Tài liệu hướng dẫn thực hành LAB MCSA 2008: Audit

Mục tiêu của bài thực hành LAB nhằm giới thiệu đến các bạn về Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server 1. Mời các bạn tham khảo nội dung chi tiết.
Nội dung trích xuất từ tài liệu:
Tài liệu hướng dẫn thực hành LAB MCSA 2008: AuditAuditChuẩn bị:- Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24- Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24Mô hình:Mục tiêu bài LAB:- Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server1- Mục tiêu cuối cùng: có thể giám sát các user khi log on và sử dụng tài nguyên.Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC.Thực Hiện:Bước 1(tạo user u1 /123 và cấu hình giám sát việc log on của các users):Đầu tiên, ta sẽ chỉnh Local Security Policy để cho phép đặt password đơn giản cho users:Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy:Trong Local Security Policy, ta ta vào Account Policies -> Password Policy và disable phầnPassword must meet complexity requirements:Tiếp theo, ta sẽ tạo user u1/123 trong Local Users and Groups:Vào Start -> Run rồi gõ lusrmgr.msc để truy cập Local Users and Groups:Trong Local Users and Groups, ta tạo 1 user với tên u1/123:Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy:Trong Local Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit accountlogon events Properties và check vào Failure trong Audit these attempts để theo dõi các sựkiện logon:Trên máy server1, ta vào Start -> Administrative Tools rồi chọn Event Viewer:Trong Event Viewer, ta vào Windows Log rồi chuột phải Security và chọn Clear Log:Trong cửa sổ Event Viewer, ta chọn Clear để xóa toàn bộ các log trước đâyTa thử nhập password sai để không log on được user u1. Sau đó, ta vào Administrator để kiểmtra.Trên máy server1, ta đăng nhập vào bằng Administrator và kiểm tra Event Viewer:Trong Event Viewer, ta vào Windows Log -> Security và chọn Audit Failure và ta có thể thấylần đăng nhập bị lỗi của u1:Bước 2(cấu hình giám sát việc sử dụng tài nguyên trên máy server1 của các users):Trong Local Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit objectaccess Properties và check vào Success và Failure trong Audit these attempts để theo dỏi việctruy cập tài nguyên thành công hay thất bại:Trên máy server1, ta tạo 1 thư mục với tên DATA để giả lập tài nguyên cho user truy cập:Cấu hình loại bỏ kế thừa trên thư mục DATA:Tiếp theo, ta cấu hình để chỉ cho phép Administrator có quyền trên thư mục DATA:Trong DATA Properties, ta chọn Advanced. Trong Advanced Security Settings for DATA, tachọn Edit rồi chọn Add để thêm Everyone vào rồi chọn OK:Sau khi chọn OK, trong phần Auditing Entry for DATA ta chỉ cho phép Everyone chỉ cóquyền ghi mà không có quyền đọc dữ liệu:Để cập nhật cho Audit Policy vừa cấu hình, ta vào Start -> Run rồi gõ gpupdate /force:Để kiểm tra, ta đăng nhập vào server1 bằng user u1 rồi truy cập vào thư mục DATA:Tiếp theo, ta đăng nhập admin để kiểm tra Event Viewer:Sau khi đăng nhập admin, ta truy cập vào thư mục DATA và chỉnh sửa file1.txt:Rồi kiểm tra Event Viewer: