Када је у питању Евент Виевер, постоје две врсте резултата које можете добити од ревизије – успех или неуспех. Али шта сваки од њих значи? Ево кратког објашњења сваког од њих.
Успех ревизије
Успех ревизије значи да је радња која се ревидира успешно завршена. Ово може бити нешто као што се корисник пријављује на систем или процес који се покреће. У суштини, све што сте конфигурисали за праћење догађаја и извештавање о томе.
Неуспех ревизије
Неуспех ревизије, с друге стране, значи да радња која се ревидира није успешно завршена. То може бити због бројних разлога, као што је уношење нетачне лозинке или корисник који нема потребне дозволе за обављање радње. Опет, све што сте конфигурисали за праћење и извештавање Евент Виевер може довести до неуспеха ревизије.
Ево га – кратко објашњење успеха и неуспеха ревизије у Евент Виевер-у. Као и увек, ако имате питања, слободно се обратите нашем тиму ИТ стручњака.
Да би помогао у решавању проблема, прегледач догађаја уграђен у оперативни систем Виндовс приказује евиденције системских и апликација порука које укључују грешке, упозорења и специфичне информације о догађајима које администратор може анализирати да би предузео одговарајућу акцију. У овом посту расправљамо Успех ревизије или неуспех ревизије у прегледнику догађаја .
Шта је успех ревизије или неуспех ревизије у прегледнику догађаја
У приказивачу догађаја Ревизија успеха је догађај који евидентира успешан верификован покушај безбедног приступа, док Грешка ревизије је догађај који бележи неуспешан покушај верификованог безбедног приступа. О овој теми ћемо разговарати у следећим поднасловима:
- Политике ревизије
- Омогућите смернице ревизије
- Користите приказивач догађаја да бисте пронашли извор неуспешних или успешних покушаја
- Алтернативе за коришћење прегледача догађаја
Погледајмо ово детаљно.
Политике ревизије
Политика ревизије дефинише типове догађаја који се уписују у безбедносне дневнике, а ове смернице генеришу догађаје који могу или успети или неуспешно. Све политике ревизије ће се генерисати Срећно догађаји ; међутим, само неколико њих ће генерисати Догађаји неуспеха . Можете да конфигуришете две врсте смерница ревизије, и то:
- Основна политика ревизије има 9 категорија политике ревизије и 50 поткатегорија политике ревизије које се по потреби могу омогућити или онемогућити. Испод је листа од 9 категорија политике ревизије.
- Ревизија догађаја пријављивања на налог
- Ревизија догађаја за пријаву
- Ревизија управљања рачуном
- Ревизија приступа сервису именика
- Ревизија приступа објекту
- Промена политике ревизије
- Коришћење привилегија ревизије
- Праћење процеса ревизије
- Ревизија системских догађаја. Ова поставка смерница одређује да ли ће се вршити ревизија када корисник поново покрене или искључи рачунар или када дође до догађаја који утиче на безбедност система или безбедносни дневник. За више информација и повезане догађаје пријављивања, погледајте Мицрософт документацију на Леарн.мицрософт.цом/Басиц-Аудит-Систем-Евентс .
- Напредна политика ревизије који има 53 категорије, па се препоручује јер можете дефинисати детаљнију политику ревизије и евидентирати само релевантне догађаје, што је посебно корисно када се генерише велики број евиденција.
Грешке ревизије се обично јављају када захтев за пријаву не успе, иако могу бити узроковане и променама налога, објеката, смерница, привилегија и других системских догађаја. Два најчешћа догађаја су:
- ИД догађаја 4771: Керберос претходна аутентификација није успела . Овај догађај се генерише само на контролерима домена и не генерише се ако Не захтевајте Керберос претходну аутентификацију опција је подешена за налог. За више информација о овом догађају и како да решите овај проблем, погледајте Мицрософт документација .
- ИД догађаја 4625: пријављивање на налог није успело . Овај догађај се генерише када покушај пријављивања на налог не успе, а корисник је већ закључан. За више информација о овом догађају и како да решите овај проблем, погледајте Мицрософт документација .
читати : Како проверити евиденцију искључивања и покретања у Виндовс-у
Омогућите смернице ревизије
Можете да омогућите смернице ревизије на клијентским или серверским машинама преко уређивача локалних смерница групе или конзоле за управљање смерницама групе, или Уредник локалних безбедносних политика . На Виндовс серверу у вашем домену, или направите нови ГПО или уредите постојећи ГПО.
На клијентском или серверском рачунару, у уређивачу смерница групе, идите на следећу путању:
|_+_|На клијентском или серверском рачунару, у локалној безбедносној политици, идите на следећу путању:
|_+_|- У Смерницама ревизије у десном окну кликните двапут на смерницу чија својства желите да промените.
- У панелу са својствима можете омогућити политику за Срећно или Одбијање према вашим захтевима.
читати : Како ресетовати све поставке локалних групних политика на подразумеване вредности у Виндовс-у
Користите приказивач догађаја да бисте пронашли извор неуспешних или успешних покушаја
Администратори и општи корисници могу да отворе Евент Виевер на локалном или удаљеном рачунару са одговарајућим дозволама. Прегледач догађаја ће сада евидентирати догађај сваки пут када дође до квара или успеха, било на клијентском рачунару или домену на серверу. ИД догађаја који се покреће приликом регистрације неуспешног или успешног догађаја је другачији (погледајте доле). Политике ревизије одељак изнад). Можете да одете на Евент Виевер > Јоурнал Виндовс > Сигурност . Панел у центру наводи све догађаје конфигурисане за ревизију. Мораћете да погледате забележене догађаје да бисте пронашли неуспеле или успешне покушаје. Када их пронађете, можете кликнути десним тастером миша на догађај и изабрати Својства догађаја Детаљније.
читати : Користите Евент Виевер да проверите неовлашћено коришћење Виндовс рачунара.
Алтернативе за коришћење прегледача догађаја
Као алтернатива коришћењу Евент Виевер-а, постоји неколико независних софтвера Евент Лог Манагер који се могу користити за агрегирање и корелацију података о догађајима из различитих извора, укључујући услуге у облаку. СИЕМ решење је најбоља опција ако треба да прикупљате и анализирате податке са заштитних зидова, система за спречавање упада (ИПС), уређаја, апликација, прекидача, рутера, сервера и још много тога.
цутепдф виндовс 10
Надам се да вам је овај пост довољно информативан!
Сада прочитајте : Како омогућити или онемогућити безбедно евидентирање догађаја у Виндовс-у
Зашто је важно проверити и успешне и неуспеле покушаје приступа?
Кључно је извршити ревизију догађаја пријављивања, било да су били успешни или неуспешни, да би се открили покушаји упада, јер је ревизија пријављивања корисника једини начин да се открију сви неовлашћени покушаји пријављивања на домен. Догађаји одјаве се не прате на контролерима домена. Такође је подједнако важно пратити неуспеле покушаје приступа датотеци, пошто се унос ревизије креира сваки пут када било који корисник неуспешно покуша да приступи објекту система датотека који има одговарајући САЦЛ. Ови догађаји су потребни за праћење активности фајл објеката који су осетљиви или вредни и захтевају додатно праћење.
читати : Ојачајте политику лозинке за пријаву на Виндовс и политику закључавања налога
Како омогућити евиденцију грешака ревизије у Ацтиве Дирецтори-у?
Да бисте омогућили евиденцију грешака ревизије у Ацтиве Дирецтори-у, једноставно кликните десним тастером миша на Ацтиве Дирецтори објекат који желите да проверите и изаберите Карактеристике . Изаберите Сигурност картицу, а затим изаберите Напредно . Изаберите Ревизија картицу, а затим изаберите Додати . Да бисте видели евиденцију ревизије у Ацтиве Дирецтори, кликните Кренути > Систем Сецурити > Алати за управљање > Евент Виевер . У Ацтиве Дирецтори-у, ревизија је процес прикупљања и анализе АД објеката и података о смерницама групе ради проактивног побољшања безбедности, брзог откривања претњи и реаговања на њих и одржавања неометаног рада ИТ операција.
