Eines der wichtigsten Themen, die wir als Administratoren berücksichtigen müssen, ist die Sicherheit unserer Server und Geräte , die Überwachung derjenigen, die Zugriff darauf haben, und die Wahrung der ihnen zustehenden Rechte. Es kann vorkommen, dass ein Benutzer versehentlich oder nicht versehentlich Änderungen an verschiedenen Parametern des Servers vornimmt. Auch Änderungen, die sich nicht auf die Leistung und Stabilität des Systems auswirken, können die Sicherheit, Vertraulichkeit und Leistung von Windows Server erheblich beeinträchtigen 2016 und dies wiederum führt zu gravierenden Problemen, die sogar zu rechtlichen Problemen führen können.
Neben dem Erstellen von Sicherungskopien (Backup) können wir als Administratoren, IT-Chefs und im Allgemeinen als Systempersonal eine Überwachungsrichtlinie implementieren, mit der wir überwachen können, welche Benutzer sich bei Windows Server 2016 angemeldet haben (Oder Vorgängerversionen von W.Server) und auf diese Weise zu analysieren, ob die Systemfehler mit der Anmeldung eines anderen Benutzers als der autorisierten übereinstimmen. Wir werden analysieren, wie wir diese Richtlinie in einer Windows Server 2016-Umgebung implementieren können.
1. Konfiguration der Überwachungsrichtlinien
Der erste Schritt, den wir zum Erstellen unserer Überwachungsrichtlinie ausführen müssen, ist das Aufrufen der Gruppenrichtlinien-Verwaltungskonsole oder der Gruppenrichtlinien-Verwaltungskonsole. Dazu verwenden wir die Tastenkombination:
+ R
Es ist der Execute-Bereich und dort geben wir den Begriff ein:
gpmc.msc
[/color] [color = # a9a9a9] Die GPO-Verwaltungskonsole [/ color] wird geöffnet
Drücken Sie die Eingabetaste oder OK und das folgende Fenster wird angezeigt:
In der GPO-Konsole bewegen wir uns wie folgt:
Gesamtstruktur / Domänen / Unsere_Domäne / Domänencontroller / Standardrichtlinie für Domänencontroller
Klicken Sie mit der rechten Maustaste auf Standardrichtlinie für Domänencontroller und wählen Sie Bearbeiten , um den Gruppenrichtlinien-Editor zu öffnen. Die folgende Umgebung wird angezeigt:
Dort müssen wir folgenden Weg gehen:
- Computerkonfiguration
- Richtlinien
- Windows-Einstellungen
- Sicherheitseinstellungen
- Erweiterte Konfiguration der Überwachungsrichtlinie
- Überwachungsrichtlinien
[/color] [color = rgb (169,169,169)] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Auf diese Weise haben wir die Option Anmelden / Abmelden aktiviert und müssen das Audit für diese Aktionen aktivieren. Wenn sich ein Benutzer anmeldet, werden sie in der Ereignisanzeige registriert, um später die entsprechende Analyse einzugeben und durchzuführen. Da wir den richtigen Teil sehen, haben wir eine Reihe von Optionen, aber wir müssen Folgendes bearbeiten:
- Audit Logoff
- Audit Logon
- Andere Anmelde- / Abmeldeereignisse überwachen
Diese drei (3) Optionen liefern uns detaillierte Informationen über:
- Beginn der Sitzung
- Sitzungsschließungen
- Gerätesperre
- Verbindungen über Remotedesktop
- Usw.
Doppelklicken Sie einfach auf die drei (3) Optionen und aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren und aktivieren Sie die beiden verfügbaren Optionen ( Erfolgreich – Zufriedenstellend und Fehlerhaft – Fehlerhaft ), um die vollständige Kontrolle über den Start und das Ende von Sitzungsereignissen in Windows Server 2016 zu übernehmen.
Klicken Sie auf Übernehmen und dann auf OK , um die Änderungen zu speichern.
2. Analysieren Sie die Ereignisanzeige
Sobald wir diese Parameter richtig konfiguriert haben, rufen wir die Ereignisanzeige auf, um die jeweiligen Ereignisse zu analysieren.
- 4624: Anmeldung (Sicherheitsereignis)
- 4647: Abmeldung (Sicherheitsereignis)
- 6005: Systemstart (Systemereignis)
- 4778: Verbindung zu einem RDP – Remotedesktop (Sicherheitsereignis)
- 4779: Abmelden in RDP – Remotedesktop (Sicherheitsereignis)
- 4800: Gerätesperre (Sicherheitsereignis)
- 4801: Ausrüstung entsperren (Sicherheitsereignis)
Wir können mit einer der folgenden Optionen auf die Ereignisanzeige zugreifen :
- Klicken Sie mit der rechten Maustaste auf das Startsymbol und wählen Sie Ereignisanzeige oder Ereignisanzeige
- Über den Befehl Ausführen können wir den Begriff eingeben:
eventvwr
und drücken Sie die Eingabetaste .
Dies ist das Erscheinungsbild der Ereignisanzeige in der technischen Vorschau von Windows Server 2016.
[/color] [color = rgb (169,169,169)] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Um die oben genannten Ereignisse zu überprüfen, wählen Sie die Option Sicherheit auf der Registerkarte Windows-Protokolle :
[/color] [color = rgb (169,169,169)] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Als nächstes klicken wir auf die Option Filter Current Log (Aktuelles Protokoll filtern), um nach Ereignis-ID zu filtern. Wir müssen die ID oder IDs eingeben, die wir validieren möchten. Geben Sie einfach den Wert (in diesem Beispiel 4624) in das Feld ID eingeben ein:
Drücken Sie OK und wir werden das folgende Ergebnis sehen:
[/color] [color = # a9a9a9] Klicken Sie auf das Bild, um es zu vergrößern [/ color]
Dort können wir alle Ereignisse auswählen, um alle Ihre Informationen zu analysieren:
Im oberen Teil sehen wir den angemeldeten Benutzer, die Domäne, mit der er verbunden ist, und andere Parameter. Im unteren Teil sehen wir die Art der Prüfung, das Datum und die Uhrzeit des Ereignisses, die Beschreibung des Ereignisses und andere Aspekte .
Auf diese Weise haben wir zu Beginn und am Ende der Sitzung eine Überwachungsrichtlinie erstellt, die es uns ermöglicht, jederzeit eine vollständige Verwaltung vorzunehmen, auf welchen Benutzern und zu welchem Zeitpunkt sie sich bei Windows Server 2016 angemeldet haben und von dort aus feststellen, ob dies der Fall war einige Änderungen am System.
