Friday , 22 June 2018
Home » Bảo Mật » Hệ thống Logs

Hệ thống Logs

Tình huống sau:

Hệ thống mạng của bạn có Server lưu trữ rất nhiều thông tin quan trọng cho các phòng ban trong tổ chức, Bạn thường chia sẽ để cho các người dùng trong phòng ban lưu trữ lên và copy tài liệu về. Nhưng có một số người dùng khác không thiện cảm với Admin nên xóa mất các file, thư mục mà bạn chia sẽ.

Vậy bạn làm sao để có thể phát hiện ra User nào đã hành động như vậy?

Hệ thống Logs

Hệ thống lưu lại quá trình hoạt động trên mạng là rất cần thiết, nó giống hộp đen của các thiết bị khác.

Log là hệ thống cho phép bạn xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết cụ thể như: user, time, computer, services, thời gian, người dùng đăng nhập, địa chỉ IP,…

Trong phần này anninhmang giới thiệu công cụ có sẵn trong Windows

Thực hiện trên Windows Server 2008R2

Trên Server:

Bạn đang chia sẽ thư mục C:\Tailieu-annninhmang

Bước 1: Thiết lập Policy bật tính năng kiểm định (audit)

Nếu PC của bạn là máy tính Client thì bạn vào công cụ Local Group Policy bằng lệnh gpedit.msc

Còn nếu đang là Domain Controllers thì vào công cụ Group Policy Managerment, hiển thị các mục ra như hình dưới.

default domain controllers

Hình 1: Mở công cụ Group Policy Managerment

audit object access

Kế đến chuột phải vào mục Audit Object Access

Kế đến cập nhật Group Policy bằng lệnh Gpupdate /force

group policy update

Với thiết lập trong group policy có nghĩa bạn chỉ enable tính năng cho phép hệ thống ghi lại, mặc định hệ thống sau khi thiết lập này sẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốn một quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trên folder ở bước 2

Bước 2: Cấu hình chia sẽ và security thư mục

Chuột phải trên thư mục cần kiểm định chọn Properties

config audit folder1

Thiết lập cấu hình chia sẽ thư mục này với quyền cho phép Change

share config

Bước 3: Cấu hình thư mục cần kiểm định

Chọn Advanced, chọn mục Audit

audit policy1

Thêm nhóm bạn cần kiểm định vào và chọn các mục cần kiểm định

select group or user

Thiết lập các mục cần kiểm định

check permission audit

Bước 3: Kiểm tra sự kiểm định

Bạn dùng PC khác trong mạng truy xuất thư mục chia sẽ trên Server và cố tình xóa một thư mục bất kỳ

delete

Bước 4: Xem lại nhật ký

Vào Công cụ Server Manager, chọn Event Viewer như hình,ta thấy

security log

Trên hình trên cho ta thấy các thông tin về User là test, hành động là DELETE thư mục mahoa và một số thông tin quan trọng khác.

 logs

Lượt xem (1173)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

Công cụ bảo mật chuyên nghiệp Burp suite (Phần 2)

Burp suite là một ứng dụng java dùng để kiểm thử xâm nhập ứng dụng …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *