Wijzigingen in Active Directory registreren en controleren

Wijzigingen in Active Directory registreren en controleren

Een van de meest gevoelige zaken die een organisatie voor ogen heeft, is veiligheid en vertrouwelijkheid, niet alleen in haar principes maar in haar gehele infrastructuur (apparatuur, gegevens, gebruikers, enz.) en een groot deel van al deze informatie wordt opgeslagen op de servers van de organisatie en als we als beheerder, coördinator of systeemassistent toegang hebben tot de server, staan ​​we voor een grote verantwoordelijkheid om ongeautoriseerde toegang tot het systeem te voorkomen.

Bij veel gelegenheden, ik hoop het helemaal niet, is dat in sommige situaties ze zijn gepresenteerd? toegang niet vanwege het systeem Y ongeautoriseerde wijzigingen zijn aangebracht en helaas Het is niet bekend welke gebruiker verantwoordelijk was of wanneer de gebeurtenis plaatsvond.

We gaan een echt voorbeeld van deze situatie geven:

Op een bepaald moment in het bedrijf ging iemand de server binnen en verwijderde een gebruiker die, hoewel hij een standaardnaam had, een gebruiker was die werd gebruikt om toegang te krijgen tot een productieve machine. groot probleem en het was niet kon bepalen wie of hoe de verandering maakte.

Gelukkig kunnen we met Windows Server een proces uitvoeren om alle gebeurtenissen op de server te controleren en in deze studie gaan we analyseren hoe deze audit uit te voeren? eenvoudig en effectief.

De omgeving waarin we zullen werken zal zijn Technische preview van Windows Server 2016 Datacenter 5.

1. Audit van de Active Directory implementeren


Het eerste wat we moeten doen is de groepsbeleidsbeheerconsole of gpmc invoeren, hiervoor gebruiken we de toetsencombinatie:

In deze gevallen moeten we installeer gpmc met een van de volgende opties:

  • Ga naar de Server Manager en open de optie: Rollen en functies toevoegen en later Functies - Functies selecteren Groepsbeleidsmanagement.
  • Via Windows PowerShell met behulp van de cmdlet: 
     Windows-InstallFeature -Naam GPMC

Zodra we toegang hebben tot gpmc, zien we het venster waarin het verschijnt Woud, we implementeren het en later Domeinen, dan de naam van ons domein, dan tonen we Domeincontrollers en tot slot selecteren we Standaard domeincontrollerbeleid.

Daar klikken we met de rechtermuisknop op Standaardbeleid voor domeincontrollers en wij selecteren Bewerking of Bewerking om er enkele aanpassingen aan te doen en zo de gebeurtenissen in onze Windows Server 2016 op te nemen.

We zullen het volgende zien:

Zoals we kunnen zien, hebben we toegang gekregen tot de redacteur van de Domain Controller Group Policies, nu we daar zijn gaan we naar de volgende route:

  • computer configuratie
  • Beleid
  • Windows-instellingen
  • Veiligheidsinstellingen
  • Geavanceerde configuratie van auditbeleid
  • Auditbeleid

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

Daar moeten we de parameters van de volgende elementen configureren:

  • Accountaanmelding
  • Accountbeheer
  • DS-toegang
  • Aanmelden/afmelden
  • Toegang tot objecten
  • Beleidswijziging

Laten we configureren Accountaanmelding, zullen we zien dat eenmaal geselecteerd aan de rechterkant het volgende wordt weergegeven:

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

Daar moeten we elk van deze opties als volgt configureren. Dubbelklik op elk en voeg de volgende parameters toe.

Wij activeren de box Configureer de volgende auditgebeurtenissen: en we markeren de twee beschikbare vakjes, Succes Y Mislukking, (Met deze waarden kunnen de succesvolle en mislukte gebeurtenissen worden vastgelegd).

We doen dit met iedereen en druk op Van toepassing zijn en later Oke om de wijzigingen op te slaan.

We herhalen dit proces voor alle velden in de volgende parameters:

  • Accountbeheer
  • DS-toegang
  • Aanmelden/afmelden
  • Toegang tot objecten
  • Beleidswijziging

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

We zien aan de rechterkant in de kolom Auditgebeurtenissen dat de geconfigureerde waarden zijn gewijzigd (geslaagd en mislukt).

Vervolgens gaan we het beleid dat we hebben gewijzigd afdwingen zodat het systeem ze aanneemt, hiervoor zullen we de cmd-opdrachtregel invoeren en de volgende opdracht invoeren: 

 gpupdate / forceren
[color = # a9a9a9] Beleid bijwerken zonder opnieuw op te starten. [/ color]

We sluiten de cmd af met het exit-commando. Nu gaan we open de ADSI- of ADSI Edit-editor de term gebruiken adsiedit.msc via de opdracht Uitvoeren (Windows + R) of door de term ADSI in het zoekvak van Windows Server 2016 in te voeren en te selecteren ADSI bewerken.

We zien het volgende venster:

Zodra we in ADSI Edit zijn, klikken we met de rechtermuisknop op ADSI bewerken aan de linkerkant en selecteer Verbinden aan.

Het volgende venster wordt weergegeven:

Op het platteland Verbindingspunt op het tabblad "Selecteer een bekende naamgeving Context " We zullen de volgende opties zien om verbinding te maken:

  • Standaard naamgevingscontext
  • Configuratie
  • RootDSE
  • Schema

Deze waarden bepalen hoe gebeurtenissen worden vastgelegd in Windows Server 2016, in dit geval moeten we de optie selecteren Configuratie zodat de te loggen gebeurtenissen de waarden aannemen van de configuratie die eerder in gpmc is gemaakt.

wij drukken op Oke en we moeten de vorige stap herhalen om de andere waarden toe te voegen:

  • Standaard
  • RootDSE
  • Schema

Dit wordt het uiterlijk van ADSI bewerken zodra we alle velden hebben toegevoegd.

Nu moeten we de audit in elk van deze waarden inschakelen, hiervoor zullen we het proces in Standaard naamgevingscontext en we gaan dit proces herhalen voor de anderen.

We geven het veld weer en klikken met de rechtermuisknop op de regel van onze domeincontroller en selecteren Eigenschappen (bewerken) - Eigenschappen.

We zullen het volgende venster zien waarin we het tabblad selecteren: Veiligheid - Veiligheid.

Daar zullen we op de knop drukken Geavanceerd - Geavanceerd en we zullen de volgende omgeving zien waarin we het tabblad selecteren: Auditing - Controle.

Terwijl we daar zijn, klikken we op Toevoegen om Iedereen toe te voegen en op deze manier de taken te kunnen controleren die door elke gebruiker worden uitgevoerd, ongeacht hun privilegeniveau; Zodra we op Toevoegen drukken, zoeken we de gebruiker als volgt:

wij drukken op Oke en in het weergegeven venster zullen we alle vakjes aanvinken en alleen het volgende uitvinken om te controleren:

  • Volledige controle
  • Lijst inhoud
  • Lees alle eigenschappen
  • Leesrechten

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

wij drukken op Oke om de wijzigingen op te slaan.

2. Auditgebeurtenissen van wijzigingen die zijn aangebracht in AD


Laten we niet vergeten om dezelfde stappen uit te voeren voor de andere waarden in de knooppunten van ADSI bewerken. Om te valideren dat alle wijzigingen die zijn aangebracht in Windows Server 2016 zijn geregistreerd, openen we de eventviewer, we kunnen deze als volgt openen:
  • Klik met de rechtermuisknop op het startpictogram en selecteer Evenementenkijker of Evenementenkijker.
  • Vanuit de opdracht Uitvoeren kunnen we de term invoeren: 
     eventvwr
    en druk op Enter.

Zo ziet de Event Viewer eruit in Windows Server 2016.

VERGROTEN

Zoals we kunnen zien, merken we op dat we vier categorieën hebben, namelijk:

  • Aangepaste weergaven: Met deze optie kunnen we aangepaste weergaven van de gebeurtenissen op de server maken.
  • Windows-logboeken: Via deze optie kunnen we alle gebeurtenissen analyseren die zich hebben voorgedaan in de Windows-omgeving, of het nu gaat om beveiligingsniveau, opstarten, gebeurtenissen, systeem, enz.
  • Logboeken voor toepassingen en services: Met dit alternatief kunnen we de gebeurtenissen zien die hebben plaatsgevonden met betrekking tot de services en applicaties die zijn geïnstalleerd op Windows Server 2016.
  • abonnementen: Het is een nieuwe functie in de viewer waarmee je alle gebeurtenissen kunt analyseren die zich hebben voorgedaan met Windows-abonnementen, zoals Azure.

Laten we bijvoorbeeld de gebeurtenissen weergeven die zijn geregistreerd op het beveiligingsniveau door de optie te selecteren Windows-logboeken en daar kiezen Veiligheid.

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

Zoals we kunnen zien, worden de evenementen geregistreerd op trefwoord, datum en tijd van het evenement, ID, wat erg belangrijk is, enz.
Als we analyseren, zullen we zien dat er duizenden gebeurtenissen zijn en het kan moeilijk zijn om één voor één te lezen om te zien welke gebeurtenis plaatsvond, om deze taak te vereenvoudigen, kunnen we op de knop drukken Huidig ​​logboek filteren om gebeurtenissen op verschillende manieren te filteren.

Daar kunnen we de gebeurtenissen filteren op mate van affectie (Critical, Let op, etc.), op datum, op ID, etc.

Als we de willen zien aanmeldingsgebeurtenissen We kunnen filteren op de IKD 4624 (Logon) en we krijgen de volgende resultaten:

VERGROTEN

[kleur = # a9a9a9] Klik op afbeelding om te vergroten [/ kleur]

We kunnen dubbelklikken op het evenement of rechtsklikken en selecteren Evenement eigenschappen om gedetailleerde informatie over gebeurtenissen te bekijken, zoals datum en tijd, apparatuur waarop de gebeurtenis is opgenomen, enz.

Op deze manier hebben we een grote tool om te analyseren wie enige wijziging heeft aangebracht aan een gebruiker, een object of in het algemeen aan de Windows Server 2016-omgeving.

Enkele van de belangrijkste ID's die we kunnen verifiëren zijn:

ID / evenement528 succesvolle log in
520 De systeemtijd is gewijzigd
529 Verkeerde login (onbekende naam of verkeerd wachtwoord)
538 Uitloggen
560 Object openen
4608 Windows opstarten
4609 Windows afsluiten
4627 Informatie over groepsleden
4657 Een registerwaarde is gewijzigd
4662 Er is een gebeurtenis uitgevoerd op een object
4688 Er is een nieuw proces gemaakt
4698 Er is een geplande taak gemaakt
4699 Een geplande taak is verwijderd
4720 Er is een gebruikersaccount aangemaakt
4722 Er is een gebruikersaccount ingeschakeld
4723 Er is geprobeerd een wachtwoord te wijzigen
4725 Een gebruikersaccount is uitgeschakeld
4726 Een gebruikersaccount is verwijderd
4728 Een gebruiker is toegevoegd aan een globale groep
4729 Een gebruiker is verwijderd uit een globale groep
4730 Een beveiligingsgroep is verwijderd
4731 Er is een beveiligingsgroep gemaakt
4738 Een gebruikersaccount is gewijzigd
4739 Een domeinbeleid is gewijzigd
4740 Een gebruikersaccount is geblokkeerd
4741 Er is een team gemaakt
4742 Een team is gewijzigd
4743 Er is een team uitgeschakeld
4800 De computer is geblokkeerd
4801 De apparatuur is ontgrendeld
5024 Succesvol opstarten van de firewall
5030 Firewall kan niet worden gestart
5051 Een bestand is gevirtualiseerd
5139 Een adreslijstservice is verplaatst
5136 Een adreslijstservice is gewijzigd

Zoals we kunnen zien, hebben we veel ID's beschikbaar om elke gebeurtenis in ons systeem te analyseren. Windows Server 2016 en stellen ons dus in staat om specifieke controle te hebben over die gebeurtenissen die de prestaties en beveiliging van het systeem kunnen beïnvloeden.

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Hoe weet ik welk JAAR mijn pc is ✔️ Laptop
2
post-title
Schijfopruiming Windows 10 duurt te lang en werkt niet
3
post-title
Automatisch afspelen of automatisch starten van video's uitschakelen in Firefox
4
post-title
Hoe Instagram-verhalen en -berichten te dempen
5
post-title
Hoe Android mobiel te bedienen vanaf Windows 10 pc

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -