Event ID của Windows Server 2008 và Vista
Ngu
ồn : quantrimang.com 
Derek Melbe
r
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách kiểm tra
sự kiện được đăng nhập trên máy tính Windows Server 2008 và Windows Vista.
Giới thiệu
Bạn có bao giờ muốn kiểm tra xem những gì đang xảy ra trên một máy tính
nhưng lại không có các thông tin để kiểm tra sự kiện? Bài viết này sẽ giúp các
bạn kiểm tra những sự kiện cần thiết đăng nhập vào máy tính Windows Server
2008 và Windows Vista.
Thiết lập ghi chép bảo mật
Theo thứ tự để bạn hiểu cách các sự kiện kiểm tra các khía cạnh cụ thể của tính
năng ghi bảo mật máy tính như thế nào, bạn cần hiểu cách khởi tạo một ghi
chép bảo mật. Hầu hết các máy tính Windows (ngoại trừ một số phiên bản
domain controller) không bắt đầu việc ghi thông tin vào Security Log mặc định.
Điều này chứa đựng cả những điều tốt lẫn xấu.
Điều xấu ở đây là rằng sẽ không
có gì được kiểm tra nếu không có sự thực thi của bạn đối với máy tính để bắt
đầu thực hiện ghi các sự kiện bảo mật. Tuy nhiên điều này lại giúp tránh được
hiện tượng ghi tràn và sinh ra thông báo lỗi chỉ thị rằng bản ghi đã bị đầy. Đây
chính là thứ mà các Windows Server 2003 domain controller đã gặp phải mà
không có cảnh báo trước.
Khi vấn đề ki
ểm tra sự kiện bản ghi bảo mật được thiết lập và được cấu hình
bằng Group Policy. Bạn có thể cấu hình Group Policy Object nội bộ nhưng điều
này không lý tưởng vì bạn phải cấu hình mỗi một máy tính riêng rẻ. Thêm vào đó
bạn cũng muốn sử dụng Group Policy bên trong Active Directory để thiết lập việc
ghi chép trên nhiều máy tính với một tập các cấu hình. Để thiết lập được việc
kiể

m tra bản ghi bảo mật, thứ đầu tiên bạn thực hiện là mở Group Policy
Management Console (GPMC) trên máy tính gia nhập miền và đăng nhập với
các đặc quyền của quản trị viên.
Bên trong GPMC, bạn có thể thấy tất cả các OU (organizational unit) của mình
(nếu đã tạo) cũng như tất cả các GPO (nếu đã tạo nhiều hơn số lượng mặc định
là 2). Cho ví dụ, chúng tôi sẽ giả định rằng bạ
n có một OU có chứa nhiều máy
tính và tất cả đều cần được kiểm tra thông tin bản ghi bảo mật. Chúng ta sẽ sử
dụng Desktops OU và AuditLog GPO.
Soạn thảo AuditLog GPO, sau đó mở nút sau:
Computer Configuration\Policies\Windows Settings\Security Settings\Local
Policies\Audit Policy
Khi bạn mở rộng nút này, bạn sẽ thấy một danh sách các hạng mục thẩm định
có thể cấu hình, như thể hiện trong hình 1 bên dưới.

Hình 1: Các mục chính sách thẩm định Audit Policy cho phép bạn chỉ định vùng
bảo mật nào mình muốn ghi
Mỗi một các thiết lập chính sách đều có hai lựa chọn: Success hoặc Failure. Để
cấu hình bất cứ hạ
ng mục nào cho Success hoặc Failure, bạn cần tích vào hộp
kiểm Define These Policy Settings, xem thể hiện trong hình 2 bên dưới.

Hình 2: Mỗi một chính sách thẩm định cần phải được định nghĩa trước, sau đó
kiểu thẩm định được cấu hình.
Đây là một giới thiệu vắn tắt về mỗi hạng mục điều khiển những gì:
Audit account logon events – Hạng mục này sẽ thẩm định mỗi khi người dùng
đăng nhập hoặc đăng xuất từ một máy tính được sử dụng để h
ợp lệ hóa tài
khoản. Ví dụ dễ hiểu nhất cho tình huống này là khi một người dùng đăng nhập
vào máy tính chạy hệ điều hành Windows XP Professional nhưng lại được thẩm

định bởi domain controller. Do domain controller sẽ hợp lệ hóa người dùng, khi
đó sự kiện sẽ được tạo trên domain controller. Thiết lập này không có trong bất
cứ hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thành
phần được cấu hình để thẩm định sự
thành công của các sự kiện. Đây cũng
chính là cách tốt nhất để tất cả các máy chủ và domain controller thẩm định các
sự kiện này. Tuy nhiên giải pháp này cũng xuất hiện trong nhiều môi trường, nơi
các máy khách cũng được cấu hình để thẩm định các sự kiện này.
Audit account management – Hạng mục này sẽ thẩm định mỗi sự kiện có liên
quan đến người dùng đang quản lý tài khoản (user, group hoặc computer) trong
cơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm định. Những ví
dụ cho các sự kiện này:
•
Tạo một tài khoản người dùng
•
Bổ sung thêm một người dùng vào nhóm
•
Đặt lại tên một tài khoản người dùng
•
Thay đổi mật khẩu của tài khoản người dùng
Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với tài
khoản miền. Đối với máy chủ và máy khách, hạng mục sẽ thẩm định Security
Accounts Manager nội bộ và các tài khoản cư trú ở đó. Thiết lập này không
được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003
domain controller, được cấu hình để thẩm đị
nh thành công các sự kiện này. Đó
cũng là cách tốt nhất và hay được thực hiện để thẩm định các sự kiện như vậy ở
tất cả các domain controller và máy chủ. Đối với việc thẩm định các tài khoản
người dùng mà bản ghi bảo mật và các thiết lập thẩm định không thể capture,
các bạn có thể tham khảo thêm các thông tin về cách thẩm định các tài khoản

người dùng.
Audit directory service access – Hạng mục này sẽ th
ẩm định sự kiện có liên
quan đến việc truy cập của người dùng vào đối tượng Active Directory (AD), AD
này đã được cấu hình để kiểm tra sự truy cập của người dùng thông qua System
Access Control List (SACL) của đối tượng. SACL của đối tượng AD sẽ chỉ rõ ba
vấn đề sau:
•
Tài khaonr (của người dùng hoặc nhóm) sẽ được kiểm tra
•
Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,…
•
Sự truy cập thành công hay thất bại đối với đối tượng
Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác.
Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ
Windows Server 2003 domain controller, được cấu hình để thẩm định thành
công các sự kiện này. Đây cũng là cách tốt nhất để cho phép thẩm định thành
công hay thất bại đối vớ
i việc truy cập dịch vụ thư mục cho tất cả domain
controller.
Audit logon events – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến
người dùng đang đăng nhập, đăng xuất hay đang tạo một kết nối mạng đến một
máy tính được cấu hình để thẩm định các sự kiện đăng nhập. Một ví dụ điển
hình về trường hợp s
ử dụng hạng mục này là thời điểm các sự kiện được ghi là
thời điểm người dùng đăng nhập vào máy trạm của họ bằng tài khoản người
dùng trong miền. Khi đó một sự kiện trên máy trạm làm việc chứ không phải
domain controller sẽ được tạo để thực hiện thẩm định. Thiết lập này không có
trong tất cả các hệ điều hành ngoại trừ Windows Server 2003 domain controller,
được cấu hình để thẩm định sự truy cập thành công của các sự kiện này. Đây

cũng là cách thường được sử dụng để ghi các sự kiện này trên tất cả máy tính
trong mạng.
Audit object access – Hạng mục này sẽ thẩm định sự kiện khi người dùng truy
cập một đối tượng nào đó. Các đối tượng ở đây có thể là các file, thư mục, máy
in, Registry key hay các đối tượng Active Directory. Trong thực tế, bất cứ đối
tượng nào có SACL sẽ đều được nhóm vào nhóm thẩm định. Giống như việc
thẩm định truy cập thư mục, mỗi một đối tượng đều có SACL riêng, cho phép
thẩm định mục tiêu các đối tượng riêng biệt. Tuy nhiên không có đối tượng nào
được cấu hình
để thẩm định mặc định, điều đó có nghĩa rằng việc kích hoạt thiết
lập này sẽ không tạo ra bất kỳ thông tin được ghi nào. Khi thiết lập được thiết lập
và một SACL cho đối tượng được cấu hình, các entry sẽ hiển thị theo những cố
gắng truy cập đăng nhập đối tượng. Thông thường chúng ta không cần cấu hình
mức thẩm định này, nó chỉ cần thiế
t khi có nhu kiểm tra sự truy cập tài nguyên
nào đó.
Audit policy change – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan
đến thay đổi của một trong ba lĩnh vực “policy” trên máy tính. Các lĩnh vực
“policy” này gồm:
•
User Rights Assignment - Chỉ định quyền người dùng
•
Audit Policies – Các chính sách thẩm định
•
Trust relationships – Các mối quan hệ tin cậy
Thiết lập này không có trong bất cứ hệ điều hành nào ngoại trừ Windows Server
2003 domain controller, được cấu hình để thẩm định sự truy cập các sự kiện
này. Thứ tốt nhất để thực hiện là cấu hình mức thẩm định cho tất cả các máy
tính trong mạng.
Audit privilege use – Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc

thực hiện một nhiệ
m vụ nào đó được điều khiển bởi một người dùng có thẩm
quyền. Danh sách các quyền người dùng khá rộng, bạn có thể quan sát trong
hình 3 bên dưới.