Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
371,19 KB
Nội dung
Event ID Windows Server 2008 Vista Nguồn : quantrimang.com Derek Melber Quản trị mạng – Trong giới thiệu cho bạn cách kiểm tra kiện đăng nhập máy tính Windows Server 2008 Windows Vista Giới thiệu Bạn có muốn kiểm tra xem xảy máy tính lại khơng có thơng tin để kiểm tra kiện? Bài viết giúp bạn kiểm tra kiện cần thiết đăng nhập vào máy tính Windows Server 2008 Windows Vista Thiết lập ghi chép bảo mật Theo thứ tự để bạn hiểu cách kiện kiểm tra khía cạnh cụ thể tính ghi bảo mật máy tính nào, bạn cần hiểu cách khởi tạo ghi chép bảo mật Hầu hết máy tính Windows (ngoại trừ số phiên domain controller) không bắt đầu việc ghi thông tin vào Security Log mặc định Điều chứa đựng điều tốt lẫn xấu Điều xấu khơng có kiểm tra khơng có thực thi bạn máy tính để bắt đầu thực ghi kiện bảo mật Tuy nhiên điều lại giúp tránh tượng ghi tràn sinh thông báo lỗi thị ghi bị đầy Đây thứ mà Windows Server 2003 domain controller gặp phải mà khơng có cảnh báo trước Khi vấn đề kiểm tra kiện ghi bảo mật thiết lập cấu hình Group Policy Bạn cấu hình Group Policy Object nội điều khơng lý tưởng bạn phải cấu hình máy tính riêng rẻ Thêm vào bạn muốn sử dụng Group Policy bên Active Directory để thiết lập việc ghi chép nhiều máy tính với tập cấu hình Để thiết lập việc kiểm tra ghi bảo mật, thứ bạn thực mở Group Policy Management Console (GPMC) máy tính gia nhập miền đăng nhập với đặc quyền quản trị viên Bên GPMC, bạn thấy tất OU (organizational unit) (nếu tạo) tất GPO (nếu tạo nhiều số lượng mặc định 2) Cho ví dụ, chúng tơi giả định bạn có OU có chứa nhiều máy tính tất cần kiểm tra thông tin ghi bảo mật Chúng ta sử dụng Desktops OU AuditLog GPO Soạn thảo AuditLog GPO, sau mở nút sau: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy Khi bạn mở rộng nút này, bạn thấy danh sách hạng mục thẩm định cấu hình, thể hình bên Hình 1: Các mục sách thẩm định Audit Policy cho phép bạn định vùng bảo mật muốn ghi Mỗi thiết lập sách có hai lựa chọn: Success Failure Để cấu hình hạng mục cho Success Failure, bạn cần tích vào hộp kiểm Define These Policy Settings, xem thể hình bên Hình 2: Mỗi sách thẩm định cần phải định nghĩa trước, sau kiểu thẩm định cấu hình Đây giới thiệu vắn tắt hạng mục điều khiển gì: Audit account logon events – Hạng mục thẩm định người dùng đăng nhập đăng xuất từ máy tính sử dụng để hợp lệ hóa tài khoản Ví dụ dễ hiểu cho tình người dùng đăng nhập vào máy tính chạy hệ điều hành Windows XP Professional lại thẩm định domain controller Do domain controller hợp lệ hóa người dùng, kiện tạo domain controller Thiết lập khơng có hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thành phần cấu hình để thẩm định thành cơng kiện Đây cách tốt để tất máy chủ domain controller thẩm định kiện Tuy nhiên giải pháp xuất nhiều môi trường, nơi máy khách cấu hình để thẩm định kiện Audit account management – Hạng mục thẩm định kiện có liên quan đến người dùng quản lý tài khoản (user, group computer) sở liệu người dùng máy tính cấu hình thẩm định Những ví dụ cho kiện này: • • • • Tạo tài khoản người dùng Bổ sung thêm người dùng vào nhóm Đặt lại tên tài khoản người dùng Thay đổi mật tài khoản người dùng Đối với domain controller, hạng mục thẩm định thay đổi tài khoản miền Đối với máy chủ máy khách, hạng mục thẩm định Security Accounts Manager nội tài khoản cư trú Thiết lập khơng kích hoạt cho hệ điều hành ngoại trừ Windows Server 2003 domain controller, cấu hình để thẩm định thành cơng kiện Đó cách tốt hay thực để thẩm định kiện tất domain controller máy chủ Đối với việc thẩm định tài khoản người dùng mà ghi bảo mật thiết lập thẩm định capture, bạn tham khảo thêm thơng tin cách thẩm định tài khoản người dùng Audit directory service access – Hạng mục thẩm định kiện có liên quan đến việc truy cập người dùng vào đối tượng Active Directory (AD), AD cấu hình để kiểm tra truy cập người dùng thông qua System Access Control List (SACL) đối tượng SACL đối tượng AD rõ ba vấn đề sau: • • • Tài khaonr (của người dùng nhóm) kiểm tra Kiểu truy cập kiểm tra, chẳng hạn đọc, tạo, thay đổi,… Sự truy cập thành công hay thất bại đối tượng Do đối tượng có SACL riêng nên mức điều khiển xác Thiết lập khơng kích hoạt cho hệ điều hành ngoại trừ Windows Server 2003 domain controller, cấu hình để thẩm định thành công kiện Đây cách tốt phép thẩm định thành công hay thất bại việc truy cập dịch vụ thư mục cho tất domain controller Audit logon events – Hạng mục thẩm định kiện có liên quan đến người dùng đăng nhập, đăng xuất hay tạo kết nối mạng đến máy tính cấu hình để thẩm định kiện đăng nhập Một ví dụ điển hình trường hợp sử dụng hạng mục thời điểm kiện ghi thời điểm người dùng đăng nhập vào máy trạm họ tài khoản người dùng miền Khi kiện máy trạm làm việc domain controller tạo để thực thẩm định Thiết lập khơng có tất hệ điều hành ngoại trừ Windows Server 2003 domain controller, cấu hình để thẩm định truy cập thành công kiện Đây cách thường sử dụng để ghi kiện tất máy tính mạng Audit object access – Hạng mục thẩm định kiện người dùng truy cập đối tượng Các đối tượng file, thư mục, máy in, Registry key hay đối tượng Active Directory Trong thực tế, đối tượng có SACL nhóm vào nhóm thẩm định Giống việc thẩm định truy cập thư mục, đối tượng có SACL riêng, cho phép thẩm định mục tiêu đối tượng riêng biệt Tuy nhiên khơng có đối tượng cấu hình để thẩm định mặc định, điều có nghĩa việc kích hoạt thiết lập khơng tạo thông tin ghi Khi thiết lập thiết lập SACL cho đối tượng cấu hình, entry hiển thị theo cố gắng truy cập đăng nhập đối tượng Thông thường khơng cần cấu hình mức thẩm định này, cần thiết có nhu kiểm tra truy cập tài nguyên Audit policy change – Hạng mục thẩm định kiện có liên quan đến thay đổi ba lĩnh vực “policy” máy tính Các lĩnh vực “policy” gồm: • • • User Rights Assignment - Chỉ định quyền người dùng Audit Policies – Các sách thẩm định Trust relationships – Các mối quan hệ tin cậy Thiết lập khơng có hệ điều hành ngoại trừ Windows Server 2003 domain controller, cấu hình để thẩm định truy cập kiện Thứ tốt để thực cấu hình mức thẩm định cho tất máy tính mạng Audit privilege use – Hạng mục thẩm định kiện có liên quan đến việc thực nhiệm vụ điều khiển người dùng có thẩm quyền Danh sách quyền người dùng rộng, bạn quan sát hình bên Hình 3: Danh sách quyền người dùng cho máy tính Windows Mặc định mức thẩm định khơng cấu hình để kiểm tra kiện cho hệ điều hành Thứ tốt để thực cấu hình mức thẩm định cho tất máy tính mạng Audit process tracking – Hạng mục thẩm định kiện có liên quan đến q trình máy tính Ví vụ chương trình kích hoạt, q trình exit, gián tiếp truy cập đối tượng, nhân Mức thẩm định tạo số kiện thường khơng cấu hình trừ ứng dụng kiểm tra với mục đích khắc phục cố Audit system events – Hạng mục thẩm định kiện có liên quan đến việc khởi động lại máy tính “shut down” Các kiện có liên quan với ghi bảo mật bảo mật hệ thống kiểm tra cách thức thẩm định kích hoạt Đây cấu hình thẩm định yêu cầu cho máy tính cần kiểm tra khơng kiện xuất mà thân ghi xóa Thiết lập khơng có hệ điều hành ngoại trừ Windows Server 2003 domain controllers, cấu hình để thẩm định truy cập kiện Đây cách thức tốt để cấu hình mức thẩm định cho tất máy tính mạng Event ID hạng mục thẩm định Nếu quản trị viên có nhiều năm kinh nghiệm hẳn bạn thấy số kiện có tầm quan trọng nói đến việc kiểm tra phân tích bảo mật Điều nói lên số hàng nghìn kiện tạo ghi bảo mật, bạn cần tìm kiện quan trọng số đơng Đây trích dẫn kiện quan trọng theo hạng mục để bạn dựa vào nhằm kiểm tra từ ghi bảo mật Thẩm định kiện đăng nhập tài khoản Event ID Mơ tả 4776 - Domain controller muốn hợp lệ hóa tiêu chuẩn cho tài khoản 4777 - Domain controller thất bại việc hợp lệ hóa tiêu chuẩn cho tài khoản 4768 - Thẻ thẩm định Kerberos (TGT) yêu cầu 4769 - Thẻ dịch vụ Kerberos yêu cầu 4770 - Thẻ dịch vụ Kerberos làm Thẩm định việc quản lý tài khoản Event ID Mơ tả 4741 - Tài khoản máy tính tạo 4742 - Tài khoản bị thay đổi 4743 - Tài khoản bị xóa 4739 - Domain Policy bị thay đổi 4782 - Một tài khoản truy cập 4727 - Nhóm bảo mật global tạo 4728 - Một thành viên bổ sung vào nhóm bảo mật global 4729 - Một thành việc remove khỏi nhóm bảo mật global 4730 - Nhóm bảo mật global bị xóa 4731 - Nhóm bảo mật local tạo 4732 - Một thành viên bổ sung vào nhóm bảo mật local 4733 - Một thành việc remove khỏi nhóm bảo mật local 4734 - Nhóm bảo mật local bị xóa 4735 - Nhóm bảo mật local bị thay đổi 4737 - Nhóm bảo mật global bị thay đổi 4754 - Nhóm bảo mật universal tạo 4755 - Nhóm bảo mật universal bị thay đổi 4756 - Một thành viên bổ sung vào nhóm bảo mật universal 4757 - Một thành viên bị remove khỏi nhóm bảo mật universal 4758 - Nhóm bảo mật universal bị xóa 4720 - Tài khoản người dùng tạo 4722 - Tài khoản người dùng kích hoạt 4723 - Hiện hành động thay đổi mật tài khoản 4724 - Hành động thiết lập lại mật tài khoản 4725 - Tài khoản người dùng bị vơ hiệu hóa 4726 - Tài khoản người dùng bị xóa 4738 - Tài khoản người dùng bị thay đổi 4740 - Tài khoản người dùng bị khóa chặn 4765 - SID History bổ sung vào tài khoản 4766 - Hành động bổ sung SID History vào tài khoản bị thất bại 4767 - Tài khoản người dùng mở khóa 4780 - ACL thiết lập tài khoản thành viên nhóm quản trị 4781 - Tên tài khoản bị thay đổi: Thẩm định truy cập dịch vụ thư mục 4934 - Các thuộc tính đối tượng Active Directory bị tạo 4935 - Lỗi chép bắt đầu 4936 - Lỗi chép chấm rứt 5136 - Đối tượng dịch vụ thư mục bị thay đổi 5137 - Đối tượng dịch vụ thư mục tạo 5138 - Đối tượng dịch vụ thư mục khơng bị xóa 5139 - Đối tượng dịch vụ thư mục bị chuyển 5141 - Đối tượng dịch vụ thư mục bị xóa 4932 - Sự đồng Active Directory bắt đầu 4933 - Sự đồng Active Directory kết thúc Thẩm định kiện đăng nhập 4634 - Tài khoản bị đăng xuất 4647 - Người dùng bắt đầu đăng xuất 4624 - Tài khoản đăng nhập thành công 4625 - Tài khoản đăng nhập thất bại 4648 - Đăng nhập thực chứng rõ ràng 4675 - SID lọc 4649 - Phát công replay 4778 - Session kết nối lại đến Window Station 4779 - Session bị hủy kết nối từ Window Station 4800 - Máy trạmg làm việc bị khóa 4801 - Máy trạm làm việc mở khóa 4802 - Screen saver đánh thức 4803 - Screen saver thoát 5378 - Sự ủy thác tiêu chuẩn yêu cầu khơng phép sách 5632 - Một u cầu tạo để thẩm định cho mạng không dây 5633 - Một yêu cầu tạo để thẩm định cho mạng chạy dây Thẩm định truy cập đối tượng 5140 - Một đối tượng chia sẻ mạng bị truy cập 4664 - Một cố gắng thực để tạo liên kết cứng 4985 - Trạng thái giao dịch thay đổi 5051 - File ảo hóa 5031 - Windows Firewall Service hóa ứng dụng khơng cho chấp nhận kết nối gửi đến mạng 4698 - Một nhiệm vụ lên lịch trình tạo 4699 - Một nhiệm vụ lên lịch trình bị xóa 4700 - Một nhiệm vụ lên lịch trình kích hoạt 4701 - Một nhiệm vụ lên lịch trình bị vơ hiệu hóa 4702 - Một nhiệm vụ lên lịch trình nâng cấp 4657 - Giá trị ghi bị thay đổi 5039 - Giá trị ghi ảo hóa 4660 - Đối tượng bị phát 4663 - Một cố gắng tạo thực để truy cập đối tượng Thẩm định thay đổi sách 4715 4719 4902 4906 4907 4706 4707 4713 4716 4717 4718 4864 4865 4866 4867 4704 4705 - Chính sách thẩm định (SACL) đối tượng bị thay đổi Chính sách thẩm định hệ thống bị thay đổi Bảng sách thẩm định theo người dùng tạo Giá trị CrashOnAuditFail thay đổi Các thiết lập thẩm định đối tượng bị thay đổi Sự kỳ vọng tạo cho miền Sự kỳ vọng cho miền remove Chính sách Kerberos bị thay đổi Thơng tin miền tin cậy bị thay đổi Sự truy cập bảo mật hệ thống cho phép tài khoản Sự truy cập bảo mật hệ thống remove khỏi tài khoản Sự xung đột không gian tên phát Một Entry chứa thông tin forest tin cậy được bổ sung Một Entry chứa thông tin forest bị remove Một Entry chứa thông tin forest bị thay đổi Quyền người dùng gán Quyền người dùng bị remove 4714 - Chính sách khơi phục liệu mã hóa bị thay đổi 4944 - Chính sách bên tích cực Windows Firewall bắt đầu 4945 - Một rule liệt kê Windows Firewall bắt đầu 4946 - Có thay đổi xuất danh sách ngoại lệ Windows Firewall Một rule bổ sung 4947 - Có thay đổi danh sách ngoại lệ Windows Firewall Một rule bị thay đổi 4948 - Có thay đổi danh sách ngoại lệ Windows Firewall Một rule bị xóa 4949 - Các thiết lập Windows Firewall khôi phục giá trị mặc định 4950 - Các thiết lập Windows Firewall thay đổi 4951 - Một rule bỏ qua Windows Firewall không nhận số phiên major 4952 - Những thành phần rule bị bỏ qua Windows Firewall khơng nhận số phiên minor Các thành phần khác rule thực thi 4953 - Một rule bị Windows Firewall bỏ qua không luật 4954 - Các thiết lập Windows Firewall Group Policy thay đổi Thiết lập áp dụng 4956 - Windows Firewall thay đổi profile tích cực 4957 - Windows Firewall khơng sử dụng rule bên dưới: 4958 - Windows Firewall không sử dụng rule bên rule mục khơng cấu hình máy tính này: 6144 - Chính sách bảo mật đối tượng sách nhóm sử dụng thành cơng 6145 - Một nhiều lỗi xuất trình xử lý sách bảo mật đối tượng sách nhóm 4670 - Sự cho phép đối tượng bị thay đổi Thẩm định sử dụng đặc quyền 4672 - Các đặc quyền đặc biệt gán cho đăng nhập 4673 - Dịch vụ đặc quyền gọi 4674 - Một hoạt động thực đối tượng đặc quyền Thẩm định kiện hệ thống 5024 - Windows Firewall Service khởi chạy thành công 5025 - Windows Firewall Service bị stop 5027 - Windows Firewall Service khơng thể lấy lại sách bảo mật từ lưu trữ nội Dịch vụ tiếp tục thực thi sách hành 5028 - Windows Firewall Service khơng thể phân tích cú pháp sách bảo mật Dịch vụ tiếp tục với sách thực thi hành 5029 - Windows Firewall Service thất bại trình chạy driver Dịch vụ tiếp tục thực thi sách hành 5030 - Windows Firewall Service thất bại trình khởi chạy 5032 - Windows Firewall khơng thể thơng báo cho người dùng khóa ứng dụng việc truy cập kết nối gửi đến mạng 5033 - Windows Firewall Driver khởi chạy thành công 5034 - Windows Firewall Driver bị stop 5035 - Windows Firewall Driver bị thất bại trình khởi chạy 5037 - Windows Firewall Driver xóa lỗi runtime quan trọng Kết thúc 4608 - Windows khởi động 4609 - Windows tắt 4616 - Thời gian hệ thống bị thay đổi 4621 - Quản trị viên khôi phục hệ thống từ CrashOnAuditFail Người dùng quản trị viên phép đăng nhập Một số hành động kiểm định khơng ghi lại 4697 - Dịch vụ cài đặt hệ thống 4618 - Mẫu kiện bảo mật kiểm tra xuất Để xem danh sách đầy đủ tất kiện, bạn truy cập vào website Microsoft Kết luận Microsoft tiếp tục nhóm thêm kiện để hiển thị Security Log bên Event Viewer Khi sử dụng Group Policy để thiết lập hạng mục mà bạn thẩm định kiểm tra, bạn sử dụng kiện giới thiệu để kiểm tra cần thiết cho mơi trường Nếu kết hợp kiện với công nghệ khác, chẳng hạn subscription, bạn tạo ghi kiện cần thiết cho việc kiểm tra để thực trách nhiệm giữ bảo mật cho mạng ... Windows Firewall Driver bị stop 5035 - Windows Firewall Driver bị thất bại trình khởi chạy 5037 - Windows Firewall Driver xóa lỗi runtime quan trọng Kết thúc 4608 - Windows khởi động 4609 - Windows. .. bị thay đổi 4740 - Tài khoản người dùng bị khóa chặn 4765 - SID History bổ sung vào tài khoản 4766 - Hành động bổ sung SID History vào tài khoản bị thất bại 4767 - Tài khoản người dùng mở khóa... cực Windows Firewall bắt đầu 4945 - Một rule liệt kê Windows Firewall bắt đầu 4946 - Có thay đổi xuất danh sách ngoại lệ Windows Firewall Một rule bổ sung 4947 - Có thay đổi danh sách ngoại lệ Windows