Các mẹo trong quản lý ghi bảo mật ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (224.74 KB, 5 trang )
Các mẹo trong quản lý bản ghi bảo mật
Trong bài hôm nay chúng tôi sẽ giới thiệu cho các bạn một số mẹo có thể
được sử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong các bản ghi bảo mật;
góp phần hướng tới việc bảo mật tổng thể cho mạng của bạn.
Bản ghi bảo mật cho Windows có chứa rất nhiều thông tin hữu dụng, tuy nhiên trừ khi
biết cách điều khiển, quản lý và phân tích các thông tin này, bằng không nó sẽ khiến bạn
mất công sức và thời gian để tìm ra các thông tin mà bạn muốn có. Trong bài này chúng
tôi sẽ giới thiệu một số mẹo có thể được sử dụng để tìm kiếm nhiều thông tin cần thiết
hơn trong các bản ghi bảo mật với mục đích làm cho công việc của bạn trở nên dễ dàng
hơn, hiệu quả hơn và việc bảo mật tổng thể cho mạng của bạn trở nên tốt hơn.
Thiết lập gì được lưu
Đầu tiên bạn cần có được các thông tin trong bản ghi bảo mật. Qua thời gian, Microsoft
đã cấu hình nó ở cho phép ghi một số thứ, tuy nhiên không phải lúc nào cũng như vậy.
Rất nhiều người trong số các bạn đang đọc bài này có thể vẫn đang sử dụng Windows
2000, XP và 2003, do đó việc biết được nơi bạn có thể xem và kiểm định bản ghi bảo mật
là một vấn đề quan trọng.
Tất cả các thông tin được ghi trong bản ghi bảo mật được điều khiển bởi việc thẩm định
Auditing. Auditing được thiết lập và quản lý bởi Group Policy. Bạn có thể quản lý Group
Policy cục bộ (gpedit.msc) hoặc thông qua Active Directory bằng cách sử dụng Group
Policy Management Console (GPMC). Có thể nói việc sử dụng GPMC và quản lý thẩm
định bằng cách sử dụng Active Directory tỏ ra thú vị hơn.
Bên trong Group Policy, chỉnh sửa đối tượng Group Policy, sau đó điều hướng theo cây
thư mục Computer Configuration\Windows Settings\Security Settings\Local
Policies\Audit Policy, bạn có thể xem trong hình 1 để thấy thông tin chi tiết.
Hình 1: Các thiết lập Audit Policy trong một Group Policy Object
Không quan tâm đến việc bạn sử dụng Group Policy cục bộ hay một GPO từ Active
Directory, các thiết lập này sẽ đều giống nhau. Như vậy nó sẽ dễ dàng hơn cho việc triển
khai các thiết lập đến nhiều máy tính đang sử dụng Active Directory.
Tập trung hóa các bản ghi bảo mật
Giờ đây giả sử tất cả các máy tính trong mạng của bạn đều lưu các bản ghi vào vị trí mặc
định của nó, nhiệm vụ của bạn là cần xem chúng. Cần biết rằng, mỗi máy tính đều có các
bản sao cho bản ghi bảo mật của chính nó. Điều này có nghĩa rằng, nếu mạng của bạn có
1000 máy chủ và 10000 máy trạm thì bạn sẽ có tổng số 11000 bản ghi sự kiện cần phải
xem! Cho tới gần đây vẫn chưa có cách nào để có thể tập trung các bản ghi này để phân
tích một cách hiệu quả.
Mặc dù vậy, từ phiên bản Windows Server 2008, Vista và 7, Microsoft đã đưa ra một
cách cho phép bạn có thể tập trung tất cả các bản ghi của mình, gồm có các bản ghi bảo
mật từ tất cả 11000 máy tính (số máy tính mà bạn có). Giải pháp là sử dụng việc chuyển
tiếp các bản ghi sự kiện.
Nhiệm vụ của bạn là cần phải có ít nhất một máy tính Windows Server 2008, Vista, hoặc
7, tuy nhiên tối thiểu là một. Máy tính này sẽ được sử dụng để làm máy tính tập trung bản
ghi. Tất cả các máy tính còn lại đang sử dụng các hệ điều hành Windows XP, 2003,
Vista, 2008 và 7 có thể gửi các sự kiện của chúng đến máy tính tập trung này. (Cần lưu ý
Windows 2000 không được hỗ trợ).
Khung nhìn tùy biến
Sau khi đã tập trung được các bản ghi của mình, bạn có thể thiết lập cách xem các thông
tin. Cần lưu ý rằng có đến hàng ngàn các bản ghi sự kiện khác nhau, với hàng trăm event
ID. Chính vì vậy bạn sẽ không có đủ thời gian để đọc hết tất cả các bản ghi này và tìm ra
bản ghi nào có một event ID cụ thể. Có một cách để bạn không phải làm như vậy.
Lúc này các bản ghi được tập trung của bạn nằm trên máy tính Windows Server 2008,
Vista hoặc7, bạn có thể sử dụng khung nhìn tùy biến. Các khung nhìn tùy biến cho phép
bạn tạo một “bản ghi đặc biệt” cho các bản ghi và event ID mà bạn muốn xem. Vì vậy,
bạn có thể tạo nhiều khung nhìn tùy biến cho các bản ghi đang tồn tại, gồm có các bản
ghi được chuyển tiếp mà bạn muốn có.
Ví dụ, bạn muốn có một khung nhìn tất cả các bản ghi đã xảy ra trên tất cả máy chủ. Khi
đó bạn chỉ cần tạo một khung nhìn tùy biến của Event ID 4624 (cho Windows 2008,
Vista và 7) và 528 (Windows 2000, XP, 2003) để có thể thấy tất cả các đăng nhập thành
công. Hình 2 cho bạn thấy diện mạo về khung nhìn tùy biến này.
Hình 2: Khung nhìn tùy biến của các sự kiện 4624 và 528
Các nhiệm vụ trên sự kiện
Bạn không chỉ có thể thiết lập các khung nhìn tùy biến cho các bản ghi của mình mà còn
có thể thiết lập các bẫy để ghi (đăng ký) các sự kiện nào đó. Tùy chọn này được coi như
việc gắn nhiệm vụ cho một sự kiện hoặc bản ghi, có sẵn trong Windows Server 2008,
Vista và 7.
Nhiệm vụ này không có gì khác nhiệm vụ tập lịch trình, tuy nhiên điều quan trọng là bạn
cần biết nó có sẵn. Bạn có thể thiết lập các nhiệm vụ này bên trong công cụ Event Viewer
hoặc Scheduled Tasks. Các nhiệm vụ có thể ở mức cao hoặc cơ bản, hoặc bạn có thể tùy
chỉnh các thiết lập cho các nhiệm vụ của mình.
Với các nhiệm vụ cơ bản, bạn chỉ cần thiết lập các thành phần sau:
• Event ID
• Hành động khi một sự kiện được đăng ký
Bạn có thể thấy các tùy chọn này trong hình 3.
Hình 3: Nhiệm vụ cơ bản cho các sự kiện
Để thiết lập theo tùy chỉnh của bạn. Bạn có thể chỉ định các chi tiết cụ thể có liên quan
đến sự kiện, thời gian trong ngày, những,… Hình 4 mô tả một một trong các tab thiết lập
các nhiệm vụ chi tiết này.
Hình 4: Nhiệm vụ chi tiết cho một sự kiện
Với các hành động trên các nhiệm vụ cơ bản và chi tiết, bạn có thể thực hiện một số tùy
chọn. Có thể thiết lập một email sẽ được gửi ra khi một nhiệm vụ cụ thể được tạo. Bạn
cũng có thể thiết lập một hành động ở nơi một chương trình được chạy nếu có một sự
kiện xảy ra. Cách thức tiến hành có thể bằng kịch bản, chương trình đi kèm hoặc bất cứ
thứ gì bạn muốn hệ thống thực hiện nếu sự kiện xuất hiện. Bạn cũng có thể hiển thị một
thông báo với mục đích giúp quản trị viên biết rằng sự kiện đã xuất hiện và cho phép họ
đưa ra hành động sau khi thấy sự kiện đó.
Kết luận
Như những gì bạn thấy, các tùy chọn mới cho việc điều khiển sự kiện và các sự kiện bản
ghi rất hữu dụng. Những gì trước đây chỉ có qua các sản phẩm của các hãng thứ ba thì
hiện nay bạn có thể sử dụng nó trên các máy tính chạy phiên bản Windows 2008, Vista,
hoặc 7. Rõ ràng các bạn cần cài đặt phần mềm trên các máy tính mức thấp hơn để chúng
có thể chuyển tiếp các sự kiện, tuy nhiên đây là một nhiệm vụ đơn giản so với những lợi
ích thu được khi bạn tập trung được các sự kiện. Khả năng tạo các khung nhìn tùy biến và
thậm chí gán các nhiệm vụ với các sự kiện nào đó làm cho event viewer trở thành một
công cụ đáng để mắt và đáng nâng cấp.
