Mô tả các danh mục kiểm tra cơ bản

7 phút

Nhật ký kiểm tra ghi lại các sự kiện bảo mật và các hoạt động trong nhật ký bảo mật Windows. Sau đó, bạn có thể theo dõi các nhật ký kiểm tra này để xác định các vấn đề cần được điều tra thêm. Việc kiểm tra các hoạt động thành công cũng có thể hữu ích vì làm như vậy sẽ cung cấp tài liệu về các thay đổi. Việc kiểm tra cũng có thể ghi nhật ký các nỗ lực thất bại của tin tặc độc hại hoặc người dùng trái phép để truy nhập tài nguyên doanh nghiệp. Khi cấu hình kiểm tra, bạn chỉ định thiết đặt kiểm tra, bật chính sách kiểm tra, rồi giám sát các sự kiện trong nhật ký bảo mật.

Windows Server cung cấp hai loại kiểm tra:

Kiểm tra cơ bản. Chín giá trị được cung cấp cho phép bạn kiểm tra các sự kiện bảo mật cơ bản.
Kiểm tra nâng cao. Mười thể loại sự kiện chứa các thiết đặt chính sách chi tiết hơn. Hiện có hơn 60 thiết đặt chính sách có thể cấu hình.

Các danh mục kiểm tra cơ bản là gì?

Bảng sau đây mô tả các thể loại kiểm tra cơ bản.

Thiết đặt chính sách kiểm toán	Sự miêu tả
Kiểm tra sự kiện đăng nhập tài khoản	Tạo sự kiện khi người dùng hoặc máy tính tìm cách sử dụng tài khoản Active Directory của Windows Server để xác thực. Ví dụ: khi người dùng đăng nhập vào bất kỳ máy tính nào trong miền, sự kiện đăng nhập tài khoản sẽ được tạo.
Kiểm tra sự kiện đăng nhập	Tạo sự kiện khi người dùng đăng nhập tương tác (cục bộ) vào máy tính hoặc qua mạng (từ xa). Ví dụ, nếu một máy trạm và một máy chủ được cấu hình để kiểm tra sự kiện đăng nhập, máy trạm kiểm tra người dùng đăng nhập trực tiếp vào đó máy trạm. Khi người dùng kết nối với thư mục dùng chung trên máy chủ, máy chủ sẽ ghi nhật ký từ xa đó. Khi người dùng đăng nhập, bộ kiểm soát miền ghi lại sự kiện đăng nhập vì tập lệnh đăng nhập và chính sách được truy xuất từ bộ kiểm soát miền.
Kiểm tra quản lý tài khoản	Kiểm tra các sự kiện, bao gồm việc tạo, xóa hoặc sửa đổi tài khoản người dùng, nhóm hoặc máy tính và đặt lại mật khẩu người dùng.
Kiểm tra quyền truy nhập dịch vụ thư mục	Kiểm tra các sự kiện được xác định trong danh sách điều khiển truy nhập hệ thống (SACL), mà bạn có thể thấy trong hộp thoại Thiết đặt Bảo mật Nâng cao thuộc Thuộc tính Của đối tượng Active Directory. Ngoài việc xác định chính sách kiểm định với thiết đặt này, bạn cũng phải cấu hình kiểm định đối với đối tượng hoặc đối tượng cụ thể bằng cách sử dụng SACL của đối tượng hoặc đối tượng. Chính sách này tương tự như chính sách Truy nhập Đối tượng Kiểm định mà bạn sử dụng để kiểm tra tệp và thư mục, nhưng chính sách này áp dụng cho các đối tượng Active Directory.
Thay đổi chính sách kiểm toán	Kiểm tra các thay đổi đối với chính sách gán quyền người dùng, chính sách kiểm tra hoặc chính sách tin cậy.
Sử dụng đặc quyền kiểm định	Kiểm tra việc sử dụng quyền hoặc quyền người dùng. Xem văn bản giải thích cho chính sách này trong Trình soạn thảo Quản lý Chính sách Nhóm.
Sự kiện hệ thống kiểm tra	Kiểm tra hệ thống khởi động lại, tắt máy hoặc thay đổi ảnh hưởng đến hệ thống hoặc nhật ký bảo mật.
Theo dõi quy trình kiểm tra	Kiểm tra các sự kiện như kích hoạt chương trình và thoát quy trình. Xem văn bản giải thích cho chính sách này trong Trình soạn thảo Quản lý Chính sách Nhóm.
Kiểm tra truy nhập đối tượng	Kiểm tra quyền truy nhập vào các đối tượng như tệp, thư mục, khóa đăng ký và máy in có SACLs riêng. Ngoài việc cho phép chính sách kiểm định này, bạn phải cấu hình các mục kiểm định trong SACLs của đối tượng.

Cấu hình kiểm tra cơ bản

Bạn có thể xem lại và đặt cấu hình các danh mục kiểm tra cơ bản này bằng cách sử dụng bảng điều khiển Chính sách Bảo mật Cục bộ, như được hiển thị trong ảnh chụp màn hình sau đây. Tại đây, người quản trị đã chọn nút Chính sách Kiểm tra trong bảng điều khiển Chính sách Bảo mật Cục bộ và đặt cấu hình cài đặt kiểm tra Thành công và Thất bại.

Ảnh chụp màn hình này hiển thị bảng điều khiển Chính sách Bảo mật Cục bộ và các danh mục kiểm tra cơ bản. Nút Chính sách Kiểm tra được chọn và các thiết đặt kiểm tra Thành công và Thất bại khác nhau đã được cấu hình.

Mẹo

Bạn cũng có thể sử dụng Chính sách Nhóm, giúp bạn dễ dàng đặt cấu hình thiết đặt cho nhiều máy tính.

Ngoài ra, trong bảng điều khiển Quản lý Chính sách Nhóm:

Định vị và chọn Đối tượng Chính sách Nhóm (GPO) thích hợp, rồi mở GPO để chỉnh sửa.
Trong Trình soạn thảo Quản lý Chính sách Nhóm, dưới nút Cấu hình Máy tính, bung rộng Chính sách\Cài đặt Windows\Cài đặt Bảo mật\Chính sách Cục bộ, rồi chọn Chính sách Kiểm tra.
Trong Trình soạn thảo Quản lý Chính sách Nhóm, hãy mở bất kỳ thiết đặt chính sách nào.
Chọn hộp Xác định các thiết đặt chính này, rồi chọn bật kiểm tra sự kiện thành công, sự kiện thất bại hay cả hai. Sau đó, chọn OK.

Bạn có thể muốn bật tất cả các giá trị kiểm định trên tất cả các thiết đặt có sẵn. Tuy nhiên, điều này có thể tạo ra một biên bản kiểm toán lớn mà bạn phải phân tích. Vì vậy, hãy suy nghĩ về việc tập trung hơn và chỉ cho phép những gì hữu ích cho bạn.

Ví dụ: nếu bạn kiểm tra các sự kiện đăng nhập tài khoản không thành công, bạn có thể khiến một tin tặc độc hại truy nhập vào miền bằng cách liên tục tìm cách đăng nhập với tư cách người dùng miền mà không biết mật khẩu của tài khoản đó. Việc kiểm tra sự kiện đăng nhập tài khoản thành công không đặc biệt hữu ích vì nó có thể chỉ ra sự kiện đăng nhập hợp pháp.

Mẹo

Việc kiểm tra các sự kiện quản lý tài khoản thất bại có thể phát hiện một tin tặc độc hại đang cố thao tác với tư cách thành viên của một nhóm nhạy cảm bảo mật.

Một trong những nhiệm vụ quan trọng nhất của bạn là cân bằng và căn chỉnh chính sách kiểm toán với các chính sách công ty của bạn và với những gì thực tế cho tổ chức của bạn. Ví dụ: chính sách công ty của bạn có thể nêu rõ rằng phải kiểm tra tất cả các đăng nhập thất bại và thay đổi thành công đối với người dùng và nhóm Active Directory. Thật dễ dàng để đạt được trong Active Directory Domain Services (AD DS). Tuy nhiên, bạn nên quyết định cách bạn sẽ sử dụng thông tin đó trước khi triển khai các chính sách kiểm tra.

Mẹo

Nhật ký kiểm tra verbose sẽ vô dụng nếu bạn không biết cách quản lý các nhật ký đó một cách hiệu quả hoặc không có các công cụ để làm như vậy.

Để thực hiện kiểm tra, bạn phải có chính sách kiểm toán được cấu hình tốt và các công cụ để quản lý các sự kiện đã kiểm tra.

Xác định thiết đặt kiểm định trên tệp hoặc thư mục

Nhiều tổ chức chọn kiểm tra quyền truy nhập tệp. Windows Server hỗ trợ kiểm tra chi tiết dựa trên tài khoản người dùng hoặc nhóm và các hành động cụ thể mà các tài khoản đó thực hiện.

Để cấu hình kiểm tra tệp hoặc thư mục, bạn phải hoàn thành ba bước:

Xác định thiết truy nhập đối tượng kiểm tra, rồi chọn thành công, thất, hoặc cả hai.

Ghi

Bật kiểm tra Thành công có thể tạo ra một lượng lớn dữ liệu ghi nhật ký có thể sử dụng hạn chế. Sau khi tất cả, nó cho bạn biết rằng ai đó đã truy nhập thành công một tệp hoặc thư mục. Sẽ thú vị hơn nếu biết khi có người thất bại.
Định vị thư mục bạn muốn theo dõi. Bấm chuột phải vào thư mục, rồi chọn Thuộc.
Trên tab mật, hãy chọn Xem nâng cao.
Chọn tab Kiểm kiểm trên trang Thiết Bảo mật Nâng trang.
Chọn thêm, chọn các nguyên tắc bảo mật có hoạt động bạn muốn kiểm tra trên thư mục, rồi chọn các hoạt động bạn muốn theo dõi.
Trong danh sách Loại, chọn Tất cả , thành công, hoặc không.
Sau đó, chọn các quyền bạn muốn theo dõi và cuối cùng, chọn OK và hai lần.

Trong ảnh chụp màn hình sau đây, người quản trị đã chọn cài đặt kiểm tra cho một thư mục có tên là Báo cáo_bán_hàng. Họ đã chọn kiểm tra Truy nhập không thành công cho Người dùng Miền.

Ảnh chụp màn hình này sẽ hiển thị thiết đặt kiểm tra cho tên thư mục Báo cáo_Doanh_số. Loại kiểm tra Lỗi đã được chọn cho người dùng Miền đang tìm cách truy nhập thư mục SalesReports.

Mức sử dụng điển hình

Bạn có thể kiểm tra thành công cho các mục đích sau:

Để ghi nhật ký quyền truy nhập tài nguyên để báo cáo và thanh toán.
Để giám sát việc truy nhập gợi ý rằng người dùng đang thực hiện các hành động lớn hơn những gì bạn đã lên kế hoạch, cho biết rằng các quyền quá rộng rãi.
Để xác định quyền truy nhập không phải là ký tự của một tài khoản cụ thể, đó có thể là dấu hiệu cho thấy một tin tặc độc hại đã xâm phạm tài khoản người dùng.

Bạn có thể kiểm tra các sự kiện không thành công cho các mục đích sau:

Để giám sát các nỗ lực truy nhập vào tài nguyên của người dùng trái phép.
Để xác định những lần truy nhập tệp hoặc thư mục mà người dùng yêu cầu quyền truy nhập không thành công. Điều này chỉ ra rằng các quyền không đủ để đáp ứng yêu cầu kinh doanh.

Cảnh báo

Nhật ký kiểm tra có thể phát triển khá nhanh. Vì vậy, cấu hình tối thiểu trần cần thiết để đạt được mục tiêu bảo mật của tổ chức của bạn.

Đánh giá các sự kiện trong nhật ký bảo mật

Sau khi bạn bật thiết đặt chính sách Truy nhập Đối tượng Kiểm tra và sử dụng SACLs đối tượng để chỉ định quyền truy nhập bạn muốn kiểm tra, Windows Server sẽ bắt đầu ghi nhật ký truy nhập theo các mục nhập kiểm tra. Bạn có thể xem các sự kiện kết quả trong nhật ký sự kiện bảo mật của máy chủ. Để thực hiện điều này, trong Công cụ Quản trị, mở bảng điều khiển Trình xem Sự kiện, sau đó mở rộng Nhật ký Windows\Bảo mật, như được hiển thị trong ảnh chụp màn hình sau đây. Người quản trị đã chọn Nhật ký bảo mật và đã tô sáng một sự kiện có ID là 4663; điều này liên quan đến một nỗ lực truy nhập vào một đối tượng tệp.

$Ảnh chụp màn hình này hiển thị bảng điều khiển Trình xem Sự kiện trong Công cụ Quản trị. Nhật ký Windows\Bảo mật được mở rộng với nhật ký Bảo mật được chọn. Sự kiện ID 4336 được tô sáng.$

Phản hồi

Trang này có hữu ích không?