Audit process tracking

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 74 - 77)

PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN

9. Audit Policies

9.4 Thiết lập các chính sách giám sát

9.4.9 Audit process tracking

Chính sách giám sát này sẽ thẩm định sự kiện có liên quan đến các q trình

trên máy tính. Xác định để giám sát các thông tin theo dõi chi tiết cho các sự kiện như

kích hoạt chương trình, thốt tiến trình, xử lý sao chép, và truy cập các đối tượng gián tiếp.

Nếu định nghĩa thiết lập này, ta có thể chỉ định những giám sát thành công và cả thất bại, hoặc không để giám sát các loại ở tất cả các sự kiện. Những giám sát thành công sẽ được tạo ra khi quá trình được theo dõi là thành cơng, và cũng tương tự đối với những giám sát không thành công.

Một số event ID liên quan:

4689: tiến trình bị thốt, ngừng, hoặc được khởi động lại 4696: Một token đầu tiên được gán cho tiến trình sau khi tạo 4688: tiến trình mới được tạo

Đầu tiên ta bật hộp thoại dịch vụ DNS và khởi động chương trình lên, như

trong hình lab bên dưới ta sẽ thấy filelog 4696 (process creation) ghi nhận chung cho các tiến trình khởi tạo và cụ thể ở đây là tiến trình của dịch vụ DNS.

Các thông tin được ghi nhận như:

Process Name: C://Windows\System32\services.exe

Target Process Name: C://Windows\System32\dns.exe

Thông tin trên được hiểu như services được ghi nhận là một tiến trình đang được khởi tạo, mà cụ thể hơn trong tiến trình đó, đối tượng thật sự khởi tạo là dịch vụ

Hình 48.Khởi tạo tiến trình của dịch vụ DNS.

Khi một tiến trình được khởi tạo, kèm theo đó là một token (mã thông báo) được tạo và gán cho tiến trình mới này, tùy theo loại tiến trình sẽ được gán một token

khác nhau. Lab mơ phỏng dưới đây của tiến trình khởi tạo dns được gán token loại 1.

Token Elevation Type: TokenElevationTypeDefault(1)

Quá trình gán token cũng được gọi là quá trình khởi tạo (Process Creation)

Mơ hình lab tiếp theo đề cập đến tình huống cho dừng dịch vụ DNS, quá trình giám sát sẽ xuất hiện ngay một filelog 4689 (Process Termination) với các thông tin:

A process has exited. //tiến trình đã thốt Account Name: DC //tên máy

Accoun Domain: TEST //tên domain

Process Name: C:\\Windows\System32\dns.exe //tên tiến trình

Hình 50.Thốt tiến trình

Các loại mã thông báo (token) cho biết loại mã thông báo đã được gán cho q trình mới theo chính sách của kiểm soát tài khoản người dùng.

- Loại 1 là một mã thơng báo đầy đủ khơng có quyền loại bỏ hoặc tắt. Một mã

thông báo đầy đủ chỉ được sử dụng nếu việc kiểm soát tài khoản người dùng bị vơ

hiệu hố hoặc nếu người dùng là tài khoản admin có sẵn hoặc tài khoản của một dịch vụ.

- Loại 2 là một mã thơng báo cao hơn khơng có quyền loại bỏ hoặc vơ hiệu hóa. Một mã thơng báo được sử dụng khi việc kiểm soát tài khoản người dùng được kích hoạt và người sử dụng lựa chọn để bắt đầu chương trình bằng cách sử dụng Run as administrator. Một mã thông báo cũng được sử dụng khi một ứng dụng

được cấu hình để ln yêu cầu đặc quyền quản trị và người sử dụng là thành viên

của nhóm quản trị viên.

- Loại 3 là một mã thông báo hạn chế với quyền quản trị gở bỏ và vơ hiệu hóa. Các mã thơng báo giới hạn được sử dụng khi việc kiểm soát tài khoản người dùng

được kích hoạt, các ứng dụng khơng địi hỏi đặc quyền hành chính, và người dùng

khơng chọn để bắt đầu chương trình bằng cách sử dụng Run as administrator.

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 74 - 77)

Tải bản đầy đủ (PDF)

(140 trang)