S小魚仔S 網誌搜尋

2012年1月10日 星期二

S小魚仔S Windows Server 2008 R2 稽核機制

Windows Server 2008 R2 稽核機制,提供許多「安全性」的「Event Log」,讓「IT」人員,可以隨時監控「檔案」、「AD」,此篇文章是 參考「TigerLin」寫的「Windows 企業資訊安全稽核應用導入系列」。


當您「Windows Server 2008 R2」升級「AD」可以在「事件檢視器」=>「安全性」,找到「AD」 使用者「登入時間

打開「稽核」的「內容」會看到
1. 登入「網域
2. 登入「日期 及 時間
3. 「電腦」的「FQDN
4. 此時您還會看到「登入」的「事件識別碼」為「4624

可以使用「篩選目前的紀錄

條件「搜尋」輸入「 事件識別碼 」
PS.「縮小稽核的範圍

接下來,將要實作 對「網域」的「User Account」進行「稽核


~ 首先 設定「群組原則」,設定「稽核」項目 ~


使用「mmc (主控台)

檔案」=>「新增/移除崁入式管理單元

選擇「群組原則管理」=>「新增
PS.「透過群組原則 開啟 稽核 項目

點選「確定

找到「Default Domain Policy」=>「編輯

電腦設定」=>「原則」=>「Windows 設定」=>「安全性設定」=>「稽核原則

點選「稽核目錄服務存取」可以設定「稽核」「成功」與「失敗」的「Event Log

分別啟用「稽核目錄服務」、「稽核物件存取」、「稽核帳戶登入事件


設定完畢後,使用「CMD」指令 =>「gpupdate /force
PS. 快速更新「群組原則

接下來對「分享」的「資料夾」進行「稽核」設定


選擇「資料夾」=>「內容

點選「進階共用

點選「權限

選擇「群組」=>「賦予權限
PS. 您也可以選擇「User」,視您的「環境」來決定。

1. 點選「安全性
2. 點選「編輯

1. 選擇「群組
2. 賦予「控制權限
PS. 您也可以選擇「User」,視您的「環境」來決定。

點選「進階

切換到「稽核」選項 => 「編輯

點選「新增

選擇「群組
PS. 您也可以選擇「User」,視您的「環境」來決定。

賦予「稽核」需要的「項目

當您對「稽核」的「資料夾」進行「存取」或「刪除」,就可以檢視到「Event ID」,圖中顯示「檔案」被「刪除」產生「4663」事件識別碼

同時也會「顯示」「帳戶」資訊...等



======================================


Windows Server 2008 R2 「安全性 (Event Log) 」-「事件識別碼」紀錄:


登入 (帳戶成功登入。): 4624


登出 (帳戶已登出。): 4634


檔案系統(檔案刪除。): 4663 


======================================