Erstellen Sie die Überwachungsrichtlinie Active Directory Windows Server 2016

administrator Leave a Comment

Wenn wir im Bereich Systeme oder IT im Allgemeinen tätig sind, kommt es häufig vor, dass wir bei vielen Gelegenheiten Überwachungsberichte und Benutzerverhalten auf Systemebene generieren müssen, da diese aufgrund der Richtlinien der Organisation bei vielen Gelegenheiten auf Benutzer beschränkt sind Der Zugriff auf einige Einheiten, die Installation von Software, die nicht vom Unternehmen autorisiert wurde, das Erstellen bestimmter Elemente in Ihrem Team usw., und dies nicht, um für den Benutzer Henker zu sein, sondern um eine optimale Leistung und Sicherheit aufrechtzuerhalten der gesamten hierarchischen Struktur.

Durch die Beibehaltung der Überwachungsebenen für das Active Directory haben wir die Möglichkeit, das Verhalten jeder Organisationseinheit , jedes Benutzers, jedes Teams und jeder Gruppenrichtlinie zentral zu steuern, um künftigen Fehlern vorzubeugen und Verbesserungen in der Gegenwart umzusetzen.

In Serverumgebungen ist es unerlässlich, die strikte Kontrolle über alle Ereignisse im System zu behalten, da sich normalerweise jemand an einer Richtlinie oder Anweisung ändert, sich zu nicht autorisierten Zeiten anmeldet und wir als Administratoren keine Kontrolle darüber haben System und Architektur sind anfällig für mehrere Fehler und Ausfälle.

Denken Sie daran, dass es für einen normalen Benutzer sehr schwierig ist, eine bestimmte Aufgabe auszuführen, wenn wir eine Gruppenrichtlinie mit bestimmten Einschränkungen anwenden. Wir wissen jedoch, dass einige Benutzer über Administratorrechte verfügen und bestimmte Aufgaben ausführen können, die sich auf das Profil des Benutzers auswirken. ein Benutzer Diese Prüfung, die wir sehen werden, ist wirklich nützlich, da wir wissen können, wer sie war, wenn beispielsweise jemand ein Passwort löscht oder zurücksetzt .
In diesem Lernprogramm erfahren Sie, wie Sie das Active Directory in Windows Server 2016 überwachen können.

Um dies zu lösen, wird in diesem Lernprogramm analysiert, wie wir die Sicherheitsrichtlinien in Windows Server implementieren können, um die Kontrolle viel zentraler und spezialisierter auf das Ereignis zu übernehmen.

Was ist eine Prüfungsrichtlinie?
Windows Server 2016 bietet uns die Möglichkeit, mehrere Sicherheitsüberprüfungen für das System in folgenden Kategorien zu implementieren und zu konfigurieren:

  • Anmeldeereignisse für das Überwachungskonto.
  • Audit Account Management.
  • Überprüfen Sie den Zugriff des Verzeichnisdienstes.
  • Anmeldeereignisse überwachen.
  • Überwachen Sie den Zugriff auf Objekte.
  • Prüfen Sie die Änderung von Richtlinien.
  • Überprüfen Sie die Verwendung von Berechtigungen.
  • Verfolgung des Audit-Prozesses.
  • Systemereignisse überwachen.

Standardmäßig sind diese Richtlinien in Windows Server 2016 deaktiviert, und es ist eine gute Sicherheits- und Verwaltungspraxis, ihnen die detaillierten Informationen zu den Ereignissen zu ermöglichen, die auf dem Server oder mit den von ihm verwalteten Objekten auftreten.

1. Konfigurieren Sie Sicherheitsrichtlinien in Windows Server 2016

Um auf Sicherheitsrichtlinien zuzugreifen, müssen Sie den Gruppenrichtlinien-Editor aufrufen. Dazu können Sie eine der folgenden Optionen verwenden:

  • Gehen Sie zum Pfad Systemsteuerung Alle Systemsteuerungselemente Verwaltung und wählen Sie dort die Option Lokale Sicherheitsrichtlinie aus.
  • Verwenden Sie die folgende Tastenkombination und geben Sie im angezeigten Fenster den Befehl gpedit.msc ein . Drücken Sie die Eingabetaste oder OK.

+ R

  • Sobald wir auf den Editor zugreifen, gehen wir zu folgendem Pfad: Computerkonfiguration / Windows-Konfiguration / Sicherheitskonfiguration / Lokale Direktiven / Audit-Direktive

1-Konfigurieren-der-Sicherheitsrichtlinien.png

Wie wir sehen können, sind alle Überwachungsrichtlinien deaktiviert.

2. Klassen von Überwachungsrichtlinien in Windows Server 2016

Hinweis
In allen Prüfungsoptionen werden die gleichen zu prüfenden Optionen angezeigt. Richtig oder falsch .

Wie wir sehen können, haben wir verschiedene Optionen für Audits in Windows Server 2016:

Überwachen Sie den Zugriff auf Objekte
Dank dieser Richtlinie können wir feststellen, ob ein Benutzer versucht hat, auf Objekte zuzugreifen, die nicht Teil von Active Directory sind.

See also  25 PowerShell-Befehle, die jeder Administrator kennen sollte

Diese Prüfung gilt nur für Objekte in den Systemzugriffskontrolllisten (SACL) und nur, wenn sich Zugriffsversuche wie Lesen oder Schreiben in der SACL-Konfiguration befinden. Bei der Ausführung der Richtlinie aktivieren wir die Kontrollkästchen, die wir prüfen möchten:

2 -Auditar-el-acceso-a-objetos'.png

In jedem Fall klicken wir auf Übernehmen und dann auf OK, damit die Änderungen in der Prüfung wirksam werden. Die Identifikatoren innerhalb dieses Audits sind:

Tabelle 1 gpo wserver.png

Überwachen Sie den Zugriff auf den Verzeichnisdienst
Dank dieser Richtlinie können wir feststellen, ob ein Benutzer versucht hat, auf Active Directory- oder Active Directory-Objekte zuzugreifen oder diese zu ändern. Wie bei der vorherigen Richtlinie werden nur Objekte mit Zugriff auf die Systemzugriffssteuerungslisten (SACL) überwacht, und zwar nur dann, wenn der Zugriff mit einem der SACL-Konfigurationsparameter übereinstimmt.
Die Kennung dieses Ereignisses lautet 4662 (Eine Operation wird für ein Objekt ausgeführt.)

3-Auditar-el-acceso-al-servicio-de-directorio'.png

Prüfen Sie die Änderung von Richtlinien
Dank dieser Richtlinie können wir feststellen, ob ein Benutzer eine Anweisung des Servers geändert hat, z. B. vertrauenswürdige Anweisungen, Richtlinien des Benutzers, Überwachungsrichtlinien, Änderungen der Berechtigungen und der Konfiguration der Richtlinien usw. Wie in den vorherigen können wir definieren, welche Art von Ereignissen aktiviert werden sollen. Die Ereignis-IDs in dieser Richtlinie lauten:

table-2-GPO.png

Verfolgung des Audit-Prozesses
Mit dieser Richtlinie können wir alles überwachen, was mit Systemprozessen zusammenhängt, wie z. B. Prozessausgabe, Prozesserstellung, Verdopplung von Controllern usw.
Wenn Sie die entsprechenden Kontrollkästchen Richtig oder Fehlerhaft aktivieren, werden Ereignisse mit den folgenden Bezeichnern in dieser Richtlinie generiert:

tabla-3-gpo.png

Überprüfen Sie die Verwendung von Berechtigungen
Mit dieser Richtlinie können wir alle Ereignisse überwachen, in denen ein Benutzer ein Benutzerrecht innerhalb des Systems ausübt, z.

  • Erstellen Sie ein Token-Objekt.
  • Token auf Prozessebene ersetzen
  • Generieren Sie Sicherheitsüberprüfungen.
  • Erstellen Sie Sicherungskopien von Dateien und Verzeichnissen.
  • Wiederherstellen von Dateien und Verzeichnissen.

Wie bei den vorherigen Richtlinien können wir festlegen, welche Art von Ereignissen registriert werden soll, ob sie korrekt oder fehlerhaft sind. Die Kennungen der Ereignisse in dieser Prüfung sind:

tabla-4-identificadores-gpo.png

Anmeldeereignisse überwachen
Dies ist eine der am häufigsten verwendeten Richtlinien, da wir dadurch detailliert identifizieren können, wann sich ein Benutzer an seinem Computer anmeldet und diese Ereignisse im Fall von Domänenkonten auf dem Domänencontroller oder im Fall von auf lokalen Geräten generiert werden Lokale Benutzerkonten. Wir können definieren, ob wir die korrekten oder fehlerhaften Ereignisse prüfen. Einige der häufigsten Bezeichner sind:

table-5-events-gpo.png

Systemereignisse überwachen
Es besteht kein Zweifel, dass dies eines der am häufigsten verwendeten Prüfungsthemen ist und uns als Administratoren mehr Unterstützung bietet, da wir dort die Möglichkeit haben, alle korrekten oder fehlerhaften Ereignisse aufzuzeichnen, die in Windows Server 2016 auftreten. Dort zeichnen wir Ereignisse von auf Sicherheit, Start und Herunterfahren von Geräten und Veranstaltungen im Allgemeinen. Ähnlich wie bei den vorherigen aktivieren wir die gewünschten Kontrollkästchen.

See also  Verhindern Sie einen Bluescreen-Neustartfehler in Windows Server 2019, 2016

4-'Auditar-eventos-del-sistema'.png

Die Ereignisse, die wir in dieser Überwachungsrichtlinie finden können, sind die folgenden:

table-6-events-windows.png

Audit Account Management
Es handelt sich um eine erweiterte Überwachungsrichtlinie, da wir ein Team konfigurieren können, um Überwachungsereignisse zu generieren, wenn Aufgaben von bestimmten Benutzern ausgeführt werden.
Einige dieser Aufgaben sind:

  • Erstellen, Bearbeiten, Löschen, Ändern des Namens, Deaktivieren, Aktivieren, Sperren oder Entsperren eines Benutzerkontos.
  • Das Passwort eines Benutzerkontos wird im System festgelegt oder geändert.
  • Ein Sicherheitskennungsverlauf (SID) wird einem bestimmten Benutzerkonto hinzugefügt.
  • Das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ist festgelegt.
  • Berechtigungen werden unter anderem in Konten geändert, die Mitglieder von Administratorgruppen sind.
  • Wir können die Optionen “Richtig” oder “Fehlerhaft” je nach Bedarf aktivieren.

Die Ereignisse in dieser Kategorie sind:

table-7-event-id-wserver.png

Wir können sehen, wie jede Überwachungsrichtlinie eine grundlegende Rolle im Überprüfungs- und Steuerungsprozess von Windows Server 2016 spielt. Sobald diese Richtlinien konfiguriert sind, werden alle aktivierten Ereignisse in der Ereignisanzeige von Windows Server 2016 angezeigt.

5-events-visible-w-server.png

3. Überwachen Sie Active Directory in Windows Server 2016

Schritt 1

Um auf eine zentralisierte Überwachungssteuerung zugreifen zu können, müssen Sie eine bestimmte Richtlinie auf dem Server aktivieren. Dazu öffnen Sie den Gruppenrichtlinien-Editor mit einer der folgenden Methoden:

  • Geben Sie im Befehl Ausführen mit der folgenden Tastenkombination den Begriff gpedit.msc ein

+ R

  • Klicken Sie auf Start > Verwaltung > Gruppenrichtlinienverwaltung.
Schritt 2

Es wird das folgende Fenster angezeigt, in dem wir unsere Domäne auswählen müssen. Klicken Sie mit der rechten Maustaste auf die Option Standarddomänenrichtlinie und wählen Sie die Option Bearbeiten. 2-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 3

Sobald wir im erweiterten Fenster auf Bearbeiten klicken, müssen wir zur folgenden Route gehen:

  • Gerätekonfiguration.
  • Richtlinien
  • Windows- Konfiguration .
  • Sicherheitskonfiguration.
  • Lokale Richtlinien
  • Prüfungsrichtlinie.

3-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 4

Im angezeigten Fenster sehen Sie auf der rechten Seite mehrere Richtlinien, die standardmäßig nicht konfiguriert sind. Um die Prüfung des Active Directory durchzuführen, müssen die folgenden Richtlinien aktiviert werden:

Audit Account Management
Mit dieser Richtlinie können wir alle Ereignisse überwachen, die mit den Konten der Benutzer im aktiven Verzeichnis geschehen. Um dies zu aktivieren, doppelklicken wir darauf und es wird Folgendes angezeigt.

4-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Dort müssen wir das Kontrollkästchen “Diese Richtlinienkonfiguration definieren” aktivieren und die korrekten und fehlerhaften Kontrollkästchen auswählen, damit das System alle zufriedenstellenden und falschen Ereignisse aller Benutzer im Active Directory aufzeichnet. Speichern Sie die Änderungen, indem Sie auf die Schaltfläche Übernehmen und dann auf OK klicken.

5-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Überwachen Sie den Zugriff auf den Verzeichnisdienst
Diese Richtlinie ermöglicht es uns, alle Ereignisse aufzuzeichnen, die einen Änderungsversuch an einem Objekt des aktiven Verzeichnisses, wie z. B. Benutzern, Geräten usw., aufzeichnen, unabhängig davon, ob er verarbeitet wurde oder nicht und aktivieren Sie die Kontrollkästchen Richtig und Fehler.

6-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Klicken Sie auf Übernehmen und dann auf Akzeptieren , um die Änderungen zu speichern. Wir können unsere beiden Richtlinien konfigurieren.

7-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 5

Als Nächstes öffnen wir das Tool Active Directory-Benutzer und -Computer , um die neu erstellten Richtlinien anzuwenden. Gehen Sie dazu zum Serveradministrator, Menü Extras, und wählen Sie Active Directory-Benutzer und -Computer aus. Das folgende Fenster wird geöffnet.

8-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 6

Die Richtlinie wird auf die Organisationseinheit mit dem Namen TechnoWikis Users angewendet . Dazu klicken Sie mit der rechten Maustaste darauf und wählen Eigenschaften. Im erweiterten Fenster wechseln Sie zur Registerkarte Sicherheit:

See also  So können Sie Kontakte in neuem Google Mail anzeigen und suchen

9-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Hinweis
Falls die Registerkarte ” Sicherheit” nicht angezeigt wird, müssen Sie in Active Directory- Benutzer und -Computer das Menü ” Ansicht” aufrufen und die Option ” Erweiterte Funktionen” auswählen .

Schritt 7

Sobald wir auf der Registerkarte Sicherheit sind , drücken wir die Schaltfläche Erweitert und gehen dort zur Registerkarte Audit.

10-How-to-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 8

Dort klicken wir auf die Schaltfläche Hinzufügen , um festzulegen, welche Benutzer die Überwachungsrichtlinie anwenden sollen. Wir werden das nächste Fenster sehen, in dem wir die Zeile Select a security entity auswählen müssen .

11-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 9

Im angezeigten Fenster geben wir den Benutzer ein, den wir hinzufügen möchten, oder die Initialen von ihnen.

12-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 10

Klicken Sie auf Namen überprüfen, um die verschiedenen Optionen anzuzeigen.

13-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 11

Dort wählen wir die zuzuweisenden Benutzer oder Gruppen aus. Empfehlenswert ist es, die Gruppe Administratoren hinzuzufügen, da alle Benutzer, die Berechtigungen zum Ausführen von Aufgaben im Active Directory haben, in dieser Gruppe enthalten sind und daher alle überwacht werden. Wir können definieren, welche Art von Genehmigungen geprüft werden müssen, indem wir die entsprechenden Kästchen aktivieren. Sobald wir sie definiert haben, drücken wir OK.

14-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 12

Sobald wir auf Akzeptieren klicken, können wir sehen, dass unser Benutzer korrekt hinzugefügt wurde. Klicken Sie auf Übernehmen und dann auf Akzeptieren. 15-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

4. Überprüfen Sie den Authoring-Prozess in Windows Server 2016

Schritt 1

Sobald diese Richtlinien definiert sind, öffnen wir die Ereignisanzeige auf eine der folgenden Arten:

  • Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie in der angezeigten Liste die Option Ereignisanzeige.
  • Zugriff über das Menü Extras im Server-Manager und Auswahl der Option Ereignisanzeige.
Schritt 2

Im erweiterten Fenster müssen wir zur Option Windows Registry> Security gehen. 16-How-To-Do-Audit-Verzeichnis-Active-Windows-Server.jpg

Schritt 3

Dort sehen wir alle Ereignisse, die auftreten, wenn einer der Benutzer in der Gruppe Administratoren Änderungen am Active Directory vornimmt. In diesem Beispiel haben wir das Passwort des Benutzers TechnoWikis 1 geändert .
Wir können sehen, dass das Ereignis registriert wurde und uns Datum, Uhrzeit, den Benutzer, der die Änderung vorgenommen hat, und den betroffenen Benutzer angibt. Ebenso können wir die Ereignisse nach Ereignis-ID filtern, um die Suche zu erleichtern.

167as-do-audit-directory-active-windows-server.jpg

Hinweis
Denken Sie daran, dass durch das Aktivieren dieser Richtlinien in der Ereignisanzeige viel mehr Informationen generiert werden, was viel mehr Speicherplatz bedeutet .

Wie wir auf diese Weise gesehen haben, können wir eine vollständige Prüfung entweder für eine bestimmte Gruppe für einen bestimmten Benutzer durchführen und auf diese Weise alle Aktivitäten überwachen und steuern, die täglich in Active Directory mit Windows Server 2016 ausgeführt werden.

Wie Sie sehen, stellt Active Directory die erforderlichen Tools für die Verwaltung der Teams bereit und ist von grundlegender Bedeutung, da Administratoren diese kennen und lernen, sie zu implementieren. Gruppenrichtlinien sind dafür von entscheidender Bedeutung, und deshalb müssen wir sie auch berücksichtigen. Lassen Sie uns diese wichtige Sicherheitskonfiguration in Windows Server 2016 voll ausnutzen. Wenn Sie mehr darüber erfahren möchten, was Sie im Active Directory von Windows Server 2016 tun können , sehen Sie sich dieses Lernprogramm an.

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *