Konfigurieren erweiterter Richtlinien für die Windows Server-GPO-Überwachung

Konfigurieren erweiterter Richtlinien für die Windows Server-GPO-Überwachung

Zweifellos spiegelt sich die korrekte Verwaltung unseres Servers im optimalen Funktionieren jedes Merkmals unseres Servers und damit im Betriebspfad unseres Netzwerks wider.

Erweiterte Auditing-Richtlinien geben uns die Möglichkeit, eine zentralisiertere Kontrolle zu haben, da sie es uns erleichtern, die Ereignisse auf unserem Server zu überprüfen und klarer zu bestimmen, was täglich passiert.

Wir werden überprüfen, wie Sicherheitsrichtlinien implementiert werden, vorausgesetzt, dass unser Sicherheitsschema in drei (3) Bereiche unterteilt werden kann:

AuthentifizierungGeben Sie dem Benutzer eine Identität.

GenehmigungBietet Zugriff für den authentifizierten Benutzer.

HörenEs ermöglicht die Kontrolle über die am System angemeldeten Benutzer und die Änderungen, die sie ausführen können.

Eine der klassischen Fragen ist, ob wir wirklich Sicherheitsrichtlinien implementieren wollen. Es ist absolut notwendig, alles unter Kontrolle zu haben und Probleme zu vermeiden.

Warum sollten wir eine Sicherheitsrichtlinie implementieren?Als Administratoren ist es wichtig Sicherheitsrichtlinien anwenden um Themen zu besprechen wie:

  • Welche Benutzer sich richtig anmelden.
  • Wie viele erfolglose Versuche ein Benutzer hat.
  • Änderungen im Active Directory unserer Organisation.
  • Änderungen an bestimmten Dateien.
  • Wer hat den Server neu gestartet oder heruntergefahren und warum?

In diesem Handbuch erfahren Sie, wie Sie mit Windows Server-Servern im Fokus, die Sie kontrollieren müssen, wie Sie Richtlinien implementieren, überwachen, erstellen und alles, was Sie für Ihre Geschäftsumgebung benötigen.

1. Verwalten Sie die Prüfung mit GPO-Gruppenrichtlinien


Wir müssen angeben, welche Arten von Systemereignissen wir mithilfe von Gruppenrichtlinien überwachen möchten.
Sehen wir uns einige der häufigsten Ereignisse an, die wir verwalten können:

Account Login

  • Beschreibung

Bestimmt, wann das System ein erfolgreich protokolliertes Konto überwacht.

  • Standardkonfiguration

Erfolgreiche Kontoanmeldung

Kontenverwaltung

  • Beschreibung

Es bestimmt, wann das System jedes Ereignis eines protokollierten Kontos überwacht, z. B. Kennwortänderungen, Kontolöschung.

  • Standardkonfiguration

Verwaltung der Aktivitäten der eingeloggten Konten zufriedenstellend

Zugriff auf das Diensteverzeichnis

  • Beschreibung

Legt fest, wann der Systemüberwachungsbenutzer versucht, Active Directory zu betreten.

Anmeldung

  • Beschreibung

Legt fest, wann das System den Versuch jedes Benutzers überwacht, sich beim System anzumelden oder abzumelden.

  • Standardkonfiguration

Erfolgreicher Login.

Richtlinienänderung

  • Beschreibung

Legt fest, wann das System jeden Versuch überprüft, die festgelegten Richtlinien der Domäne zu ändern.

  • Standardkonfiguration

Erfolgreiche Richtlinienänderungen

System

  • Beschreibung

Legt fest, wann das System Änderungen am System überprüft.

  • Standardkonfiguration

Erfolgreiche Systemereignisse.

Wir müssen gewisse Vorkehrungen treffen beim Erstellen von Überwachungsrichtlinien zum Beispiel:

  • Ein hohes Auditing-Niveau kann die Leistung des zu auditierenden Geräts drastisch beeinträchtigen.
  • Wenn wir die Protokolle der Ereignisse durchsuchen, werden wir feststellen, dass es Tausende von Protokollen gibt und die Suche kann uns beeinflussen. Die zu auditierenden Zeitrahmen müssen klar definiert sein.
  • Die aktuellsten Protokolle ersetzen die ältesten Protokolle. Dies kann uns daran hindern, wichtige Ereignisse zu sehen, die in einem früheren Zeitraum aufgetreten sind.

2. GPO-Überwachungsrichtlinie implementieren


Zu Implementieren einer Audit-Richtlinie wir müssen folgende Schritte durchführen:

Schritt 1
Wir öffnen unseren Server Manager oder Server Manager. Wir klicken auf Werkzeuge und wir wählen die Option Gruppenrichtlinienverwaltung.

VERGRÖSSERN

Damit das GPOs-Menü angezeigt wird, müssen wir die aktuelle Domäne anzeigen und mit der rechten Maustaste auf klicken Standarddomänenrichtlinie.

Schritt 2
Wir wählen die Option Bearbeiten und das Gruppenrichtlinienverwaltungs-Editor.

Wir setzen folgende Route ein:

  • Geräteaufbau
  • Richtlinien
  • Windows-Einstellungen
  • Sicherheitseinstellungen
  • Lokale Richtlinien
  • Prüfungsrichtlinie

Schritt 3
Wir werden sehen, dass ein Fenster mit den verschiedenen angezeigt wird Optionen zur Prüfung:

Wir doppelklicken auf die Option Login-Ereignisse prüfen, werden wir sehen, dass sich das Fenster mit den Eigenschaften dieses Audits öffnet.

Wir markieren das Kontrollkästchen Definieren Sie diese Richtlinieneinstellung um diese Richtlinie zu aktivieren, und wir aktivieren beide Kästchen (Correct und Error) und klicken auf Anwenden und endlich in Akzeptieren um die Änderungen zu speichern.

Wir werden sehen, dass sich die Änderungen aus unserer Prüfung widerspiegeln:

3. Audit-Richtlinie implementieren (Datei oder Ordner)

Wir können einer bestimmten Datei oder einem bestimmten Ordner eine Art von Audit hinzufügen, dazu führen wir den folgenden Prozess durch:

Schritt 1
Wir geben Rechtsklick in dem Ordner, dem wir Audit zuweisen möchten, und wählen Sie die Option Eigenschaften.

Im Fenster Eigenschaften (Bearbeiten) wir wählen die Registerkarte Sicherheit.

Schritt 2
Wir klicken auf Erweiterte Optionen und das folgende Fenster wird angezeigt:

Wir klicken auf die Option Prüfung und später in Hinzufügen.

Schritt 3
Im angezeigten Fenster wählen wir die Option Wählen Sie einen Schulleiter aus um herauszufinden, welche Richtlinie hinzugefügt werden soll.

Wir haben uns für das entschieden Widersprechen Sie der Anwendung des Audits:

Abschließend spezifizieren wir die Audit-Parameter (Read, Write, etc.), klicken Sie auf Akzeptieren um die Änderungen zu speichern.

Mit diesen Schritten haben wir die von uns gewählte Auswahl bereits auditiert.

MerkenWir können Audit-Richtlinien mit dem Tool implementieren AuditPol.exe in Windows Server 2012 enthalten ist, wird dieser Befehl angezeigt und ermöglicht uns die Verwaltung unserer Richtlinien.

Die Syntax, die wir für diesen Befehl verwenden können, umfasst Folgendes:

  • / bekommen: Aktuelle Richtlinie anzeigen
  • /einstellen: Legen Sie die Audit-Richtlinie fest
  • / aufführen: Zeigen Sie die Elemente der Richtlinie an
  • / Sicherung: Speichern Sie die Überwachungsrichtlinie in einer Datei
  • / klar: Bereinigen Sie die Überwachungsrichtlinie
  • /?: Hilfe anzeigen

4. Ereignisse und Ereignisse aus der Ereignisanzeige


Wenn wir unsere Sicherheitsrichtlinien konfiguriert haben, können wir in der Ereignisanzeige alle verschiedenen Ereignisse sehen, die auf unserem Server aufgetreten sind. Diese Ereignisse werden durch einen numerischen Code dargestellt. Sehen wir uns einige der repräsentativsten Ereignisse an:

Audit zur Validierung der Anmeldeinformationen

  • 4774: Ein Konto wurde für die Anmeldung zugeordnet
  • 4775: Ein Konto wurde nicht für die Anmeldung zugeordnet
  • 4776: Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen
  • 4777: Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen

Ereignisüberwachung für Kontoanmeldung

  • 4778: Eine Sitzung wurde auf einer Windows-Station wieder verbunden
  • 4779: Eine Station wurde von einer Windows-Station getrennt
  • 4800: Ein Sender wurde gesperrt
  • 4801: Eine Station wurde freigeschaltet
  • 5632: Es wurde eine Anforderung zur Authentifizierung eines Wi-Fi-Netzwerks erstellt
  • 5633: Es wurde eine Anforderung erstellt, um ein kabelgebundenes Netzwerk zu authentifizieren

Bewerbungsaudit für Konzernleitung

  • 4783: Eine einfache Gruppenanwendung wurde erstellt
  • 4784: Eine einfache Gruppen-App wurde geändert

Account-Management-Audit

  • 4741: Ein Computerkonto wurde erstellt
  • 4742: Ein Computerkonto wurde geändert
  • 4743: Ein Computerkonto wurde gelöscht

Audit der Verteilergruppenverwaltung

  • 4744: Eine lokale Verteilergruppe wurde erstellt
  • 4746: Ein Mitglied wurde einer lokalen Verteilergruppe hinzugefügt
  • 4747: Ein Mitglied wurde aus einer lokalen Verteilergruppe entfernt
  • 4749: Eine globale Verteilergruppe wurde erstellt
  • 4750: Eine globale Verteilergruppe wurde geändert
  • 4753: Eine globale Verteilergruppe wurde entfernt
  • 4760: Eine Sicherheitsgruppe wurde geändert

Audit der Sicherheitsgruppenverwaltung

  • 4727: Eine globale Sicherheitsgruppe wurde erstellt
  • 4728: Ein Mitglied wurde einer globalen Sicherheitsgruppe hinzugefügt
  • 4729: Ein Mitglied wurde aus einer globalen Sicherheitsgruppe entfernt
  • 4730: Eine globale Sicherheitsgruppe wurde entfernt
  • 4731: Eine lokale Sicherheitsgruppe wurde erstellt
  • 4732: Ein Mitglied wurde zu einer lokalen Sicherheitsgruppe hinzugefügt

Audit der Benutzerkontenverwaltung

  • 4720: Ein Benutzerkonto wurde erstellt
  • 4722: Ein Benutzerkonto wurde aktiviert
  • 4723: Es wurde versucht, das Passwort zu ändern
  • 4725: Ein Benutzerkonto wurde deaktiviert
  • 4726: Ein Benutzerkonto wurde gelöscht
  • 4738: Ein Benutzerkonto wurde geändert
  • 4740: Ein Benutzerkonto wurde gesperrt
  • 4767: Ein Benutzerkonto wurde entsperrt
  • 4781: Der Name eines Benutzerkontos wurde geändert

Prozessaudits

  • 4688: Ein neuer Prozess wurde erstellt
  • 4696: Einem Prozess wurde ein Primärcode zugewiesen
  • 4689: Ein Prozess ist beendet

Verzeichnisdienste-Audits

  • 5136: Ein Verzeichnisdienstobjekt wurde geändert
  • 5137: Ein Verzeichnisdienstobjekt wurde erstellt
  • 5138: Ein Verzeichnisdienstobjekt wurde abgerufen
  • 5139: Ein Verzeichnisdienstobjekt wurde verschoben
  • 5141: Ein Verzeichnisdienstobjekt wurde gelöscht

Kontoprüfungen

  • 4634: Ein Konto wurde abgemeldet
  • 4647: Der Benutzer hat begonnen, sich abzumelden
  • 4624: Ein Konto wurde erfolgreich angemeldet
  • 4625: Ein Konto konnte sich nicht anmelden

Audits für gemeinsam genutzte Dateien

  • 5140: Auf ein Netzwerkobjekt wurde zugegriffen
  • 5142: Ein Netzwerkobjekt wurde hinzugefügt
  • 5143: Ein Netzwerkobjekt wurde geändert
  • 5144: Ein Netzwerkobjekt wurde gelöscht

Andere Arten von Audits

  • 4608: Windows wurde gestartet
  • 4609: Windows wurde heruntergefahren
  • 4616: Die Zeitzone wurde geändert
  • 5025: Windows-Firewall wurde gestoppt
  • 5024: Windows-Firewall wurde gestartet

Wie wir sehen, gibt es viele weitere Codes, um die verschiedenen Ereignisse darzustellen, die täglich auf unserem Server und unserem Netzwerk stattfinden. Wir können alle Codes auf der Microsoft-Website sehen.

5. Zugriff auf die WServer 2012-Ereignisanzeige


Wir werden den Prozess kennen, um auf die Ereignisanzeige unseres Servers zuzugreifen und von dort aus nach bestimmten Ereignissen filtern oder suchen zu können.

Wir müssen den Server-Manager oder Server-Manager eingeben. Dort wählen wir die Option Ereignisanzeige aus der Speisekarte Werkzeuge.

VERGRÖSSERN

Dort wird das entsprechende Fenster angezeigt, um nach den Ereignissen auf unserem Gerät suchen zu können:

Im Menü auf der linken Seite haben wir verschiedene Optionen, um die Ereignisse anzuzeigen.

Wie wir sehen können wir nach Kategorien filtern Was:

  • Windows-Protokolle
  • Anwendungsprotokolle
  • Microsoft

Und wiederum können wir nach Unterkategorien wie Anwendung, Sicherheit usw. suchen.

Zum Beispiel wählen wir die Option Sicherheit aus der Speisekarte Windows-Protokolle.

VERGRÖSSERN

Wir sehen im zentralen Menü die Veranstaltungsstruktur:

  • Name der Veranstaltung
  • Veranstaltungsdatum
  • Quelle
  • Ereignis-ID (schon vorher gesehen)
  • Kategorie

Im linken Seitenmenü finden wir Optionen zum Anpassen unserer Ereignisanzeige, wie zum Beispiel:

  • Gespeicherte Datensätze öffnen: Es ermöglicht uns, Datensätze zu öffnen, die wir zuvor gespeichert haben.
  • Benutzerdefinierte Ansicht: Es ermöglicht uns, eine Ansicht basierend auf unseren Bedürfnissen zu erstellen, zum Beispiel können wir sie nach Ereignis-ID, nach Datum, nach Kategorie usw. erstellen.
  • Benutzerdefinierte Ansicht importieren: Es ermöglicht uns, unsere erstellte Ansicht an einen anderen Ort zu importieren.
  • Leerer Datensatz: Wir können die Ereignisanzeige auf Null belassen.
  • Aktuellen Datensatz filtern: Wir können Parameter ausführen, um eine spezifischere Suche durchzuführen.
  • Eigenschaften: Zeigen Sie die Eigenschaften des Ereignisses an.

Und so stellen wir fest, dass wir in unserer Ereignisanzeige andere Optionen haben.
Wir können eine Audit-Richtlinie für Wechseldatenträger erstellen, dazu führen wir den folgenden Prozess aus:

Wir betreten unsere Serveradministrator
Wir wählen aus der Speisekarte Werkzeuge die Option Gruppenrichtlinien-Manager.

Wir müssen unsere Domain anzeigen, Rechtsklick, Klick Bearbeiten und geben Sie die folgende Route ein:

  • Geräteaufbau
  • Richtlinien
  • Windows-Einstellungen
  • Sicherheitseinstellungen
  • Erweiterte Überwachungsrichtlinieneinstellungen
  • Richtlinieneinstellungen
  • Zugriff auf Objekte

Wir doppelklicken auf Zugriff auf Objekte, wir wählen die Option Wechseldatenträger prüfen.

Das entsprechende Fenster wird angezeigt, wir aktivieren das Kontrollkästchen Konfigurieren Sie die folgenden Überwachungsereignisse und wir wählen die Option Richtig.

Um die Änderungen zu speichern klicken wir auf Anwenden und später in Akzeptieren.

Wie wir sehen, gibt es Tools, die die administrative Verwaltung eines Netzwerks zu einer äußerst wichtigen und verantwortungsvollen Aufgabe machen. Wir müssen alles gründlich erkunden, was uns Windows Server 2012 bietet, um ein Netzwerk immer verfügbar zu haben.

Laufwerke ausblenden Windows Server GPO

Sie werden die Entwicklung der Website helfen, die Seite mit Ihren Freunden teilen

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
So erstellen Sie einen Workflow in SharePoint Online
2
post-title
ASP.NET MVC - Konfigurationskonvention
3
post-title
▷ MySQL unter Ubuntu 20.04 deinstallieren
4
post-title
So entfernen oder platzieren Sie den Flash von Benachrichtigungen Samsung Galaxy S10 Plus
5
post-title
Cortana wird in seiner Version zum Herunterladen auf iOS erneuert

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -