Visualizza gli utenti che accedono a Windows Server

Visualizza gli utenti che accedono a Windows Server

Una delle questioni più importanti che come amministratori dobbiamo tenere a mente è la sicurezza dei nostri server e delle nostre apparecchiature, garantendo a coloro che vi hanno accesso e prendendosi cura di quali privilegi hanno al loro interno. Può capitare che qualche utente, accidentalmente o meno, apporti modifiche a diversi parametri del server e così come potrebbero esserci modifiche che non influiscono sulle prestazioni e sulla stabilità del sistema, altre modifiche potrebbero incidere in modo significativo sulla sicurezza, riservatezza e prestazioni di Windows Server 2016 e a sua volta questo porta seri problemi che possono anche portare a problemi legali.

Oltre a fare copie di backup, una delle migliori pratiche che possiamo svolgere come amministratori, responsabili IT e in generale come personale di sistema è implementare una politica di controllo che ci permetta di monitorare quali utenti hanno effettuato l'accesso a Windows Server 2016 (O versioni precedenti di W.Server) e in questo modo poter analizzare se i guasti del sistema coincidono con il login di un utente diverso da quelli autorizzati. Analizzeremo come possiamo implementare questa policy in un ambiente Windows Server 2016.

1. Impostazioni dei criteri di controllo


Il primo passo che dobbiamo compiere per creare il nostro politica di controllo sarà quello di accedere alla Console di gestione dei criteri di gruppo o Console di gestione dei criteri di gruppo, per questo useremo la combinazione di tasti:

premiamo accedere o va bene e vedremo la seguente finestra:

Essere nel Console GPO ci sposteremo come segue: 

 Foresta / Domini / Nuestro_Dominio / Controller di dominio / Criterio controller di dominio predefinito

daremo fare clic con il tasto destro su Criterio controller di dominio predefinito e selezioniamo Modificare Per entrare nell'editor dei criteri di gruppo, vedremo il seguente ambiente:

Lì dobbiamo andare al seguente percorso:

  • Configurazione del computer
  • Politiche
  • Impostazioni di Windows
  • Impostazioni di sicurezza
  • Configurazione avanzata dei criteri di controllo
  • Politiche di controllo

INGRANDIRE

[color = rgb (169,169,169)] Clicca sull'immagine per ingrandirla [/ color]

In questo modo siamo entrati nel Opzione di accesso/disconnessione e dovremmo abilitare il controllo per queste azioni, quindi quando un utente effettua il login, verrà registrato nel visualizzatore eventi in modo che in seguito possa entrare ed eseguire l'analisi corrispondente. Come vediamo la parte giusta abbiamo una serie di opzioni ma dobbiamo modificare quanto segue:

  • Controllo disconnessione
  • Accesso di controllo
  • Controlla altri eventi di accesso/disconnessione

Queste tre (3) opzioni ci forniranno informazioni dettagliate su:

  • Accesso alla sessione
  • Chiusura delle sessioni
  • Blocco attrezzatura
  • Connessioni tramite desktop remoto
  • Eccetera.

Basta fare doppio clic sulle tre (3) opzioni e attivare la casella Configura i seguenti eventi di controllo e controlla le due opzioni disponibili (Successo - Soddisfacente Fallimento - Sbagliato) per mantenere il pieno controllo sugli eventi di accesso e disconnessione in Windows Server 2016.

premiamo Applicare e successivamente va bene per salvare le modifiche.

2. Analizza il visualizzatore di eventi


Una volta configurati correttamente questi parametri entreremo nel visualizzatore eventi per analizzare i rispettivi eventi.

Eventi di controllo di accesso e disconnessioneOra gli ID degli eventi che dobbiamo tenere a mente per monitorare sono i seguenti:

  • 4624: Accesso (evento di sicurezza)
  • 4647: Disconnessione (evento di sicurezza)
  • 6005: Avvio del sistema (evento di sistema)
  • 4778: Connessione a un RDP - Desktop remoto (evento di sicurezza)
  • 4779: Disconnessione da RDP - Desktop remoto (evento di sicurezza)
  • 4800: Blocco attrezzatura (evento di sicurezza)
  • 4801: Sblocco attrezzatura (evento di sicurezza)

noi possiamo accedi al visualizzatore eventi utilizzando una delle seguenti opzioni:

  • Fare clic con il tasto destro sull'icona di avvio INGRANDIRE

    [color = rgb (169,169,169)] Clicca sull'immagine per ingrandirla [/ color]

    Al fine di rivedere gli eventi di cui sopra selezioneremo l'opzione Sicurezza dalla scheda Registri di Windows:

    INGRANDIRE

    [color = rgb (169,169,169)] Clicca sull'immagine per ingrandirla [/ color]

    Avanti daremo fare clic sull'opzione Filtra registro corrente per poter filtrare per ID evento. Dobbiamo inserire l'ID o gli ID che vogliamo convalidare, inseriamo semplicemente il valore (in questo esempio 4624) nel campo Enter ID:

    premiamo va bene e vedremo il seguente risultato:

    INGRANDIRE

    [color = # a9a9a9] Clicca sull'immagine per ingrandirla [/ color]

    Lì possiamo selezionare uno qualsiasi degli eventi per analizzare tutte le tue informazioni:

    Possiamo vedere nella parte superiore l'utente che ha effettuato il login, il dominio in cui si è connesso e altri parametri, nella parte inferiore possiamo vedere il tipo di audit, la data e l'ora dell'evento, la descrizione dell'evento e altri aspetti.

    Per di qua abbiamo creato una policy di audit a livello di login e logout che ci consentirà di effettuare una gestione totale e in ogni momento su quali utenti e quando hanno effettuato l'accesso a Windows Server 2016 e da lì determinare se ci sono state modifiche al sistema.

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
▷ Windows 10 non riconosce iPhone o iPad ✔️ Driver
2
post-title
Come abilitare o disabilitare il correttore Honor 10 Lite
3
post-title
Come salvare, ripristinare o reinstallare Grub su Ubuntu Linux
4
post-title
Promuovi un prodotto da una pagina Facebook e HTML statico
5
post-title
▷ Esegui l'applicazione con un altro utente Windows 10

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -