Једно од најосетљивијих питања које организација има на уму је безбедност и поверљивост, не само у својим принципима, већ и у целој њеној инфраструктури (опрема, подаци, корисници итд.), А велики део свих ових информација складишти се на серверима организације и ако имамо приступ серверу било као администратор, координатор или системски помоћник, суочени смо са великом одговорношћу да спречимо неовлашћени приступ систему.
У многим приликама, надам се да није, да су у неким ситуацијама представљене приступ није због система И извршене су неовлашћене измене и нажалост Није познато који је корисник одговоран нити када се догађај догодио.
Даћемо прави пример ове ситуације:
У неком тренутку у компанији неко је ушао на сервер и избрисао корисника који је, иако је имао стандардно име, био корисник који је користио приступ продуктивној машини, па је, када је корисник избрисан, услуга онемогућена и дошло је до велики проблем и није се могло утврдити ко или како је извршио промену.
Срећом, Виндовс Сервер нам омогућава да спроведемо процес ревизије свих догађаја који су се догодили на серверу, а у овој студији ћемо анализирати како спровести ову ревизију једноставно и ефикасно.
Окружење у којем ћемо радити биће Технички преглед Виндовс Сервер 2016 Датацентер 5.
1. Спровести ревизију активног именика
Прво што морамо да урадимо је да уђемо у конзолу за управљање смерницама групе или гпмц, за то ћемо користити комбинацију тастера:
У овим случајевима морамо инсталирајте гпмц са било којом од следећих опција:
- Унесите Сервер Манагер и отворите опцију: Додајте улоге и функције а касније у Карактеристике - Карактеристике да бисте изабрали Управљање групним политикама.
- Кроз Виндовс ПоверСхелл помоћу цмдлет -а:
Виндовс -ИнсталлФеатуре -Наме ГПМЦ
Када будемо имали приступ гпмц -у, видећемо прозор где се он појављује Форест, постављамо га и касније Домаинс, затим назив нашег домена, па прикажемо Контролери домена и на крају бирамо Подразумеване смернице за контролер домена.
Тамо ћемо кликнути десним тастером миша Подразумеване смернице за контролер домена и ми бирамо Уредити или Уредити да извршимо нека прилагођавања на њему и на тај начин омогућимо снимање догађаја који су се догодили у нашем Виндовс Сервер 2016.
Видећемо следеће:
Као што видимо, успели смо да приступимо уредник смерница групе контролора домена, пошто смо тамо, идемо на следећу руту:
- Конфигурација рачунара
- Политике
- Подешавања оперативног система Виндовс
- Безбедносне поставке
- Напредна конфигурација смерница ревизије
- Политике ревизије
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Тамо морамо конфигурисати параметре следећих елемената:
- Пријављивање на налог
- Аццоунт Манагемент
- ДС Аццесс
- Пријава / одјава
- Приступ објекту
- Промена политике
Хајде да конфигуришемо Пријављивање на налог, видећемо да је једном изабрано на десној страни приказано следеће:
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Ту морамо да конфигуришемо сваку од ових опција на следећи начин. Двапут кликните на сваки од њих и додајте следеће параметре.
Активирамо кутију Конфигуришите следеће догађаје ревизије и означавамо две доступне кутије, Успех И Неуспех, (Ове вредности омогућавају бележење успешних и неуспелих догађаја).
Ово радимо са сваким од њих и притискамо Применити а касније Добро да бисте сачували промене.
Овај поступак ћемо поновити за сва поља у следећим параметрима:
- Аццоунт Манагемент
- ДС Аццесс
- Пријава / одјава
- Приступ објекту
- Промена политике
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Видимо на десној страни колоне Ревизорски догађаји да су конфигурисане вредности измењене (Суццесс анд Фаилуре).
Затим ћемо наметнути смернице које смо изменили тако да их систем прихвати, за то ћемо унети цмд командну линију и унети следећу команду:
гпупдате / форце[цолор = # а9а9а9] Ажурирајте смернице без поновног покретања. [/ цолор]
Излазимо из цмд -а помоћу наредбе екит. Сада ћемо отворите уређивач АДСИ или АДСИ Едит користећи термин адсиедит.мсц из команде Покрени (Виндовс + Р) или уносом термина АДСИ у оквир за претрагу Виндовс Сервер 2016 и избором АДСИ Едит.
Видећемо следећи прозор:
Када уђемо у АДСИ Едит кликните десним тастером миша на АДСИ Едит на левој страни и изаберите Повезивање са.
Приказаће се следећи прозор:
На селу Тачка повезивања на картици "Изаберите добро познати контекст именовања " Видећемо следеће опције за повезивање:
- Подразумевани контекст именовања
- Конфигурација
- РоотДСЕ
- Схема
Ове вредности одређују начин на који се догађаји бележе Виндовс Сервер 2016, у овом случају морамо одабрати опцију Конфигурација тако да догађаји који се бележе поприме вредности конфигурације претходно направљене у гпмц.
Ми притискамо Добро и морамо поновити претходни корак да бисмо додали остале вредности:
- Уобичајено
- РоотДСЕ
- Схема
Ово ће бити изглед АДСИ Едит када смо додали сва поља.
Сада морамо омогућити ревизију сваке од ових вриједности, јер ћемо за то извршити процес у Подразумевани контекст именовања и ми ћемо поновити овај процес за остале.
Приказујемо поље и кликните десним тастером миша на линију нашег контролера домена и изаберите Својства (уреди) - Некретнине.
Видећемо следећи прозор где бирамо картицу Сигурност - Сигурност.
Тамо ћемо притиснути дугме Адванцед - Адванцед и видећемо следеће окружење где бирамо картицу Ревизија - Ревизија.
Док смо тамо, кликните на Додати додати свима и на овај начин бити у могућности да изврши ревизију задатака које извршава било који корисник без обзира на њихов ниво привилегија; Када притиснемо Додај, тражићемо корисника овако:
Ми притискамо Добро и у приказаном прозору ћемо проверити сва поља и поништити само следеће за ревизију:
- Потпуна контрола
- Садржај листе
- Прочитајте сва својства
- Дозволе за читање
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Ми притискамо Добро да бисте сачували промене.
2. Ревизорски догађаји промена извршених у АД
Сјетимо се да треба извршити исте кораке за остале вриједности у чворовима АДСИ Едит. Да потврдите да су све промене које су направљене у Виндовс Сервер 2016 ако сте регистровани, отворит ћемо приказивач догађаја, можемо га отворити на сљедећи начин:
- Кликните десним тастером миша на икону за почетак и изаберите Прегледач догађаја или Прегледник догађаја.
- Из команде Рун можемо унети термин:
евентввр
и притисните Ентер.
Овако ће изгледати Евент Виевер Виндовс Сервер 2016.
ЕНЛАРГЕ
Као што видимо, напомињемо да имамо четири категорије које су:
- Прилагођени прикази: Помоћу ове опције можемо креирати прилагођене приказе догађаја на серверу.
- Виндовс евиденције: Помоћу ове опције можемо анализирати све догађаје који су се догодили у Виндовс окружењу, било на нивоу безбедности, покретање, догађаје, систем итд.
- Евиденције апликација и услуга: Помоћу ове алтернативе можемо видети догађаје који су се догодили у вези са услугама и апликацијама инсталираним на Виндовс Сервер 2016.
- Претплате: То је нова функција у прегледачу која вам омогућава да анализирате све догађаје који су се догодили са Виндовс претплатама, као што је Азуре.
Прикажимо, на пример, догађаје регистроване на нивоу безбедности избором опције Виндовс евиденције и тамо бирање Сигурност.
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Као што видимо, догађаји се региструју према кључној речи, датуму и времену догађаја, ИД -у који је веома важан итд.
Ако анализирамо, видећемо да постоји хиљаде догађаја и може бити тешко читати један по један да би се видело који се догађај догодио, да поједноставимо овај задатак можемо притиснути дугме Филтрирај тренутни дневник да филтрира догађаје на различите начине.
Тамо можемо филтрирати догађаје према нивоу афекта (критично, опрезно, итд.), По датуму, по ИД -у итд.
Ако желимо да видимо догађаји при пријављивању Можемо филтрирати према ИКД 4624 (пријава) и добићемо следеће резултате:
ЕНЛАРГЕ
[цолор = # а9а9а9] Кликните на слику за повећање [/ цолор]
Можемо двапут кликнути на догађај или десним кликом и изабрати Својства догађаја да бисте видели детаљне информације о догађају, као што су датум и време, опрема на којој је догађај снимљен итд.
На овај начин имамо при руци велику алат за анализу ко је унео било какве измене у корисника, објекте или уопште у Виндовс Сервер 2016 окружење.
Неки од најважнијих ИД -ова које можемо да верификујемо су:
ИД / Догађај528 Успешно пријављивање
520 Системско време је измењено
529 Погрешно пријављивање (непознато име или погрешна лозинка)
538 Одјавити се
560 Отворени објекат
4608 Покретање оперативног система Виндовс
4609 Искључивање оперативног система Виндовс
4627 Подаци о члановима групе
4657 Вредност регистра је измењена
4662 На објекту је извршен догађај
4688 Нови процес је креиран
4698 Заказан задатак је креиран
4699 Заказани задатак је избрисан
4720 Кориснички налог је креиран
4722 Кориснички налог је омогућен
4723 Покушана је промена лозинке
4725 Кориснички налог је онемогућен
4726 Кориснички налог је избрисан
4728 Корисник је додат у глобалну групу
4729 Корисник је уклоњен из глобалне групе
4730 Безбедносна група је уклоњена
4731 Створена је безбедносна група
4738 Кориснички налог је измењен
4739 Политика домена је измењена
4740 Кориснички налог је блокиран
4741 Створен је тим
4742 Тим је измењен
4743 Тим је елиминисан
4800 Рачунар је блокиран
4801 Опрема је откључана
5024 Успешно покретање заштитног зида
5030 Покретање заштитног зида није успело
5051 Датотека је виртуелизована
5139 Услуга именика је премештена
5136 Услуга именика је измењена
Као што видимо, на располагању имамо много ИД -ова за анализу сваког догађаја који се догоди у нашем систему. Виндовс Сервер 2016 и на тај начин нам омогућавају да имамо посебну контролу над оним догађајима који могу утицати на перформансе и безбедност система.
