PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
9. Audit Policies
9.4 Thiết lập các chính sách giám sát
9.4.9 Audit process tracking
Chính sách giám sát này sẽ thẩm định sự kiện có liên quan đến các q trình
trên máy tính. Xác định để giám sát các thông tin theo dõi chi tiết cho các sự kiện như
kích hoạt chương trình, thốt tiến trình, xử lý sao chép, và truy cập các đối tượng gián tiếp.
Nếu định nghĩa thiết lập này, ta có thể chỉ định những giám sát thành công và cả thất bại, hoặc không để giám sát các loại ở tất cả các sự kiện. Những giám sát thành công sẽ được tạo ra khi quá trình được theo dõi là thành cơng, và cũng tương tự đối với những giám sát không thành công.
Một số event ID liên quan:
4689: tiến trình bị thốt, ngừng, hoặc được khởi động lại 4696: Một token đầu tiên được gán cho tiến trình sau khi tạo 4688: tiến trình mới được tạo
Đầu tiên ta bật hộp thoại dịch vụ DNS và khởi động chương trình lên, như
trong hình lab bên dưới ta sẽ thấy filelog 4696 (process creation) ghi nhận chung cho các tiến trình khởi tạo và cụ thể ở đây là tiến trình của dịch vụ DNS.
Các thông tin được ghi nhận như:
Process Name: C://Windows\System32\services.exe
Target Process Name: C://Windows\System32\dns.exe
Thông tin trên được hiểu như services được ghi nhận là một tiến trình đang được khởi tạo, mà cụ thể hơn trong tiến trình đó, đối tượng thật sự khởi tạo là dịch vụ
Hình 48.Khởi tạo tiến trình của dịch vụ DNS.
Khi một tiến trình được khởi tạo, kèm theo đó là một token (mã thông báo) được tạo và gán cho tiến trình mới này, tùy theo loại tiến trình sẽ được gán một token
khác nhau. Lab mơ phỏng dưới đây của tiến trình khởi tạo dns được gán token loại 1.
Token Elevation Type: TokenElevationTypeDefault(1)
Quá trình gán token cũng được gọi là quá trình khởi tạo (Process Creation)
Mơ hình lab tiếp theo đề cập đến tình huống cho dừng dịch vụ DNS, quá trình giám sát sẽ xuất hiện ngay một filelog 4689 (Process Termination) với các thông tin:
A process has exited. //tiến trình đã thốt Account Name: DC //tên máy
Accoun Domain: TEST //tên domain
Process Name: C:\\Windows\System32\dns.exe //tên tiến trình
Hình 50.Thốt tiến trình
Các loại mã thông báo (token) cho biết loại mã thông báo đã được gán cho q trình mới theo chính sách của kiểm soát tài khoản người dùng.
- Loại 1 là một mã thơng báo đầy đủ khơng có quyền loại bỏ hoặc tắt. Một mã
thông báo đầy đủ chỉ được sử dụng nếu việc kiểm soát tài khoản người dùng bị vơ
hiệu hố hoặc nếu người dùng là tài khoản admin có sẵn hoặc tài khoản của một dịch vụ.
- Loại 2 là một mã thơng báo cao hơn khơng có quyền loại bỏ hoặc vơ hiệu hóa. Một mã thơng báo được sử dụng khi việc kiểm soát tài khoản người dùng được kích hoạt và người sử dụng lựa chọn để bắt đầu chương trình bằng cách sử dụng Run as administrator. Một mã thông báo cũng được sử dụng khi một ứng dụng
được cấu hình để ln yêu cầu đặc quyền quản trị và người sử dụng là thành viên
của nhóm quản trị viên.
- Loại 3 là một mã thông báo hạn chế với quyền quản trị gở bỏ và vơ hiệu hóa. Các mã thơng báo giới hạn được sử dụng khi việc kiểm soát tài khoản người dùng
được kích hoạt, các ứng dụng khơng địi hỏi đặc quyền hành chính, và người dùng
khơng chọn để bắt đầu chương trình bằng cách sử dụng Run as administrator.