Ghi nhật ký truy cập tài nguyên trên máy chủ

nktung

Super Moderator
Thành viên BQT
08/10/2013
401
989 bài viết
Ghi nhật ký truy cập tài nguyên trên máy chủ
Đặt vấn đề
Như các bạn đã biết, ghi lại nhật ký hoạt động (log) trên các máy chủ là một trong những vấn đề hết sức quan trọng. Thông qua việc phân tích log, người làm quản trị mạng biết được ai, đã truy cập và làm những gì trên các tài nguyên lưu trữ trên máy chủ. Hơn thế nữa nó còn phục vụ cho các cuộc điều tra tội phạm mạng.
Trên các máy chủ file Server, để ghi lại nhật ký về việc truy cập và các thao tác trên tài nguyên (file, thư mục, máy in...), đầu tiên bạn cần bật tính năng kiểm soát (Audit) trên máy chủ; tiếp theo, bạn cần xác định những tài nguyên nào cần kiểm soát.
Bài viết này đề cập tình huống quản trị trên 1 máy chủ Windows Server 2008.
Cách thực hiện

B1. Bật tính năng kiểm soát
Truy cập Start -> All Programs -> Administrative Tools -> Local Security Policy




Chọn Audit Object Access và ghi lại nhật ký truy cập cả thành công (Success) và thất bại (Failure) của người dùng





B2. Lựa chọn những file và thư mục muốn kiểm soát


- Chuột phải vào File/Folder bạn muốn kiểm soát, chọn Properties
- Chọn tab Security và nhấn Advanced
- Trong hộp thoại Advanced Security Settings nhấn tab Auditing




- Để kiểm soát người dùng/nhóm nào truy cập thư mục, nhấn nút Add và nhập tên người dùng/nhóm. Giả sử ở đây ta chọn chọn kiểm soát tất cả người dùng (Everyone).
- Sau khi chọn những người nào muốn kiểm soát, bước tiếp theo bạn chọn Apply onto để chọn ghi lại nhật ký trên thư mục cha/con...




- Tiếp theo bạn chọn ghi lại những hành động mà người dùng sẽ thực hiện trên thư mục (Mục Access). Cuối cùng bạn nhấn OK.
Kể từ đây hệ thống sẽ ghi lại những hành động của mọi người dùng trên thư mục đã chọn.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Ghi nhật ký truy cập tài nguyên trên máy chủ

Để giúp các bạn hình dung ý nghĩa của việc kiểm toán, chúng ta sẽ xét tình huống như sau:

Tình huống
: một kẻ tấn công đánh cắp được mật khẩu của người quản trị máy chủ DC (Domain Controller) . Sau đó kẻ tấn công thực hiện tiếp tục truy cập vào máy chủ DC và thực hiện những công việc sau:

  1. Enable account “guest “ trên hệ thống
  2. Thay đổi mật khẩu của account guest
  3. Add account guest vào nhóm Administrators
Sau khi thực hiện xong 3 việc trên, kẻ tấn công thoát khỏi hệ thống. Để tránh bị phát hiện, những lần đăng nhập tiếp theo, kẻ tấn công đều sử dụng tài khoản guest.4
4. Đăng nhập DC bằng tài khoản “guest”
Yêu cầu:
Hãy sử dụng Microsoft Event Viewer để chỉ ra các sự kiện ghi lại 4 hành vi trên của kẻ tấn công.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên