У многим приликама, у оквиру наше улоге ИТ особља, суочавамо се са безбедносним ситуацијама попут њих. тхе неовлашћени покушаји пријављивања на наш домен да му приступе и извршавају задатке који нису дозвољени или овлашћени и који могу озбиљно утицати на перформансе система и свих објеката који су део организације.
Знамо да уљези или они који желе да приступе систему на неовлашћен начин покушавају да уђу споља или из саме организације, покушавајући да се представе као неки од активних корисника организације, због чега ћемо овај пут анализирати како можемо да надгледамо ко је покушао да поништи лозинку корисника (Очигледно морамо потврдити корисника ако то није био он) и на овај начин предузети мере безбедности или оне које су релевантне према озбиљности ситуације.
За ову анализу користићемо окружење Виндовс Сервер 2016.
1. Отварање ГПО уређивача смерница групе
Први корак који ћемо предузети је да отворимо Менаџер смерница групе користећи било коју од следећих опција:
- Уношење руте:
почетак / Све апликације / Алати за управљање / Управљање групним политикама
- Коришћењем команде Рун (комбинација тастера
ЕНЛАРГЕ
Одатле ћемо уредити смернице у вези са покушајима и пријављивањем.
2. Уређивање смерница групе
За наставак издања смерница групе приказаћемо наш домен, у овом случају солутионтиц.цом, па ћемо десним тастером миша кликнути на Подразумеване смернице домена и ту ћемо изабрати опцију Уредити.
ЕНЛАРГЕУ приказаном прозору идемо на следећу руту:
- Постављање опреме
- Директиве
- Подешавања оперативног система Виндовс
- Безбедносне поставке
- Локалне директиве
ЕНЛАРГЕДвапут кликнемо на Политика ревизије и лоцираћемо политику која се зове „Управљање рачуном ревизије”. Видећемо да је подразумевана вредност „Није дефинисано”. Двапут кликните на њега или кликните десним тастером миша и изаберите Својства (уреди) и видећемо да се приказује следећи прозор:
3. Омогућавање политике ревизије
Да бисте омогућили ове смернице, само означите поље „дефинишите ову поставку политике”И означите поља за која сматрамо да су неопходна (Тачно / Грешка).
Након што су ове вредности дефинисане, притисните Применити и накнадно Да прихвати да би се измене сачувале. Видимо да је наша политика на задовољавајући начин измијењена.
ЕНЛАРГЕ4. Провера покушаја промене лозинке
Политике на домену можемо наметнути отварањем ЦМД -а и уношењем наредбе:гпупдате / форце
Тако да се политике ажурирају.Да бисмо потврдили да је корисник покушао да измени лозинку, отворит ћемо приказивач догађаја помоћу било које од следећих опција:
- Из команде Рун унесите термин:
евентввр
И притиском Ентер или Да прихвати.
- Из менија Алати у администратор сервера и одабиром опције Прегледач догађаја.
Видећемо да се отвара следећи прозор:
ЕНЛАРГЕСа леве стране ћемо изабрати опцију Виндовс / Сигурносни дневници. Када одаберемо Сигурност на десној страни, бирамо опцију Филтрирајте тренутни запис а у поље Сви ИД -ови догађаја унећемо ИД 4724 који је сигурносни ИД у вези са покушајима промене лозинке.
Ми притискамо Да прихвати да бисте видели све повезане догађаје. Добијени резултат ће бити следећи:
ЕНЛАРГЕМожемо видети тачан датум и време догађаја који указују на то да је то био покушај поништавања лозинке. Можемо двапут кликнути на догађај да бисмо видели више детаља о њему.
Напомињемо да постоји рачун који је покушао да изврши промену, у овом случају СолвАдм и рачун на који је покушана промена, у овом примеру солутионтиц2.
Овако можемо прегледајте све покушаје промене корисничких лозинки, и исправне и погрешне и на овај начин детаљно визуализују ко је и када извршио или покушао да изврши измену и тако предузму потребне мере.
Ако желите да уђете у грану ревизије форензичке анализе, остављамо вам везу до практичног алата који се широко користи за ово.
Виндовс форензичка ревизија
