In unserer Rolle als IT-Personal sind wir bei vielen Gelegenheiten mit solchen Sicherheitssituationen konfrontiert. das Unbefugte Versuche, sich bei unserer Domain anzumelden darauf zuzugreifen und Aufgaben auszuführen, die nicht erlaubt oder autorisiert sind und die die Leistung des Systems und aller Objekte, die Teil der Organisation sind, ernsthaft beeinträchtigen können.
Wir wissen, dass Eindringlinge oder diejenigen, die auf unberechtigte Weise auf das System zugreifen möchten, versuchen, entweder von außen oder von der Organisation selbst einzudringen und sich als einen der aktiven Benutzer der Organisation auszugeben. Aus diesem Grund werden wir dieses Mal analysieren Wie können wir überwachen, wer versucht hat, das Passwort eines Benutzers zurückzusetzen? (Natürlich müssen wir uns mit dem Benutzer bestätigen, wenn er es nicht war) und auf diese Weise Sicherheitsmaßnahmen ergreifen oder solche, die je nach Schwere der Situation relevant sind.
Für diese Analyse verwenden wir eine Umgebung Windows Server 2016.
1. Gruppenrichtlinien-Editor GPO öffnen
Der erste Schritt, den wir unternehmen werden, besteht darin, den Gruppenrichtlinien-Manager mit einer der folgenden Optionen zu öffnen:
- Eingabe der Route:
Anfang / Alle Anwendungen / Management-Tools / Gruppenrichtlinienverwaltung
- Mit dem Ausführen-Befehl (Tastenkombination VERGRÖSSERN
Von dort aus bearbeiten wir die Richtlinien zu Versuchen und Login.
2. Gruppenrichtlinie bearbeiten
Um mit der Bearbeitung der Gruppenrichtlinie fortzufahren, zeigen wir unsere Domain an, in diesem Fallsolvtic.com, und klicken mit der rechten Maustaste auf Standarddomänenrichtlinie und dort werden wir die Option auswählen Bearbeiten.VERGRÖSSERN
Im angezeigten Fenster gehen wir auf die folgende Route:
- Geräteaufbau
- Richtlinien
- Windows-Einstellungen
- Sicherheitseinstellungen
- Lokale Richtlinien
VERGRÖSSERN
Wir doppelklicken auf Audit-Richtlinie und wir werden die Richtlinie mit dem Namen „Kontoverwaltung prüfen“. Wir werden sehen, dass der Standardwert "Es ist nicht definiert“. Doppelklicken Sie darauf oder klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften (Bearbeiten) und wir werden sehen, dass das folgende Fenster angezeigt wird:
3. Aktivieren der Überwachungsrichtlinie
Um diese Richtlinie zu aktivieren, aktivieren Sie einfach das Kontrollkästchen "Definieren Sie diese Richtlinieneinstellung„Und markieren Sie die Kästchen, die wir für notwendig erachten (Richtig / Fehler).Nachdem diese Werte definiert wurden, drücken Sie Anwenden und folglich Akzeptieren damit die Änderungen gespeichert werden. Wir können sehen, dass unsere Richtlinie in zufriedenstellender Weise geändert wurde.
VERGRÖSSERN
4. Überprüfung der Passwortänderungsversuche
Wir können die Richtlinien für die Domäne erzwingen, indem wir CMD öffnen und den Befehl eingeben:gpupdate / force
Damit die Richtlinien aktualisiert werden.Um zu überprüfen, ob der Benutzer versucht hat, eine Passwortänderung vorzunehmen, öffnen wir die Ereignisanzeige mit einer der folgenden Optionen:
- Geben Sie über den Befehl Ausführen den Begriff ein:
eventvwr
Und drücken Eintreten oder Akzeptieren.
- Aus der Speisekarte Werkzeuge in dem Serveradministrator und die Option auswählen Ereignisanzeige.
Wir werden sehen, dass sich das folgende Fenster öffnet:
VERGRÖSSERN
Wir werden auf der linken Seite die Option auswählen Windows / Sicherheitsprotokolle. Sobald wir Sicherheit auf der rechten Seite ausgewählt haben, wählen wir die Option Aktuellen Datensatz filtern und in das Feld Alle Ereignis-IDs geben wir die ID 4724 ein, die eine Sicherheits-ID ist, die sich auf die Versuche zur Passwortänderung bezieht.
Wir drücken Akzeptieren um alle zugehörigen Ereignisse anzuzeigen. Das erhaltene Ergebnis wird folgendes sein:
VERGRÖSSERN
Wir können das genaue Datum und die genaue Uhrzeit des Ereignisses sehen, was darauf hinweist, dass es sich um einen Versuch zum Zurücksetzen des Passworts handelte. Wir können auf das Ereignis doppelklicken, um weitere Details dazu anzuzeigen.
Wir stellen fest, dass in diesem Fall das Konto vorhanden ist, das versucht hat, die Änderung vorzunehmen SolvAdm und das Konto, für das die Änderung versucht wurde, in diesem Beispiel solvet2.
So können wir Überwachen Sie alle Versuche, Benutzerkennwörter zu ändern, sowohl richtig als auch falsch und visualisieren auf diese Weise detailliert, wer und wann die Änderung vorgenommen oder versucht hat, und so die notwendigen Maßnahmen zu ergreifen.
Wenn Sie die Filiale von . betreten möchten forensische Analyse-Audits, hinterlassen wir Ihnen einen Link zu einem praktischen Tool, das dafür weit verbreitet ist.
Forensische Prüfung von Windows