Audit sự kiện đăng nhập thành công hay thất bại.

Một phần của tài liệu BÁO CÁO Tiểu luận môn an ninh mạng Hardening Windows Server 2003 (Trang 71)

Bảng dưới đây liệt kê các ID sự kiện liên quan đến bảo mật phổ biến. Bạn nên làm quen với các ID này vì bạn sẽ thấy nó thường xuyên trong công việc của một chuyên gia bảo mật.

Event ID Mô tả

514 Khởi động thành công hệ điều hành

515 Tắt thành công hệ điều hành

528 Đăng nhập thành công

529 Đăng nhập thất bại do không biết username hay password 530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế 531 Đăng nhập thất bại do tài khoản đang bị vô hiệu hóa 540 Đăng nhập mạng thành công

624 Tạo tài khoản người dùng mới thành công 626 Kích hoạt tài khoản người dùng thành công

628 Thay đổi mật khẩu tài khoản người dùng thành công 629 Vô hiệu hóa tài khoản người dùng thành công 644 Khóa một tài khoảng người dùng thành công 645 Tạo tài khoản máy tính mới thành công

Bảng sau liệt kê các ID sự kiện có liên quan trực tiếp đến tiến trình chứng thực trong Windows 2003 và nó hoạt động bằng cách chọn các sự kiện đăng nhập thành công hay thất bại trong Audit Policy.

Event ID Mô tả

529 Đăng nhập thành công

529 Đăng nhập thất bại do không biết username hay password 530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế

541 Đăng nhập thất bại do tài khoản hiện hành đang bị vô hiệu hóa

542 Đăng nhập thất bại do tài khoản đã hết hạn sử dụng

543 Đăng nhập thất bại do tài khoản không được phép đăng nhập tại máy tính

544 Đăng nhập thất bại do tài khoảng không chấp nhận kiểu đăng nhập yêu cầu ở máy tính như tương tác hoặc mạng.

545 Đăng nhập thất bại do mật khẩu của tài khoản đã hết hạn

547 Đăng nhập thất bại do lỗi ngoài ý muốn trong suốt quá trình cố gắng đăng nhập

548 Đăng xuất thành công tài khoản

549 Đăng nhập thất bại do tài khoản đang bị khóa.

550 Đăng nhập mạng thành cônga

Các bước thực hiện audit sự kiện đăng nhập thành công hay thất bại như sau:

1. Đăng nhập vào DC, chọn Domain Controller Security Policy trong Administrative Tools. 2. Vào Security Settings -> Local Policies -> Audit Policy, kích hoạt 'Audit account logon events' và 'Audit logon events', đồng thời check cả 2 mục Success và Failure.

3. Vào start -> run, gõ gpupdate /force.

4. Vào Event Viewer trong Administrative Tools.

5. Click chuột phải vào Security trong Event Viewer, Clear all Events -> no để kiểm tra sự kiện dễ dàng hơn.

Các bước kiểm tra:

1. Dùng PC khác join domain và logon với username và password bất kỳ. 2. Trong DC, Vào Event Viewer -> Security sẽ thấy kết quả.

Một phần của tài liệu BÁO CÁO Tiểu luận môn an ninh mạng Hardening Windows Server 2003 (Trang 71)

(75 trang)