9. Audit Policies
9.1 Khái quát về các chính sách giám sát sự kiện
Định nghĩa Thiết lập mặc định Audit Account Logon Events
Tạo một sự kiện khi một user hoặc máy tính cố
gắng xác thực đang sử dụng một tài khoản AD. Ví dụ khi một user đăng nhập vào bất kỳ má tính trong domain, một sự kiện đăng nhập tài khoản.
Tài khoản đăng
nhập thành công và thất bại đều được giám sát.
Audit Logon Events
Tạo một sự kiện khi một user đăng nhập nội bộ
hoặc từ xa vào một máy tính. Ví dụ , nếu một trạm làm việc và một server được cấu hình để
giám sát những sự kiện truy cập, trạm làm việc giám sát một user đăng nhập trực tiếp vào trạm này. Khi user kết nối tới một tập tin chia sẻ trên
server, máy server đăng nhập từ xa. Khi một
user đăng nhập, DC ghi nhận lại sự kiện đăng
nhập bởi vì những đoạn mã và chính sách đăng
nhập được lấy ra từ DC.
Tài khoản đăng
nhập thành công và thất bại đều được giám sát.
Audit Account Management
Giám sát những sự kiện, bao gồm việc khởi tạo, xóa hoặc sửa đổi của tài khoản người dùng, nhóm hoặc máy tính và tái thiết lập mật khẩu cho user.
Giám sát những hoạt động quản lý tài khoản thành công.
Audit Directory
Service Access
Giám sát sự kiện được chỉđịnh trong hệ thống
SACL(system access control list), được quan sát trong một hộp thoại những thiết lập an ninh cấp cao của đối tượng AD. Thêm vào đó định nghĩa
chính sách giám sát với thiết lập này, ta cũng
phải cấu hình giám sát cho đối tượng chỉđịnh hoặc đối tượng sử dụng SACL của một hoặc nhiều đối tượng.
Giám sát những sự kiện truy cập dịch vụ danh bạ thành công, nhưng SACLs của một vài đối tượng chỉđịnh những thiết lập giám sát. Audit policy Change Những việc giám sát thay đổi các chính sách phân quyền người dùng, chính sách giám sát,
chính sách tin tưởng.
Chính sách thành
công thay đổi được giám sát.
Audit privilege use
Giám sát việc sử dụng của một đặc quyền hay quyền của user. Xem xét những ghi chú giải thích cho chính sách này trong Group Policy Management Editor (GPME).
Không có giám sát được thực hiện mặc định. Audit System Events Việc khởi động lại, tắt, hoặc thay đổi của hệ
thống giám sát sẽảnh hưởng đến hệ thống hay an toàn dự liệu. Giám sát những sự kiện của hệ thống thành công và thất bải. Audit Process Tracking Những sự kiện giám sát chẳng hạn như khởi
động chương trình và thoát chương trình. Xem xét chú thích cho chính sách này trong GPME.
Giám sát những sự
kiện theo dõi tiến trình thành công.
Audit Object Access
Tiếp cận tới những đối tượng như những tập tin,
thư mục, những khóa đăng ký và máy in những cái có SACL của chính chúng. Ngoài việc cho phép chính sách giám sát này, ta phải cấu hình những mục giám sát trong SACL của các đối
tượng.
Giám sát những sự
kiện truy cập đối