Windows Server 2008 R2 稽核機制,提供許多「安全性」的「Event Log」,讓「IT」人員,可以隨時監控「檔案」、「AD」,此篇文章是 參考「TigerLin」寫的「Windows 企業資訊安全稽核應用導入系列」。
當您「Windows Server 2008 R2」升級「AD」可以在「事件檢視器」=>「安全性」,找到「AD」 使用者「登入時間」
打開「稽核」的「內容」會看到
1. 登入「網域」
2. 登入「日期 及 時間」
3. 「電腦」的「FQDN」
4. 此時您還會看到「登入」的「事件識別碼」為「4624」
可以使用「篩選目前的紀錄」
條件「搜尋」輸入「 事件識別碼 」
PS.「縮小稽核的範圍」
接下來,將要實作 對「網域」的「User Account」進行「稽核」
~ 首先 設定「群組原則」,設定「稽核」項目 ~
使用「mmc (主控台)」
「檔案」=>「新增/移除崁入式管理單元」
選擇「群組原則管理」=>「新增」
PS.「透過群組原則 開啟 稽核 項目」
點選「確定」
找到「Default Domain Policy」=>「編輯」
「電腦設定」=>「原則」=>「Windows 設定」=>「安全性設定」=>「稽核原則」
點選「稽核目錄服務存取」可以設定「稽核」「成功」與「失敗」的「Event Log」
分別啟用「稽核目錄服務」、「稽核物件存取」、「稽核帳戶登入事件」
設定完畢後,使用「CMD」指令 =>「gpupdate /force」
PS. 快速更新「群組原則」
接下來對「分享」的「資料夾」進行「稽核」設定
選擇「資料夾」=>「內容」
點選「進階共用」
點選「權限」
選擇「群組」=>「賦予權限」
PS. 您也可以選擇「User」,視您的「環境」來決定。
1. 點選「安全性」
2. 點選「編輯」
1. 選擇「群組」
2. 賦予「控制權限」
PS. 您也可以選擇「User」,視您的「環境」來決定。
點選「進階」
切換到「稽核」選項 => 「編輯」
點選「新增」
選擇「群組」
PS. 您也可以選擇「User」,視您的「環境」來決定。
賦予「稽核」需要的「項目」
當您對「稽核」的「資料夾」進行「存取」或「刪除」,就可以檢視到「Event ID」,圖中顯示「檔案」被「刪除」產生「4663」事件識別碼
同時也會「顯示」「帳戶」資訊...等
======================================
Windows Server 2008 R2 「安全性 (Event Log) 」-「事件識別碼」紀錄:
登入 (帳戶成功登入。): 4624
登出 (帳戶已登出。): 4634
檔案系統(檔案刪除。): 4663
======================================
當您「Windows Server 2008 R2」升級「AD」可以在「事件檢視器」=>「安全性」,找到「AD」 使用者「登入時間」
打開「稽核」的「內容」會看到
1. 登入「網域」
2. 登入「日期 及 時間」
3. 「電腦」的「FQDN」
4. 此時您還會看到「登入」的「事件識別碼」為「4624」
可以使用「篩選目前的紀錄」
條件「搜尋」輸入「 事件識別碼 」
PS.「縮小稽核的範圍」
接下來,將要實作 對「網域」的「User Account」進行「稽核」
~ 首先 設定「群組原則」,設定「稽核」項目 ~
使用「mmc (主控台)」
「檔案」=>「新增/移除崁入式管理單元」
選擇「群組原則管理」=>「新增」
PS.「透過群組原則 開啟 稽核 項目」
點選「確定」
找到「Default Domain Policy」=>「編輯」
「電腦設定」=>「原則」=>「Windows 設定」=>「安全性設定」=>「稽核原則」
點選「稽核目錄服務存取」可以設定「稽核」「成功」與「失敗」的「Event Log」
分別啟用「稽核目錄服務」、「稽核物件存取」、「稽核帳戶登入事件」
設定完畢後,使用「CMD」指令 =>「gpupdate /force」
PS. 快速更新「群組原則」
接下來對「分享」的「資料夾」進行「稽核」設定
選擇「資料夾」=>「內容」
點選「進階共用」
點選「權限」
選擇「群組」=>「賦予權限」
PS. 您也可以選擇「User」,視您的「環境」來決定。
1. 點選「安全性」
2. 點選「編輯」
1. 選擇「群組」
2. 賦予「控制權限」
PS. 您也可以選擇「User」,視您的「環境」來決定。
點選「進階」
切換到「稽核」選項 => 「編輯」
點選「新增」
選擇「群組」
PS. 您也可以選擇「User」,視您的「環境」來決定。
賦予「稽核」需要的「項目」
當您對「稽核」的「資料夾」進行「存取」或「刪除」,就可以檢視到「Event ID」,圖中顯示「檔案」被「刪除」產生「4663」事件識別碼
同時也會「顯示」「帳戶」資訊...等
======================================
Windows Server 2008 R2 「安全性 (Event Log) 」-「事件識別碼」紀錄:
登入 (帳戶成功登入。): 4624
登出 (帳戶已登出。): 4634
檔案系統(檔案刪除。): 4663
======================================
「TechNet」-「Windows 企業資訊安全稽核應用導入系列 (1)」
「TechNet」-「Windows 企業資訊安全稽核應用導入系列 (2)」
「TechNet」-「Windows 企業資訊安全稽核應用導入系列 (3)」
