Для забезпечення стабільної роботи та належного обслуговування адміністратори повинні відстежувати події в системі та керувати ними, що є надзвичайно важливим завданням. Для цього використовуються Журнали подій (Event Logs) — вбудований компонент Windows, який фіксує всю активність у системі.
Серед них особливе значення мають події керування обліковими записами Windows (Windows Account Management Events), оскільки вони дають уявлення про такі дії користувачів, як створення, видалення або зміна облікових записів. Крім того, адміністратори або користувачі можуть перевіряти ці логи локально або віддалено через регулярні проміжки часу.
Надалі ці дані можна імпортувати в SIEM-систему, що дозволяє візуалізувати логи та забезпечити ефективне реагування на інциденти. Таким чином, адміністратори можуть проактивно керувати системними подіями, виявляти потенційні проблеми та оперативно реагувати на загрози.
Зміст
- Налаштування політики безпеки
- Переваги налаштувань безпеки
- Журнал подій (Event Log)
- Події керування обліковими записами
- Події у Windows Server 2016
Налаштування політики безпеки
Адміністратори використовують набір правил для конфігурування комп’ютера або декількох пристроїв з метою захисту ресурсів у межах пристрою чи мережі. Крім того, розширення «Параметри безпеки» (Security Settings) у Редакторі локальної групової політики дозволяє визначити конфігурацію безпеки як частину об’єкта групової політики (GPO).
Адміністратори пов’язують GPO з контейнерами Active Directory, такими як сайти, домени або організаційні підрозділи. Як результат, вони можуть керувати налаштуваннями безпеки для багатьох пристроїв з будь-якого комп’ютера, приєднаного до домену. Більше того, ви можете використовувати політики параметрів безпеки як частину загальної стратегії захисту для забезпечення безпеки контролерів домену, серверів, клієнтів та інших ресурсів вашої організації.
Переваги налаштувань безпеки
- Адміністратори проводять автентифікацію користувачів у мережі або на пристрої.
- Водночас адміністратори визначають права доступу цих користувачів до наявних ресурсів.
- Можливість вибору: чи фіксувати дії користувача або групи в журналі подій.
- Керування членством користувача в певній групі.
Журнал подій (Event Log)
Журнали подій зазвичай реєструють активність служб із різних джерел і зберігають їх в одному місці. Журнали подій можуть належати до категорій Security (Безпека), System (Система) та Application (Програми). Як фахівець із реагування на інциденти, ви повинні аналізувати дані з багатьох джерел логів і не забувати перевіряти застарілі файли журналів, які можуть зберігатися в системах резервного копіювання або в тіньових копіях томів (Volume Shadow Copies).
Під час аналізу журналів подій ви помітите, що кожен ідентифікатор події (Event ID) містить деталізовані поля з інформацією. Водночас ці ідентифікатори подій охоплюють різноманітні специфічні дані в межах своїх полів.
Події керування обліковими записами
Більше того, адміністратори вважають керування обліковими записами надзвичайно важливим аспектом. Вони використовують ці події для відстеження обслуговування об’єктів користувачів, груп та комп’ютерів як у Локальних користувачах і групах, так і в Active Directory. Наприклад, події керування обліковими записами дозволяють адміністраторам відстежувати створення нових акаунтів, скидання паролів або зміни в членстві груп, такі як додавання або видалення учасників.
Крім того, адміністратори можуть класифікувати події керування обліковими записами за різними типами, що допомагає краще організувати та моніторити ці події. Відповідно, така категоризація дозволяє адміністраторам ефективніше реагувати на різні дії, пов’язані з обліковими записами, наприклад, на створення користувача або зміну складу групи.
Події у Windows Server 2016
Тепер увімкніть ваш Windows Server 2016, щоб розпочати роботу.
Event ID 4727
Коли ви створюєте глобальну групу безпеки (security-enabled global group), генерується ця подія.
Event ID 4728
Коли ви додаєте нового учасника до глобальної групи безпеки, генерується ця подія.
Event ID 4729
Ви можете перейти у властивості користувача та видалити його з групи.
Коли учасника видаляють із групи, створюється ця подія:
Event ID 4737
Коли глобальна група безпеки була змінена або до неї були внесені будь-які правки, створюється ця подія.
Event ID 4741
Створіть новий обліковий запис комп’ютера, використовуючи системні властивості через зміну налаштувань.
Коли створюється новий обліковий запис комп’ютера, генерується ця подія:
Event ID 4742
Коли вносяться будь-які зміни до облікового запису комп’ютера, генерується ця подія.
Event ID 4743
Event ID 4754
Коли обліковий запис комп’ютера видаляється, генерується ця подія.
Event ID 4755
Система створює цей запис, коли вносяться будь-які зміни до універсальної групи безпеки (security-enabled universal group).
Event ID 4756
Ви можете додати користувача до групи за допомогою:
Система створює цю подію, коли додається новий учасник до універсальної групи безпеки.
Event ID 4799
Коли відбувається перерахування (enumeration) учасників групи, генерується ця подія.
Ви можете самостійно перевірити наведені нижче ідентифікатори подій (Event IDs), використовуючи Контролер домену (Domain Controller):
Таким чином, будучи фахівцем із реагування на інциденти, ви можете ефективно контролювати та відстежувати активність користувачів, використовуючи події керування обліковими записами у Windows. Це дозволяє вчасно виявляти аномалії, несанкціоновані зміни прав доступу та спроби закріплення зловмисників у мережі.