Bir organizasyonun aklında olan en hassas konulardan biri, sadece prensiplerinde değil, tüm altyapısında (ekipman, veri, kullanıcılar vb.) güvenlik ve gizliliktir ve tüm bu bilgilerin büyük bir kısmı sunucularda saklanmaktadır. Kuruluşun ve sunucuya yönetici, koordinatör veya sistem asistanı olarak erişimimiz varsa, sisteme yetkisiz erişimi önlemek için büyük bir sorumlulukla karşı karşıyayız.
Birçok durumda, umarım hiç değildir, bazı durumlarda sunuldukları içindir. sistemden kaynaklanmayan erişim Y yetkisiz değişiklikler yapıldı ve malesef Hangi kullanıcının sorumlu olduğu veya olayın ne zaman gerçekleştiği bilinmiyor..
Bu duruma gerçek bir örnek koyacağız:
Şirkette bir noktada, birisi sunucuya girdi ve standart bir ada sahip olmasına rağmen, üretken bir makineye erişmek için kullanılan bir kullanıcı olan bir kullanıcıyı sildi, bu nedenle, kullanıcı silindiğinde hizmet devre dışı bırakıldı ve büyük sorun ve değişikliği kimin veya nasıl yaptığını belirleyemiyordu.
Neyse ki Windows Server, sunucuda meydana gelen tüm olayları denetlemek için bir işlem yapmamıza izin veriyor ve bu çalışmada analiz edeceğiz. bu denetimin nasıl uygulanacağı basit ve etkili.
Çalışacağımız ortam Windows Server 2016 Veri Merkezi Teknik Önizlemesi 5.
1. Active Directory denetimini uygulayın
Yapmamız gereken ilk şey, grup politikası yönetim konsoluna veya gpmc'ye girmek, bunun için tuş kombinasyonunu kullanacağız:
Bu durumlarda yapmalıyız gpmc'yi yükle aşağıdaki seçeneklerden herhangi biriyle:
- Sunucu Yöneticisine girin ve seçeneği açın: Roller ve özellikler ekleyin ve daha sonra Özellikler özellikler seçmek Grup İlkesi Yönetimi.
- Cmdlet'i kullanarak Windows PowerShell aracılığıyla:
Windows-InstallFeature -Adı GPMC
gpmc'ye erişimimiz olduğunda, göründüğü pencereyi göreceğiz Orman, dağıtıyoruz ve daha sonra Etki Alanları, sonra etki alanımızın adını, ardından Etki Alanı Denetleyicileri ve sonunda seçiyoruz Varsayılan Etki Alanı Denetleyici Politikası.
Orada sağ tıklayacağız Varsayılan Etki Alanı Denetleyici Politikası ve biz seçiyoruz Düzenlemek veya Düzenlemek üzerinde bazı ayarlamalar yapmak ve böylece Windows Server 2016'mızda meydana gelen olayların kaydedilmesine izin vermek.
Aşağıdakileri göreceğiz:
Gördüğümüz gibi, erişebildik Etki Alanı Denetleyicisi Grup İlkeleri düzenleyicisi, şimdi orada olduğumuz için aşağıdaki rotaya gideceğiz:
- Bilgisayar Yapılandırması
- Politikalar
- Windows Ayarları
- Güvenlik ayarları
- Gelişmiş Denetim Politikası Yapılandırması
- Denetim Politikaları
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
Orada aşağıdaki öğelerin parametrelerini yapılandırmamız gerekir:
- Hesapta Oturum Açma
- Hesap Yönetimi
- DS Erişimi
- Oturum Açma / Oturumu Kapatma
- Nesne Erişimi
- Politika Değişikliği
yapılandıralım Hesapta Oturum Açma, sağ tarafta seçildiğinde aşağıdakilerin görüntülendiğini göreceğiz:
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
Orada bu seçeneklerin her birini aşağıdaki gibi yapılandırmalıyız. Her birine çift tıklayın ve aşağıdaki parametreleri ekleyin.
Kutuyu etkinleştiriyoruz Aşağıdaki denetim olaylarını yapılandırın ve mevcut iki kutuyu işaretliyoruz, Başarı Y Arıza, (Bu değerler başarılı ve başarısız olayların günlüğe kaydedilmesini sağlar).
Bunu her biri ile yapıyoruz ve Uygulamak ve sonra tamam aşkım değişiklikleri kaydetmek için
Aşağıdaki parametrelerdeki tüm alanlar için bu işlemi tekrarlayacağız:
- Hesap Yönetimi
- DS Erişimi
- Oturum Açma / Oturumu Kapatma
- Nesne Erişimi
- Politika Değişikliği
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
Sütunun sağ tarafında görebiliriz Denetim etkinlikleri yapılandırılan değerlerin değiştirildiğini (Başarı ve Başarısızlık).
Daha sonra değiştirdiğimiz politikaları sistemin alması için zorlayacağız, bunun için cmd komut satırına girip aşağıdaki komutu gireceğiz:
gpudate / kuvvet[color = # a9a9a9] Yeniden başlatmaya gerek kalmadan politikaları güncelleyin. [/ color]
Çıkış komutunu kullanarak cmd'den çıkıyoruz. şimdi gidiyoruz ADSI veya ADSI Düzenleme düzenleyicisini açın terimi kullanmak adsiedit.msc Çalıştır komutundan (Windows + R) veya Windows Server 2016 arama kutusuna ADSI terimini girip ADSI Düzenle.
Aşağıdaki pencereyi göreceğiz:
ADSI Edit'e girdikten sonra sağ tıklayacağız. ADSI Düzenle sol tarafta ve seçin Bağlanmak.
Aşağıdaki pencere görüntülenecektir:
Kırsal bölgede Bağlantı noktası sekmesinde "İyi bilinen bir adlandırma Bağlamı seçin " Bağlanmak için aşağıdaki seçenekleri göreceğiz:
- Varsayılan Adlandırma Bağlamı
- Yapılandırma
- KökDSE
- Şema
Bu değerler, olayların nasıl kaydedileceğini belirler. Windows Sunucusu 2016, bu durumda seçeneği seçmeliyiz Yapılandırma böylece günlüğe kaydedilecek olaylar daha önce gpmc'de yapılan konfigürasyonun değerlerini alır.
basıyoruz tamam aşkım ve diğer değerleri eklemek için önceki adımı tekrarlamalıyız:
- Varsayılan
- KökDSE
- Şema
Görünüşü bu olacak ADSI Düzenle tüm alanları ekledikten sonra.
Şimdi bu değerlerin her birinde denetimi etkinleştirmemiz gerekiyor, bunun için işlemi şurada gerçekleştireceğiz. Varsayılan adlandırma bağlamı ve bu işlemi diğerleri için tekrarlayacağız.
Alanı görüntülüyoruz ve etki alanı denetleyicimizin satırına sağ tıklayıp seçiyoruz. Özellikler (düzenle) - Özellikleri.
Sekmeyi seçtiğimiz aşağıdaki pencereyi göreceğiz Güvenlik - Güvenlik.
Orada düğmeye basacağız Gelişmiş - Gelişmiş ve sekmeyi seçtiğimiz aşağıdaki ortamı göreceğiz Denetim - Denetim.
Oradayken üzerine tıklayacağız Ekle Herkesi eklemek ve bu şekilde herhangi bir kullanıcı tarafından gerçekleştirilen görevleri, ayrıcalık seviyelerine bakılmaksızın denetleyebilmek; Ekle'ye bastığımızda, kullanıcıyı şu şekilde arayacağız:
basıyoruz tamam aşkım ve görüntülenen pencerede tüm kutuları işaretleyeceğiz ve denetlemek için yalnızca aşağıdakilerin işaretini kaldıracağız:
- Tam kontrol
- İçeriği listele
- Tüm özellikleri oku
- İzinleri oku
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
basıyoruz tamam aşkım değişiklikleri kaydetmek için
2. AD'de yapılan değişikliklerin denetim olayları
Düğümlerdeki diğer değerler için de aynı adımları uygulamayı hatırlayalım. ADSI Düzenle. Yapılan tüm değişiklikleri doğrulamak için Windows Sunucusu 2016 kayıt olduysak olay görüntüleyiciyi açacağız, aşağıdaki gibi açabiliriz:
- Başlat simgesine sağ tıklayın ve seçin Olay görüntüleyici veya Olay görüntüleyicisi.
- Çalıştır komutundan şu terimi girebiliriz:
olayvwr
ve Enter'a basın.
Olay Görüntüleyicisi böyle görünecek Windows Sunucusu 2016.
BÜYÜT
Gördüğümüz gibi, dört kategorimiz olduğunu not ediyoruz:
- Özel Görünümler: Bu seçenekten sunucudaki olayların özel görünümlerini oluşturabiliriz.
- Windows günlükleri: Bu seçenek sayesinde, Windows ortamında meydana gelen tüm olayları, güvenlik seviyesi, başlatma, olaylar, sistem vb.
- Uygulamalar ve Hizmet Günlükleri: Bu alternatif ile Windows Server 2016 üzerinde kurulu olan servisler ve uygulamalar ile ilgili meydana gelen olayları görebiliriz.
- Abonelikler: Azure gibi Windows aboneliklerinde meydana gelen tüm olayları analiz etmenize olanak tanıyan, görüntüleyicideki yeni bir özelliktir.
Örneğin, seçeneği seçerek güvenlik düzeyinde kaydedilen olayları görüntüleyelim. Windows günlükleri ve orada seçim Güvenlik.
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
Gördüğümüz gibi, olaylar anahtar kelime, olayın tarih ve saati, çok önemli olan kimlik vb.
Analiz edersek binlerce olay olduğunu göreceğiz ve hangi olayın gerçekleştiğini tek tek okumak zor olabilir, bu görevi basitleştirmek için butona basabiliriz. Geçerli Günlüğü Filtrele olayları çeşitli şekillerde filtrelemek için.
Burada olayları etkilenme düzeyine (Kritik, Dikkat vb.), tarihe, kimliğe vb. göre filtreleyebiliriz.
görmek istiyorsak oturum açma etkinlikleri IKD 4624 (Oturum Açma) ile filtreleme yapabiliriz ve aşağıdaki sonuçları elde ederiz:
BÜYÜT
[color = # a9a9a9] Resmi büyütmek için tıklayın [/ color]
Etkinliğe çift tıklayabilir veya sağ tıklayıp seçebiliriz. Etkinlik Özellikleri tarih ve saat, olayın kaydedildiği ekipman vb. gibi ayrıntılı olay bilgilerini görüntülemek için
Bu şekilde elimizde büyük bir bir kullanıcıda, bir nesnede veya genel olarak Windows Server 2016 ortamında kimin herhangi bir değişiklik yaptığını analiz eden araç.
Doğrulayabileceğimiz en önemli kimliklerden bazıları şunlardır:
Kimlik / Etkinlik528 başarılı Giriş
520 Sistem zamanı değiştirildi
529 Yanlış giriş (Bilinmeyen ad veya yanlış şifre)
538 Çıkış Yap
560 Açık nesne
4608 Windows başlatma
4609 Windows kapatma
4627 Grup üyesi bilgileri
4657 Bir kayıt defteri değeri değiştirildi
4662 Bir nesne üzerinde bir olay gerçekleştirildi
4688 Yeni bir süreç oluşturuldu
4698 Zamanlanmış bir görev oluşturuldu
4699 Zamanlanmış bir görev silindi
4720 Bir kullanıcı hesabı oluşturuldu
4722 Bir kullanıcı hesabı etkinleştirildi
4723 Parola değişikliği yapılmaya çalışıldı
4725 Bir kullanıcı hesabı devre dışı bırakıldı
4726 Bir kullanıcı hesabı silindi
4728 Genel bir gruba bir kullanıcı eklendi
4729 Bir kullanıcı global bir gruptan kaldırıldı
4730 Bir güvenlik grubu kaldırıldı
4731 Bir güvenlik grubu oluşturuldu
4738 Bir kullanıcı hesabı değiştirildi
4739 Bir alan politikası değiştirildi
4740 Bir kullanıcı hesabı engellendi
4741 Bir ekip oluşturuldu
4742 Bir takım değiştirildi
4743 Bir takım elendi
4800 Bilgisayar engellendi
4801 Ekipmanın kilidi açıldı
5024 Güvenlik Duvarı'nın başarılı bir şekilde başlatılması
5030 Güvenlik Duvarı başlatılamadı
5051 Bir dosya sanallaştırıldı
5139 Bir dizin hizmeti taşındı
5136 Bir dizin hizmeti değiştirildi
Gördüğümüz gibi, sistemimizde meydana gelen her olayı analiz etmek için birçok kimliğimiz var. Windows Sunucusu 2016 ve böylece sistemin performansını ve güvenliğini etkileyebilecek olaylar üzerinde özel kontrole sahip olmamızı sağlar.
