Uruchomienie inspekcji zdarzeń pozwala nam panować nad dostępem do konkretnych katalogów, szczególnie tych które przechowują ważne dla nas pliki.
Przetestujemy inspekcję, w tym celu potrzebujemy:
-Katalogu Dane poufne na partycji C:,
-Globalną grupę zabezpieczeń Konsultanci,
-Grupę Konsultanci dodać do grupy Print Operators,
-Dodać użytkownika, np Jan Kowalski i dodać do Konsultanci,
1.Uprawnienia i ustawienia inspekcji.
Ustawienia zabezpieczeń dla katalogu.
Dodajemy grupę Konsultanci.
Uruchamiamy kartę Advanced.
Przechodzimy na kartę Auditing.
Klikamy na Edit, następnie Add, wpisujemy Konsultanci i klikamy na Ok.
Zaznaczamy Failed dla Full control.
Przeprowadzimy inspekcję dla niepowodzeń dla wszystkich możliwych operacji dla tego katalogu oraz dla grupy Konsultanci.
Teraz musimy włączyć inspekcję.
Uruchamiamy Group Policy Managment, edytujemy Default Domain Controllers Policy.
Uruchamiamy Audit Object Access poprzez 2x krotne kliknięcie.
Zaznaczamy Define These Policy Settings oraz Failure.
Aktywujemy ustawienia poprzez gpupdate lub ponowne zalogowanie się do systemu.
Logujemy się do kontrolera na Jan Kowalski.
Następnie otworzymy katalog oraz utworzyć plik.
2.Sprawdzamy dziennik zabezpieczeń.
Uruchamiamy Event Viewer.
Przechodzimy Windows LogSecurity.
Po prawej stronie wybieramy Filter Current Log.
Konfigurujemy właściwości filtra.
Zapisujemy nasz Filtr klikając po prawej stronie Save Filtered Log File As…
3. Inspekcja Directory Services Changes.
Uruchamiamy AD.
Sprawdzamy własności grupy Domain Admins.
Przechodzimy Auditing.
Klikamy na Add, wpisujemy Everyone, przechodzimy na Properties.
Zaznaczamy Write Members.
Dokonamy zmiany w grupie Domain Admins.
Następnie klikamy na Apply, po czym usuwamy konto jkowalski.
Chodzi tylko o wywołanie zmiany.
Szukamy zdarzenia w Event Viewer w dziale Security.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).