כשמדובר ב-Event Viewer, ישנם שני סוגים של תוצאות שאתה יכול לקבל מביקורת - הצלחה או כישלון. אבל מה המשמעות של כל אחד? הנה הסבר מהיר על כל אחד מהם.
הביקורת הצלחה
הצלחה בביקורת פירושה שהפעולה הנבדקת הושלמה בהצלחה. זה יכול להיות משהו כמו משתמש שמתחבר למערכת, או תהליך המופעל. בעיקרו של דבר, כל מה שהגדרת את מציג האירועים לעקוב ולדווח עליו.
כשל בביקורת
כשל בביקורת, לעומת זאת, פירושו שהפעולה הנבדקת לא הושלמה בהצלחה. זה יכול לנבוע ממספר סיבות, כגון הזנת סיסמה שגויה, או שלמשתמש אין את ההרשאות הדרושות לביצוע הפעולה. שוב, כל דבר שהגדרת את מציג האירועים לעקוב ולדווח עליו עלול לגרום לכשל בביקורת.
אז הנה לך - הסבר מהיר על הצלחה וכישלון ביקורת ב-Event Viewer. כמו תמיד, אם יש לך שאלות כלשהן, אל תהסס לפנות לצוות מומחי ה-IT שלנו.
כדי לסייע בפתרון בעיות, מציג האירועים המובנה במערכת ההפעלה Windows מציג יומנים של הודעות מערכת ואפליקציות הכוללות שגיאות, אזהרות ומידע ספציפי על אירועים שמנהל מערכת יכול לנתח כדי לנקוט בפעולה מתאימה. בפוסט זה נדון הביקורת הצליחה או כשל הביקורת במציג האירועים .
מהי הצלחה בביקורת או כשל בביקורת במציג אירועים
במציג האירועים ביקורת הצלחה הוא האירוע שמתעד ניסיון מאומת מוצלח של גישה מאובטחת, בעוד טעות בביקורת הוא אירוע שמתעד ניסיון לא מוצלח לגישה מאובטחת מאומתת. נדון בנושא זה בכותרות המשנה הבאות:
- מדיניות ביקורת
- אפשר מדיניות ביקורת
- השתמש במציג האירועים כדי למצוא את המקור לניסיונות כושלים או מוצלחים
- חלופות לשימוש במציג האירועים
בואו נסתכל על זה בפירוט.
מדיניות ביקורת
מדיניות הביקורת מגדירה את סוגי האירועים שנכתבים ליומני האבטחה, ומדיניות זו מייצרת אירועים שיכולים להצליח או להיכשל. כל מדיניות הביקורת תיצור בהצלחה אירועים ; עם זאת, רק מעטים מהם יפיקו אירועי כישלון . אתה יכול להגדיר שני סוגים של מדיניות ביקורת, כלומר:
- מדיניות ביקורת בסיסית יש 9 קטגוריות מדיניות ביקורת ו-50 קטגוריות משנה של מדיניות ביקורת שניתן להפעיל או להשבית לפי הצורך. להלן רשימה של 9 קטגוריות של מדיניות ביקורת.
- ביקורת אירועי התחברות לחשבון
- ביקורת אירועי כניסה
- ביקורת ניהול חשבונות
- ביקורת גישה לשירותי ספריות
- ביקורת גישה לאובייקט
- שינוי מדיניות הביקורת
- שימוש בהרשאות ביקורת
- מעקב אחר תהליך הביקורת
- ביקורת אירועי מערכת. הגדרת מדיניות זו קובעת אם לבצע ביקורת כאשר משתמש מפעיל מחדש או מכבה את המחשב, או כאשר מתרחש אירוע המשפיע על אבטחת המערכת או על יומן האבטחה. למידע נוסף ואירועי כניסה קשורים, עיין בתיעוד של Microsoft בכתובת Learn.microsoft.com/Basic-Audit-System-Events .
- מדיניות ביקורת מתקדמת שיש לו 53 קטגוריות, לכן מומלץ מכיוון שניתן להגדיר מדיניות ביקורת מפורטת יותר ולרשום אירועים רלוונטיים בלבד, וזה שימושי במיוחד בעת יצירת מספר רב של יומנים.
שגיאות ביקורת מתרחשות בדרך כלל כאשר בקשת התחברות נכשלת, אם כי הן יכולות להיגרם גם משינויים בחשבונות, אובייקטים, מדיניות, הרשאות ואירועי מערכת אחרים. שני האירועים הנפוצים ביותר הם:
- מזהה אירוע 4771: אימות מוקדם של Kerberos נכשל . אירוע זה נוצר רק בבקרי תחום ואינו נוצר אם אין צורך באימות מקדים של Kerberos האפשרות מוגדרת עבור החשבון. למידע נוסף על אירוע זה וכיצד לפתור בעיה זו, ראה תיעוד של מיקרוסופט .
- מזהה אירוע 4625: הכניסה לחשבון נכשלה . אירוע זה נוצר כאשר ניסיון התחברות לחשבון נכשל והמשתמש כבר נעול. למידע נוסף על אירוע זה וכיצד לפתור בעיה זו, ראה תיעוד של מיקרוסופט .
לקרוא : כיצד לבדוק יומן כיבוי והפעלה ב-Windows
אפשר מדיניות ביקורת
אתה יכול להפעיל מדיניות ביקורת במחשבי לקוח או שרת דרך עורך המדיניות הקבוצתית המקומי או מסוף ניהול המדיניות הקבוצתית, או עורך מדיניות אבטחה מקומי . בשרת Windows בדומיין שלך, צור GPO חדש או ערוך GPO קיים.
במחשב הלקוח או השרת, בעורך המדיניות הקבוצתית, נווט אל הנתיב הבא:
|_+_|במחשב הלקוח או השרת, במדיניות האבטחה המקומית, נווט אל הנתיב הבא:
|_+_|- במדיניות ביקורת בחלונית הימנית, לחץ פעמיים על המדיניות שאת המאפיינים שלה ברצונך לשנות.
- בחלונית המאפיינים, אתה יכול להפעיל את המדיניות עבור בהצלחה אוֹ דְחִיָה לפי הדרישה שלך.
לקרוא : כיצד לאפס את כל הגדרות המדיניות הקבוצתית המקומית לברירת המחדל ב-Windows
השתמש במציג האירועים כדי למצוא את המקור לניסיונות כושלים או מוצלחים
מנהלי מערכת ומשתמשים כלליים יכולים לפתוח את מציג האירועים במחשב מקומי או מרוחק עם ההרשאות המתאימות. מציג האירועים ירשום כעת אירוע בכל פעם שמתרחש אירוע כשל או הצלחה, בין אם במחשב הלקוח ובין אם בדומיין בשרת. מזהה האירוע המופעל בעת רישום אירוע כושל או מוצלח שונה (ראה להלן). מדיניות ביקורת הסעיף למעלה). אתה יכול ללכת ל צופה באירועים > יומן Windows > בְּטִיחוּת . הפאנל במרכז מפרט את כל האירועים שהוגדרו לביקורת. תצטרך להסתכל על אירועים שנרשמו כדי למצוא ניסיונות כושלים או מוצלחים. לאחר שתמצא אותם, תוכל ללחוץ לחיצה ימנית על האירוע ולבחור נכסי אירועים פרטים נוספים.
לקרוא : השתמש במציג האירועים כדי לבדוק אם יש שימוש לא מורשה במחשב Windows.
חלופות לשימוש במציג האירועים
כחלופה לשימוש ב-Event Viewer, ישנן מספר תוכנות צד שלישי ל- Event Log Manager שניתן להשתמש בהן כדי לצבור ולקשר נתוני אירועים ממגוון מקורות, כולל שירותי ענן. פתרון SIEM הוא האפשרות הטובה ביותר אם אתה צריך לאסוף ולנתח נתונים מחומת אש, מערכות למניעת חדירות (IPS), מכשירים, יישומים, מתגים, נתבים, שרתים ועוד.
אפס את המדיניות הקבוצתית
מקווה שתמצא את הפוסט הזה אינפורמטיבי מספיק!
עכשיו תקרא : כיצד להפעיל או להשבית רישום מאובטח של אירועים ב-Windows
מדוע חשוב לבדוק ניסיונות גישה מוצלחים ונכשלים כאחד?
זה קריטי לבחון אירועי כניסה, בין אם הם היו מוצלחים או לא מוצלחים, כדי לזהות ניסיונות חדירה, מכיוון שביקורת כניסות משתמשים היא הדרך היחידה לזהות את כל ניסיונות הכניסה הבלתי מורשים לדומיין. אין מעקב אחר אירועי התנתקות בבקרי תחום. חשוב באותה מידה לעקוב אחר ניסיונות גישה כושלים לקבצים, מכיוון שערך ביקורת נוצר בכל פעם שמשתמש מנסה לגשת ללא הצלחה לאובייקט של מערכת קבצים שיש לו SACL תואם. אירועים אלו נדרשים כדי לעקוב אחר הפעילות של אובייקטי קבצים שהם רגישים או בעלי ערך ודורשים ניטור נוסף.
לקרוא : חיזוק מדיניות סיסמת הכניסה של Windows ומדיניות נעילת החשבון
כיצד להפעיל יומני שגיאות ביקורת ב-Active Directory?
כדי להפעיל יומני שגיאות ביקורת ב-Active Directory, פשוט לחץ לחיצה ימנית על אובייקט ה-Active Directory שברצונך לבדוק ובחר מאפיינים . בחר בְּטִיחוּת לשונית ולאחר מכן בחר מִתקַדֵם . בחר בְּדִיקָה לשונית ולאחר מכן בחר לְהוֹסִיף . כדי להציג יומני ביקורת ב-Active Directory, לחץ לָצֵאת לָדֶרֶך > אבטחת מערכת > כלי ניהול > צופה באירועים . ב-Active Directory, ביקורת היא תהליך של איסוף וניתוח של אובייקטי AD ונתוני מדיניות קבוצתית כדי לשפר באופן יזום את האבטחה, לזהות במהירות ולהגיב לאיומים ולשמור על פעילות IT בצורה חלקה.
