Zweifellos spiegelt sich die korrekte Verwaltung unseres Servers im optimalen Funktionieren jedes Merkmals unseres Servers und damit im Betriebspfad unseres Netzwerks wider.
Erweiterte Auditing-Richtlinien geben uns die Möglichkeit, eine zentralisiertere Kontrolle zu haben, da sie es uns erleichtern, die Ereignisse auf unserem Server zu überprüfen und klarer zu bestimmen, was täglich passiert.
Wir werden überprüfen, wie Sicherheitsrichtlinien implementiert werden, vorausgesetzt, dass unser Sicherheitsschema in drei (3) Bereiche unterteilt werden kann:
AuthentifizierungGeben Sie dem Benutzer eine Identität.
GenehmigungBietet Zugriff für den authentifizierten Benutzer.
HörenEs ermöglicht die Kontrolle über die am System angemeldeten Benutzer und die Änderungen, die sie ausführen können.
Eine der klassischen Fragen ist, ob wir wirklich Sicherheitsrichtlinien implementieren wollen. Es ist absolut notwendig, alles unter Kontrolle zu haben und Probleme zu vermeiden.
Warum sollten wir eine Sicherheitsrichtlinie implementieren?Als Administratoren ist es wichtig Sicherheitsrichtlinien anwenden um Themen zu besprechen wie:
- Welche Benutzer sich richtig anmelden.
- Wie viele erfolglose Versuche ein Benutzer hat.
- Änderungen im Active Directory unserer Organisation.
- Änderungen an bestimmten Dateien.
- Wer hat den Server neu gestartet oder heruntergefahren und warum?
In diesem Handbuch erfahren Sie, wie Sie mit Windows Server-Servern im Fokus, die Sie kontrollieren müssen, wie Sie Richtlinien implementieren, überwachen, erstellen und alles, was Sie für Ihre Geschäftsumgebung benötigen.
1. Verwalten Sie die Prüfung mit GPO-Gruppenrichtlinien
Wir müssen angeben, welche Arten von Systemereignissen wir mithilfe von Gruppenrichtlinien überwachen möchten.
Sehen wir uns einige der häufigsten Ereignisse an, die wir verwalten können:
Account Login
- Beschreibung
Bestimmt, wann das System ein erfolgreich protokolliertes Konto überwacht.
- Standardkonfiguration
Erfolgreiche Kontoanmeldung
Kontenverwaltung
- Beschreibung
Es bestimmt, wann das System jedes Ereignis eines protokollierten Kontos überwacht, z. B. Kennwortänderungen, Kontolöschung.
- Standardkonfiguration
Verwaltung der Aktivitäten der eingeloggten Konten zufriedenstellend
Zugriff auf das Diensteverzeichnis
- Beschreibung
Legt fest, wann der Systemüberwachungsbenutzer versucht, Active Directory zu betreten.
Anmeldung
- Beschreibung
Legt fest, wann das System den Versuch jedes Benutzers überwacht, sich beim System anzumelden oder abzumelden.
- Standardkonfiguration
Erfolgreicher Login.
Richtlinienänderung
- Beschreibung
Legt fest, wann das System jeden Versuch überprüft, die festgelegten Richtlinien der Domäne zu ändern.
- Standardkonfiguration
Erfolgreiche Richtlinienänderungen
System
- Beschreibung
Legt fest, wann das System Änderungen am System überprüft.
- Standardkonfiguration
Erfolgreiche Systemereignisse.
Wir müssen gewisse Vorkehrungen treffen beim Erstellen von Überwachungsrichtlinien zum Beispiel:
- Ein hohes Auditing-Niveau kann die Leistung des zu auditierenden Geräts drastisch beeinträchtigen.
- Wenn wir die Protokolle der Ereignisse durchsuchen, werden wir feststellen, dass es Tausende von Protokollen gibt und die Suche kann uns beeinflussen. Die zu auditierenden Zeitrahmen müssen klar definiert sein.
- Die aktuellsten Protokolle ersetzen die ältesten Protokolle. Dies kann uns daran hindern, wichtige Ereignisse zu sehen, die in einem früheren Zeitraum aufgetreten sind.
2. GPO-Überwachungsrichtlinie implementieren
Zu Implementieren einer Audit-Richtlinie wir müssen folgende Schritte durchführen:
Schritt 1
Wir öffnen unseren Server Manager oder Server Manager. Wir klicken auf Werkzeuge und wir wählen die Option Gruppenrichtlinienverwaltung.
VERGRÖSSERN
Damit das GPOs-Menü angezeigt wird, müssen wir die aktuelle Domäne anzeigen und mit der rechten Maustaste auf klicken Standarddomänenrichtlinie.
Schritt 2
Wir wählen die Option Bearbeiten und das Gruppenrichtlinienverwaltungs-Editor.
Wir setzen folgende Route ein:
- Geräteaufbau
- Richtlinien
- Windows-Einstellungen
- Sicherheitseinstellungen
- Lokale Richtlinien
- Prüfungsrichtlinie
Schritt 3
Wir werden sehen, dass ein Fenster mit den verschiedenen angezeigt wird Optionen zur Prüfung:
Wir doppelklicken auf die Option Login-Ereignisse prüfen, werden wir sehen, dass sich das Fenster mit den Eigenschaften dieses Audits öffnet.
Wir markieren das Kontrollkästchen Definieren Sie diese Richtlinieneinstellung um diese Richtlinie zu aktivieren, und wir aktivieren beide Kästchen (Correct und Error) und klicken auf Anwenden und endlich in Akzeptieren um die Änderungen zu speichern.
Wir werden sehen, dass sich die Änderungen aus unserer Prüfung widerspiegeln:
3. Audit-Richtlinie implementieren (Datei oder Ordner)
Wir können einer bestimmten Datei oder einem bestimmten Ordner eine Art von Audit hinzufügen, dazu führen wir den folgenden Prozess durch:
Schritt 1
Wir geben Rechtsklick in dem Ordner, dem wir Audit zuweisen möchten, und wählen Sie die Option Eigenschaften.
Im Fenster Eigenschaften (Bearbeiten) wir wählen die Registerkarte Sicherheit.
Schritt 2
Wir klicken auf Erweiterte Optionen und das folgende Fenster wird angezeigt:
Wir klicken auf die Option Prüfung und später in Hinzufügen.
Schritt 3
Im angezeigten Fenster wählen wir die Option Wählen Sie einen Schulleiter aus um herauszufinden, welche Richtlinie hinzugefügt werden soll.
Wir haben uns für das entschieden Widersprechen Sie der Anwendung des Audits:
Abschließend spezifizieren wir die Audit-Parameter (Read, Write, etc.), klicken Sie auf Akzeptieren um die Änderungen zu speichern.
Mit diesen Schritten haben wir die von uns gewählte Auswahl bereits auditiert.
MerkenWir können Audit-Richtlinien mit dem Tool implementieren AuditPol.exe in Windows Server 2012 enthalten ist, wird dieser Befehl angezeigt und ermöglicht uns die Verwaltung unserer Richtlinien.
Die Syntax, die wir für diesen Befehl verwenden können, umfasst Folgendes:
- / bekommen: Aktuelle Richtlinie anzeigen
- /einstellen: Legen Sie die Audit-Richtlinie fest
- / aufführen: Zeigen Sie die Elemente der Richtlinie an
- / Sicherung: Speichern Sie die Überwachungsrichtlinie in einer Datei
- / klar: Bereinigen Sie die Überwachungsrichtlinie
- /?: Hilfe anzeigen
4. Ereignisse und Ereignisse aus der Ereignisanzeige
Wenn wir unsere Sicherheitsrichtlinien konfiguriert haben, können wir in der Ereignisanzeige alle verschiedenen Ereignisse sehen, die auf unserem Server aufgetreten sind. Diese Ereignisse werden durch einen numerischen Code dargestellt. Sehen wir uns einige der repräsentativsten Ereignisse an:
Audit zur Validierung der Anmeldeinformationen
- 4774: Ein Konto wurde für die Anmeldung zugeordnet
- 4775: Ein Konto wurde nicht für die Anmeldung zugeordnet
- 4776: Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen
- 4777: Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen
Ereignisüberwachung für Kontoanmeldung
- 4778: Eine Sitzung wurde auf einer Windows-Station wieder verbunden
- 4779: Eine Station wurde von einer Windows-Station getrennt
- 4800: Ein Sender wurde gesperrt
- 4801: Eine Station wurde freigeschaltet
- 5632: Es wurde eine Anforderung zur Authentifizierung eines Wi-Fi-Netzwerks erstellt
- 5633: Es wurde eine Anforderung erstellt, um ein kabelgebundenes Netzwerk zu authentifizieren
Bewerbungsaudit für Konzernleitung
- 4783: Eine einfache Gruppenanwendung wurde erstellt
- 4784: Eine einfache Gruppen-App wurde geändert
Account-Management-Audit
- 4741: Ein Computerkonto wurde erstellt
- 4742: Ein Computerkonto wurde geändert
- 4743: Ein Computerkonto wurde gelöscht
Audit der Verteilergruppenverwaltung
- 4744: Eine lokale Verteilergruppe wurde erstellt
- 4746: Ein Mitglied wurde einer lokalen Verteilergruppe hinzugefügt
- 4747: Ein Mitglied wurde aus einer lokalen Verteilergruppe entfernt
- 4749: Eine globale Verteilergruppe wurde erstellt
- 4750: Eine globale Verteilergruppe wurde geändert
- 4753: Eine globale Verteilergruppe wurde entfernt
- 4760: Eine Sicherheitsgruppe wurde geändert
Audit der Sicherheitsgruppenverwaltung
- 4727: Eine globale Sicherheitsgruppe wurde erstellt
- 4728: Ein Mitglied wurde einer globalen Sicherheitsgruppe hinzugefügt
- 4729: Ein Mitglied wurde aus einer globalen Sicherheitsgruppe entfernt
- 4730: Eine globale Sicherheitsgruppe wurde entfernt
- 4731: Eine lokale Sicherheitsgruppe wurde erstellt
- 4732: Ein Mitglied wurde zu einer lokalen Sicherheitsgruppe hinzugefügt
Audit der Benutzerkontenverwaltung
- 4720: Ein Benutzerkonto wurde erstellt
- 4722: Ein Benutzerkonto wurde aktiviert
- 4723: Es wurde versucht, das Passwort zu ändern
- 4725: Ein Benutzerkonto wurde deaktiviert
- 4726: Ein Benutzerkonto wurde gelöscht
- 4738: Ein Benutzerkonto wurde geändert
- 4740: Ein Benutzerkonto wurde gesperrt
- 4767: Ein Benutzerkonto wurde entsperrt
- 4781: Der Name eines Benutzerkontos wurde geändert
Prozessaudits
- 4688: Ein neuer Prozess wurde erstellt
- 4696: Einem Prozess wurde ein Primärcode zugewiesen
- 4689: Ein Prozess ist beendet
Verzeichnisdienste-Audits
- 5136: Ein Verzeichnisdienstobjekt wurde geändert
- 5137: Ein Verzeichnisdienstobjekt wurde erstellt
- 5138: Ein Verzeichnisdienstobjekt wurde abgerufen
- 5139: Ein Verzeichnisdienstobjekt wurde verschoben
- 5141: Ein Verzeichnisdienstobjekt wurde gelöscht
Kontoprüfungen
- 4634: Ein Konto wurde abgemeldet
- 4647: Der Benutzer hat begonnen, sich abzumelden
- 4624: Ein Konto wurde erfolgreich angemeldet
- 4625: Ein Konto konnte sich nicht anmelden
Audits für gemeinsam genutzte Dateien
- 5140: Auf ein Netzwerkobjekt wurde zugegriffen
- 5142: Ein Netzwerkobjekt wurde hinzugefügt
- 5143: Ein Netzwerkobjekt wurde geändert
- 5144: Ein Netzwerkobjekt wurde gelöscht
Andere Arten von Audits
- 4608: Windows wurde gestartet
- 4609: Windows wurde heruntergefahren
- 4616: Die Zeitzone wurde geändert
- 5025: Windows-Firewall wurde gestoppt
- 5024: Windows-Firewall wurde gestartet
Wie wir sehen, gibt es viele weitere Codes, um die verschiedenen Ereignisse darzustellen, die täglich auf unserem Server und unserem Netzwerk stattfinden. Wir können alle Codes auf der Microsoft-Website sehen.
5. Zugriff auf die WServer 2012-Ereignisanzeige
Wir werden den Prozess kennen, um auf die Ereignisanzeige unseres Servers zuzugreifen und von dort aus nach bestimmten Ereignissen filtern oder suchen zu können.
Wir müssen den Server-Manager oder Server-Manager eingeben. Dort wählen wir die Option Ereignisanzeige aus der Speisekarte Werkzeuge.
VERGRÖSSERN
Dort wird das entsprechende Fenster angezeigt, um nach den Ereignissen auf unserem Gerät suchen zu können:
Im Menü auf der linken Seite haben wir verschiedene Optionen, um die Ereignisse anzuzeigen.
Wie wir sehen können wir nach Kategorien filtern Was:
- Windows-Protokolle
- Anwendungsprotokolle
- Microsoft
Und wiederum können wir nach Unterkategorien wie Anwendung, Sicherheit usw. suchen.
Zum Beispiel wählen wir die Option Sicherheit aus der Speisekarte Windows-Protokolle.
VERGRÖSSERN
Wir sehen im zentralen Menü die Veranstaltungsstruktur:
- Name der Veranstaltung
- Veranstaltungsdatum
- Quelle
- Ereignis-ID (schon vorher gesehen)
- Kategorie
Im linken Seitenmenü finden wir Optionen zum Anpassen unserer Ereignisanzeige, wie zum Beispiel:
- Gespeicherte Datensätze öffnen: Es ermöglicht uns, Datensätze zu öffnen, die wir zuvor gespeichert haben.
- Benutzerdefinierte Ansicht: Es ermöglicht uns, eine Ansicht basierend auf unseren Bedürfnissen zu erstellen, zum Beispiel können wir sie nach Ereignis-ID, nach Datum, nach Kategorie usw. erstellen.
- Benutzerdefinierte Ansicht importieren: Es ermöglicht uns, unsere erstellte Ansicht an einen anderen Ort zu importieren.
- Leerer Datensatz: Wir können die Ereignisanzeige auf Null belassen.
- Aktuellen Datensatz filtern: Wir können Parameter ausführen, um eine spezifischere Suche durchzuführen.
- Eigenschaften: Zeigen Sie die Eigenschaften des Ereignisses an.
Und so stellen wir fest, dass wir in unserer Ereignisanzeige andere Optionen haben.
Wir können eine Audit-Richtlinie für Wechseldatenträger erstellen, dazu führen wir den folgenden Prozess aus:
Wir betreten unsere Serveradministrator
Wir wählen aus der Speisekarte Werkzeuge die Option Gruppenrichtlinien-Manager.
Wir müssen unsere Domain anzeigen, Rechtsklick, Klick Bearbeiten und geben Sie die folgende Route ein:
- Geräteaufbau
- Richtlinien
- Windows-Einstellungen
- Sicherheitseinstellungen
- Erweiterte Überwachungsrichtlinieneinstellungen
- Richtlinieneinstellungen
- Zugriff auf Objekte
Wir doppelklicken auf Zugriff auf Objekte, wir wählen die Option Wechseldatenträger prüfen.
Das entsprechende Fenster wird angezeigt, wir aktivieren das Kontrollkästchen Konfigurieren Sie die folgenden Überwachungsereignisse und wir wählen die Option Richtig.
Um die Änderungen zu speichern klicken wir auf Anwenden und später in Akzeptieren.
Wie wir sehen, gibt es Tools, die die administrative Verwaltung eines Netzwerks zu einer äußerst wichtigen und verantwortungsvollen Aufgabe machen. Wir müssen alles gründlich erkunden, was uns Windows Server 2012 bietet, um ein Netzwerk immer verfügbar zu haben.
Laufwerke ausblenden Windows Server GPO