PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
9. Audit Policies
9.4 Thiết lập các chính sách giám sát
9.4.6 Audit object access
Giám sát này sẽ thẩm định sự kiện khi người dùng truy cập một đối tượng nào
đó. Các đối tượng ở đây có thể là các file, thư mục, máy in, Registry key hay các đối tượng Active Directory. Thơng thường chúng ta khơng cần cấu hình mức thẩm định
này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó.
Hệ thống có File Server, thư mục File Server sử dụng chứa tài nguyên cung cấp
cho nhân viên và NTFS Permision được cấu hình:
- Group Nhansu chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Nhansu. - Group Ketoan chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Ketoan.
Bảng phân quyền NTFS
Thư mục Group
Ketoan Nhansu File server
Ketoan Truy cập, đọc, sửa, xóa file chính mình tạo ra
Không cho phép truy cập
Đọc
Nhansu Không cho phép truy cập
Truy cập, đọc, sửa, xóa file chính mình tạo ra
Đọc
Bản Auditing
Thư mục Group
Ketoan Nhansu File server
Ketoan Truy cập, đọc, sửa, xóa file chính mình tạo ra - Success Không cho phép truy cập - Success &Failed Đọc - Success
Nhansu Không cho phép truy cập - Success &Failed Truy cập, đọc, sửa, xóa file chính mình tạo ra - Success Đọc - Success
Bật tính năng Auditing trên thư mục File server để xác định xem những ai đã
thay đổi bên trong thư mục, thay đổi có thành công hay không, và lúc thay đổi thì đang ngồi làm việc ở máy nào.
Cấu hình GPO link OU chứa computer account của File server (hoặc máy nào làm File Server thì triển khai Audit Policy trực tiếp trên máy đó)
Tại máy File server vào Local Security Policy, chọn Audit Policy => Audit Object Access chọn Success và Failure.
Hình 39. Ghi nhận sự kiện u1
Sự kiện 5140 cho biết user đăng nhập và đang dùng máy nào.
Sự kiện 4656 cho biết user đang đăng nhập vào mục kế toán và 4663 một cố gắng tạo được thực hiện để truy cập một đối tượng.
Hình 41. Chi tiết các thư mục được user truy cập
Với kt1 cố gắng đăng nhập trái phép vào mục nhân sự cũng được ghi nhận lại.
Hình 43. Chi tiết tài khoản truy cập