Birçok durumda, BT personeli olarak görevlerimiz dahilinde, olduğu gibi güvenlik durumları ile karşı karşıya kalırız. NS etki alanımıza giriş yapmak için yetkisiz girişimler buna erişmek ve izin verilmeyen veya yetkilendirilmeyen ve sistemin performansını ve kuruluşun bir parçası olan tüm nesneleri ciddi şekilde etkileyebilecek görevleri yerine getirmek.
Davetsiz misafirlerin veya sisteme yetkisiz bir şekilde erişmek isteyenlerin, kuruluşun aktif kullanıcılarından herhangi birinin kimliğine bürünmeye çalışarak, dışarıdan veya kuruluşun kendisinden girmeye çalıştıklarını biliyoruz, bu yüzden bu sefer analiz edeceğiz. bir kullanıcının şifresini kimin sıfırlamaya çalıştığını nasıl takip edebiliriz (Tabii ki kullanıcı o değilse doğrulama yapmalıyız) ve bu şekilde güvenlik önlemlerini veya durumun ciddiyetine göre uygun olanları almalıyız.
Bu analiz için bir ortam kullanacağız. Windows Sunucusu 2016.
1. Grup ilkesi düzenleyicisi GPO'sunu açma
Atacağımız ilk adım, aşağıdaki seçeneklerden herhangi birini kullanarak Grup İlkesi Yöneticisini açmaktır:
- Güzergah girişi:
başlangıç / Bütün uygulamalar / Yönetim araçları / Grup İlkesi Yönetimi
- Çalıştır komutunu kullanma (Tuş kombinasyonu
BÜYÜT
Oradan düzenleyeceğiz denemeler ve oturum açma ile ilgili politika.
2. Grup ilkesini düzenleme
Grup ilkesinin sürümüne devam etmek için etki alanımızı, bu durumda solventtic.com'u görüntüleyeceğiz ve üzerine sağ tıklayacağız. Varsayılan Etki Alanı Politikası ve orada seçeneği seçeceğiz Düzenlemek.
BÜYÜTGörüntülenen pencerede aşağıdaki rotaya gideceğiz:
- Ekipman kurulumu
- direktifler
- Windows Ayarları
- Güvenlik ayarları
- Yerel direktifler
BÜYÜTçift tıklıyoruz Denetim politikası ve “adlı politikayı bulacağız”Denetim hesabı yönetimi”. Varsayılan değerin "olduğunu göreceğiz.tanımlı değil”. Üzerine çift tıklayın veya sağ tıklayın ve seçin Özellikler (düzenle) ve aşağıdaki pencerenin görüntülendiğini göreceğiz:
3. Denetim ilkesini etkinleştirme
Bu politikayı etkinleştirmek için kutuyu işaretlemeniz yeterlidir "bu ilke ayarını tanımla”Ve gerekli olduğunu düşündüğümüz kutuları işaretleyin (Doğru/Hata).
Bu değerler tanımlandıktan sonra, tuşuna basın. Uygulamak ve daha sonra Kabul etmek Değişikliklerin kaydedilmesi için Politikamızın tatmin edici bir şekilde değiştirildiğini görüyoruz.
BÜYÜT4. Şifre değiştirme denemelerini kontrol etme
CMD'yi açıp şu komutu girerek politikaları etki alanına zorlayabiliriz:gpudate / kuvvet
Böylece politikalar güncellenir.Kullanıcının bir şifre değişikliği yapmaya çalıştığını doğrulamak için, aşağıdaki seçeneklerden herhangi birini kullanarak olay görüntüleyiciyi açacağız:
- Çalıştır komutundan terimi girerek:
olayvwr
ve basarak Girmek veya Kabul etmek.
- menüden Araçlar içinde sunucu yöneticisi ve seçeneğin seçilmesi Olay görüntüleyici.
Aşağıdaki pencerenin açıldığını göreceğiz:
BÜYÜTSol taraftan seçeneği seçeceğiz Windows / Güvenlik günlükleri. Sağ tarafta Security'yi seçtiğimizde, seçeneği seçiyoruz. Geçerli kaydı filtrele ve Tüm olay kimlikleri alanına şifre değiştirme girişimleriyle ilgili bir güvenlik kimliği olan 4724 numaralı kimliği gireceğiz.
basıyoruz Kabul etmek ilgili tüm olayları görmek için Elde edilen sonuç şu olacaktır:
BÜYÜTParola sıfırlama girişimi olduğunu gösteren olayın tam tarihini ve saatini görebiliriz. Etkinlikle ilgili daha fazla ayrıntı görmek için etkinliğe çift tıklayabiliriz.
Değişikliği yapmaya çalışan hesap olduğunu not ediyoruz, bu durumda SolvAdm ve değişikliğin denendiği hesap, bu örnekte çözücü2.
Bu şekilde yapabiliriz kullanıcı şifrelerini değiştirmeye yönelik tüm girişimleri denetle, hem doğru hem de hatalıdır ve bu şekilde değişikliği kimin ve ne zaman yaptığını veya yapmaya çalıştığını ayrıntılı olarak görselleştirir ve böylece gerekli önlemleri alır.
şubesine girmek isterseniz adli analiz denetimleri, bunun için yaygın olarak kullanılan pratik bir araçta size bir bağlantı bırakıyoruz.
Windows adli denetim
