Kada je u pitanju Preglednik događaja, postoje dvije vrste rezultata koje možete dobiti iz revizije – uspjeh ili neuspjeh. Ali što svaki od njih znači? Evo kratkog objašnjenja svakog od njih.
Uspjeh revizije
Uspjeh revizije znači da je radnja koja se revidira uspješno dovršena. To može biti nešto poput prijave korisnika u sustav ili procesa koji se izvodi. U biti, sve za što ste konfigurirali Event Viewer za praćenje i izvješćivanje.
Neuspjeh revizije
Neuspjeh revizije, s druge strane, znači da radnja koja se revidira nije uspješno dovršena. To može biti zbog brojnih razloga, kao što je unos netočne lozinke ili korisnik koji nema potrebna dopuštenja za izvođenje radnje. Ponovno, sve što ste konfigurirali za praćenje i izvješćivanje Preglednika događaja može rezultirati neuspjehom revizije.
Eto ga – kratko objašnjenje uspjeha i neuspjeha revizije u pregledniku događaja. Kao i uvijek, ako imate pitanja, slobodno se obratite našem timu IT stručnjaka.
Kako bi pomogao u rješavanju problema, Preglednik događaja ugrađen u operativni sustav Windows prikazuje zapise poruka sustava i aplikacija koje uključuju pogreške, upozorenja i specifične informacije o događajima koje administrator može analizirati kako bi poduzeo odgovarajuće mjere. U ovom postu raspravljamo Uspjeh ili neuspjeh revizije u pregledniku događaja .
Što je uspjeh revizije ili neuspjeh revizije u pregledniku događaja
U pregledniku događaja Revizija uspjeha je događaj koji bilježi uspješan provjereni pokušaj sigurnog pristupa, dok Revizijska pogreška je događaj koji bilježi neuspješan pokušaj provjerenog sigurnog pristupa. O ovoj temi raspravljat ćemo u sljedećim podnaslovima:
- Politike revizije
- Omogući pravila revizije
- Koristite preglednik događaja da pronađete izvor neuspjelih ili uspješnih pokušaja
- Alternative korištenju Preglednika događaja
Pogledajmo ovo potanko.
Politike revizije
Pravila revizije definiraju tipove događaja koji se zapisuju u sigurnosne zapisnike, a ta pravila generiraju događaje koji mogu uspjeti ili ne uspjeti. Sve revizijske politike će se generirati Sretno događanja ; međutim, samo nekoliko njih će generirati Događaji neuspjeha . Možete konfigurirati dvije vrste politika revizije, naime:
- Osnovna revizijska politika ima 9 kategorija politike revizije i 50 potkategorija politike revizije koje se po potrebi mogu omogućiti ili onemogućiti. Dolje je popis od 9 kategorija politike revizije.
- Revizija događaja prijave na račun
- Revizija događaja prijave
- Revizija upravljanja računima
- Revizija pristupa imeničkoj usluzi
- Revizija pristupa objektu
- Promjena politike revizije
- Korištenje privilegija revizije
- Praćenje procesa revizije
- Revizija događaja sustava. Ova postavka pravila određuje hoće li se revidirati kada korisnik ponovno pokrene ili isključi računalo ili kada se dogodi događaj koji utječe ili na sigurnost sustava ili na sigurnosni dnevnik. Za više informacija i povezane događaje prijave pogledajte Microsoftovu dokumentaciju na Learn.microsoft.com/Basic-Audit-System-Events .
- Napredna revizijska politika koji ima 53 kategorije, pa se preporučuje jer možete definirati precizniju revizijsku politiku i bilježiti samo relevantne događaje, što je posebno korisno kod generiranja velikog broja dnevnika.
Pogreške revizije obično se javljaju kada zahtjev za prijavu ne uspije, iako mogu biti uzrokovane i promjenama računa, objekata, pravila, privilegija i drugih događaja u sustavu. Dva najčešća događaja su:
- ID događaja 4771: Kerberos pretprovjera autentičnosti nije uspjela . Ovaj se događaj generira samo na kontrolerima domene i ne generira se ako Ne zahtijeva Kerberos prethodnu provjeru autentičnosti opcija je postavljena za račun. Za više informacija o ovom događaju i kako riješiti ovaj problem, pogledajte Microsoftova dokumentacija .
- ID događaja 4625: Neuspješna prijava na račun . Ovaj se događaj generira kada pokušaj prijave na račun ne uspije, a korisnik je već zaključan. Za više informacija o ovom događaju i kako riješiti ovaj problem, pogledajte Microsoftova dokumentacija .
Čitati : Kako provjeriti dnevnik isključivanja i pokretanja u sustavu Windows
Omogući pravila revizije
Možete omogućiti pravila revizije na klijentskim ili poslužiteljskim strojevima putem uređivača lokalnih pravila grupe ili konzole za upravljanje pravilima grupe, ili Urednik lokalne sigurnosne politike . Na Windows poslužitelju u vašoj domeni stvorite novi GPO ili uredite postojeći GPO.
Na računalu klijenta ili poslužitelja, u uređivaču pravila grupe, idite na sljedeću stazu:
|_+_|Na računalu klijenta ili poslužitelja, u lokalnoj sigurnosnoj politici, idite na sljedeću stazu:
|_+_|- U Pravilima revizije u desnom oknu dvaput kliknite na pravilo čija svojstva želite promijeniti.
- Na ploči svojstava možete omogućiti pravilo za Sretno ili Odbijanje prema vašem zahtjevu.
Čitati : Kako vratiti sve postavke pravila lokalne grupe na zadane u sustavu Windows
Koristite preglednik događaja da pronađete izvor neuspjelih ili uspješnih pokušaja
Administratori i opći korisnici mogu otvoriti Preglednik događaja na lokalnom ili udaljenom računalu s odgovarajućim dozvolama. Preglednik događaja sada će zabilježiti događaj svaki put kada dođe do greške ili uspjeha, bilo na klijentskom računalu ili domeni na poslužitelju. ID događaja koji se aktivira prilikom registriranja neuspjelog ili uspješnog događaja je drugačiji (pogledajte dolje). Politike revizije odjeljak iznad). Mozes ici u Preglednik događaja > Dnevnik Windows > Sigurnost . Ploča u sredini prikazuje sve događaje konfigurirane za reviziju. Morat ćete pogledati zabilježene događaje kako biste pronašli neuspjele ili uspješne pokušaje. Kada ih pronađete, možete desnom tipkom kliknuti na događaj i odabrati Svojstva događaja Više detalja.
Čitati : Koristite Preglednik događaja za provjeru neovlaštene upotrebe Windows računala.
Alternative korištenju Preglednika događaja
Kao alternativa korištenju Event Viewera, postoji nekoliko softvera Event Log Manager treće strane koji se mogu koristiti za prikupljanje i korelaciju podataka o događajima iz različitih izvora, uključujući usluge u oblaku. SIEM rješenje najbolja je opcija ako trebate prikupljati i analizirati podatke s vatrozida, sustava za sprječavanje upada (IPS), uređaja, aplikacija, preklopnika, usmjerivača, poslužitelja itd.
slatkipdf prozori 10
Nadamo se da smatrate da je ovaj post dovoljno informativan!
Sad čitaj : Kako omogućiti ili onemogućiti sigurno bilježenje događaja u sustavu Windows
Zašto je važno provjeriti uspješne i neuspješne pokušaje pristupa?
Od ključne je važnosti revidirati događaje prijave, bez obzira jesu li bili uspješni ili neuspješni, kako bi se otkrili pokušaji upada, jer je revizija prijava korisnika jedini način da se otkriju svi neovlašteni pokušaji prijave domene. Događaji odjave ne prate se na kontrolerima domene. Također je jednako važno pratiti neuspjele pokušaje pristupa datoteci, budući da se unos revizije kreira svaki put kada bilo koji korisnik neuspješno pokuša pristupiti objektu datotečnog sustava koji ima odgovarajući SACL. Ovi su događaji potrebni za praćenje aktivnosti datotečnih objekata koji su osjetljivi ili vrijedni i zahtijevaju dodatno praćenje.
Čitati : Ojačajte politiku lozinke za prijavu u sustav Windows i politiku zaključavanja računa
Kako omogućiti zapisnike revizijskih pogrešaka u Active Directoryju?
Da biste omogućili evidenciju pogrešaka revizije u Active Directoryju, jednostavno desnom tipkom miša kliknite objekt Active Directory koji želite provjeriti i odaberite Karakteristike . Izaberi Sigurnost karticu, a zatim odaberite Napredna . Izaberi Revizija karticu, a zatim odaberite Dodati . Za prikaz revizijskih zapisa u Active Directory, kliknite Započeti > Sigurnost sustava > Alati za upravljanje > Preglednik događaja . U Active Directoryju, revizija je proces prikupljanja i analiziranja AD objekata i podataka o pravilima grupe za proaktivno poboljšanje sigurnosti, brzo otkrivanje i reagiranje na prijetnje te održavanje glatkog odvijanja IT operacija.
