Kiến Thức An Ninh Mạng

Hệ thống Logs

Posted on by ChuyenGiaBaoMat
02
Th10

Tình huống sau:

Hệ thống mạng của bạn có Server lưu trữ rất nhiều thông tin quan trọng cho các phòng ban trong tổ chức, Bạn thường chia sẽ để cho các người dùng trong phòng ban lưu trữ lên và copy tài liệu về. Nhưng có một số người dùng khác không thiện cảm với Admin nên xóa mất các file, thư mục mà bạn chia sẽ.

Vậy bạn làm sao để có thể phát hiện ra User nào đã hành động như vậy?

Hệ thống Logs

Hệ thống lưu lại quá trình hoạt động trên mạng là rất cần thiết, nó giống hộp đen của các thiết bị khác.

Log là hệ thống cho phép bạn xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết cụ thể như: user, time, computer, services, thời gian, người dùng đăng nhập, địa chỉ IP,…

Trong phần này anninhmang giới thiệu công cụ có sẵn trong Windows

Thực hiện trên Windows Server 2008R2

Trên Server:

Bạn đang chia sẽ thư mục C:Tailieu-annninhmang

Bước 1: Thiết lập Policy bật tính năng kiểm định (audit)

Nếu PC của bạn là máy tính Client thì bạn vào công cụ Local Group Policy bằng lệnh gpedit.msc

Còn nếu đang là Domain Controllers thì vào công cụ Group Policy Managerment, hiển thị các mục ra như hình dưới.

 

Hình 1: Mở công cụ Group Policy Managerment

Audit Policy – Giám sát Users trên Domain Controller - IT Solutions

Kế đến chuột phải vào mục Audit Object Access

Kế đến cập nhật Group Policy bằng lệnh Gpupdate /force

Xem Thêm Bài Viết  Lỗ hổng trong FCKEditor

 

Với thiết lập trong group policy có nghĩa bạn chỉ enable tính năng cho phép hệ thống ghi lại, mặc định hệ thống sau khi thiết lập này sẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốn một quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trên folder ở bước 2

Bước 2: Cấu hình chia sẽ và security thư mục

Chuột phải trên thư mục cần kiểm định chọn Properties

 

Thiết lập cấu hình chia sẽ thư mục này với quyền cho phép Change

 

Bước 3: Cấu hình thư mục cần kiểm định

Chọn Advanced, chọn mục Audit

 

Thêm nhóm bạn cần kiểm định vào và chọn các mục cần kiểm định

 

Thiết lập các mục cần kiểm định

 

Bước 3: Kiểm tra sự kiểm định

Bạn dùng PC khác trong mạng truy xuất thư mục chia sẽ trên Server và cố tình xóa một thư mục bất kỳ

Bước 4: Xem lại nhật ký

Vào Công cụ Server Manager, chọn Event Viewer như hình,ta thấy

Trên hình trên cho ta thấy các thông tin về User là test, hành động là DELETE thư mục mahoa và một số thông tin quan trọng khác.

Lượt xem (5478)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *