Các phương pháp xử lý sự kiện trên server

Chuẩn bị:

1 máy đóng vai trò Domain Controller + File server: 2012may1

1 máy computer domain : 2012may2

Vào ổ C -> tạo  folder:   Logs.

Audit Policy là những policy cho phép ta  giám sát hoạt động của hệ thống, cũng như tương tác của người dùng, ghi nhận các hoạt động đó một cách có chọn lọc vào Security log.

Mục đích chính:

+ Cung cấp chức năng giám sát hoạt động ( của hệ điều hành, của AD hay user v.v) , ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của hệ thống.

Vd:

Xác định vào giờ nào, ngày nào, user nào chỉnh sửa, xóa tài nguyên nào.

Xác định thiệt hại: file nào bị xóa, bị chỉnh sửa

+ Đề phòng các đơt tấn công trong server

Vd: User NS1 thường xuyên bị dò password, sử dụng Audit Policy ta có thể biết user NS1 bị dò vào thời điểm nào, vị trí nào đang dò v.v ( cung cấp thêm giải pháp giám sát ngoài việc dùng account lockout policy ra).

Triển khai

Run -> gpmc.msc

Muốn giám sát trên DC nên ta sẽ thao tác trên OU Domain Controllers. Nếu muốn giám sát trên member computer thì Move vào OU nào đó rồi tạo GPO để Audit:

Phải chuột Default Domain Controllers Policy -> Edit -> Computer Configuration (audit policy chỉ có ở mục này) -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy.

Audit Policy

Ta thấy có các policy tương ứng với các mục đích giám sát khác nhau.

Để đi thiết lập Audit Policy, ta cần lưu ý:

+ Giám sát sự kiện đó thành công hay thất bại ( success, failure)

Ví dụ: giám sát user bị dò password thì phải giám sát sự kiện đăng nhập thất bại.

+ Nếu là Workgroup thì chỉnh trên từng máy, Domain Network thì cấu hình GPO trên các OU chứa member computer cần giám sát.

+ Audit Policy chỉ tác động tới Computer account

+ Những sự kiện ta cần giám sát

Audit account logon event: (1)

Audit account management: (2)

Audit Directory Service Access  (3)

Audit Logon event (4)

Audit object access (5)

Audit Policy change (6)

Aduit privilege use (7)

Audit process tracking (8)

Audit system events (9)

Có 3 đối tượng mà Audit Policy đi giám sát: ()

User

Hệ thống

Ứng dụng có trên hệ thống

+ Để giám sát hoạt động của User ta có các Policy : (1) ,(2),  (4),  (5), (7).

Ví dụ:

Giám sát user sử dụng tài nguyên trái phép ( máy in, truy cập file server, v.v) ta dùng policy (5)

Giám sát user log on ta chỉ cần cấu hình policy trên DC (vì DC là nơi chứng thực).

+ Để giám sát hoạt động của hệ điều hành ta có các Policy: (3) (6) (9).

+ Để giám sát sự tương tác của ứng dụng nào đó trên hệ thống như thế nào ( dùng cho ngành phần mềm: lập trình mạng, windows, linux v.v) ta có (8).

Công cụ dùng để đọc thông tin, sự kiện ta ghi nhận thông qua Audit Policy: Event Viewer

Lưu ý: Sự kiện xảy ra ở đâu thì mở event viwer ở đó.

VD: giám sát user truy cập file server thì mở event viwer ở file server.

Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event Viewer.

Để mở trên các PC thường  vào: run -> compmgmt.msc -> Event Viewer . Ta dùng cách này nếu như đang ngồi từ xa mà muốn xem Event Viewer của Server  ( dùng Connect to …)

Cơ bản 1 máy tính cài HDH Windwos luôn có 3  loại log: Application, Security, System. Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ đó.

Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v

Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log

Ta bung Windows Logs -> Security. Bên phải là những sự kiện mà mặc định hệ thống sẽ tự Audit.

Security Log

Ta thấy sự kiện rất nhiều rất khó để học và quản lý, ta có nhu cầu lưu trữ thông tin giám sát theo chuẩn thời gian (theo chuẩn thời gian là tối ưu nhất) thì làm như sau:

Chọn vào Security -> chuột phải Save All Events As …

Lưu vào folder Logs, ta đặt tên file theo chuẩn thời gian: 2014-09-17.

Hệ thống cho phép ta lưu log dưới 4 dạng file

Event Files (*.evtx): chỉ có thể đọc log file này bằng Event Viewer.

Text (*.txt): có thể đọc bằng các chương trình soạn thảo nhưng  các sự kiện đều ghi ra 1 hàng, rất khó đọc. ( không nên xài).

CSV ( *.csv): cũng có thể đọc bằng các chương trình soạn thảo, nhưng các sự kiện trong file được cách nhau bằng phím tab. Nếu dùng phần mềm  Exell hay Acess v.v thì có thể lọc các sự kiện.

Filter bằng exell

Nên dùng: Event Files, CSV

Lưu ý: các sự kiện mặc định có trên event viewer là do tác động của GPO Default Domain Controller Policy.

Tình huống 1: Giám sát người dùng đăng nhập không thành công trên hệ thống => tạo GPO tác động lên OU chứa DC.

Run -> gpmc.msc -> chọn OU Domain Controller -> Create a GPO …

Name:   GPO 10: Giam Sat Dang Nhap Trai Phep.

Lưu ý:

Do GPO: Default Domain Controller Policy (đã có policy Audit) ở phía trên GPO 10 nên những policy Audit của Default  sẽ ưu tiên hơn policy Audit của GPO 10 => cấu hình rồi nhưng không tác động. Muốn GPO 10 tác động thì phải UP GPO 10 lên trên GPO Default ( vì nếu có conflic thì ở trên ưu tiên hơn)

Up GPO 10

Edit GPO 10

GPO 10

Ta thấy mặc định là Not Defined (nếu Not Defined thì hệ thống sẽ giám sát những Audit policy mặc định có trên Default Domain Policy và Default Domain Controller Policy).

Tình huống của chúng ta là chỉ giám sát đặng nhập không thành công thì chọn Audit policy: Logon Events -> Double click -> Check vào Define these policy settings , ta bỏ check success và failure thì policy xuất hiện trạng thái No Auditing (không giám sát)

Vì mặc định hệ thống giám sát nhiều sự kiện nên  ở GPO 10 ta chỉnh thành No Auditing hết để cho dễ đọc ( GPO 10 ưu tiên hơn)

Rồi chỉnh Audit Account Logon Events ( giám sát quá trình đăng nhập)  là failure

Audit Logon events  ( giám sát hoat động của hệ thống: diễn ra bất cứ sự kiện chứng thức thực nào đều ghi nhận hết: vd đăng nhập lên file server v.v): failure

Đánh lệnh: gpupdate /force

Ta vào lại Event Viewer -> Windows Logs -> Security -> Clear Log : để xóa log cho dễ test các sự kiện.

Test: ta giả vờ đăng nhập sai user NS1

Sau đó Refresh Event Viewer ta thấy các sự kiện, double click vào sự kiện bất kì

Event

Xuất hiện bảng chi tiết về sự kiện

+ EventID: để định danh loại sự kiện. VD: EventID 4625: sự kiện đăng nhập (logon).

+ Nơi xảy ra sự kiện

+ Ngày giờ

+ Tài khoản liên quan đến sự kiện ( NS1)

+ v.v

=> Nhờ vậy mà ta có thể khoanh vùng vị trí, thời gian để có các biện pháp xử lý.

Tình huống 2:

Ta ủy nhiệm cho NS1 quản lý OU NhanSu, ta phải giám sát NS1 ( dùng policy Privilege use)

Tình huống 3: Có File Server, công ty có nhu cầu giám sát người dùng truy suất tài nguyên trên hệ thống ( GPO)

=> Ta phải thực hiện các hành động:

+ Giám sát hành động user đăng nhập lên file server

+ Giám sát user đăng nhập không thành công ( để biết ai cố tình đăng nhập khi không có quyền)

+ Giám sát user đăng nhập  thành công (để biết ai xóa, chỉnh sửa trái phép dữ liệu)

Triển khai:

+ GPO tác động lên file server ( ở bài này là DC)

Trên máy DC :

Tạo fodler: Data : Share everyone Full Controll. Tab Security: xóa group Users

Add các user: NS1: Read and Execute. NS2: Modify.

Phần quyền File Server

+ Trong folder Data: tạo t1.txt

Run -> gpmc.msc  -> Domain Controllers -> Edit GPO 10

Vào  Audit Policy ->  ta Defined thêm Audit Object Access (success và failure) -> Gpupdate /force

Riêng Audit Object Access ta phải làm thêm hành động: xác định tài nguyên cần giám sát và đối tượng cần giám sát

Properties folder Data -> Tab Security -> Advanced -> Tab Auditing.

Audit

Để chỉ định đối tượng cần giám sát Chọn Add ->

Select a principal: ta add group: Authenticated users. ( => đã chọn xong đối tượng giám sát).

Type: loại giám sát: Gồm 2 loại All, success, failure.

Basic Authentication ( hay Advanced Authentication): giám sát hành động gì. VỚi tình huống trên thì ta cấu hình như sau

Failure: ta giám sát Full Control ( tấ cả các hành động mà failure thì giám sát)

Success: ta nên giám sát các hành động như xóa, sửa, change permission . Ở vi dụ này ta cho Modify luôn cho dễ.

( Giám sát nhiều hành động, nhiều đối tượng thì add nhiều lần).

Nhớ check vào: Apply these Audit Settings  to object …… để áp đặt vào các subfolder và file bên trong.

Chỉ định đối tượng giám sát và hành động cần giám sát

Test:

+ KT2 đăng nhập vào 2012may2

+ \\192.168.2.100 => không vào được

Trên DC (2012may1)

Vào Event Viewer thấy rất nhiều sự kiện, ta cần filter sự kiện failure để xem bằng cách:

Vào Windwos Logs -> phải chuột Security -> Filter Current Log ….

Filter sự kiện đăngnhập file server (failure)

Chọn dòng EventID 4656 Ta thấy Access: ReadData… nghĩa là KT2 thực hiện hành động read nhưng bị cấm ( Not granted>

Các bạn tự test trường hợp NS1 xóa file t1.txt

Lưu ý: nếu Add group Users, khi hệ thống giám sát thì sẽ dành vùng nhớ RAM lớn để giám sát tất cả account. Nếu chọn  Authenticated thì ai logon mới giám sát, vùng nhớ Ram sẽ được giảm => tối ưu hệ thống.

Cuộc sống vẫn vậy nếu nó lấy đi thứ gì của bạn, thì thế nào nó cũng bù lại cho bạn thứ khác, chỉ có điều là bạn có chịu đi tìm hay không thôi.