Come registrare e controllare le modifiche apportate ad Active Directory

Come registrare e controllare le modifiche apportate ad Active Directory

Una delle questioni più delicate che un'organizzazione ha in mente è la sicurezza e la riservatezza, non solo nei suoi principi ma in tutta la sua infrastruttura (attrezzature, dati, utenti, ecc.) e gran parte di tutte queste informazioni è memorizzata nei server dell'organizzazione e se abbiamo accesso al server come amministratore, coordinatori o assistenti di sistema, siamo di fronte a una grande responsabilità per impedire l'accesso non autorizzato al sistema.

In molte occasioni, spero di no, sia che in alcune situazioni siano state presentate accesso non dovuto al sistemasono state apportate modifiche non autorizzate e purtroppo Non è noto quale utente fosse responsabile o quando si è verificato l'evento.

Mettiamo un esempio reale di questa situazione:

Ad un certo punto in azienda qualcuno è entrato nel server ed ha cancellato un utente che, pur avendo un nome standard, era un utente utilizzato per accedere a una macchina produttiva, quindi, quando l'utente è stato cancellato, il servizio è stato disabilitato e c'era un grosso problema e non è stato possibile determinare chi o come ha apportato il cambiamento.

Fortunatamente Windows Server ci permette di effettuare un processo di audit di tutti gli eventi che si sono verificati sul server e in questo studio andremo ad analizzare come implementare questo audit semplice ed efficace.

L'ambiente in cui lavoreremo sarà Anteprima tecnica di Windows Server 2016 Datacenter 5.

1. Implementare l'audit di Active Directory


La prima cosa che dobbiamo fare è entrare nella console di gestione dei criteri di gruppo o gpmc, per questo useremo la combinazione di tasti:

In questi casi dobbiamo installa gpmc con una delle seguenti opzioni:

  • Entra nel Server Manager e apri l'opzione: Aggiungi ruoli e funzionalità e poi in Caratteristiche - Caratteristiche selezionare Gestione criteri di gruppo.
  • Tramite Windows PowerShell utilizzando il cmdlet: 
     Funzione di installazione di Windows -Nome GPMC

Una volta che avremo accesso a gpmc vedremo la finestra in cui appare foresta, lo distribuiamo e in seguito Domini, quindi il nome del nostro dominio, quindi mostriamo Controller di dominio e infine selezioniamo Criterio controller di dominio predefinito.

Lì faremo clic con il tasto destro su Criterio controller di dominio predefinito e selezioniamo Modificare o Modificare per apportare alcune modifiche su di esso e quindi consentire la registrazione degli eventi che si sono verificati nel nostro Windows Server 2016.

Vedremo quanto segue:

Come possiamo vedere, siamo stati in grado di accedere al editore dei criteri di gruppo del controller di dominio, ora essendo lì andremo al seguente percorso:

  • Configurazione del computer
  • Politiche
  • Impostazioni di Windows
  • Impostazioni di sicurezza
  • Configurazione avanzata dei criteri di controllo
  • Politiche di controllo

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Lì dobbiamo configurare i parametri dei seguenti elementi:

  • Accesso all'account
  • Gestione contabile
  • Accesso DS
  • Accesso / Disconnessione
  • Accesso agli oggetti
  • Modifica della politica

configuriamo Accesso all'account, vedremo che una volta selezionato sul lato destro viene visualizzato quanto segue:

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Lì dobbiamo configurare ciascuna di queste opzioni come segue. Fare doppio clic su ciascuno di essi e aggiungere i seguenti parametri.

Attiviamo la scatola Configura i seguenti eventi di controllo e segniamo le due caselle disponibili, Successo Fallimento, (questi valori consentono di registrare gli eventi riusciti e non riusciti).

Lo facciamo con ognuno e premiamo Applicare e più tardi va bene per salvare le modifiche.

Ripeteremo questo processo per tutti i campi nei seguenti parametri:

  • Gestione contabile
  • Accesso DS
  • Accesso / Disconnessione
  • Accesso agli oggetti
  • Modifica della politica

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Possiamo vedere sul lato destro nella colonna Eventi di controllo che i valori configurati sono stati modificati (Success and Failure).

Successivamente forzeremo i criteri che abbiamo modificato in modo che il sistema li prenda, per questo inseriremo la riga di comando cmd e inseriremo il seguente comando: 

 gpupdate / force
[color = # a9a9a9] Aggiorna i criteri senza dover riavviare. [/ color]

Usciamo da cmd usando il comando exit. Ora stiamo per apri l'editor ADSI o ADSI Edit usando il termine adsiedit.msc dal comando Esegui (Windows + R) o inserendo il termine ADSI nella casella di ricerca di Windows Server 2016 e selezionando Modifica ADSI.

Vedremo la seguente finestra:

Una volta all'interno di ADSI Edit, faremo clic con il pulsante destro del mouse su Modifica ADSI sul lato sinistro e selezionare Connetti a.

Verrà visualizzata la seguente finestra:

In campagna Punto di connessione nella scheda "Seleziona un contesto di denominazione noto " Vedremo le seguenti opzioni per la connessione:

  • Contesto dei nomi predefinito
  • Configurazione
  • RootDSE
  • Schema

Questi valori determinano come devono essere registrati gli eventi in Windows Server 2016, in questo caso dobbiamo selezionare l'opzione Configurazione in modo che gli eventi da registrare prendano i valori della configurazione precedentemente effettuata in gpmc.

premiamo va bene e dobbiamo ripetere il passaggio precedente per aggiungere gli altri valori:

  • Predefinito
  • RootDSE
  • Schema

Questo sarà l'aspetto di Modifica ADSI una volta aggiunti tutti i campi.

Ora dobbiamo abilitare l'audit in ciascuno di questi valori, per questo eseguiremo il processo in Contesto dei nomi predefinito e ripeteremo questo processo per gli altri.

Mostriamo il campo e clicchiamo con il tasto destro sulla riga del nostro controller di dominio e selezioniamo Proprietà (modifica) - Proprietà.

Vedremo la seguente finestra in cui selezioniamo la scheda Sicurezza - Sicurezza.

Lì premeremo il pulsante Avanzate - Avanzate e vedremo il seguente ambiente in cui selezioniamo la scheda revisione - Revisione.

Mentre ci faremo clic su Aggiungere aggiungere Tutti e in questo modo poter controllare le attività svolte da qualsiasi utente indipendentemente dal suo livello di privilegi; Una volta premuto Aggiungi, cercheremo l'utente in questo modo:

premiamo va bene e nella finestra visualizzata selezioneremo tutte le caselle e deselezionare solo quanto segue da controllare:

  • Pieno controllo
  • Contenuto dell'elenco
  • Leggi tutte le proprietà
  • Permessi di lettura

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

premiamo va bene per salvare le modifiche.

2. Eventi di controllo delle modifiche apportate in AD


Ricordiamo di eseguire gli stessi passaggi per gli altri valori nei nodi di Modifica ADSI. Per convalidare che tutte le modifiche apportate in Windows Server 2016 sono registrati apriremo il visualizzatore eventi, possiamo aprirlo come segue:
  • Fare clic con il tasto destro sull'icona di avvio e selezionare Visualizzatore eventi o Visualizzatore eventi.
  • Dal comando Esegui possiamo inserire il termine: 
     eventovwr
    e premi Invio.

Questo sarà l'aspetto del Visualizzatore eventi in Windows Server 2016.

INGRANDIRE

Come possiamo vedere, notiamo che abbiamo quattro categorie che sono:

  • Visualizzazioni personalizzate: Da questa opzione possiamo creare viste personalizzate degli eventi sul server.
  • Registri di Windows: Attraverso questa opzione possiamo analizzare tutti gli eventi che si sono verificati nell'ambiente Windows, sia a livello di sicurezza, avvio, eventi, sistema, ecc.
  • Registri di applicazioni e servizi: Con questa alternativa possiamo vedere gli eventi che si sono verificati riguardo ai servizi e alle applicazioni installate su Windows Server 2016.
  • Abbonamenti: È una nuova funzionalità nel visualizzatore che consente di analizzare tutti gli eventi che si sono verificati con gli abbonamenti Windows, come Azure.

Mostriamo, ad esempio, gli eventi registrati a livello di sicurezza selezionando l'opzione Registri di Windows e lì scegliendo Sicurezza.

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Come possiamo vedere, gli eventi sono registrati per parola chiave, data e ora dell'evento, ID che è molto importante, ecc.
Se analizziamo vedremo che ci sono migliaia di eventi e può essere difficile leggere uno per uno per vedere quale evento si è verificato, per semplificare questo compito possiamo premere il pulsante Filtra registro corrente per filtrare gli eventi in vari modi.

Lì possiamo filtrare gli eventi per livello di affettazione (Critico, Attenzione, ecc.), Per data, per ID, ecc.

Se vogliamo vedere il eventi di accesso Possiamo filtrare per IKD 4624 (Logon) e otterremo i seguenti risultati:

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Possiamo fare doppio clic sull'evento o fare clic con il tasto destro e selezionare Proprietà dell'evento per visualizzare informazioni dettagliate sull'evento come data e ora, attrezzatura in cui è stato registrato l'evento, ecc.

In questo modo abbiamo a disposizione un grande strumento per analizzare chi ha apportato modifiche a un utente, a un oggetto o in generale all'ambiente Windows Server 2016.

Alcuni degli ID più importanti che possiamo verificare sono:

ID / Evento528 login effettuato con successo
520 L'ora del sistema è stata modificata
529 Login errato (nome sconosciuto o password errata)
538 Disconnettersi
560 Oggetto aperto
4608 Avvio di Windows
4609 Arresto di Windows
4627 Informazioni sui membri del gruppo
4657 Un valore di registro è stato modificato
4662 È stato eseguito un evento su un oggetto
4688 È stato creato un nuovo processo
4698 È stata creata un'attività pianificata
4699 Un'attività pianificata è stata eliminata
4720 È stato creato un account utente
4722 È stato abilitato un account utente
4723 È stato effettuato un tentativo di modificare la password
4725 Un account utente è stato disabilitato
4726 Un account utente è stato eliminato
4728 Un utente è stato aggiunto a un gruppo globale
4729 Un utente è stato rimosso da un gruppo globale
4730 Un gruppo di sicurezza è stato rimosso
4731 È stato creato un gruppo di sicurezza
4738 Un account utente è stato modificato
4739 È stata modificata una politica di dominio
4740 Un account utente è stato bloccato
4741 È stata creata una squadra
4742 Una squadra è stata modificata
4743 Una squadra è stata eliminata
4800 Il computer è stato bloccato
4801 L'attrezzatura è stata sbloccata
5024 Avvio riuscito del firewall
5030 Impossibile avviare il firewall
5051 Un file è stato virtualizzato
5139 Un servizio di directory è stato spostato
5136 È stato modificato un servizio di directory

Come possiamo vedere, abbiamo a disposizione molti ID per analizzare ogni evento che si verifica nel nostro sistema. Windows Server 2016 e quindi ci consentono di avere un controllo specifico su quegli eventi che possono influenzare le prestazioni e la sicurezza del sistema.

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Come configurare Android come server FTP
2
post-title
Python - File
3
post-title
Grafici Excel in PowerPoint
4
post-title
Come cambiare la lingua in Ubuntu 19.04
5
post-title
▷ Ripara ERRORE PS5 CE-100028-1 ✔️ Spazio libero insufficiente su SSD

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -