Tài liệu hướng dẫn thực hành LAB MCSA 2008: Audit

Chia sẻ: Đinh Trường Gấu | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST

Báo xấu

64
lượt xem 11
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục tiêu của bài thực hành LAB nhằm giới thiệu đến các bạn về Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server 1. Mời các bạn tham khảo nội dung chi tiết.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tài liệu hướng dẫn thực hành LAB MCSA 2008: Audit

Audit Chuẩn bị: - Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24 Mô hình: Mục tiêu bài LAB: - Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server1 - Mục tiêu cuối cùng: có thể giám sát các user khi log on và sử dụng tài nguyên. Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC.
Thực Hiện: Bước 1(tạo user u1 /123 và cấu hình giám sát việc log on của các users): Đầu tiên, ta sẽ chỉnh Local Security Policy để cho phép đặt password đơn giản cho users: Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy: Trong Local Security Policy, ta ta vào Account Policies -> Password Policy và disable phần Password must meet complexity requirements: Tiếp theo, ta sẽ tạo user u1/123 trong Local Users and Groups:
Vào Start -> Run rồi gõ lusrmgr.msc để truy cập Local Users and Groups: Trong Local Users and Groups, ta tạo 1 user với tên u1/123:
Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy: Trong Local Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit account logon events Properties và check vào Failure trong Audit these attempts để theo dõi các sự kiện logon:
Trên máy server1, ta vào Start -> Administrative Tools rồi chọn Event Viewer: Trong Event Viewer, ta vào Windows Log rồi chuột phải Security và chọn Clear Log:
Trong cửa sổ Event Viewer, ta chọn Clear để xóa toàn bộ các log trước đây Ta thử nhập password sai để không log on được user u1. Sau đó, ta vào Administrator để kiểm tra. Trên máy server1, ta đăng nhập vào bằng Administrator và kiểm tra Event Viewer:
Trong Event Viewer, ta vào Windows Log -> Security và chọn Audit Failure và ta có thể thấy lần đăng nhập bị lỗi của u1: Bước 2(cấu hình giám sát việc sử dụng tài nguyên trên máy server1 của các users): Trong Local Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit object access Properties và check vào Success và Failure trong Audit these attempts để theo dỏi việc truy cập tài nguyên thành công hay thất bại:
Trên máy server1, ta tạo 1 thư mục với tên DATA để giả lập tài nguyên cho user truy cập:
Cấu hình loại bỏ kế thừa trên thư mục DATA: Tiếp theo, ta cấu hình để chỉ cho phép Administrator có quyền trên thư mục DATA: Trong DATA Properties, ta chọn Advanced. Trong Advanced Security Settings for DATA, ta chọn Edit rồi chọn Add để thêm Everyone vào rồi chọn OK:
Sau khi chọn OK, trong phần Auditing Entry for DATA ta chỉ cho phép Everyone chỉ có quyền ghi mà không có quyền đọc dữ liệu:
Để cập nhật cho Audit Policy vừa cấu hình, ta vào Start -> Run rồi gõ gpupdate /force: Để kiểm tra, ta đăng nhập vào server1 bằng user u1 rồi truy cập vào thư mục DATA:
Tiếp theo, ta đăng nhập admin để kiểm tra Event Viewer: Sau khi đăng nhập admin, ta truy cập vào thư mục DATA và chỉnh sửa file1.txt:
Rồi kiểm tra Event Viewer: