Wenn wir im Bereich Systeme oder IT im Allgemeinen tätig sind, kommt es häufig vor, dass wir bei vielen Gelegenheiten Überwachungsberichte und Benutzerverhalten auf Systemebene generieren müssen, da diese aufgrund der Richtlinien der Organisation bei vielen Gelegenheiten auf Benutzer beschränkt sind Der Zugriff auf einige Einheiten, die Installation von Software, die nicht vom Unternehmen autorisiert wurde, das Erstellen bestimmter Elemente in Ihrem Team usw., und dies nicht, um für den Benutzer Henker zu sein, sondern um eine optimale Leistung und Sicherheit aufrechtzuerhalten der gesamten hierarchischen Struktur.
Durch die Beibehaltung der Überwachungsebenen für das Active Directory haben wir die Möglichkeit, das Verhalten jeder Organisationseinheit , jedes Benutzers, jedes Teams und jeder Gruppenrichtlinie zentral zu steuern, um künftigen Fehlern vorzubeugen und Verbesserungen in der Gegenwart umzusetzen.
In Serverumgebungen ist es unerlässlich, die strikte Kontrolle über alle Ereignisse im System zu behalten, da sich normalerweise jemand an einer Richtlinie oder Anweisung ändert, sich zu nicht autorisierten Zeiten anmeldet und wir als Administratoren keine Kontrolle darüber haben System und Architektur sind anfällig für mehrere Fehler und Ausfälle.
Denken Sie daran, dass es für einen normalen Benutzer sehr schwierig ist, eine bestimmte Aufgabe auszuführen, wenn wir eine Gruppenrichtlinie mit bestimmten Einschränkungen anwenden. Wir wissen jedoch, dass einige Benutzer über Administratorrechte verfügen und bestimmte Aufgaben ausführen können, die sich auf das Profil des Benutzers auswirken. ein Benutzer Diese Prüfung, die wir sehen werden, ist wirklich nützlich, da wir wissen können, wer sie war, wenn beispielsweise jemand ein Passwort löscht oder zurücksetzt .
In diesem Lernprogramm erfahren Sie, wie Sie das Active Directory in Windows Server 2016 überwachen können.
Um dies zu lösen, wird in diesem Lernprogramm analysiert, wie wir die Sicherheitsrichtlinien in Windows Server implementieren können, um die Kontrolle viel zentraler und spezialisierter auf das Ereignis zu übernehmen.
- Anmeldeereignisse für das Überwachungskonto.
- Audit Account Management.
- Überprüfen Sie den Zugriff des Verzeichnisdienstes.
- Anmeldeereignisse überwachen.
- Überwachen Sie den Zugriff auf Objekte.
- Prüfen Sie die Änderung von Richtlinien.
- Überprüfen Sie die Verwendung von Berechtigungen.
- Verfolgung des Audit-Prozesses.
- Systemereignisse überwachen.
Standardmäßig sind diese Richtlinien in Windows Server 2016 deaktiviert, und es ist eine gute Sicherheits- und Verwaltungspraxis, ihnen die detaillierten Informationen zu den Ereignissen zu ermöglichen, die auf dem Server oder mit den von ihm verwalteten Objekten auftreten.
1. Konfigurieren Sie Sicherheitsrichtlinien in Windows Server 2016
Um auf Sicherheitsrichtlinien zuzugreifen, müssen Sie den Gruppenrichtlinien-Editor aufrufen. Dazu können Sie eine der folgenden Optionen verwenden:
- Gehen Sie zum Pfad Systemsteuerung Alle Systemsteuerungselemente Verwaltung und wählen Sie dort die Option Lokale Sicherheitsrichtlinie aus.
- Verwenden Sie die folgende Tastenkombination und geben Sie im angezeigten Fenster den Befehl gpedit.msc ein . Drücken Sie die Eingabetaste oder OK.
+ R
- Sobald wir auf den Editor zugreifen, gehen wir zu folgendem Pfad: Computerkonfiguration / Windows-Konfiguration / Sicherheitskonfiguration / Lokale Direktiven / Audit-Direktive
Wie wir sehen können, sind alle Überwachungsrichtlinien deaktiviert.
2. Klassen von Überwachungsrichtlinien in Windows Server 2016
Wie wir sehen können, haben wir verschiedene Optionen für Audits in Windows Server 2016:
Diese Prüfung gilt nur für Objekte in den Systemzugriffskontrolllisten (SACL) und nur, wenn sich Zugriffsversuche wie Lesen oder Schreiben in der SACL-Konfiguration befinden. Bei der Ausführung der Richtlinie aktivieren wir die Kontrollkästchen, die wir prüfen möchten:
In jedem Fall klicken wir auf Übernehmen und dann auf OK, damit die Änderungen in der Prüfung wirksam werden. Die Identifikatoren innerhalb dieses Audits sind:
Die Kennung dieses Ereignisses lautet 4662 (Eine Operation wird für ein Objekt ausgeführt.)
Wenn Sie die entsprechenden Kontrollkästchen Richtig oder Fehlerhaft aktivieren, werden Ereignisse mit den folgenden Bezeichnern in dieser Richtlinie generiert:
- Erstellen Sie ein Token-Objekt.
- Token auf Prozessebene ersetzen
- Generieren Sie Sicherheitsüberprüfungen.
- Erstellen Sie Sicherungskopien von Dateien und Verzeichnissen.
- Wiederherstellen von Dateien und Verzeichnissen.
Wie bei den vorherigen Richtlinien können wir festlegen, welche Art von Ereignissen registriert werden soll, ob sie korrekt oder fehlerhaft sind. Die Kennungen der Ereignisse in dieser Prüfung sind:
Die Ereignisse, die wir in dieser Überwachungsrichtlinie finden können, sind die folgenden:
Einige dieser Aufgaben sind:
- Erstellen, Bearbeiten, Löschen, Ändern des Namens, Deaktivieren, Aktivieren, Sperren oder Entsperren eines Benutzerkontos.
- Das Passwort eines Benutzerkontos wird im System festgelegt oder geändert.
- Ein Sicherheitskennungsverlauf (SID) wird einem bestimmten Benutzerkonto hinzugefügt.
- Das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ist festgelegt.
- Berechtigungen werden unter anderem in Konten geändert, die Mitglieder von Administratorgruppen sind.
- Wir können die Optionen “Richtig” oder “Fehlerhaft” je nach Bedarf aktivieren.
Die Ereignisse in dieser Kategorie sind:
Wir können sehen, wie jede Überwachungsrichtlinie eine grundlegende Rolle im Überprüfungs- und Steuerungsprozess von Windows Server 2016 spielt. Sobald diese Richtlinien konfiguriert sind, werden alle aktivierten Ereignisse in der Ereignisanzeige von Windows Server 2016 angezeigt.
3. Überwachen Sie Active Directory in Windows Server 2016
Um auf eine zentralisierte Überwachungssteuerung zugreifen zu können, müssen Sie eine bestimmte Richtlinie auf dem Server aktivieren. Dazu öffnen Sie den Gruppenrichtlinien-Editor mit einer der folgenden Methoden:
- Geben Sie im Befehl Ausführen mit der folgenden Tastenkombination den Begriff gpedit.msc ein
+ R
- Klicken Sie auf Start > Verwaltung > Gruppenrichtlinienverwaltung.
Es wird das folgende Fenster angezeigt, in dem wir unsere Domäne auswählen müssen. Klicken Sie mit der rechten Maustaste auf die Option Standarddomänenrichtlinie und wählen Sie die Option Bearbeiten.
Sobald wir im erweiterten Fenster auf Bearbeiten klicken, müssen wir zur folgenden Route gehen:
- Gerätekonfiguration.
- Richtlinien
- Windows- Konfiguration .
- Sicherheitskonfiguration.
- Lokale Richtlinien
- Prüfungsrichtlinie.
Im angezeigten Fenster sehen Sie auf der rechten Seite mehrere Richtlinien, die standardmäßig nicht konfiguriert sind. Um die Prüfung des Active Directory durchzuführen, müssen die folgenden Richtlinien aktiviert werden:
Dort müssen wir das Kontrollkästchen “Diese Richtlinienkonfiguration definieren” aktivieren und die korrekten und fehlerhaften Kontrollkästchen auswählen, damit das System alle zufriedenstellenden und falschen Ereignisse aller Benutzer im Active Directory aufzeichnet. Speichern Sie die Änderungen, indem Sie auf die Schaltfläche Übernehmen und dann auf OK klicken.
Klicken Sie auf Übernehmen und dann auf Akzeptieren , um die Änderungen zu speichern. Wir können unsere beiden Richtlinien konfigurieren.
Als Nächstes öffnen wir das Tool Active Directory-Benutzer und -Computer , um die neu erstellten Richtlinien anzuwenden. Gehen Sie dazu zum Serveradministrator, Menü Extras, und wählen Sie Active Directory-Benutzer und -Computer aus. Das folgende Fenster wird geöffnet.
Die Richtlinie wird auf die Organisationseinheit mit dem Namen TechnoWikis Users angewendet . Dazu klicken Sie mit der rechten Maustaste darauf und wählen Eigenschaften. Im erweiterten Fenster wechseln Sie zur Registerkarte Sicherheit:
Sobald wir auf der Registerkarte Sicherheit sind , drücken wir die Schaltfläche Erweitert und gehen dort zur Registerkarte Audit.
Dort klicken wir auf die Schaltfläche Hinzufügen , um festzulegen, welche Benutzer die Überwachungsrichtlinie anwenden sollen. Wir werden das nächste Fenster sehen, in dem wir die Zeile Select a security entity auswählen müssen .
Im angezeigten Fenster geben wir den Benutzer ein, den wir hinzufügen möchten, oder die Initialen von ihnen.
Klicken Sie auf Namen überprüfen, um die verschiedenen Optionen anzuzeigen.
Dort wählen wir die zuzuweisenden Benutzer oder Gruppen aus. Empfehlenswert ist es, die Gruppe Administratoren hinzuzufügen, da alle Benutzer, die Berechtigungen zum Ausführen von Aufgaben im Active Directory haben, in dieser Gruppe enthalten sind und daher alle überwacht werden. Wir können definieren, welche Art von Genehmigungen geprüft werden müssen, indem wir die entsprechenden Kästchen aktivieren. Sobald wir sie definiert haben, drücken wir OK.
Sobald wir auf Akzeptieren klicken, können wir sehen, dass unser Benutzer korrekt hinzugefügt wurde. Klicken Sie auf Übernehmen und dann auf Akzeptieren.
4. Überprüfen Sie den Authoring-Prozess in Windows Server 2016
Sobald diese Richtlinien definiert sind, öffnen wir die Ereignisanzeige auf eine der folgenden Arten:
- Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie in der angezeigten Liste die Option Ereignisanzeige.
- Zugriff über das Menü Extras im Server-Manager und Auswahl der Option Ereignisanzeige.
Im erweiterten Fenster müssen wir zur Option Windows Registry> Security gehen.
Dort sehen wir alle Ereignisse, die auftreten, wenn einer der Benutzer in der Gruppe Administratoren Änderungen am Active Directory vornimmt. In diesem Beispiel haben wir das Passwort des Benutzers TechnoWikis 1 geändert .
Wir können sehen, dass das Ereignis registriert wurde und uns Datum, Uhrzeit, den Benutzer, der die Änderung vorgenommen hat, und den betroffenen Benutzer angibt. Ebenso können wir die Ereignisse nach Ereignis-ID filtern, um die Suche zu erleichtern.
Wie wir auf diese Weise gesehen haben, können wir eine vollständige Prüfung entweder für eine bestimmte Gruppe für einen bestimmten Benutzer durchführen und auf diese Weise alle Aktivitäten überwachen und steuern, die täglich in Active Directory mit Windows Server 2016 ausgeführt werden.
Wie Sie sehen, stellt Active Directory die erforderlichen Tools für die Verwaltung der Teams bereit und ist von grundlegender Bedeutung, da Administratoren diese kennen und lernen, sie zu implementieren. Gruppenrichtlinien sind dafür von entscheidender Bedeutung, und deshalb müssen wir sie auch berücksichtigen. Lassen Sie uns diese wichtige Sicherheitskonfiguration in Windows Server 2016 voll ausnutzen. Wenn Sie mehr darüber erfahren möchten, was Sie im Active Directory von Windows Server 2016 tun können , sehen Sie sich dieses Lernprogramm an.