Event ID của Windows Server 2008 và Vista

Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách kiểm tra sự kiện được đăng nhập trên máy tính Windows Server 2008 và Windows Vista.
Nội dung trích xuất từ tài liệu:
Event ID của Windows Server 2008 và VistaEvent ID của Windows Server 2008 và VistaNguồn:quantrimang.com Derek MelberQuản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách kiểm trasự kiện được đăng nhập trên máy tính Windows Server 2008 và Windows Vista.Giới thiệuBạn có bao giờ muốn kiểm tra xem những gì đang xảy ra trên một máy tínhnhưng lại không có các thông tin để kiểm tra sự kiện? Bài viết này sẽ giúp cácbạn kiểm tra những sự kiện cần thiết đăng nhập vào máy tính Windows Server2008 và Windows Vista.Thiết lập ghi chép bảo mậtTheo thứ tự để bạn hiểu cách các sự kiện kiểm tra các khía cạnh cụ thể của tínhnăng ghi bảo mật máy tính như thế nào, bạn cần hiểu cách khởi tạo một ghichép bảo mật. Hầu hết các máy tính Windows (ngoại trừ một số phiên bảndomain controller) không bắt đầu việc ghi thông tin vào Security Log mặc định.Điều này chứa đựng cả những điều tốt lẫn xấu. Điều xấu ở đây là rằng sẽ khôngcó gì được kiểm tra nếu không có sự thực thi của bạn đối với máy tính để bắtđầu thực hiện ghi các sự kiện bảo mật. Tuy nhiên điều này lại giúp tránh đượchiện tượng ghi tràn và sinh ra thông báo lỗi chỉ thị rằng bản ghi đã bị đầy. Đâychính là thứ mà các Windows Server 2003 domain controller đã gặp phải màkhông có cảnh báo trước.Khi vấn đề kiểm tra sự kiện bản ghi bảo mật được thiết lập và được cấu hìnhbằng Group Policy. Bạn có thể cấu hình Group Policy Object nội bộ nhưng điềunày không lý tưởng vì bạn phải cấu hình mỗi một máy tính riêng rẻ. Thêm vào đóbạn cũng muốn sử dụng Group Policy bên trong Active Directory để thiết lập việcghi chép trên nhiều máy tính với một tập các cấu hình. Để thiết lập được việckiểm tra bản ghi bảo mật, thứ đầu tiên bạn thực hiện là mở Group PolicyManagement Console (GPMC) trên máy tính gia nhập miền và đăng nhập vớicác đặc quyền của quản trị viên.Bên trong GPMC, bạn có thể thấy tất cả các OU (organizational unit) của mình(nếu đã tạo) cũng như tất cả các GPO (nếu đã tạo nhiều hơn số lượng mặc địnhlà 2). Cho ví dụ, chúng tôi sẽ giả định rằng bạn có một OU có chứa nhiều máytính và tất cả đều cần được kiểm tra thông tin bản ghi bảo mật. Chúng ta sẽ sửdụng Desktops OU và AuditLog GPO.Soạn thảo AuditLog GPO, sau đó mở nút sau:Computer Configuration\Policies\Windows Settings\Security Settings\LocalPolicies\Audit PolicyKhi bạn mở rộng nút này, bạn sẽ thấy một danh sách các hạng mục thẩm địnhcó thể cấu hình, như thể hiện trong hình 1 bên dưới.Hình 1: Các mục chính sách thẩm định Audit Policy cho phép bạn chỉ định vùng bảo mật nào mình muốn ghiMỗi một các thiết lập chính sách đều có hai lựa chọn: Success hoặc Failure. Đểcấu hình bất cứ hạng mục nào cho Success hoặc Failure, bạn cần tích vào hộpkiểm Define These Policy Settings, xem thể hiện trong hình 2 bên dưới. Hình 2: Mỗi một chính sách thẩm định cần phải được định nghĩa trước, sau đó kiểu thẩm định được cấu hình.Đây là một giới thiệu vắn tắt về mỗi hạng mục điều khiển những gì:Audit account logon events – Hạng mục này sẽ thẩm định mỗi khi người dùngđăng nhập hoặc đăng xuất từ một máy tính được sử dụng để hợp lệ hóa tàikhoản. Ví dụ dễ hiểu nhất cho tình huống này là khi một người dùng đăng nhậpvào máy tính chạy hệ điều hành Windows XP Professional nhưng lại được thẩmđịnh bởi domain controller. Do domain controller sẽ hợp lệ hóa người dùng, khiđó sự kiện sẽ được tạo trên domain controller. Thiết lập này không có trong bấtcứ hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thànhphần được cấu hình để thẩm định sự thành công của các sự kiện. Đây cũngchính là cách tốt nhất để tất cả các máy chủ và domain controller thẩm định cácsự kiện này. Tuy nhiên giải pháp này cũng xuất hiện trong nhiều môi trường, nơicác máy khách cũng được cấu hình để thẩm định các sự kiện này.Audit account management – Hạng mục này sẽ thẩm định mỗi sự kiện có liênquan đến người dùng đang quản lý tài khoản (user, group hoặc computer) trongcơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm định. Những vídụ cho các sự kiện này: Tạo một tài khoản người dùng • Bổ sung thêm một người dùng vào nhóm • Đặt lại tên một tài khoản người dùng • Thay đổi mật khẩu của tài khoản người dùng •Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với tàikhoản miền. Đối với máy chủ và máy khách, hạng mục sẽ thẩm định SecurityAccounts Manager nội bộ và các tài khoản cư trú ở đó. Thiết lập này khôngđược kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003domain controller, được cấu hình để thẩm định thành công các sự kiện này. Đócũng là cách tốt nhất và hay được thực hiện để thẩm định các sự kiện như vậy ởtất cả các domain controller và máy chủ. Đối với việc thẩm định các tài khoảnngười dùng mà bản ghi bảo mật và các thiết lập thẩm định không thể capture,các bạn có thể tham khảo thêm các thông tin về cách thẩm định các tài khoảnngười dùng.Audit directory service access – Hạng mục này sẽ thẩm định sự kiện có liênquan đến việc truy cập của người dùng vào đối tượng Active Directory (AD), ADnày đã được cấu hình để kiểm tra sự truy cập của người dùng thông qua SystemAccess Control List (SACL) của đối tượng. SACL của đối tượng AD sẽ chỉ rõ bavấn đề sau: Tài khaonr (của người dùng hoặc nhóm) sẽ được kiểm tra • Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,… • Sự truy cập thành công hay thất bại đối với đối tượng •Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác.Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừWindows Server 2003 domain controller, được cấu hình để thẩm định thànhcông các sự kiện này. Đây cũng là cách tốt nhất để cho phép thẩm định thànhcông hay thất bại đối với việc truy cập dịch vụ thư mục cho tất c ...