niedziela, 8 marca 2015

Windows 2008 Serwer - Przeprowadzanie inspekcji dostępu (70-640) cz.7.9

Uruchomienie inspekcji zdarzeń pozwala nam panować nad dostępem do konkretnych katalogów, szczególnie tych które przechowują ważne dla nas pliki.

Przetestujemy inspekcję, w tym celu potrzebujemy:
-Katalogu Dane poufne na partycji C:\,
-Globalną grupę zabezpieczeń Konsultanci,
-Grupę Konsultanci dodać do grupy Print Operators,
-Dodać użytkownika, np Jan Kowalski i dodać do Konsultanci,

1.Uprawnienia i ustawienia inspekcji.


Ustawienia zabezpieczeń dla katalogu.


Dodajemy grupę Konsultanci.


Uruchamiamy kartę Advanced.


Przechodzimy na kartę Auditing.
Klikamy na Edit, następnie Add, wpisujemy Konsultanci i klikamy na Ok. 


Zaznaczamy Failed dla Full control.
Przeprowadzimy inspekcję dla niepowodzeń dla wszystkich możliwych operacji dla tego katalogu oraz dla grupy Konsultanci.


Teraz musimy włączyć inspekcję.
Uruchamiamy Group Policy Managment, edytujemy Default Domain Controllers Policy.


Uruchamiamy Audit Object Access poprzez 2x krotne kliknięcie.
Zaznaczamy Define These Policy Settings oraz Failure.


Aktywujemy ustawienia poprzez gpupdate lub ponowne zalogowanie się do systemu.

Logujemy się do kontrolera na Jan Kowalski.
Następnie otworzymy katalog oraz utworzyć plik.





2.Sprawdzamy dziennik zabezpieczeń.

Uruchamiamy Event Viewer.
Przechodzimy Windows Log\Security.


Po prawej stronie wybieramy Filter Current Log.


Konfigurujemy właściwości filtra.


Zapisujemy nasz Filtr klikając po prawej stronie Save Filtered Log File As...







3. Inspekcja Directory Services Changes.

Uruchamiamy AD.


Sprawdzamy własności grupy Domain Admins.


Przechodzimy Auditing.


Klikamy na Add, wpisujemy Everyone, przechodzimy na Properties.
Zaznaczamy Write Members.


Dokonamy zmiany w grupie Domain Admins.


Następnie klikamy na Apply, po czym usuwamy konto jkowalski. 
Chodzi tylko o wywołanie zmiany.
Szukamy zdarzenia w Event Viewer w dziale Security. 



Brak komentarzy:

Prześlij komentarz