Aufzeichnen und Überwachen von Änderungen an Active Directory

Aufzeichnen und Überwachen von Änderungen an Active Directory

Eines der sensibelsten Themen, die ein Unternehmen im Auge hat, ist Sicherheit und Vertraulichkeit, nicht nur in seinen Grundsätzen, sondern in seiner gesamten Infrastruktur (Ausrüstung, Daten, Benutzer usw.) und ein großer Teil all dieser Informationen wird auf den Servern gespeichert der Organisation und wenn wir als Administrator, Koordinator oder Systemassistent Zugriff auf den Server haben, sind wir mit einer großen Verantwortung konfrontiert, um unbefugten Zugriff auf das System zu verhindern.

Bei vielen Gelegenheiten hoffe ich überhaupt nicht, dass sie in einigen Situationen präsentiert wurden Zugriff nicht systembedingt Ja Es wurden nicht autorisierte Änderungen vorgenommen und leider Es ist nicht bekannt, welcher Benutzer verantwortlich war oder wann die Veranstaltung war.

Wir werden ein reales Beispiel für diese Situation anführen:

Irgendwann im Unternehmen betrat jemand den Server und löschte einen Benutzer, der zwar einen Standardnamen hatte, aber ein Benutzer war, der für den Zugriff auf eine produktive Maschine verwendet wurde großes Problem und es konnte nicht festgestellt werden, wer oder wie die Änderung vorgenommen hat.

Glücklicherweise ermöglicht uns Windows Server, einen Prozess durchzuführen, um alle Ereignisse zu überprüfen, die auf dem Server aufgetreten sind, und in dieser Studie werden wir analysieren wie Sie dieses Audit implementieren einfach und effektiv.

Die Umgebung, in der wir arbeiten werden, wird sein Technische Vorschau für Windows Server 2016 Datacenter 5.

1. Implementieren Sie die Prüfung des Active Directory


Als erstes müssen wir die Gruppenrichtlinien-Verwaltungskonsole oder gpmc eingeben, dazu verwenden wir die Tastenkombination:

In diesen Fällen müssen wir gpmc installieren mit einer der folgenden Optionen:

  • Rufen Sie den Server-Manager auf und öffnen Sie die Option: Rollen und Funktionen hinzufügen und später in Funktionen - Funktionen zur Auswahl Gruppenrichtlinienverwaltung.
  • Über Windows PowerShell mit dem Cmdlet: 
     Windows-Installationsfunktion -Name GPMC

Sobald wir Zugriff auf gpmc haben, sehen wir das Fenster, in dem es erscheint Wald, wir stellen es und später bereit Domänen, dann der Name unserer Domain, dann zeigen wir an Domänencontroller und schließlich wählen wir aus Standard-Domänencontrollerrichtlinie.

Dort klicken wir mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie und wir wählen aus Bearbeiten oder Bearbeiten einige Anpassungen daran vorzunehmen und so die Aufzeichnung der Ereignisse zu ermöglichen, die in unserem Windows Server 2016 aufgetreten sind.

Wir werden folgendes sehen:

Wie wir sehen, konnten wir auf die Herausgeber der Domänencontroller-Gruppenrichtlinien, da wir jetzt da sind, gehen wir die folgende Route:

  • Computerkonfiguration
  • Richtlinien
  • Windows-Einstellungen
  • Sicherheitseinstellungen
  • Erweiterte Audit-Richtlinienkonfiguration
  • Prüfungsrichtlinien

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Dort müssen wir die Parameter der folgenden Elemente konfigurieren:

  • Kontoanmeldung
  • Kontoverwaltung
  • DS-Zugriff
  • Anmelden / Abmelden
  • Objektzugriff
  • Richtlinienänderung

Lass uns konfigurieren Kontoanmeldung, sehen wir, dass nach der Auswahl auf der rechten Seite Folgendes angezeigt wird:

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Dort müssen wir jede dieser Optionen wie folgt konfigurieren. Doppelklicken Sie auf jeden einzelnen und fügen Sie die folgenden Parameter hinzu.

Wir aktivieren die Box Konfigurieren Sie die folgenden Überwachungsereignisse und wir markieren die beiden verfügbaren Kästchen, Erfolg Ja Fehler, (Diese Werte ermöglichen die Protokollierung der erfolgreichen und fehlgeschlagenen Ereignisse).

Wir machen das mit jedem und drücken Anwenden und später Okay um die Änderungen zu speichern.

Wir wiederholen diesen Vorgang für alle Felder in den folgenden Parametern:

  • Kontoverwaltung
  • DS-Zugriff
  • Anmelden / Abmelden
  • Objektzugriff
  • Richtlinienänderung

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Wir sehen auf der rechten Seite in der Spalte Audit-Ereignisse dass die konfigurierten Werte geändert wurden (Erfolg und Fehler).

Als nächstes werden wir die von uns geänderten Richtlinien erzwingen, damit das System sie übernimmt. Dazu geben wir die cmd-Befehlszeile ein und geben den folgenden Befehl ein: 

 gpupdate / force
[color = # a9a9a9] Richtlinien aktualisieren, ohne neu starten zu müssen.[/color]

Wir beenden das cmd mit dem Befehl exit. Jetzt gehen wir öffne den ADSI- oder ADSI-Edit-Editor den Begriff verwenden adsiedit.msc über den Befehl Ausführen (Windows + R) oder durch Eingabe des Begriffs ADSI in das Suchfeld von Windows Server 2016 und Auswahl von ADSI-Bearbeitung.

Wir sehen das folgende Fenster:

Sobald wir in ADSI Edit sind, klicken wir mit der rechten Maustaste auf ADSI-Bearbeitung auf der linken Seite und wählen Sie Verbunden mit.

Das folgende Fenster wird angezeigt:

Auf dem Land Verbindungspunkt im Reiter "Wählen Sie einen bekannten Namenskontext " Wir sehen die folgenden Optionen zum Verbinden:

  • Standard-Namenskontext
  • Aufbau
  • RootDSE
  • Schema

Diese Werte bestimmen, wie Ereignisse aufgezeichnet werden sollen Windows Server 2016, in diesem Fall müssen wir die Option auswählen Aufbau damit die zu protokollierenden Ereignisse die Werte der zuvor in gpmc vorgenommenen Konfiguration annehmen.

Wir drücken Okay und wir müssen den vorherigen Schritt wiederholen, um die anderen Werte hinzuzufügen:

  • Standard
  • RootDSE
  • Schema

Dies wird das Aussehen von . sein ADSI-Bearbeitung Sobald wir alle Felder hinzugefügt haben.

Jetzt müssen wir das Audit in jedem dieser Werte aktivieren, dafür werden wir den Prozess in Standardbenennungskontext und wir werden diesen Prozess für die anderen wiederholen.

Wir zeigen das Feld an und klicken mit der rechten Maustaste auf die Zeile unseres Domänencontrollers und wählen Eigenschaften (Bearbeiten) - Eigenschaften.

Wir sehen das folgende Fenster, in dem wir die Registerkarte auswählen Sicherheit - Sicherheit.

Dort drücken wir den Knopf Fortschrittlich - Fortschrittlich und wir sehen die folgende Umgebung, in der wir die Registerkarte auswählen Auditierung - Prüfung.

Dort klicken wir auf Hinzufügen um Jeder hinzuzufügen und auf diese Weise die von jedem Benutzer ausgeführten Aufgaben unabhängig von seiner Berechtigungsstufe überprüfen zu können; Sobald wir auf Hinzufügen klicken, suchen wir nach dem Benutzer wie folgt:

Wir drücken Okay und im angezeigten Fenster werden wir alle Kontrollkästchen aktivieren und nur Folgendes deaktivieren, um zu prüfen:

  • Volle Kontrolle
  • Listeninhalt
  • Alle Eigenschaften lesen
  • Leseberechtigungen

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Wir drücken Okay um die Änderungen zu speichern.

2. Audit-Ereignisse von Änderungen in AD


Denken wir daran, die gleichen Schritte für die anderen Werte in den Knoten von durchzuführen ADSI-Bearbeitung. Um zu bestätigen, dass alle Änderungen, die in Windows Server 2016 registriert sind, öffnen wir die Ereignisanzeige, wir können sie wie folgt öffnen:
  • Klicken Sie mit der rechten Maustaste auf das Startsymbol und wählen Sie Ereignisanzeige oder Ereignisanzeige.
  • Aus dem Befehl Ausführen können wir den Begriff eingeben: 
     eventvwr
    und drücken Sie die Eingabetaste.

So sieht die Ereignisanzeige aus Windows Server 2016.

VERGRÖSSERN

Wie wir sehen, stellen wir fest, dass wir vier Kategorien haben, die sind:

  • Benutzerdefinierte Ansichten: Mit dieser Option können wir benutzerdefinierte Ansichten der Ereignisse auf dem Server erstellen.
  • Windows-Protokolle: Durch diese Option können wir alle Ereignisse analysieren, die in der Windows-Umgebung aufgetreten sind, sei es auf Sicherheitsebene, Start, Ereignisse, System usw.
  • Anwendungs- und Dienstprotokolle: Mit dieser Alternative können wir die Ereignisse anzeigen, die in Bezug auf die auf Windows Server 2016 installierten Dienste und Anwendungen aufgetreten sind.
  • Abonnements: Es handelt sich um eine neue Funktion im Viewer, mit der Sie alle Ereignisse analysieren können, die bei Windows-Abonnements wie Azure aufgetreten sind.

Lassen Sie uns zum Beispiel die auf der Sicherheitsstufe registrierten Ereignisse anzeigen, indem Sie die Option auswählen Windows-Protokolle und dort wählen Sicherheit.

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Wie wir sehen, werden die Ereignisse nach Schlüsselwort, Datum und Uhrzeit des Ereignisses, der sehr wichtigen ID usw. registriert.
Wenn wir analysieren, sehen wir, dass es Tausende von Ereignissen gibt und es kann schwierig sein, einzeln zu lesen, um zu sehen, welches Ereignis aufgetreten ist. Um diese Aufgabe zu vereinfachen, können wir die Taste drücken Aktuelles Protokoll filtern um Ereignisse auf verschiedene Weise zu filtern.

Dort können wir die Ereignisse nach Betroffenheitsgrad (Kritisch, Vorsicht usw.), nach Datum, nach ID usw. filtern.

Wenn wir das sehen wollen Anmeldeereignisse Wir können nach der IKD 4624 (Logon) filtern und erhalten folgende Ergebnisse:

VERGRÖSSERN

[color = # a9a9a9] Zum Vergrößern auf das Bild klicken [/color]

Wir können auf das Ereignis doppelklicken oder mit der rechten Maustaste klicken und auswählen Ereigniseigenschaften um detaillierte Ereignisinformationen wie Datum und Uhrzeit, Ausrüstung, auf der das Ereignis aufgezeichnet wurde usw. anzuzeigen.

Auf diese Weise haben wir ein großes Tool, um zu analysieren, wer an einem Benutzer, einem Objekt oder allgemein an der Windows Server 2016-Umgebung Änderungen vorgenommen hat.

Einige der wichtigsten IDs, die wir überprüfen können, sind:

ID / Ereignis528 erfolgreicher Login
520 Die Systemzeit wurde geändert
529 Falscher Login (Unbekannter Name oder falsches Passwort)
538 Ausloggen
560 Objekt öffnen
4608 Windows-Start
4609 Windows herunterfahren
4627 Informationen zu Gruppenmitgliedern
4657 Ein Registrierungswert wurde geändert
4662 Ein Ereignis wurde für ein Objekt ausgeführt
4688 Ein neuer Prozess wurde erstellt
4698 Eine geplante Aufgabe wurde erstellt
4699 Eine geplante Aufgabe wurde gelöscht
4720 Ein Benutzerkonto wurde erstellt
4722 Ein Benutzerkonto wurde aktiviert
4723 Es wurde versucht, eine Passwortänderung vorzunehmen
4725 Ein Benutzerkonto wurde deaktiviert
4726 Ein Benutzerkonto wurde gelöscht
4728 Ein Benutzer wurde einer globalen Gruppe hinzugefügt
4729 Ein Benutzer wurde aus einer globalen Gruppe entfernt
4730 Eine Sicherheitsgruppe wurde entfernt
4731 Eine Sicherheitsgruppe wurde erstellt
4738 Ein Benutzerkonto wurde geändert
4739 Eine Domänenrichtlinie wurde geändert
4740 Ein Benutzerkonto wurde gesperrt
4741 Ein Team wurde erstellt
4742 Ein Team wurde geändert
4743 Ein Team wurde eliminiert
4800 Der Computer wurde gesperrt
4801 Die Ausrüstung wurde freigeschaltet
5024 Erfolgreicher Start der Firewall
5030 Fehler beim Starten der Firewall
5051 Eine Datei wurde virtualisiert
5139 Ein Verzeichnisdienst wurde verschoben
5136 Ein Verzeichnisdienst wurde geändert

Wie wir sehen, stehen uns viele IDs zur Verfügung, um jedes Ereignis zu analysieren, das in unserem System auftritt. Windows Server 2016 und ermöglichen uns somit eine spezifische Kontrolle über diejenigen Ereignisse, die die Leistung und Sicherheit des Systems beeinträchtigen können.

Sie werden die Entwicklung der Website helfen, die Seite mit Ihren Freunden teilen

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
So installieren Sie Dual Boot mit Linux Mint und Windows 10
2
post-title
Browserdimensionen mit CSS3 erkennen
3
post-title
LG Watch Urbane 2, erste Android Wear mit LTE-Technologie
4
post-title
So ändern Sie die Sprache Xiaomi Redmi 6A
5
post-title
Implementieren Sie Sicherheitsrichtlinien für BYOD

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -