Xem mẫu
- SECURITY TEMPLATE –AUDIT
I. Security Template
Chuẩn bị:
- Khởi động máy chọn Windows Server 2003 chưa nâng Domain Controller (P1)
B1: Start → Run → gõ MMC vào hộp thọai Open
→ OK
B2: Trong cửa sổ Console1 → chọn menu File →
chọn Add/Remove Snap in → Add
→ Trong màn hình Add Stand-alone Snap-in chọn → Trong màn hình Console 1, xuất hiện hai
Security Templates → Add chọn Security template
Configuration and Anlysis → Add → Close → → Bung dấu “+” ở compatws (trong Security
OK Template\C:\WINDOWS\security\templates)
→ Click chuột phải trên compatws → chọn Save As
→ Trong cửa sổ Save As, gõ SecurityTemplate vào mục → Bung dấu “+” trên SecurityTemplate (vừa
File name → Save mới tạo) → Account Policy\Password Policy
78
- → Click chuột phải trên MiniumPassword
Length → Properties → Đánh dấu chọn vào ô
Define this policy...→ Nhập vào ô Password
must .. số 8 → Apply → OK → Click chuột
phải trên SecurityTemplate → Save
B3: Click chuột phải trên Security Configurate and → Trong hộp thọai File name, gõ MyTemplate →
Anlysis → Open database Open
→ Trong màn hình Import Template → chọn B4: Click chuột phải trên Security Configuration
SecurityTemplate (Template vừa thiết lập)→ Open and Analysis → chọn Anslyze Computer Now
79
- → Trong màn hình Perform Analysis → OK → Hệ thống sẽ phân tích sự khác biệt giữa Security
Policy của hệ thống và Security Template vừa mới
thiết lập
→ Bung dấu “+” trong Security Configuration and Analysis → B5: Click chuột phải trên Security
vào Account Policies → vào Password Policy Configuration and Analysis → chọn
→ Hệ thống phát hịên sự khác biệt và hiện dấu báo đỏ (như hình) Configure Computer Now → OK
→ Hệ thống sẽ áp đăt Template vừa
thiết lập
B6: Đóng tất cả các cửa sổ → Hệ thống hỏi bạn có save
Console1 không → chọn No
→ Tạo một user “U1” với password 123 → Hệ thống sẽ thông → Nhập lại Password cho user “U1” với
báo lỗi yêu cầu nhập lại password → OK chiều dài ít nhất là 8 ký tự
VD :nhatnghe
II. Audit Policy
1. Ghi nhận quá trình Logon trên máy Local
80
- B1: Start → Programs→ Administative Tools → Local → Click chuột phải trên Audit Account
Security Policy → Audit Policy → Logon Events → Properties → chọn dấu
check Failure → Apply → OK → Đóng hết
cửa sổ màn hình lại → Cập nhật Policy
(gpupdate /force)
B2: Start → Programs→ Event Viewer → Click B3: Logoff Administrator → Logon user “U1” và
chuột phải trên Security → Clear All Events → cố tình logon sai vài lần
Thông báo xuất hiện yêu cầu có lưu lại những Security
Audit đó không chọn NO B4: Logon lại Administrator → Start →
→ Đóng tất cả các cửa sổ màn hình lại Programes → Event Viewer → Chọn Security
→ Xuất hiện một số ghi nhận quá trình logon sai
2 Ghi nhận quá trình truy cập 1 Folder
Chuẩn bị
- Khởi động máy chọn Window Server 2003 đã nâng cấp lên Domain Controller (P3)
- Tạo OU KeToan, trong OU KeToan tạo user “KT1”
- Tạo OU NhanSu, trong OU NhanSU tạo user “NS1”
- Cho group Users quyền Allow Logon Locally
- Vào C: tạo thư mục “TaiLieuKeToan”
Mục đích: Ghi nhận lại toàn bộ hành động truy cập thất bại vào folder “TaiLieuKeToan”
B1: Click chuột phải trên thư mục TaiLieuKeToan → chọn Add → chọn user “KT1”→ cho user
→ Properties → chọn tab Security → Chọn “KT1” có quyền Full Controll trên thư mục
Advanced → bỏ dấu check Allow inheritable…. → TaiLieuKeToan → Apply → chọn Advanced →
Apply → OK → chọn group Users → Remove chọn tab Audting → Add → chọn user “NS1” →
Trong hộp thoại Auditing… → đánh dấu chọn vào ô
List Folder /Read Data của cột Failed → OK →
Apply → OK → OK
81
- B2: Start → Programs → Domain Security Policy → Click chuột phải trên Audit Obiect Access →
→ Audit Policy chọn Failure → Apply → OK → Đóng tất cả các
cửa sổ → Cập nhật Policy (gpupdate /force)
B3: Start → Programs → Event Viewer → Click
chuột phải trên Securiry → Chọn Clear all Events
→ Hộp thọai xuất hiện yêu cầu lưu lại các Security
Audit → chọn NO
82
- B4: Logoff Administrator→ Logon KT1 → Vào B5: Logoff KT1 → Logon NS1 → Vào thư mục
thư mục TaiLieuKeToan tạo một file TaiLieuKeToan→ hệ thống sẽ thông báo lỗi
dulieuketoan.txt → Lưu lại
B7: Start → Programs → Administrative Tools → Event → Click chuột phải trên 1 Failure Audit của
Viewer → chọn Security user “NS1” → Xuất hiện bản chi tiết ngày
giờ user “NS1” truy cập vào thư mục
83
nguon tai.lieu . vn