MCSA 2012: Audit Policy – Giám sát hệ thống – Cuongquach.com | Chúng ta hãy
giả định tình huống và nhu cầu là quản trị viên Windows Server luôn muốn giám sát
và ghi nhận các sự kiện liên quan đến máy chủ. Vậy thì trên Windows Server 2012 sẽ
có tính năng gì hỗ trợ nhu cầu Audit đó. Nào cùng đến với bài viết về ‘Audit Policy‘
của Windows Server 2012 nhé.
18 trang |
Chia sẻ: thanhle95 | Lượt xem: 646 | Lượt tải: 1
Bạn đang xem nội dung tài liệu MCSA 2012: Audit Policy – Giám sát hệ thống, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 1/18
MCSA 2012: Audit Policy – Giám sát hệ thống
MCSA 2012: Audit Policy – Giám sát hệ thống – Cuongquach.com | Chúng ta hãy
giả định tình huống và nhu cầu là quản trị viên Windows Server luôn muốn giám sát
và ghi nhận các sự kiện liên quan đến máy chủ. Vậy thì trên Windows Server 2012 sẽ
có tính năng gì hỗ trợ nhu cầu Audit đó. Nào cùng đến với bài viết về ‘Audit Policy‘
của Windows Server 2012 nhé.
Có thể bạn quan tâm chủ đề khác
– Xử lý lỗi RDP “This could be due to CredSSP encryption oracle..”
– MCSA 2012: Tìm hiểu File Server Resource Manager
– MCSA 2012: Distributed File System (DFS)
– Video Quản trị Windows Server 2016 – Itech
– MCSA 2012: Local Group Policy
– MCSA 2012: Domain Network – Home Folder và User Profile
By Quách Chí Cường - 24/09/2018
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 2/18
Contents
Audit Policy là gì ?
Triển khai Lab Audit Policy
Chuẩn bị cho Lab Audit Policy
Thực hành Lab Audit Policy
Giả định tình huống Audit Policy
Audit Policy là gì ?
Audit Policy là những policy cho phép ta giám sát hoạt động của hệ thống, cũng
như tương tác của người dùng, ghi nhận các hoạt động đó một cách có chọn lọc vào
Security log.
Mục đích chính:
+ Cung cấp chức năng giám sát hoạt động ( của hệ điều hành, của AD hay user v.v) ,
ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của hệ thống. Ví dụ:
Xác định vào giờ nào, ngày nào, user nào chỉnh sửa, xóa tài nguyên nào.
Xác định thiệt hại: file nào bị xóa, bị chỉnh sửa
+ Đề phòng các đợt tấn công trong server. Ví dụ:
User NS1 thường xuyên bị dò password, sử dụng Audit Policy ta có thể biết user
NS1 bị dò vào thời điểm nào, vị trí nào đang dò v.v ( cung cấp thêm giải pháp giám
sát ngoài việc dùng account lockout policy ra).
Triển khai Lab Audit Policy
Chuẩn bị cho Lab Audit Policy
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 3/18
1 máy đóng vai trò Domain Controller + File server: 2012may1
1 máy computer domain : 2012may2
– Vào ổ C -> tạo folder: Logs
Thực hành Lab Audit Policy
Mở trình quản lý Group Policy Management .
Muốn giám sát trên DC nên ta sẽ thao tác trên OU Domain Controllers. Nếu muốn
giám sát trên member computer thì Move vào OU nào đó rồi tạo GPO để Audit:
Phải chuột Default Domain Controllers Policy -> Edit -> Computer Configuration
(audit policy chỉ có ở mục này) -> Policies -> Windows Settings -> Security
Settings -> Local Policies -> Audit Policy.
Audit Policy
Ta thấy có các policy tương ứng với các mục đích giám sát khác nhau.
Các lưu ý khi thiết lập Audit Policy
1 Run -> gpmc.msc
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 4/18
+ Giám sát sự kiện đó thành công hay thất bại ( success, failure). Ví dụ: giám sát user
bị dò password thì phải giám sát sự kiện đăng nhập thất bại.
+ Nếu là Workgroup thì chỉnh trên từng máy, Domain Network thì cấu hình GPO trên
các OU chứa member computer cần giám sát.
+ Audit Policy chỉ tác động tới Computer account
+ Những sự kiện ta cần giám sát
Audit account logon event: (1)
Audit account management: (2)
Audit Directory Service Access (3)
Audit Logon event (4)
Audit object access (5)
Audit Policy change (6)
Aduit privilege use (7)
Audit process tracking (8)
Audit system events (9)
Có 3 đối tượng mà Audit Policy đi giám sát:
User
Hệ thống
Ứng dụng có trên hệ thống
Giám sát hoạt động của User
+ Để giám sát hoạt động của User ta có các Policy : (1) ,(2), (4), (5), (7). Ví dụ:
Giám sát user sử dụng tài nguyên trái phép ( máy in, truy cập file server, v.v) ta
dùng policy (5)
Giám sát user log on ta chỉ cần cấu hình policy trên DC (vì DC là nơi chứng thực).
+ Để giám sát hoạt động của hệ điều hành ta có các Policy: (3) (6) (9).
+ Để giám sát sự tương tác của ứng dụng nào đó trên hệ thống như thế nào ( dùng
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 5/18
cho ngành phần mềm: lập trình mạng, windows, linux v.v) ta có (8).
Công cụ đọc log Audit Policy
Công cụ dùng để đọc thông tin, sự kiện ta ghi nhận thông qua Audit Policy: Event
Viewer
Lưu ý: Sự kiện xảy ra ở đâu thì mở event viwer ở đó. Ví Dụ: giám sát user truy cập file
server thì mở event viwer ở file server.
Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event Viewer.
Event Viewer
Để mở trên các PC thường vào: run -> compmgmt.msc -> Event Viewer . Ta dùng
cách này nếu như đang ngồi từ xa mà muốn xem Event Viewer của Server ( dùng
Connect to )
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 6/18
Remote
Cơ bản 1 máy tính cài HDH Windwos luôn có 3 loại log: Application, Security,
System. Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ
đó.
Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v
Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log.
Ta bung Windows Logs -> Security. Bên phải là những sự kiện mà mặc định hệ
thống sẽ tự Audit.
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 7/18
Security Log
Ta thấy sự kiện rất nhiều rất khó để học và quản lý, ta có nhu cầu lưu trữ thông tin
giám sát theo chuẩn thời gian (theo chuẩn thời gian là tối ưu nhất) thì làm như sau:
Chọn vào Security -> chuột phải Save All Events As
Lưu vào folder Logs, ta đặt tên file theo chuẩn thời gian: 2014-09-17.
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 8/18
Hệ thống cho phép ta lưu log dưới 4 dạng file:
Event Files (*.evtx): chỉ có thể đọc log file này bằng Event Viewer.
XML (*.xml): file định dạng chuẩn XML .
Text (*.txt): có thể đọc bằng các chương trình soạn thảo nhưng các sự kiện đều
ghi ra 1 hàng, rất khó đọc. ( không nên xài).
CSV ( *.csv): cũng có thể đọc bằng các chương trình soạn thảo, nhưng các sự kiện
trong file được cách nhau bằng phím tab. Nếu dùng phần mềm Exell hay Acess v.v
thì có thể lọc các sự kiện.
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 9/18
Filter bằng exell
Nên dùng: Event Files, CSV
Lưu ý: các sự kiện mặc định có trên event viewer là do tác động của GPO Default
Domain Controller Policy.
Giả định tình huống Audit Policy
1> Tình huống 1: Giám sát người dùng đăng nhập không thành công trên hệ thống
=> tạo GPO tác động lên OU chứa DC.
Name: GPO 10: Giam Sat Dang Nhap Trai Phep.
Lưu ý:
1 Run -> gpmc.msc -> OU Domain Controller -> Create a GPO
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 10/18
Do “GPO: Default Domain Controller Policy” (đã có policy Audit) ở phía trên
GPO 10 nên những policy Audit của Default sẽ ưu tiên hơn policy Audit của GPO
10 => cấu hình rồi nhưng không tác động. Muốn GPO 10 tác động thì phải UP GPO
10 lên trên GPO Default ( vì nếu có conflic thì ở trên ưu tiên hơn)
Up GPO 10
Edit GPO 10
GPO 10
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 11/18
Ta thấy mặc định là Not Defined (nếu Not Defined thì hệ thống sẽ giám sát những
Audit policy mặc định có trên Default Domain Policy và Default Domain Controller
Policy).
Tình huống của chúng ta là chỉ giám sát đặng nhập không thành công thì chọn Audit
policy: Logon Events -> Double click -> Check vào Define these policy settings , ta
bỏ check success và failure thì policy xuất hiện trạng thái No Auditing (không giám
sát)
No Auditing
Vì mặc định hệ thống giám sát nhiều sự kiện nên ở GPO 10 ta chỉnh thành No
Auditing hết để cho dễ đọc ( GPO 10 ưu tiên hơn)
Rồi chỉnh Audit Account Logon Events ( giám sát quá trình đăng nhập) là failure
Audit Logon events ( giám sát hoat động của hệ thống: diễn ra bất cứ sự kiện
chứng thức thực nào đều ghi nhận hết: vd đăng nhập lên file server v.v): failure
Đánh lệnh: gpupdate /force
Ta vào lại Event Viewer -> Windows Logs -> Security -> Clear Log : để xóa log cho
dễ test các sự kiện.
Test: ta giả vờ đăng nhập sai user NS1
Sau đó Refresh Event Viewer ta thấy các sự kiện, double click vào sự kiện bất kì
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 12/18
Event
Xuất hiện bảng chi tiết về sự kiện
EventID: để định danh loại sự kiện. VD: EventID 4625: sự kiện đăng nhập (logon).
Nơi xảy ra sự kiện
Ngày giờ
Tài khoản liên quan đến sự kiện ( NS1)
+ v.v
=> Nhờ vậy mà ta có thể khoanh vùng vị trí, thời gian để có các biện pháp xử lý.
2> Tình huống 2:
Ta ủy nhiệm cho NS1 quản lý OU NhanSu, ta phải giám sát NS1 ( dùng policy
Privilege use)
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 13/18
3> Tình huống 3: Có File Server, công ty có nhu cầu giám sát người dùng truy suất
tài nguyên trên hệ thống ( GPO)
=> Ta phải thực hiện các hành động:
Giám sát hành động user đăng nhập lên file server.
Giám sát user đăng nhập không thành công ( để biết ai cố tình đăng nhập khi
không có quyền)
Giám sát user đăng nhập thành công (để biết ai xóa, chỉnh sửa trái phép dữ liệu)
Triển khai:
+ GPO tác động lên file server ( ở bài này là DC)
Trên máy DC :
– Tạo fodler: Data : Share everyone Full Controll. Tab Security: xóa group Users
– Add các user: NS1: Read and Execute. NS2: Modify.
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 14/18
Phần quyền File Server
+ Trong folder Data: tạo t1.txt
Vào Audit Policy -> ta Defined thêm Audit Object Access (success và failure) ->
Gpupdate /force
Riêng Audit Object Access ta phải làm thêm hành động: xác định tài nguyên cần
giám sát và đối tượng cần giám sát
Properties folder Data -> Tab Security -> Advanced -> Tab Auditing.
1 Run -> gpmc.msc -> Domain Controllers -> Edit GPO 10
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 15/18
Audit
Để chỉ định đối tượng cần giám sát Chọn Add ->
Select a principal: ta add group: Authenticated users. ( => đã chọn xong
đối tượng giám sát).
Type: loại giám sát: Gồm 2 loại All, success, failure.
Basic Authentication ( hay Advanced Authentication): giám sát hành động gì.
VỚi tình huống trên thì ta cấu hình như sau
Failure: ta giám sát Full Control ( tấ cả các hành động mà failure thì giám sát)
Success: ta nên giám sát các hành động như xóa, sửa, change permission . Ở vi dụ
này ta cho Modify luôn cho dễ.
( Giám sát nhiều hành động, nhiều đối tượng thì add nhiều lần).
Nhớ check vào: Apply these Audit Settings to object để áp đặt vào các
subfolder và file bên trong.
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 16/18
Chỉ định đối tượng giám sát và hành động cần giám sát
Test:
+ KT2 đăng nhập vào 2012may2
+ \\192.168.2.100 => không vào được
Trên DC (2012may1) vào Event Viewer thấy rất nhiều sự kiện, ta cần filter sự kiện
failure để xem bằng cách:
– Vào Windwos Logs -> phải chuột Security -> Filter Current Log .
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 17/18
Filter sự kiện đăngnhập file server (failure)
23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver
https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 18/18
Chọn dòng EventID 4656 Ta thấy Access: ReadData nghĩa là KT2 thực hiện hành
động read nhưng bị cấm ( Not granted>
Các bạn tự test trường hợp NS1 xóa file t1.txt
Lưu ý: nếu Add group Users, khi hệ thống giám sát thì sẽ dành vùng nhớ RAM lớn để
giám sát tất cả account. Nếu chọn Authenticated thì ai logon mới giám sát, vùng nhớ
Ram sẽ được giảm => tối ưu hệ thống.
Tài liệu tham khảo: Link
Những gì cần thiết về Audit Policy trên Windows Server 2012. mình đã trình bày ở
trên. Nếu có thắc mắc, góp ý, thảo luận mong các bạn bình luận bên dưới. Cảm ơn
các bạn đã theo dõi
Nguồn: https://cuongquach.com/
Quách Chí Cường
https://cuongquach.com/
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ
cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản
thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !