Ko gre za pregledovalnik dogodkov, lahko z revizijo pridobite dve vrsti rezultatov – uspeh ali neuspeh. Toda kaj pomeni vsak? Tukaj je kratka razlaga vsakega.
Uspeh revizije
Uspeh revizije pomeni, da je bilo dejanje, ki se revidira, uspešno zaključeno. To je lahko nekaj podobnega kot uporabnik, ki se prijavi v sistem, ali postopek, ki se izvaja. V bistvu vse, za kar ste konfigurirali pregledovalnik dogodkov za sledenje in poročanje.
Neuspeh revizije
Na drugi strani neuspeh revizije pomeni, da dejanje, ki se revidira, ni bilo uspešno zaključeno. To je lahko posledica več razlogov, na primer napačnega vnosa gesla ali uporabnika, ki nima potrebnih dovoljenj za izvedbo dejanja. Še enkrat, vse, za kar ste konfigurirali pregledovalnik dogodkov za sledenje in poročanje, lahko povzroči napako revizije.
Torej imate – hitro razlago uspeha in neuspeha revizije v pregledovalniku dogodkov. Kot vedno, če imate kakršna koli vprašanja, se obrnite na našo skupino IT strokovnjakov.
Za pomoč pri odpravljanju težav pregledovalnik dogodkov, vgrajen v operacijski sistem Windows, prikaže dnevnike sistemskih in aplikacijskih sporočil, ki vključujejo napake, opozorila in informacije o posebnih dogodkih, ki jih lahko skrbnik analizira, da ustrezno ukrepa. V tej objavi razpravljamo Uspešna ali neuspešna revizija v pregledovalniku dogodkov .
Kaj je uspeh ali neuspeh revizije v pregledovalniku dogodkov
V pregledovalniku dogodkov Revizija uspeha je dogodek, ki zabeleži uspešen preverjen poskus varnega dostopa, medtem ko Revizijska napaka je dogodek, ki beleži neuspešen poskus preverjenega varnega dostopa. O tej temi bomo razpravljali v naslednjih podnaslovih:
- Revizijske politike
- Omogoči revizijske politike
- Uporabite pregledovalnik dogodkov, da poiščete vir neuspelih ali uspešnih poskusov
- Nadomestne možnosti za uporabo pregledovalnika dogodkov
Oglejmo si to podrobno.
Revizijske politike
Politika revizije določa vrste dogodkov, ki se zapišejo v varnostne dnevnike, in te politike ustvarjajo dogodke, ki so lahko uspešni ali neuspešni. Vse revizijske politike bodo ustvarjene Vso srečo dogodkov ; vendar jih bo ustvarilo le nekaj Neuspešni dogodki . Konfigurirate lahko dve vrsti politik revizije, in sicer:
- Osnovna revizijska politika ima 9 kategorij revizijske politike in 50 podkategorij revizijske politike, ki jih je mogoče po potrebi omogočiti ali onemogočiti. Spodaj je seznam 9 kategorij revizijske politike.
- Nadzor dogodkov prijave v račun
- Nadzor dogodkov prijave
- Revizija vodenja računa
- Revizija dostopa do imeniških storitev
- Revizija dostopa do objekta
- Spreminjanje revizijske politike
- Uporaba privilegijev revizije
- Sledenje revizijskemu procesu
- Revizija sistemskih dogodkov. Ta nastavitev pravilnika določa, ali naj se revidira, ko uporabnik znova zažene ali zaustavi računalnik ali ko pride do dogodka, ki vpliva na varnost sistema ali varnostni dnevnik. Za več informacij in povezane dogodke prijave si oglejte Microsoftovo dokumentacijo na Learn.microsoft.com/Basic-Audit-System-Events .
- Napredna revizijska politika ki ima 53 kategorij, zato je priporočljivo, saj lahko definirate bolj natančno revizijsko politiko in beležite samo ustrezne dogodke, kar je še posebej uporabno pri ustvarjanju velikega števila dnevnikov.
Napake pri reviziji se običajno pojavijo, ko zahteva za prijavo ne uspe, čeprav jih lahko povzročijo tudi spremembe računov, objektov, pravilnikov, privilegijev in drugih sistemskih dogodkov. Dva najpogostejša dogodka sta:
- ID dogodka 4771: Predhodna avtentikacija Kerberos ni uspela . Ta dogodek se ustvari samo na krmilnikih domene in se ne ustvari, če Ne zahtevajte predhodne avtentikacije Kerberos možnost je nastavljena za račun. Za več informacij o tem dogodku in o tem, kako rešiti to težavo, glejte Microsoftova dokumentacija .
- ID dogodka 4625: Prijava v račun ni uspela . Ta dogodek se ustvari, ko poskus prijave v račun ne uspe in je uporabnik že zaklenjen. Za več informacij o tem dogodku in o tem, kako rešiti to težavo, glejte Microsoftova dokumentacija .
Preberi : Kako preveriti dnevnik zaustavitve in zagona v sistemu Windows
Omogoči revizijske politike
Politike revizije lahko omogočite na odjemalskih ali strežniških računalnikih prek urejevalnika pravilnikov lokalne skupine ali konzole za upravljanje pravilnikov skupine ali Urejevalnik lokalne varnostne politike . Na strežniku Windows v vaši domeni ustvarite nov GPO ali uredite obstoječega GPO.
V odjemalskem ali strežniškem računalniku se v urejevalniku pravilnika skupine pomaknite na naslednjo pot:
|_+_|V odjemalskem ali strežniškem računalniku se v lokalni varnostni politiki pomaknite na naslednjo pot:
|_+_|- V pravilnikih revizije v desnem podoknu dvokliknite pravilnik, katerega lastnosti želite spremeniti.
- Na plošči lastnosti lahko omogočite pravilnik za Vso srečo oz Zavrnitev glede na vaše zahteve.
Preberi : Kako ponastaviti vse nastavitve pravilnika lokalne skupine na privzete v sistemu Windows
Uporabite pregledovalnik dogodkov, da poiščete vir neuspelih ali uspešnih poskusov
Skrbniki in splošni uporabniki lahko odprejo pregledovalnik dogodkov na lokalnem ali oddaljenem računalniku z ustreznimi dovoljenji. Pregledovalnik dogodkov bo zdaj zabeležil dogodek vsakič, ko pride do napake ali uspeha, bodisi v odjemalskem računalniku ali domeni na strežniku. ID dogodka, ki se sproži pri registraciji neuspešnega ali uspešnega dogodka, je drugačen (glejte spodaj). Revizijske politike razdelek zgoraj). Lahko greš na Pregledovalnik dogodkov > Journal Windows > Varnost . Plošča v sredini navaja vse dogodke, konfigurirane za nadzor. Pogledati boste morali zabeležene dogodke, da boste našli neuspele ali uspešne poskuse. Ko jih najdete, lahko z desno miškino tipko kliknete dogodek in izberete Lastnosti dogodka Več podrobnosti.
Preberi : Uporabite pregledovalnik dogodkov, da preverite nepooblaščeno uporabo računalnika z operacijskim sistemom Windows.
Nadomestne možnosti za uporabo pregledovalnika dogodkov
Kot alternativa uporabi pregledovalnika dogodkov obstaja več programov drugih proizvajalcev Event Log Manager, ki jih je mogoče uporabiti za združevanje in korelacijo podatkov o dogodkih iz različnih virov, vključno s storitvami v oblaku. Rešitev SIEM je najboljša možnost, če morate zbirati in analizirati podatke iz požarnih zidov, sistemov za preprečevanje vdorov (IPS), naprav, aplikacij, stikal, usmerjevalnikov, strežnikov itd.
cutepdf windows 10
Upam, da se vam zdi ta objava dovolj informativna!
Zdaj pa preberi : Kako omogočiti ali onemogočiti varno beleženje dogodkov v sistemu Windows
Zakaj je pomembno preveriti uspešne in neuspele poskuse dostopa?
Za odkrivanje poskusov vdora je ključnega pomena nadzor prijavnih dogodkov, ne glede na to, ali so bili uspešni ali neuspešni, saj je nadzor prijav uporabnikov edini način za odkrivanje vseh nepooblaščenih poskusov prijave v domeno. Dogodki odjave se ne spremljajo na krmilnikih domene. Enako pomembno je tudi spremljanje neuspelih poskusov dostopa do datoteke, saj se revizijski vnos ustvari vsakič, ko kateri koli uporabnik neuspešno poskuša dostopati do objekta datotečnega sistema, ki ima ujemajoč se SACL. Ti dogodki so potrebni za sledenje dejavnosti predmetov datoteke, ki so občutljivi ali dragoceni in zahtevajo dodatno spremljanje.
Preberi : Okrepite politiko gesel za prijavo v sistem Windows in politiko zaklepanja računa
Kako omogočiti dnevnike revizijskih napak v imeniku Active Directory?
Če želite omogočiti dnevnike revizijskih napak v imeniku Active Directory, preprosto kliknite z desno miškino tipko na predmet imenika Active Directory, ki ga želite preveriti, in izberite Značilnosti . Izberite Varnost in nato izberite Napredno . Izberite revizija in nato izberite Dodaj . Za ogled revizijskih dnevnikov v imeniku Active Directory kliknite Začeti > Varnost sistema > Orodja za upravljanje > Pregledovalnik dogodkov . V imeniku Active Directory je revizija postopek zbiranja in analiziranja objektov AD in podatkov pravilnika skupine za proaktivno izboljšanje varnosti, hitro odkrivanje groženj in odzivanje nanje ter zagotavljanje nemotenega delovanja operacij IT.
