Các mẹo trong quản lý ghi bảo mật

Trong bài hôm nay chúng tôi sẽ giới thiệu cho các bạn một số mẹo có thể được sử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong các bản ghi bảo mật...
Nội dung trích xuất từ tài liệu:
Các mẹo trong quản lý ghi bảo mật Các mẹo trong quản lý bản ghi bảo mật Trong bài hôm nay chúng tôi sẽ giới thiệu cho các bạn một số mẹo có thểđược sử dụng để tìm kiếm nhiều thông tin cần thiết hơn trong các bản ghi bảomật; góp phần hướng tới việc bảo mật tổng thể cho mạng của bạn.Bản ghi bảo mật cho Windows có chứa rất nhiều thông tin hữu dụng, tuy nhiên trừ khibiết cách điều khiển, quản lý và phân tích các thông tin này, bằng không nó sẽ khiếnbạn mất công sức và thời gian để tìm ra các thông tin mà bạn muốn có. Trong bài nàychúng tôi sẽ giới thiệu một số mẹo có thể được sử dụng để tìm kiếm nhiều thông tincần thiết hơn trong các bản ghi bảo mật với mục đích làm cho công việc của bạn trởnên dễ dàng hơn, hiệu quả hơn và việc bảo mật tổng thể cho mạng của bạn trở nêntốt hơn.Thiết lập gì được lưuĐầu tiên bạn cần có được các thông tin trong bản ghi bảo mật. Qua thời gian,Microsoft đã cấu hình nó ở cho phép ghi một số thứ, tuy nhiên không phải lúc nào cũngnhư vậy. Rất nhiều người trong số các bạn đang đọc bài này có thể vẫn đang sử dụngWindows 2000, XP và 2003, do đó việc biết được nơi bạn có thể xem và kiểm địnhbản ghi bảo mật là một vấn đề quan trọng.Tất cả các thông tin được ghi trong bản ghi bảo mật được điều khiển bởi việc thẩmđịnh Auditing. Auditing được thiết lập và quản lý bởi Group Policy. Bạn có thể quảnlý Group Policy cục bộ (gpedit.msc) hoặc thông qua Active Directory bằng cách sửdụng Group Policy Management Console (GPMC). Có thể nói việc sử dụng GPMC vàquản lý thẩm định bằng cách sử dụng Active Directory tỏ ra thú vị hơn.Bên trong Group Policy, chỉnh sửa đối tượng Group Policy, sau đó điều hướng theo câythư mục Computer ConfigurationWindows SettingsSecurity SettingsLocalPoliciesAudit Policy, bạn có thể xem trong hình 1 để thấy thông tin chi tiết. Hình 1: Các thiết lập Audit Policy trong một Group Policy ObjectKhông quan tâm đến việc bạn sử dụng Group Policy cục bộ hay một GPO từ ActiveDirectory, các thiết lập này sẽ đều giống nhau. Như vậy nó sẽ dễ dàng hơn cho việctriển khai các thiết lập đến nhiều máy tính đang sử dụng Active Directory.Tập trung hóa các bản ghi bảo mậtGiờ đây giả sử tất cả các máy tính trong mạng của bạn đều lưu các bản ghi vào vị trímặc định của nó, nhiệm vụ của bạn là cần xem chúng. Cần biết rằng, mỗi máy tínhđều có các bản sao cho bản ghi bảo mật của chính nó. Điều này có nghĩa rằng, nếumạng của bạn có 1000 máy chủ và 10000 máy trạm thì bạn sẽ có tổng số 11000 bảnghi sự kiện cần phải xem! Cho tới gần đây vẫn chưa có cách nào để có thể tập trungcác bản ghi này để phân tích một cách hiệu quả.Mặc dù vậy, từ phiên bản Windows Server 2008, Vista và 7, Microsoft đã đưa ra mộtcách cho phép bạn có thể tập trung tất cả các bản ghi của mình, gồm có các bản ghibảo mật từ tất cả 11000 máy tính (số máy tính mà bạn có). Giải pháp là sử dụng việcchuyển tiếp các bản ghi sự kiện.Nhiệm vụ của bạn là cần phải có ít nhất một máy tính Windows Server 2008, Vista,hoặc 7, tuy nhiên tối thiểu là một. Máy tính này sẽ được sử dụng để làm máy tính tậptrung bản ghi. Tất cả các máy tính còn lại đang sử dụng các hệ điều hành WindowsXP, 2003, Vista, 2008 và 7 có thể gửi các sự kiện của chúng đến máy tính tập trungnày. (Cần lưu ý Windows 2000 không được hỗ trợ).Khung nhìn tùy biếnSau khi đã tập trung được các bản ghi của mình, bạn có thể thiết lập cách xem cácthông tin. Cần lưu ý rằng có đến hàng ngàn các bản ghi sự kiện khác nhau, với hàngtrăm event ID. Chính vì vậy bạn sẽ không có đủ thời gian để đọc hết tất cả các bảnghi này và tìm ra bản ghi nào có một event ID cụ thể. Có một cách để bạn không phảilàm như vậy.Lúc này các bản ghi được tập trung của bạn nằm trên máy tính Windows Server 2008,Vista hoặc7, bạn có thể sử dụng khung nhìn tùy biến. Các khung nhìn tùy biến chophép bạn tạo một “bản ghi đặc biệt” cho các bản ghi và event ID mà bạn muốn xem.Vì vậy, bạn có thể tạo nhiều khung nhìn tùy biến cho các bản ghi đang tồn tại, gồmcó các bản ghi được chuyển tiếp mà bạn muốn có.Ví dụ, bạn muốn có một khung nhìn tất cả các bản ghi đã xảy ra trên tất cả máy chủ.Khi đó bạn chỉ cần tạo một khung nhìn tùy biến của Event ID 4624 (cho Windows2008, Vista và 7) và 528 (Windows 2000, XP, 2003) để có thể thấy tất cả các đăngnhập thành công. Hình 2 cho bạn thấy diện mạo về khung nhìn tùy biến này. Hình 2: Khung nhìn tùy biến của các sự kiện 4624 và 528Các nhiệm vụ trên sự kiệnBạn không chỉ có thể thiết lập các khung nhìn tùy biến cho các bản ghi của mình màcòn có thể thiết lập các bẫy để ghi (đăng ký) các sự kiện nào đó. Tùy chọn này đượccoi như việc gắn nhiệm vụ cho một sự kiện hoặc bản ghi, có sẵn trong WindowsServer 2008, Vista và 7.Nhiệm vụ này không có gì khác nhiệm vụ tập lịch trình, tuy nhiên điều quan trọng làbạn cần biết nó có sẵn. Bạn có thể thiết lập các nhiệm vụ này bên trong công cụEvent Viewer hoặc Scheduled Tasks. Các nhiệm vụ có thể ở mức cao ...