PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
9. Audit Policies
9.4 Thiết lập các chính sách giám sát
9.4.5 Audit logon events
Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để
thẩm định các sự kiện đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng
mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào máy trạm của họ bằng tài khoản người dùng trong miền. Khi đó một sự kiện trên máy trạm làm việc chứ không phải domain controller sẽ được tạo để thực hiện thẩm định..
Hình 35. Thiết lập chính sách giám sát
Cũng với sự kiện đăng nhập user, audit này cũng cho ta các sự kiện như audit
account logon events, nhưng đối với việc đăng nhập sai thì khơng có ghi nhận.
Hình 37. Khơng ghi nhận sự kiện đăng nhập sai
Trong quá trình cho máy client truy cập vào file server để khảo sát các tình huống giám sát, vơ tình cho máy router khơng join domain và truy cập vào file server, ta sẽ thấy filelog báo lỗi 4625.
Trong hình lab mơ phỏng hiện thơng báo:
Failure Information:
Failure Reason: Unknown username or bad password
Thơng báo đó ghi lý do sai vì tên người dùng không biết hoặc mật khẩu tồi, nhưng lý do ở đây là vì khơng join domain, nên máy router sẽ không được máy DC
chứng thực và phân giải DNS nên hiển nhiên hệ thống sẽ không biết máy router là ai và sẽ báo lỗi.
Network Information:
Workstation Name: Router
Source Network Address: 172.16.1.3
Source Port: 1033
Từ bảng thông báo kéo xuống sẽ xuất hiện thêm thông tin về máy truy cập vào bất hợp pháp là máy ROUTER với địa chỉ IP là 172.16.1.3 và port là 1033.