Các mẹo trong quản lý bản ghi bảo mật- P1 pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (259.18 KB, 5 trang )
Các mẹo trong quản lý bản ghi bảo mật
Trong bài hôm nay chúng tôi s
ẽ giới thiệu cho các bạn một
số mẹo có thể được sử dụng để tìm kiếm nhiều thông tin
cần thiết hơn trong các bản ghi bảo mật; góp phần hướng
tới việc bảo mật tổng thể cho mạng của bạn.
Bản ghi bảo mật cho Windows có chứa rất nhiều thông tin
hữu dụng, tuy nhiên trừ khi biết cách điều khiển, quản lý và
phân tích các thông tin này, bằng không nó sẽ khiến bạn mất
công sức và thời gian để tìm ra các thông tin mà b
ạn muốn có.
Trong bài này chúng tôi sẽ giới thiệu một số mẹo có thể được
sử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong các
bản ghi bảo mật với mục đích làm cho công việc của bạn trở
nên dễ dàng hơn, hiệu quả hơn và việc bảo mật tổng thể cho
mạng của bạn trở nên tốt hơn.
Thiết lập gì được lưu
Đầu tiên bạn cần có đư
ợc các thông tin trong bản ghi bảo mật.
Qua thời gian, Microsoft đã cấu hình nó ở cho phép ghi một
số thứ, tuy nhiên không phải lúc nào cũng như vậy. Rất nhiều
người trong số các bạn đang đọc bài này có thể vẫn đang sử
dụng Windows 2000, XP và 2003, do đó việc biết được nơi
bạn có thể xem và kiểm định bản ghi bảo mật là một vấn đề
quan trọng.
Tất cả các thông tin được ghi trong bản ghi bảo mật đư
ợc điều
khiển bởi việc thẩm định Auditing. Auditing được thiết lập và
quản lý bởi Group Policy. Bạn có thể quản lý Group Policy
cục bộ (gpedit.msc) hoặc thông qua Active Directory bằng
cách sử dụng Group Policy Management Console (GPMC).
Có thể nói việc sử dụng GPMC và quản lý thẩm định bằng
cách sử dụng Active Directory tỏ ra thú vị hơn.
Bên trong Group Policy, chỉnh sửa đối tượng Group Policy,
sau đó điều hướng theo cây thư mục Computer
Configuration\Windows Settings\Security Settings\Local
Policies\Audit Policy, bạn có thể xem trong hình 1 để thấy
thông tin chi tiết.
Hình 1: Các thiết lập Audit Policy trong một Group Policy
Object
Không quan tâm đến việc bạn sử dụng Group Policy cục bộ
hay một GPO từ Active Directory, các thiết lập này sẽ đều
giống nhau. Như vậy nó sẽ dễ dàng hơn cho việc triển khai
các thiết lập đến nhiều máy tính đang sử dụng Active
Directory.
Như những gì bạn có thể thấy, có đến 9 tùy chọn chính sách
thẩm định khác nhau. Để tìm hiểu sâu hơn nữa về mỗi một
thiết lập này thực hiện những gì, bạn có thể tham khảo bài bi
ết
này.
Tập trung hóa các bản ghi bảo mật
Giờ đây giả sử tất cả các máy tính trong mạng của bạn đều l
ưu
các bản ghi vào vị trí mặc định của nó, nhiệm vụ của bạn là
cần xem chúng. Cần biết rằng, mỗi máy tính đều có các bản
sao cho bản ghi bảo mật của chính nó. Điều này có nghĩa
rằng, nếu mạng của bạn có 1000 máy chủ và 10000 máy trạm
thì bạn sẽ có tổng số 11000 bản ghi sự kiện cần phải xem!
Cho tới gần đây vẫn chưa có cách nào để có thể tập trung các
bản ghi này để phân tích một cách hiệu quả.
Mặc dù vậy, từ phiên bản Windows Server 2008, Vista và 7,
Microsoft đã đưa ra một cách cho phép bạn có thể tập trung
tất cả các bản ghi của mình, g
ồm có các bản ghi bảo mật từ tất
cả 11000 máy tính (số máy tính mà bạn có). Giải pháp là sử
dụng việc chuyển tiếp các bản ghi sự kiện.
Nhiệm vụ của bạn là cần phải có ít nhất một máy tính
Windows Server 2008, Vista, hoặc 7, tuy nhiên tối thiểu là
một. Máy tính này sẽ được sử dụng để làm máy tính tập trung
bản ghi. Tất cả các máy tính còn lại đang sử dụng các hệ điều
hành Windows XP, 2003, Vista, 2008 và 7 có thể gửi các sự
kiện của chúng đến máy tính tập trung này. (Cần lưu ý
Windows 2000 không được hỗ trợ).
Khung nhìn tùy biến
Sau khi đã tập trung được các bản ghi của mình, bạn có
thể thiết lập cách xem các thông tin. Cần lưu ý rằng có
đến hàng ngàn các bản ghi sự kiện khác nhau, với hàng
trăm event ID. Chính vì vậy bạn sẽ không có đủ thời
gian để đọc hết tất cả các bản ghi này và tìm ra bản ghi
nào có một event ID cụ thể. Có một cách để bạn không
phải làm như vậy.
Lúc này các bản ghi được tập trung của bạn nằm trên
máy tính Windows Server 2008, Vista hoặc7, bạn có thể
sử dụng khung nhìn tùy biến. Các khung nhìn tùy biến
cho phép bạn tạo một “bản ghi đặc biệt” cho các bản ghi
và event ID mà bạn muốn xem. Vì vậy, bạn có thể tạo
nhiều khung nhìn tùy biến cho các bản ghi đang tồn tại,
gồm có các bản ghi được chuyển tiếp mà bạn muốn có.
Ví dụ, bạn muốn có một khung nhìn tất cả các bản ghi
đã xảy ra trên tất cả máy chủ. Khi đó bạn chỉ cần tạo
