Jak monitorować działania użytkowników uprzywilejowanych?

Poniżej przedstawiono, jak można śledzić działania uprzywilejowanych użytkowników w ramach inspekcji natywnej:

• Krok 1: Zidentyfikuj konta użytkowników uprzywilejowanych.

• • Jeśli członek spełnia którekolwiek z poniższych kryteriów, może zostać uznany za użytkownika uprzywilejowanego.
    1. Użytkownicy/grupy, którzy są członkami jakichkolwiek grup administracyjnych.
    2. Użytkownicy/grupy, którzy otrzymali uprawnienia administracyjne poprzez swoją jednostkę organizacyjną.
    3. Konta użytkowników lokalnych i konta usługi, które mogły otrzymać uprawnienia administracyjne lokalnie na kontrolerach domeny.
    4. Użytkownicy, którzy otrzymali uprawnienia do resetowania haseł i odblokowywania kont innych użytkowników.
    5. Użytkownicy posiadający uprawnienia administracyjne, dzięki którym mogą uzyskać dostęp do kont usługi.
    6. Użytkownicy, którzy mają dostęp do zapisu w obiektach zasad grupy związanych z kontrolerami domeny.
    7. Użytkownicy, którzy mają dostęp do dowolnej aplikacji zarządzającej usługą Active Directory. Użytkownicy, którzy są administratorami środowiska systemu wirtualnego.

Listę wszystkich użytkowników uprzywilejowanych można sporządzić za pomocą narzędzia Użytkownicy i komputery usługi Active Directory oraz Konsoli zarządzania zasadami grupy.

Aby odkryć inne konta użytkowników uprzywilejowanych, może być również konieczne uruchomienie dostosowanych skryptów. Na przykład każdy członek dowolnej grupy administracyjnej jest użytkownikiem uprzywilejowanym.

• Krok 2: Włączenie wymaganych zasad inspekcji

• Uruchom Menedżer serwerów w wystąpieniu programu Windows Server.

• W sekcji „Zarządzaj” wybierz Zarządzanie zasadami grupy i uruchom Konsolę zarządzania zasadami grupy.

• Przejdź do Las → Domena → Twoja domena → Kontrolery domeny.

• Utwórz nowy obiekt zasad grupy (GPO) i połącz go z domeną zawierającą obiekt użytkownika lub edytuj istniejący obiekt GPO połączony z domeną, aby otworzyć Edytor zarządzania zasadami grupy.

• Przejdź do obszaru Konfiguracja komputera → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zasady lokalne → Zasady inspekcji.

• Zasady inspekcji wymieniają wszystkie swoje zasady składowe w prawym panelu, jak pokazano na rysunku 1.

• Wybierz zasady, które chcesz włączyć zarówno dla zdarzeń powodzenia, jak i niepowodzenia. W przypadku wielu niepowodzeń organizacja może w razie potrzeby zainicjować protokół zabezpieczeń.

• Kliknij przycisk Zastosuj oraz OK, aby zamknąć okno Właściwości.

• 

• Krok 3: Konfiguracja zaawansowanych zasad inspekcji

• Uruchom Menedżer serwerów w wystąpieniu programu Windows Server.

• W sekcji „Zarządzaj” wybierz Zarządzanie zasadami grupy i uruchom Konsolę zarządzania zasadami grupy.

• Przejdź do obszaru Konfiguracja komputera → Zasady → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zaawansowana konfiguracja zasad inspekcji. Wybierz Zasady inspekcji.

• Wymuś ustawienia podkategorii zasad inspekcji, aby zastąpić ustawienia kategorii zasad inspekcji w zasadach inspekcji, aby upewnić się, że podstawowa inspekcja jest wyłączona.

• 

Zdecyduj, jakie zasady chcesz włączyć i wybierz obie opcje Powodzenia oraz Niepowodzenie

• Krok 4: Wyświetl zdarzenia za pomocą podglądu zdarzeń systemu Windows

• • Po włączeniu inspekcji można użyć podglądu zdarzeń, aby zobaczyć dzienniki i zbadać zdarzenia. Wykonaj poniższe kroki:
    1. Kliknij menuStart → Narzędzia administracyjne → Podgląd zdarzeń
    2. Kliknij opcję Dzienniki systemu Windows i wybierz Zabezpieczenia. Zobaczysz wszystkie zdarzenia zarejestrowane w dziennikach zabezpieczeń.
    3. Wykonaj wyszukiwanie za pomocą opcji Znajdź , aby zobaczyć zdarzenia dla określonego konta uprzywilejowanego lub utworzyć podgląd niestandardowy, aby pokazać zdarzenia wygenerowane tylko przez określonego użytkownika.
•