Các mẹo trong quản lý bản ghi bảo mật- P1

Các mẹo trong quản lý bản ghi bảo mậtTrong bài hôm nay chúng tôi sẽ giới thiệu cho các bạn một số mẹo có thể được sử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong các bản ghi bảo mật; góp phần hướng tới việc bảo mật tổng thể cho mạng của bạn. Bản ghi bảo mật cho Windows có chứa rất nhiều thông tin hữu dụng, tuy nhiên trừ khi biết cách điều khiển, quản lý và phân tích các thông tin này, bằng không nó sẽ khiến bạn mất công sức và thời gian để...
Nội dung trích xuất từ tài liệu:
Các mẹo trong quản lý bản ghi bảo mật- P1 Các mẹo trong quản lý bản ghi bảo mậtTrong bài hôm nay chúng tôi sẽ giới thiệu cho các bạn mộtsố mẹo có thể được sử dụng để tìm kiếm nhiều thông tincần thiết hơn trong các bản ghi bảo mật; góp phần hướngtới việc bảo mật tổng thể cho mạng của bạn.Bản ghi bảo mật cho Windows có chứa rất nhiều thông tinhữu dụng, tuy nhiên trừ khi biết cách điều khiển, quản lý vàphân tích các thông tin này, bằng không nó sẽ khiến bạn mấtcông sức và thời gian để tìm ra các thông tin mà bạn muốn có.Trong bài này chúng tôi sẽ giới thiệu một số mẹo có thể đượcsử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong cácbản ghi bảo mật với mục đích làm cho công việc của bạn trởnên dễ dàng hơn, hiệu quả hơn và việc bảo mật tổng thể chomạng của bạn trở nên tốt hơn.Thiết lập gì được lưuĐầu tiên bạn cần có được các thông tin trong bản ghi bảo mật.Qua thời gian, Microsoft đã cấu hình nó ở cho phép ghi mộtsố thứ, tuy nhiên không phải lúc nào cũng như vậy. Rất nhiềungười trong số các bạn đang đọc bài này có thể vẫn đang sửdụng Windows 2000, XP và 2003, do đó việc biết được nơibạn có thể xem và kiểm định bản ghi bảo mật là một vấn đềquan trọng.Tất cả các thông tin được ghi trong bản ghi bảo mật được điềukhiển bởi việc thẩm định Auditing. Auditing được thiết lập vàquản lý bởi Group Policy. Bạn có thể quản lý Group Policycục bộ (gpedit.msc) hoặc thông qua Active Directory bằngcách sử dụng Group Policy Management Console (GPMC).Có thể nói việc sử dụng GPMC và quản lý thẩm định bằngcách sử dụng Active Directory tỏ ra thú vị hơn.Bên trong Group Policy, chỉnh sửa đối tượng Group Policy,sau đó điều hướng theo cây thư mục ComputerConfigurationWindows SettingsSecurity SettingsLocalPoliciesAudit Policy, bạn có thể xem trong hình 1 để thấythông tin chi tiết. Hình 1: Các thiết lập Audit Policy trong một Group Policy ObjectKhông quan tâm đến việc bạn sử dụng Group Policy cục bộhay một GPO từ Active Directory, các thiết lập này sẽ đềugiống nhau. Như vậy nó sẽ dễ dàng hơn cho việc triển khaicác thiết lập đến nhiều máy tính đang sử dụng ActiveDirectory.Như những gì bạn có thể thấy, có đến 9 tùy chọn chính sáchthẩm định khác nhau. Để tìm hiểu sâu hơn nữa về mỗi mộtthiết lập này thực hiện những gì, bạn có thể tham khảo bài biếtnày.Tập trung hóa các bản ghi bảo mậtGiờ đây giả sử tất cả các máy tính trong mạng của bạn đều lưucác bản ghi vào vị trí mặc định của nó, nhiệm vụ của bạn làcần xem chúng. Cần biết rằng, mỗi máy tính đều có các bảnsao cho bản ghi bảo mật của chính nó. Điều này có nghĩarằng, nếu mạng của bạn có 1000 máy chủ và 10000 máy trạmthì bạn sẽ có tổng số 11000 bản ghi sự kiện cần phải xem!Cho tới gần đây vẫn chưa có cách nào để có thể tập trung cácbản ghi này để phân tích một cách hiệu quả.Mặc dù vậy, từ phiên bản Windows Server 2008, Vista và 7,Microsoft đã đưa ra một cách cho phép bạn có thể tập trungtất cả các bản ghi của mình, gồm có các bản ghi bảo mật từ tấtcả 11000 máy tính (số máy tính mà bạn có). Giải pháp là sửdụng việc chuyển tiếp các bản ghi sự kiện.Nhiệm vụ của bạn là cần phải có ít nhất một máy tínhWindows Server 2008, Vista, hoặc 7, tuy nhiên tối thiểu làmột. Máy tính này sẽ được sử dụng để làm máy tính tập trungbản ghi. Tất cả các máy tính còn lại đang sử dụng các hệ điềuhành Windows XP, 2003, Vista, 2008 và 7 có thể gửi các sựkiện của chúng đến máy tính tập trung này. (Cần lưu ýWindows 2000 không được hỗ trợ).Khung nhìn tùy biếnSau khi đã tập trung được các bản ghi của mình, bạn cóthể thiết lập cách xem các thông tin. Cần lưu ý rằng cóđến hàng ngàn các bản ghi sự kiện khác nhau, với hàngtrăm event ID. Chính vì vậy bạn sẽ không có đủ thờigian để đọc hết tất cả các bản ghi này và tìm ra bản ghinào có một event ID cụ thể. Có một cách để bạn khôngphải làm như vậy.Lúc này các bản ghi được tập trung của bạn nằm trênmáy tính Windows Server 2008, Vista hoặc7, bạn có thểsử dụng khung nhìn tùy biến. Các khung nhìn tùy biếncho phép bạn tạo một “bản ghi đặc biệt” cho các bản ghivà event ID mà bạn muốn xem. Vì vậy, bạn có thể tạonhiều khung nhìn tùy biến cho các bản ghi đang tồn tại,gồm có các bản ghi được chuyển tiếp mà bạn muốn có.Ví dụ, bạn muốn có một khung nhìn tất cả các bản ghiđã xảy ra trên tất cả máy chủ. Khi đó bạn chỉ cần tạo ...