoe we dit beleid kunnen implementeren in een Windows Server 2016-omgeving.

1. Instellingen voor controlebeleid


De eerste stap die we moeten nemen om onze auditbeleid zal zijn om de Group Policy Management Console te openen of Beheerconsole voor groepsbeleid, hiervoor gebruiken we de toetsencombinatie:

wij drukken op Binnenkomen of Oke en we zien het volgende venster:

in de zijn GPO-console we gaan als volgt verhuizen: 

 Forest / Domeinen / Nuestro_Dominio / Domeincontrollers / Standaardbeleid voor domeincontrollers

We zullen geven klik met de rechtermuisknop op Standaardbeleid voor domeincontrollers en wij selecteren Bewerking Om de groepsbeleid-editor te openen, zien we de volgende omgeving:

Daar moeten we de volgende route volgen:

  • computer configuratie
  • Beleid
  • Windows-instellingen
  • Veiligheidsinstellingen
  • Geavanceerde configuratie van auditbeleid
  • Auditbeleid

VERGROTEN

[kleur = rgb (169,169,169)] Klik op de afbeelding om te vergroten [/ kleur]

Zo zijn we in de Aan-/afmeldoptie en dat zouden we moeten doen controle inschakelen voor deze acties, dus wanneer een gebruiker inlogt, wordt deze geregistreerd in de gebeurtenisviewer zodat hij later de bijbehorende analyse kan invoeren en uitvoeren. Als we het rechtergedeelte zien, hebben we een reeks opties, maar we moeten het volgende aanpassen:

  • Audit uitloggen
  • Aanmelding controleren
  • Andere aanmeldings-/afmeldingsgebeurtenissen controleren

Deze drie (3) opties geven ons gedetailleerde informatie over:

  • Sessie logins
  • Sessie sluitingen
  • Apparatuurvergrendeling
  • Verbindingen via extern bureaublad
  • Enz.

Dubbelklik gewoon op de drie (3) opties en activeer het vak Configureer de volgende auditgebeurtenissen: en controleer de twee beschikbare opties (Succes -Bevredigend Y Mislukking - Verkeerd) om volledige controle te houden over aan- en afmeldgebeurtenissen in Windows Server 2016.

wij drukken op Van toepassing zijn en vervolgens Oke om de wijzigingen op te slaan.

2. Analyseer de gebeurteniskijker


Zodra we deze parameters correct hebben geconfigureerd, gaan we naar de gebeurtenisviewer om de respectieve gebeurtenissen te analyseren.

Auditgebeurtenissen voor inloggen en uitloggenNu zijn de ID's van de gebeurtenissen die we in gedachten moeten houden om te controleren de volgende:

  • 4624: Aanmelden (beveiligingsgebeurtenis)
  • 4647: Afmelden (beveiligingsgebeurtenis)
  • 6005: Systeem opstarten (systeemgebeurtenis)
  • 4778: Verbinding maken met een RDP - Extern bureaublad (beveiligingsgebeurtenis)
  • 4779: Afmelden bij RDP - Extern bureaublad (beveiligingsgebeurtenis)
  • 4800: Apparatuurvergrendeling (beveiligingsgebeurtenis)
  • 4801: Uitrusting ontgrendelen (beveiligingsgebeurtenis)

We zullen kunnen toegang tot de evenementviewer met een van de volgende opties:

  • Klik met de rechtermuisknop op het startpictogram VERGROTEN

    [kleur = rgb (169,169,169)] Klik op de afbeelding om te vergroten [/ kleur]

    Om de bovengenoemde gebeurtenissen te bekijken we zullen de optie Beveiliging selecteren op het tabblad Windows-logboeken:

    VERGROTEN

    [kleur = rgb (169,169,169)] Klik op de afbeelding om te vergroten [/ kleur]

    Volgende zullen we geven klik op de optie Huidig ​​logboek filteren om te kunnen filteren op gebeurtenis-ID. We moeten de ID of ID's invoeren die we willen valideren, we voeren eenvoudig de waarde in (in dit voorbeeld 4624) in het veld ID invoeren:

    wij drukken op Oke en we zullen het volgende resultaat zien:

    VERGROTEN

    [kleur = # a9a9a9] Klik op de afbeelding om te vergroten [/ kleur]

    Daar kunnen we elk van de evenementen selecteren om al uw informatie te analyseren:

    We kunnen in het bovenste gedeelte de gebruiker zien die is ingelogd, het domein waarin ze verbinding hebben gemaakt en andere parameters, in het onderste gedeelte kunnen we het type audit zien, de datum en tijd van het evenement, de beschrijving van het evenement en andere aspecten.

    Op deze manier we hebben een auditbeleid gemaakt op in- en uitlogniveau waarmee we te allen tijde een totaal beheer kunnen voeren over welke gebruikers en wanneer ze hebben ingelogd op Windows Server 2016 en van daaruit kunnen bepalen of er iets aan het systeem is gewijzigd.

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
Hoe de NetGear WiFi-extender te installeren
2
post-title
▷ Hoe installeer ik Audacity op Windows 10
3
post-title
Hoe Ubuntu 18.04 geoptimaliseerde virtuele machine op Hyper-V te maken en te installeren
4
post-title
Handleiding met Rundll32-opdrachten in Windows 10, 8, 7
5
post-title
Windows 7 Desktop-gadgets

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -