MCSA 2012: Audit Policy – Giám sát hệ thống

23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 1/18 MCSA 2012: Audit Policy – Giám sát hệ thống MCSA 2012: Audit Policy – Giám sát hệ thống – Cuongquach.com | Chúng ta hãy giả định tình huống và nhu cầu là quản trị viên Windows Server luôn muốn giám sát và ghi nhận các sự kiện liên quan đến máy chủ. Vậy thì trên Windows Server 2012 sẽ có tính năng gì hỗ trợ nhu cầu Audit đó. Nào cùng đến với bài viết về ‘Audit Policy‘ của Windows Server 2012 nhé. Có thể bạn quan tâm chủ đề khác – Xử lý lỗi RDP “This could be due to CredSSP encryption oracle..” – MCSA 2012: Tìm hiểu File Server Resource Manager – MCSA 2012: Distributed File System (DFS) – Video Quản trị Windows Server 2016 – Itech – MCSA 2012: Local Group Policy – MCSA 2012: Domain Network – Home Folder và User Profile By Quách Chí Cường - 24/09/2018 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 2/18 Contents Audit Policy là gì ? Triển khai Lab Audit Policy Chuẩn bị cho Lab Audit Policy Thực hành Lab Audit Policy Giả định tình huống Audit Policy Audit Policy là gì ? Audit Policy là những policy cho phép ta giám sát hoạt động của hệ thống, cũng như tương tác của người dùng, ghi nhận các hoạt động đó một cách có chọn lọc vào Security log. Mục đích chính: + Cung cấp chức năng giám sát hoạt động ( của hệ điều hành, của AD hay user v.v) , ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của hệ thống. Ví dụ: Xác định vào giờ nào, ngày nào, user nào chỉnh sửa, xóa tài nguyên nào. Xác định thiệt hại: file nào bị xóa, bị chỉnh sửa + Đề phòng các đợt tấn công trong server. Ví dụ: User NS1 thường xuyên bị dò password, sử dụng Audit Policy ta có thể biết user NS1 bị dò vào thời điểm nào, vị trí nào đang dò v.v ( cung cấp thêm giải pháp giám sát ngoài việc dùng account lockout policy ra). Triển khai Lab Audit Policy Chuẩn bị cho Lab Audit Policy 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 3/18 1 máy đóng vai trò Domain Controller + File server: 2012may1 1 máy computer domain : 2012may2 – Vào ổ C -> tạo folder: Logs Thực hành Lab Audit Policy Mở trình quản lý Group Policy Management . Muốn giám sát trên DC nên ta sẽ thao tác trên OU Domain Controllers. Nếu muốn giám sát trên member computer thì Move vào OU nào đó rồi tạo GPO để Audit: Phải chuột Default Domain Controllers Policy -> Edit -> Computer Configuration (audit policy chỉ có ở mục này) -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Audit Policy Ta thấy có các policy tương ứng với các mục đích giám sát khác nhau. Các lưu ý khi thiết lập Audit Policy 1 Run -> gpmc.msc 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 4/18 + Giám sát sự kiện đó thành công hay thất bại ( success, failure). Ví dụ: giám sát user bị dò password thì phải giám sát sự kiện đăng nhập thất bại. + Nếu là Workgroup thì chỉnh trên từng máy, Domain Network thì cấu hình GPO trên các OU chứa member computer cần giám sát. + Audit Policy chỉ tác động tới Computer account + Những sự kiện ta cần giám sát Audit account logon event: (1) Audit account management: (2) Audit Directory Service Access (3) Audit Logon event (4) Audit object access (5) Audit Policy change (6) Aduit privilege use (7) Audit process tracking (8) Audit system events (9) Có 3 đối tượng mà Audit Policy đi giám sát: User Hệ thống Ứng dụng có trên hệ thống Giám sát hoạt động của User + Để giám sát hoạt động của User ta có các Policy : (1) ,(2), (4), (5), (7). Ví dụ: Giám sát user sử dụng tài nguyên trái phép ( máy in, truy cập file server, v.v) ta dùng policy (5) Giám sát user log on ta chỉ cần cấu hình policy trên DC (vì DC là nơi chứng thực). + Để giám sát hoạt động của hệ điều hành ta có các Policy: (3) (6) (9). + Để giám sát sự tương tác của ứng dụng nào đó trên hệ thống như thế nào ( dùng 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 5/18 cho ngành phần mềm: lập trình mạng, windows, linux v.v) ta có (8). Công cụ đọc log Audit Policy Công cụ dùng để đọc thông tin, sự kiện ta ghi nhận thông qua Audit Policy: Event Viewer Lưu ý: Sự kiện xảy ra ở đâu thì mở event viwer ở đó. Ví Dụ: giám sát user truy cập file server thì mở event viwer ở file server. Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event Viewer. Event Viewer Để mở trên các PC thường vào: run -> compmgmt.msc -> Event Viewer . Ta dùng cách này nếu như đang ngồi từ xa mà muốn xem Event Viewer của Server ( dùng Connect to ) 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 6/18 Remote Cơ bản 1 máy tính cài HDH Windwos luôn có 3 loại log: Application, Security, System. Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ đó. Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log. Ta bung Windows Logs -> Security. Bên phải là những sự kiện mà mặc định hệ thống sẽ tự Audit. 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 7/18 Security Log Ta thấy sự kiện rất nhiều rất khó để học và quản lý, ta có nhu cầu lưu trữ thông tin giám sát theo chuẩn thời gian (theo chuẩn thời gian là tối ưu nhất) thì làm như sau: Chọn vào Security -> chuột phải Save All Events As Lưu vào folder Logs, ta đặt tên file theo chuẩn thời gian: 2014-09-17. 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 8/18 Hệ thống cho phép ta lưu log dưới 4 dạng file: Event Files (*.evtx): chỉ có thể đọc log file này bằng Event Viewer. XML (*.xml): file định dạng chuẩn XML . Text (*.txt): có thể đọc bằng các chương trình soạn thảo nhưng các sự kiện đều ghi ra 1 hàng, rất khó đọc. ( không nên xài). CSV ( *.csv): cũng có thể đọc bằng các chương trình soạn thảo, nhưng các sự kiện trong file được cách nhau bằng phím tab. Nếu dùng phần mềm Exell hay Acess v.v thì có thể lọc các sự kiện. 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 9/18 Filter bằng exell Nên dùng: Event Files, CSV Lưu ý: các sự kiện mặc định có trên event viewer là do tác động của GPO Default Domain Controller Policy. Giả định tình huống Audit Policy 1> Tình huống 1: Giám sát người dùng đăng nhập không thành công trên hệ thống => tạo GPO tác động lên OU chứa DC. Name: GPO 10: Giam Sat Dang Nhap Trai Phep. Lưu ý: 1 Run -> gpmc.msc -> OU Domain Controller -> Create a GPO 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 10/18 Do “GPO: Default Domain Controller Policy” (đã có policy Audit) ở phía trên GPO 10 nên những policy Audit của Default sẽ ưu tiên hơn policy Audit của GPO 10 => cấu hình rồi nhưng không tác động. Muốn GPO 10 tác động thì phải UP GPO 10 lên trên GPO Default ( vì nếu có conflic thì ở trên ưu tiên hơn) Up GPO 10 Edit GPO 10 GPO 10 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 11/18 Ta thấy mặc định là Not Defined (nếu Not Defined thì hệ thống sẽ giám sát những Audit policy mặc định có trên Default Domain Policy và Default Domain Controller Policy). Tình huống của chúng ta là chỉ giám sát đặng nhập không thành công thì chọn Audit policy: Logon Events -> Double click -> Check vào Define these policy settings , ta bỏ check success và failure thì policy xuất hiện trạng thái No Auditing (không giám sát) No Auditing Vì mặc định hệ thống giám sát nhiều sự kiện nên ở GPO 10 ta chỉnh thành No Auditing hết để cho dễ đọc ( GPO 10 ưu tiên hơn) Rồi chỉnh Audit Account Logon Events ( giám sát quá trình đăng nhập) là failure Audit Logon events ( giám sát hoat động của hệ thống: diễn ra bất cứ sự kiện chứng thức thực nào đều ghi nhận hết: vd đăng nhập lên file server v.v): failure Đánh lệnh: gpupdate /force Ta vào lại Event Viewer -> Windows Logs -> Security -> Clear Log : để xóa log cho dễ test các sự kiện. Test: ta giả vờ đăng nhập sai user NS1 Sau đó Refresh Event Viewer ta thấy các sự kiện, double click vào sự kiện bất kì 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 12/18 Event Xuất hiện bảng chi tiết về sự kiện EventID: để định danh loại sự kiện. VD: EventID 4625: sự kiện đăng nhập (logon). Nơi xảy ra sự kiện Ngày giờ Tài khoản liên quan đến sự kiện ( NS1) + v.v => Nhờ vậy mà ta có thể khoanh vùng vị trí, thời gian để có các biện pháp xử lý. 2> Tình huống 2: Ta ủy nhiệm cho NS1 quản lý OU NhanSu, ta phải giám sát NS1 ( dùng policy Privilege use) 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 13/18 3> Tình huống 3: Có File Server, công ty có nhu cầu giám sát người dùng truy suất tài nguyên trên hệ thống ( GPO) => Ta phải thực hiện các hành động: Giám sát hành động user đăng nhập lên file server. Giám sát user đăng nhập không thành công ( để biết ai cố tình đăng nhập khi không có quyền) Giám sát user đăng nhập thành công (để biết ai xóa, chỉnh sửa trái phép dữ liệu) Triển khai: + GPO tác động lên file server ( ở bài này là DC) Trên máy DC : – Tạo fodler: Data : Share everyone Full Controll. Tab Security: xóa group Users – Add các user: NS1: Read and Execute. NS2: Modify. 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 14/18 Phần quyền File Server + Trong folder Data: tạo t1.txt Vào Audit Policy -> ta Defined thêm Audit Object Access (success và failure) -> Gpupdate /force Riêng Audit Object Access ta phải làm thêm hành động: xác định tài nguyên cần giám sát và đối tượng cần giám sát Properties folder Data -> Tab Security -> Advanced -> Tab Auditing. 1 Run -> gpmc.msc -> Domain Controllers -> Edit GPO 10 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 15/18 Audit Để chỉ định đối tượng cần giám sát Chọn Add -> Select a principal: ta add group: Authenticated users. ( => đã chọn xong đối tượng giám sát). Type: loại giám sát: Gồm 2 loại All, success, failure. Basic Authentication ( hay Advanced Authentication): giám sát hành động gì. VỚi tình huống trên thì ta cấu hình như sau Failure: ta giám sát Full Control ( tấ cả các hành động mà failure thì giám sát) Success: ta nên giám sát các hành động như xóa, sửa, change permission . Ở vi dụ này ta cho Modify luôn cho dễ. ( Giám sát nhiều hành động, nhiều đối tượng thì add nhiều lần). Nhớ check vào: Apply these Audit Settings to object để áp đặt vào các subfolder và file bên trong. 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 16/18 Chỉ định đối tượng giám sát và hành động cần giám sát Test: + KT2 đăng nhập vào 2012may2 + \\192.168.2.100 => không vào được Trên DC (2012may1) vào Event Viewer thấy rất nhiều sự kiện, ta cần filter sự kiện failure để xem bằng cách: – Vào Windwos Logs -> phải chuột Security -> Filter Current Log . 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 17/18 Filter sự kiện đăngnhập file server (failure) 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 18/18 Chọn dòng EventID 4656 Ta thấy Access: ReadData nghĩa là KT2 thực hiện hành động read nhưng bị cấm ( Not granted> Các bạn tự test trường hợp NS1 xóa file t1.txt Lưu ý: nếu Add group Users, khi hệ thống giám sát thì sẽ dành vùng nhớ RAM lớn để giám sát tất cả account. Nếu chọn Authenticated thì ai logon mới giám sát, vùng nhớ Ram sẽ được giảm => tối ưu hệ thống. Tài liệu tham khảo: Link Những gì cần thiết về Audit Policy trên Windows Server 2012. mình đã trình bày ở trên. Nếu có thắc mắc, góp ý, thảo luận mong các bạn bình luận bên dưới. Cảm ơn các bạn đã theo dõi Nguồn: https://cuongquach.com/ Quách Chí Cường https://cuongquach.com/ Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !       