MCSA 2012: Audit Policy – Giám sát hệ thống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	18
Dung lượng	683,36 KB

Nội dung

Tài liệu trình bày những tìm hiểu về MCSA 2012 Audit Policy – giám sát hệ thống thông qua triển khai Lab Audit Policy, thực hành Lab Audit Policy, giám sát hoạt động của User, công cụ đọc log Audit Policy.

23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver MCSA 2012: Audit Policy – Giám sát hệ thống By Quách Chí Cường - 24/09/2018 MCSA 2012: Audit Policy – Giám sát hệ thống – Cuongquach.com | Chúng ta giả định tình nhu cầu quản trị viên Windows Server muốn giám sát ghi nhận kiện liên quan đến máy chủ Vậy Windows Server 2012 có tính hỗ trợ nhu cầu Audit Nào đến với viết ‘Audit Policy‘ Windows Server 2012 Có thể bạn quan tâm chủ đề khác – Xử lý lỗi RDP “This could be due to CredSSP encryption oracle ” – MCSA 2012: Tìm hiểu File Server Resource Manager – MCSA 2012: Distributed File System (DFS) – Video Quản trị Windows Server 2016 – Itech – MCSA 2012: Local Group Policy – MCSA 2012: Domain Network – Home Folder User Profile https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 1/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Contents Audit Policy ? Triển khai Lab Audit Policy Chuẩn bị cho Lab Audit Policy Thực hành Lab Audit Policy Giả định tình Audit Policy Audit Policy ? Audit Policy policy cho phép ta giám sát hoạt động hệ thống, tương tác người dùng, ghi nhận hoạt động cách có chọn lọc vào Security log Mục đích chính: + Cung cấp chức giám sát hoạt động ( hệ điều hành, AD hay user v.v) , ghi nhận kiện để xác định nguồn gốc thiệt hại hệ thống Ví dụ: Xác định vào nào, ngày nào, user chỉnh sửa, xóa tài nguyên Xác định thiệt hại: file bị xóa, bị chỉnh sửa + Đề phịng đợt cơng server Ví dụ: User NS1 thường xuyên bị dò password, sử dụng Audit Policy ta biết user NS1 bị dị vào thời điểm nào, vị trí dị v.v ( cung cấp thêm giải pháp giám sát việc dùng account lockout policy ra) Triển khai Lab Audit Policy Chuẩn bị cho Lab Audit Policy https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 2/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver máy đóng vai trị Domain Controller + File server: 2012may1 máy computer domain : 2012may2 – Vào ổ C -> tạo folder: Logs Thực hành Lab Audit Policy Mở trình quản lý Group Policy Management Run -> gpmc.msc Muốn giám sát DC nên ta thao tác OU Domain Controllers Nếu muốn giám sát member computer Move vào OU tạo GPO để Audit: Phải chuột Default Domain Controllers Policy -> Edit -> Computer Configuration (audit policy có mục này) -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy Audit Policy Ta thấy có policy tương ứng với mục đích giám sát khác Các lưu ý thiết lập Audit Policy https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 3/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver + Giám sát kiện thành cơng hay thất bại ( success, failure) Ví dụ: giám sát user bị dị password phải giám sát kiện đăng nhập thất bại + Nếu Workgroup chỉnh máy, Domain Network cấu hình GPO OU chứa member computer cần giám sát + Audit Policy tác động tới Computer account + Những kiện ta cần giám sát Audit account logon event: (1) Audit account management: (2) Audit Directory Service Access (3) Audit Logon event (4) Audit object access (5) Audit Policy change (6) Aduit privilege use (7) Audit process tracking (8) Audit system events (9) Có đối tượng mà Audit Policy giám sát: User Hệ thống Ứng dụng có hệ thống Giám sát hoạt động User + Để giám sát hoạt động User ta có Policy : (1) ,(2), (4), (5), (7) Ví dụ: Giám sát user sử dụng tài nguyên trái phép ( máy in, truy cập file server, v.v) ta dùng policy (5) Giám sát user log on ta cần cấu hình policy DC (vì DC nơi chứng thực) + Để giám sát hoạt động hệ điều hành ta có Policy: (3) (6) (9) + Để giám sát tương tác ứng dụng hệ thống ( dùng https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 4/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver cho ngành phần mềm: lập trình mạng, windows, linux v.v) ta có (8) Cơng cụ đọc log Audit Policy Công cụ dùng để đọc thông tin, kiện ta ghi nhận thông qua Audit Policy: Event Viewer Lưu ý: Sự kiện xảy đâu mở event viwer Ví Dụ: giám sát user truy cập file server mở event viwer file server Để mở Event Viewer Server: ta vào Server Manager -> Tools -> Event Viewer Event Viewer Để mở PC thường vào: run -> compmgmt.msc -> Event Viewer Ta dùng cách ngồi từ xa mà muốn xem Event Viewer Server ( dùng Connect to …) https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 5/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Remote Cơ máy tính cài HDH Windwos ln có loại log: Application, Security, System Máy tính cài thêm dịch vụ xuất thêm Event Viewer dịch vụ Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v Những kiện giám sát Audit Policy lưu Security Log Ta bung Windows Logs -> Security Bên phải kiện mà mặc định hệ thống tự Audit https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 6/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Security Log Ta thấy kiện nhiều khó để học quản lý, ta có nhu cầu lưu trữ thông tin giám sát theo chuẩn thời gian (theo chuẩn thời gian tối ưu nhất) làm sau: Chọn vào Security -> chuột phải Save All Events As … Lưu vào folder Logs, ta đặt tên file theo chuẩn thời gian: 2014-09-17 https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 7/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Hệ thống cho phép ta lưu log dạng file: Event Files (*.evtx): đọc log file Event Viewer XML (*.xml): file định dạng chuẩn XML Text (*.txt): đọc chương trình soạn thảo kiện ghi hàng, khó đọc ( khơng nên xài) CSV ( *.csv): đọc chương trình soạn thảo, kiện file cách phím tab Nếu dùng phần mềm Exell hay Acess v.v lọc kiện https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 8/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Filter exell Nên dùng: Event Files, CSV Lưu ý: kiện mặc định có event viewer tác động GPO Default Domain Controller Policy Giả định tình Audit Policy 1> Tình 1: Giám sát người dùng đăng nhập không thành công hệ thống => tạo GPO tác động lên OU chứa DC Run -> gpmc.msc -> OU Domain Controller -> Create a GPO … Name: GPO 10: Giam Sat Dang Nhap Trai Phep Lưu ý: https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 9/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Do “GPO: Default Domain Controller Policy” (đã có policy Audit) phía GPO 10 nên policy Audit Default ưu tiên policy Audit GPO 10 => cấu hình khơng tác động Muốn GPO 10 tác động phải UP GPO 10 lên GPO Default ( có conflic ưu tiên hơn) Up GPO 10 Edit GPO 10 GPO 10 https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 10/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Ta thấy mặc định Not Defined (nếu Not Defined hệ thống giám sát Audit policy mặc định có Default Domain Policy Default Domain Controller Policy) Tình giám sát đặng nhập khơng thành cơng chọn Audit policy: Logon Events -> Double click -> Check vào Define these policy settings , ta bỏ check success failure policy xuất trạng thái No Auditing (không giám sát) No Auditing Vì mặc định hệ thống giám sát nhiều kiện nên GPO 10 ta chỉnh thành No Auditing hết dễ đọc ( GPO 10 ưu tiên hơn) Rồi chỉnh Audit Account Logon Events ( giám sát trình đăng nhập) failure Audit Logon events ( giám sát hoat động hệ thống: diễn kiện chứng thức thực ghi nhận hết: vd đăng nhập lên file server v.v): failure Đánh lệnh: gpupdate /force Ta vào lại Event Viewer -> Windows Logs -> Security -> Clear Log : để xóa log cho dễ test kiện Test: ta giả vờ đăng nhập sai user NS1 Sau Refresh Event Viewer ta thấy kiện, double click vào kiện https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 11/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Event Xuất bảng chi tiết kiện EventID: để định danh loại kiện VD: EventID 4625: kiện đăng nhập (logon) Nơi xảy kiện Ngày Tài khoản liên quan đến kiện ( NS1) + v.v => Nhờ mà ta khoanh vùng vị trí, thời gian để có biện pháp xử lý 2> Tình 2: Ta ủy nhiệm cho NS1 quản lý OU NhanSu, ta phải giám sát NS1 ( dùng policy Privilege use) https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 12/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver 3> Tình 3: Có File Server, cơng ty có nhu cầu giám sát người dùng truy suất tài nguyên hệ thống ( GPO) => Ta phải thực hành động: Giám sát hành động user đăng nhập lên file server Giám sát user đăng nhập không thành công ( để biết cố tình đăng nhập khơng có quyền) Giám sát user đăng nhập thành công (để biết xóa, chỉnh sửa trái phép liệu) Triển khai: + GPO tác động lên file server ( DC) Trên máy DC : – Tạo fodler: Data : Share everyone Full Controll Tab Security: xóa group Users – Add user: NS1: Read and Execute NS2: Modify https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 13/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Phần quyền File Server + Trong folder Data: tạo t1.txt Run -> gpmc.msc -> Domain Controllers -> Edit GPO 10 Vào Audit Policy -> ta Defined thêm Audit Object Access (success failure) -> Gpupdate /force Riêng Audit Object Access ta phải làm thêm hành động: xác định tài nguyên cần giám sát đối tượng cần giám sát Properties folder Data -> Tab Security -> Advanced -> Tab Auditing https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 14/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Audit Để định đối tượng cần giám sát Chọn Add -> Select a principal: ta add group: Authenticated users ( => chọn xong đối tượng giám sát) Type: loại giám sát: Gồm loại All, success, failure Basic Authentication ( hay Advanced Authentication): giám sát hành động VỚi tình ta cấu sau Failure: ta giám sát Full Control ( tấ hành động mà failure giám sát) Success: ta nên giám sát hành động xóa, sửa, change permission Ở vi dụ ta cho Modify cho dễ ( Giám sát nhiều hành động, nhiều đối tượng add nhiều lần) Nhớ check vào: Apply these Audit Settings to object …… để áp đặt vào subfolder file bên https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 15/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Chỉ định đối tượng giám sát hành động cần giám sát Test: + KT2 đăng nhập vào 2012may2 + \\192.168.2.100 => không vào Trên DC (2012may1) vào Event Viewer thấy nhiều kiện, ta cần filter kiện failure để xem cách: – Vào Windwos Logs -> phải chuột Security -> Filter Current Log … https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 16/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Filter kiện đăngnhập file server (failure) https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html 17/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Chọn dòng EventID 4656 Ta thấy Access: ReadData… nghĩa KT2 thực hành động read bị cấm ( Not granted> Các bạn tự test trường hợp NS1 xóa file t1.txt Lưu ý: Add group Users, hệ thống giám sát dành vùng nhớ RAM lớn để giám sát tất account Nếu chọn Authenticated logon giám sát, vùng nhớ Ram giảm => tối ưu hệ thống Tài liệu tham khảo: Link Những cần thiết Audit Policy Windows Server 2012 trình bày Nếu có thắc mắc, góp ý, thảo luận mong bạn bình luận bên Cảm ơn bạn theo dõi Nguồn: https://cuongquach.com/ Quách Chí Cường https://cuongquach.com/ Bạn theo dõi website "https://cuongquach.com/" nơi lưu trữ kiến thức tổng hợp chia sẻ cá nhân Quản Trị Hệ Thống Dịch Vụ & Mạng, xây dựng lại tảng kinh nghiệm thân mình, Qch Chí Cường Hy vọng bạn thích nơi !    https://cuongquach.com/mcsa-2012-audit-policy-giam-sat-he-thong.html     18/18 ...23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Contents Audit Policy ? Triển khai Lab Audit Policy Chuẩn bị cho Lab Audit Policy Thực hành Lab Audit Policy Giả định tình Audit. .. https://cuongquach.com /mcsa- 2012 -audit- policy- giam-sat-he-thong.html 10/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Ta thấy mặc định Not Defined (nếu Not Defined hệ thống giám sát Audit. .. https://cuongquach.com /mcsa- 2012 -audit- policy- giam-sat-he-thong.html 9/18 23/4/2019 MCSA 2012: Audit Policy - Giám sát hệ thống - Technology Diver Do “GPO: Default Domain Controller Policy? ?? (đã có policy Audit)

Ngày đăng: 08/07/2020, 11:58