Anzeigen von Benutzern, die sich bei Windows Server anmelden

Anzeigen von Benutzern, die sich bei Windows Server anmelden

Eines der wichtigsten Probleme, die wir als Administratoren im Auge behalten müssen, ist die Sicherheit unserer Server und Geräte, die Gewährleistung derjenigen, die Zugriff darauf haben, und deren Rechte. Es kann vorkommen, dass einige Benutzer versehentlich oder nicht Änderungen an verschiedenen Serverparametern vornehmen, und genauso wie Änderungen vorgenommen werden, die die Leistung und Stabilität des Systems nicht beeinträchtigen, können andere Änderungen die Sicherheit, Vertraulichkeit und Leistung von Windows erheblich beeinträchtigen Server 2016 und dies bringt wiederum gravierende Probleme mit sich, die sogar zu rechtlichen Problemen führen können.

Neben der Erstellung von Sicherungskopien ist eine der Best Practices, die wir als Administratoren, IT-Manager und allgemein als Systempersonal durchführen können Implementieren einer Überwachungsrichtlinie, mit der wir überwachen können, welche Benutzer bei Windows Server 2016 angemeldet sind (Oder frühere Versionen von W.Server) und auf diese Weise analysieren zu können, ob die Systemfehler mit der Anmeldung eines anderen als der autorisierten Benutzer zusammenfallen. Wir werden analysieren, wie wir diese Richtlinie in einer Windows Server 2016-Umgebung implementieren können.

1. Richtlinieneinstellungen überwachen


Der erste Schritt, den wir machen müssen, um unsere Prüfrichtlinie wird es sein, die Gruppenrichtlinien-Verwaltungskonsole aufzurufen oder Gruppenrichtlinien-Verwaltungskonsole, dafür verwenden wir die Tastenkombination:

Wir drücken Eintreten oder Okay und wir sehen das folgende Fenster:

Im sein GPO-Konsole wir werden uns wie folgt bewegen: 

 Gesamtstruktur / Domänen / Nuestro_Dominio / Domänencontroller / Richtlinie für Standarddomänencontroller

Wir werden geben Rechtsklick auf Default Domain Controllers Policy und wir wählen aus Bearbeiten Um den Gruppenrichtlinien-Editor aufzurufen, sehen wir die folgende Umgebung:

Dort müssen wir folgende Route einschlagen:

  • Computerkonfiguration
  • Richtlinien
  • Windows-Einstellungen
  • Sicherheitseinstellungen
  • Erweiterte Audit-Richtlinienkonfiguration
  • Prüfungsrichtlinien

VERGRÖSSERN

[color = rgb (169,169,169)] Zum Vergrößern auf das Bild klicken [/color]

Auf diese Weise haben wir die An-/Abmeldeoption und wir sollten Auditierung aktivieren für diese Aktionen, also wenn sich ein Benutzer anmeldet, wird er in der Ereignisanzeige registriert, damit er später die entsprechende Analyse eingeben und durchführen kann. Da wir den rechten Teil sehen, haben wir eine Reihe von Optionen, aber wir müssen die folgenden bearbeiten:

  • Audit-Abmeldung
  • Audit-Anmeldung
  • Andere Anmelde-/Abmeldeereignisse prüfen

Diese drei (3) Optionen liefern uns detaillierte Informationen über:

  • Sitzungsanmeldungen
  • Sitzungsschließungen
  • Geräteschloss
  • Verbindungen über Remote-Desktop
  • Etc.

Doppelklicken Sie einfach auf die drei (3) Optionen und aktivieren Sie die Box Konfigurieren Sie die folgenden Überwachungsereignisse und überprüfen Sie die beiden verfügbaren Optionen (Erfolg -Befriedigend Ja Fehler - falsch), um die volle Kontrolle über An- und Abmeldeereignisse in Windows Server 2016 zu behalten.

Wir drücken Anwenden und folglich Okay um die Änderungen zu speichern.

2. Analysieren Sie die Ereignisanzeige


Sobald wir diese Parameter richtig konfiguriert haben, gelangen wir in die Ereignisanzeige, um die jeweiligen Ereignisse zu analysieren.

Audit-Ereignisse für Anmeldung und AbmeldungNun sind die IDs der Ereignisse, die wir bei der Überwachung beachten müssen, wie folgt:

  • 4624: Anmeldung (Sicherheitsereignis)
  • 4647: Abmelden (Sicherheitsereignis)
  • 6005: Systemstart (Systemereignis)
  • 4778: Herstellen einer Verbindung mit einem RDP – Remotedesktop (Sicherheitsereignis)
  • 4779: Abmelden von RDP – Remotedesktop (Sicherheitsereignis)
  • 4800: Gerätesperre (Sicherheitsereignis)
  • 4801: Geräteentsperrung (Sicherheitsereignis)

Wir werden können auf die Ereignisanzeige zugreifen mit einer der folgenden Optionen:

  • Rechtsklick auf das Startsymbol VERGRÖSSERN

    [color = rgb (169,169,169)] Zum Vergrößern auf das Bild klicken [/color]

    Um die oben genannten Ereignisse zu überprüfen Wir werden die Option Sicherheit auf der Registerkarte Windows-Protokolle auswählen:

    VERGRÖSSERN

    [color = rgb (169,169,169)] Zum Vergrößern auf das Bild klicken [/color]

    Als nächstes geben wir Klicken Sie auf die Option Aktuelles Protokoll filtern um nach Ereignis-ID filtern zu können. Wir müssen die ID oder IDs eingeben, die wir validieren möchten, wir geben einfach den Wert (in diesem Beispiel 4624) in das Feld ID eingeben ein:

    Wir drücken Okay und wir werden folgendes Ergebnis sehen:

    VERGRÖSSERN

    [color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

    Dort können wir eines der Ereignisse auswählen, um alle Ihre Informationen zu analysieren:

    Im oberen Teil sehen wir den Benutzer, der sich angemeldet hat, die Domäne, in der er sich verbunden hat und andere Parameter, im unteren Teil sehen wir die Art des Audits, das Datum und die Uhrzeit des Ereignisses, die Beschreibung des Ereignisses und andere Aspekte.

    Diesen Weg Wir haben eine Audit-Richtlinie auf Login- und Logout-Ebene erstellt die es uns ermöglicht, jederzeit und vollständig zu verwalten, welche Benutzer sich bei Windows Server 2016 angemeldet haben und von dort aus feststellen können, ob Änderungen am System vorgenommen wurden.

Sie werden die Entwicklung der Website helfen, die Seite mit Ihren Freunden teilen

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
▷ FEDORA I3 INSTALLIEREN ✔️ Verteilung 2021
2
post-title
▷ Installieren Sie die VirtualBox-Gasterweiterungen Ubuntu 20.10, 20.04
3
post-title
Anonym im Netzwerk mit OSx
4
post-title
So importieren Sie PowerPoint in Google Slides-Präsentationen
5
post-title
▷ Microsoft Store öffnet nicht und funktioniert nicht Windows 10 2021

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -