Tìm hiểu Windows 2003 Auditing and Logging
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (191.29 KB, 13 trang )
Topic 3E
Windows 2003 Auditing and Logging
Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình
thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được. Khối lượng thông tin thu
thập được thấy trong công cụ Event Viewer. Event Viewer cung cấp 3 bảng ghi chính:
Application Log, Security Log và System Log. Trong chủ đề này, bạn sẽ tập trung vào
Security Log.
Mặc dù Windows 2003 tự động theo dõi và ghi nhận các sự kiện trong Application và
System Log, Security Log phải được mở để nhìn thấy các sự kiện Security Log. Để mở
Security Log, bạn phải tạo một chính sách kiểm định Audit Policy.
Cấu hình Audit Policy sẽ cho phép bạn có nhiều điều khiển qua các sự kiện cụ thể được ghi
nhận vào bảng ghi. Thí dụ, bạn có thể chỉ ghi lại các cố gắng đăng nhập hay đăng xuất vào
hệ thống hoặc các thay đổi với tùy chọn chính sách. Danh sách sau định nghĩa từng chính
sách và cung cấp mô tả ngắn gọn về thiết lập :
Audit Account Logon Events – Thiết lập này ghi lại các sự kiện đăng nhập của tại
khoản người dùng. Nó có thể bao gồm sự kiện như thông tin vé Kerberos và tài
khoản sử dụng để đăng nhập.
Audit Account Management – Thiết lập này ghi lại các thay đổi, tạo mới hoặc xóa
đi một tài khoản hoặc một nhóm người dùng. Thiết lập này có thể ghi thêm việc đổi
tên, vô hiệu hóa, kích hoạt và thay đổi mật khầu cho tài khoản người dùng.
Audit Directory Service Access – Thiết lập này ghi lại truy xuất đến một đối tượng
Active Directory bởi user. Để chức bảng ghi này hoạt động, đối tượng phải được
cầu hình cho kiểm đỉnh.
Audit Logon Events – thiết lập này ghi lại các user đăng nhập hay đăng xuất, ghi
lại kết thúc các kết nối mạng.
Audit Object Access – Thiết lập này ghi lại các truy xuất đến tập tin, thư mục hay
máy in. Để bảng ghi này hoạt động, đối tượng cần phải được cấu hình để kiểm
định.
Audit Policy Change – Thiết lập này ghi lại các thay đổi đối với chính sách kiểm
định , quyền user và thiết lập bảo mật user.
Audit Privilege Use – Thiết lập này sẽ ghi lại việc sử dụng đặc quyền bởi tài khoản
người dùng.
Audit Process Tracking – Thiết lập này sẽ ghi lại tiếp trình thực thi các ứng dụng
trong hệ thống.
Audit System Events – Thiết lập này sẽ ghi lại các sự kiện hệ thống như tắt hoặc
khởi động lại của máy tính.
Hình 3-12
Oject Auditing
Để kiểm định truy xuất đến đối tượng cụ thể như tập tin, thư mục và máy in, bạn sẽ cần
cấu hình thực hiện trên chính đối tượng đó, ngoài ra còn phải tạo Audit Policy. Phần kiểm
định của đối tượng được đặt trên tab Security trong Properties của đối tượng. Click chọn
nút Advanced, vào chọn tab Auditing.
Một ví dụ về kiểm định có liện hệ với bảo mật, đó là một bảng ghi truy xuất tập tin thông
thường theo dõi truy xuất vào thư mục System32 của hệ điều hành. Như một thư mục quan
trọng, nó có thể cung cấp thông tin bảo mật thích hợp để thấy các user đang truy xuất vào
bên trong thư mục này và khi nào họ truy xuất vào đó.
Active Directory Auditing
Như khi bạn có thể ghi lại truy xuất đến một đối tượng như tập tin hay thư mục, bạn cũng
có thể ghi lại truy xuất đến một đối tượng Active Directory. Việc đầu tiên bạn cần làm là
kích hoạt kiểm định đối tượng Active Directory trong chính sách kiểm định của bạn, sau đó
chọn đối tượng cụ thể bạn muốn kiểm định.
Để chính sách có hiệu quả, bạn có một vài tùy chọn :
Một là đợi cho đến khi chính sách truyền đến các khoảng thường xuyên được cầu
hình bởi người quản trị.
Một tùy chọn khác là chạy lệnh grupdate /Force tại dấu nháy lệnh.
TASK 3E-1
Enabling Auditing
1. Từ Administrative Tools, mở Local Security Policy.
2. Mở Local Policies, và chọn Audit Policy.
3. Nhấp đôi chuột vào Audit Account Logon Events.
4. Check cả 2 Success và Failure, và click OK.
5. Nhấp đôi chuột vào Audit Logon Events.
6. Check cả 2 Success và Failure, và click OK.
7. Đóng Local Security Policy.
8. Mở command prompt, và gõ gpupdate /Force để cập nhật policy.
9. Mở Local Security Policy, và xác minh rằng các thiết lập mới đã có hiệu lực.
10. Đóng Local Security Policy.
Registry Auditing
Kiểm định Registry có thể cung cấp thông tin quan trọng trong bảo mật mạng cũng có thể
cung cấp dự liệu quan trọng trong gỡ rối một sự kiện nào đó. Điều này tương tự với tiến
trình yêu cầu để kiểm định các sự kiện khác, trong đó bạn chọn đối tượng và sau đó cấu
hình kiểm định trên đối tượng đó.
Các tùy chọn tồn tại trong kiểm định Registry có một ít khác biệt so với kiểm định tập tin
hay thư mục. Có các quyền như Query Value hay Set Value. Danh sách các truy xuất có thể
được kiểm định thể hiện ở hình dưới. Một vài tùy chọn kiểm định chi tiết như sau:
Query Value – Kiểm định user hoặc group đang đọc đối tượng.
Set Value – Kiểm định user hoặc group đang đợi đối tượng.
Create Subkey – Kiểm định user hoặc group đang tạo khóa.
Enumerate Subkeys – Kiểm định user hoặc group đang liệt kê danh sách các khóa
trong đối tượng.
Hình 3-13
Các tùy chọn này có thể được cấu hình cho cả thành công hoặc thất bại. Do đó, nếu bạn
muốn biết người nào thất bại trong cố gắng của họ để đọc SAM, bạn có thể chọn group và
kiểm định Query Value Failures.
TASK 3E-2
Logging SAM Registry Access
1. Tạo một tài khoản người dùng thông thường với tên Ordinary và password là
o01234567890!!. Nhớ để người dùng bỏ chọn phải thay đổi mật khẩu đăng nhập
trước khi bấm vào tạo.Lưu ý,mật khẩu dài là mật khẩu của policy trước.
2. Mở Regedit.
3. Vào HKEY_LOCAL_MACHINE\SAM\SAM.
4. Nhấp chuột phải vào khóa SAM\SAM, và chọn Permissions.
5. Click vào nút Advanced, và chọn Auditing tab.
6. Click Add button.
7. Trong Object Name text box, gõ Ordinary và click OK.
8. Với Query Value, check vào cả 2 Successful và Failed, và click OK.
9. Click OK để đóng bảng điều khiển Advanced trong SAM, và click OK để đóng
Permissions trong SAM.
10. Đăng xuất khỏi tài khoản Administrator, và đăng nhập vào Ordinary.
11. Mở Regedit và vào HKEY_LOCAL_MACHINE và cố gắng mở SAM và
SAM\SAM subkey.
12. Click OK để đóng thông báo lỗi.
13. Đăng xuất khỏi Ordinary và đăng nhập vào tài khoản Administrator. Bạn sẽ kiểm
tra được các sự kiện trước.
Managing the Event Viewer
Trong Event Viewer, bạn sẽ thực hiện các chức năng chính trong việc đọc và quản lý bảng
ghi của hệ thống. Bạn cũng có thể sử dụng phần mềm quản lý bảng ghi và gửi các bảng ghi
đến kho dữ liệu để xem, nhưng vào thời điểm này bạn sẽ phải làm việc trực tiếp trong
Event Viewer.
Event Viewer cung cấp 3 bảng ghi : Application, System và Security. Trong bảng ghi Event
Viewer, có 5 loại sự kiện có thể được báo cáo. Đó là Error, Warning, Information, Success
Audit và Failure Audit. Bạn có thể thêm các thành phần vào Event Viewer dựa vào các ứng
dụng đã cài đặt như DNS như đã thể hiện ở hình 3-14.
Các bảng ghi được liệt kê trong Viewer với hầu hết các sự kiện hiện hành ở phần trên cùng
của danh sách. Bạn có thể cần di chuyển lên xuống danh sách để theo dõi tần số của các sự
kiện. Bạn cũng có thể sắp xếp theo cột bằng cách click vào bất ký tên của cột nào.
