X
X
Â
Â
Y
YD
D
Ự
Ự
N
N
G
GG

Ậ
T
TT
T
Ổ
Ổ
N
N
G
GT
T
H
H
Ể
ỂH
H
Ạ
ẠT ISP Inc. Trang 2/31
MỤC LỤC

1
 GIỚI THIỆU 3
2 PHẠM VI NỘI DUNG TÀI LIỆU 4
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ 4
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE
DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO
MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG 4

4.1.1 Lên kế họach và thiết lập OUs 6
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ 7
4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ hệ
thống… 9

4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET 11
4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ
NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM. 15

4.3.1 Giới thiệu 15
4.3.2 Giải pháp thực hiện 15
Giải pháp phòng chống virus cho mạng doanh nghiệp 16
4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành cho việc
tự động cập nhật các bản vá lỗi mới nhất của hệ điều hành Microsoft kết hợp với bộ

ISP Inc. Trang 3/31

1 GIỚI THIỆU
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan
tâm. Một khi Internet ra đời và phát triển thì nhu cầu trao đổi thông tin trở nên cần thiết.
Mục tiêu của việc nối mạng là để cho mọi người có thể dùng chung tài nguyên từ những
vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên sẽ rất dễ bị phân tán, dẫn
đến một điều hiển nhiên là chúng sẽ dễ bị xâm phạm gây mất mát dữ liệ
u cũng như các
thông tin có giá trị khác. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật.
Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện, bảo mật ra đời.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin
mà còn nhiều phạm vi khác như kiểm duyệt Web, bảo mật Internet, bảo mật thư đi
ện tử,
các hệ thống thanh tóan điện tử và giao dịch trực tuyến khác, ngay cả trong hệ thống
mạng nội bộ của một doanh nghiệp v.v…
Mọi nguy cơ trên mạng đều là một mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo mật
nhỏ của các hệ thống, nhưng nếu được lợi dụng với tần suất cao và kỹ thuật tấn công
đ
iêu luyện thì cũng sẽ trở thành một tai họa.
Theo số liệu thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegency
Response Team) thì số các vụ tấn công ngày càng tăng, cụ thể là:
• Năm 1989, có khỏang 200 vụ tấn công và truy cập trái phép trên mạng Internet
được báo cáo.
• Năm 1991 là 400 vụ.
• Năm 1993 là 1400 vụ.
• Năm 1994 là 1300 vụ.

• Xem xét, đánh giá lại toàn bộ hạ tầng truyền thông hiện tại quý công ty.
• Trình bày giải pháp bảo mật tổng thể bằng việc đưa ra các chính sách chung và
quản trị tập trung bằng các công cụ và sản phẩm nổi tiếng đã được áp dụng cho
rất nhiều doanh nghiệp và tập đòan lớn trên thế giới.
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ
Qua khảo sát thực tế, chúng tôi nhận thấy những băn khoăn về việc bảo mật cho hạ
tầng mạng bên trong của công ty là có cơ sở. Với những hệ thống máy tính người dùng
hiện tại vẫn đang ở trạng thái không quản lý được. Việc cài đặt các phần mềm linh tinh
khác vẫn đang diễn ra và khó kiểm sóat. Khi gặp vẫn đề trục trặc thì người quản trị lại bị

quá tải trong việc xử lý máy tính của từng nhân viên. Và quan trọng nhất là tình trạng tấn
công từ phía bên ngòai và virus lây qua đường email tràn lan trong hệ thống.
Dựa theo sự việc trên, trong tài liệu này, chúng tôi cung cấp những giải pháp mà thiết
nghĩ Bảo Việt Nhân Thọ nên quan tâm, dò quét và thiết lập việc cài đặt lại hệ thống sao
cho có thể hạn chế tối đa việc thất thóat thông tin và tăng cường thêm tính năng bảo
mật phòng thủ cho hệ thống.
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO
VIỆT NHÂN THỌ
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG
NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI
NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY)
CHO TÒAN BỘ HỆ THỐNG
Dựa theo những yêu cầu và mục tiêu của Bảo Việt Nhân Thọ, cũng như những mô hình
quản trị tập trung khác, tòan bộ hệ thống của chúng ta phải là một thể thống nhất, qua
đó mới có thể đưa ra được những sách chung cho việc quản lý và phân phối tài nguyên,
kể cả việc “ép buộc” ngòai ý muốn, y như tổ chức của một mô hình doanh nghiệp bên
ngòai thực tế. Hãng phần mềm khổng lồ
của thế giới từ lâu nay vẫn tự hào kiến trúc
công nghệ Active Directory của họ là một sản phẩm không thể thiếu trong việc quản trị,
phân quyền trên tài nguyên cho người sử dụng và dễ dàng nâng cấp song song với sự

• Roaming Profiles: đây là một tính năng khá hay, nó cho phép những người dùng
hay đi công tác xa, hoặc không ngồi cố định một vị trí, thì tài nguyên, hay những
cài đặt cá nhân của họ, sẽ được giữ y nguyên khi họ di chuyển sang sử dụng trên
bất kỳ một máy tính nào khác, giống như họ đang ngồi trên chính máy tính của
mình vậy. Việc này chúng ta cũng có thể làm thông qua Group Policy.
Mô hình tồng thể với dịch vụ Active Directory ISP Inc. Trang 6/31

Do đó, để quản trị tập trung và nhằm tăng cường tính bảo mật cho hệ thống, dựa theo
mô hình trên, tòan bộ những hệ thống máy chủ và máy trạm sẽ tham gia vào một
domain với cùng một cơ sở dữ liệu AD chung. Chúng ta sẽ có hai máy chủ dùng để
chứa cơ sở dữ liệu Active Directory, trong đó sẽ có một máy sử dụng trong việc backup
một khi máy chủ chính bị ngưng họat động. Chúng ta cũ
ng sẽ có những máy chủ cung
cấp các dịch vụ khác cho hệ thống như dịch vụ cung cấp địa chỉ động DHCP, DNS, Web
Server, Mail Server, Proxy Server, dịch vụ chứng thực điện tử CA, RADIUS Server
v.v……
Ngoài ra, cũng nhằm tăng cường về an ninh, chúng tôi cũng khuyến cáo sử dụng thêm
vùng DMZ và hệ thống sẽ bao gồm hai tường lửa, như theo mô hình trên. Mục đích khi
cung cấp các sản phẩm về dịch vụ và thiết k
ế, chúng tôi thường theo quan điểm trong
hệ thống không nên sử dụng thuần sản phẩm của một hãng nào đó, mà nên là đa hãng
(Multi-Vendor), vì khi những kẻ tấn công xâm nhập vào hệ thống, nếu đã vượt qua được
một thiết bị hay máy chủ của một hãng, thì chúng sẽ gặp rắc rối với những thiết bị của
một hãng khác vì lỗi xảy ra ở một thiết bị của nhà cung cấ


Sau khi người quản trị nắm rõ cấu trúc và mô hình tòan thể của doanh nghiệp mình, lúc
đó mới có thể lên kế họach tạo ra cấu trúc OUs theo ví dụ như trên.
Như đã nói ở phần 4.1, thế mạnh khi tổ chức OUs của Microsoft là chúng ta sẽ hoàn
toàn có thể điều khiển và quản trị tập trung những đối tượng nằm trong nó, thông qua
các chính sách mà người quản trị đặt ra (Group Policy).
Việc cài đặt và áp dụng Group Policy sẽ được áp từ
trên xuống theo mô hình cây phả
hệ. Lấy ví dụ nếu một nhân viên nằm trong OUs tên là Sales theo như mô hình trên, nếu
chúng ta tạo và áp chính sách (Group Policy) trên domain chính có tên
BusinessName.com với việc sẽ khóa tài khỏan khi người dùng đăng nhập quá ba lần với
việc điền sai mật khẩu, mà OU Sales lại nằm trong OU Internal, Internal lại nằm trong
Users, Users lại nằm trong BusinessName, như vậy những người dùng trong nhóm
Sales sẽ chịu một chính sách bị khóa mật khẩu giống như trên. Ngòai ra chúng ta còn có
thể tùy biến trong việc cấ
u hình Group Policy với những tính năng mà hầu như đáp ứng
được mọi nhu cầu khó khăn nhất mà người quản trị hệ thống cần.
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt
Nhân Thọ
Như chúng tôi đã nêu ở phần trên, chính sách của người quản trị đặt ra cho các đối
tượng trong hệ thống, thì thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site Æ
Domain Æ OUs. Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao
cho phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy
thao khảo dành cho Bảo Việt Nhân Thọ:
• Cấp độ
Domain:

Cấu hình Giá trị cho cấu hình
• Remembered passwords • 24


• Disabled
• Automatic Updates • Automatic download and
notification for install
• Automatically publish new printers in
Active Directory
• Enabled
• Password protect the screen saver • Enabled

Bảng 2. Group Policy Settings dành cho Servers OU

• Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống:

Cấu hình Giá trị cho cấu hình
• Interactive logon: Do not display last
user name
• Enabled
• Interactive logon: Display logon
•
Enabled ISP Inc. Trang 9/31
Cấu hình Giá trị cho cấu hình
message
• Network access: Do not allow
anonymous enumeration of SAM
accounts and shares
• Enabled
• FTP publishing service
•

từ bất cứ máy tính nào trong mạng, nhưng không lưu lại những trạng
thái sử dụng đó khi người dùng thóat và rời khỏi chỗ ngồi của mình
ngay tại máy.
Ng
ăn chặn việc ghi dữ liệu của người dùng trên nội tại của một máy
tính để người dùng sẽ lưu vào chính thư mục của mình ngay trên
mạng, mang tính chất dễ dàng sao lưu về sau.
Các thiết lập độ bảo mật khác cũng phải ở mức cao.
o Mobiles OU: OU này mang tính chất dùng cho người hay sử dụng thiết
bị xách tay hoặc thiết bị di động khác. Qua đó chúng ta cũng sẽ thiết
l
ập các chính sách GPOs để áp việc bảo mật vào cho OUs này.
Ngòai ra chúng ta còn có thể tạo thêm và tùy biến để cấu hình Group Policy cho các đối
tượng OU khác trong hệ thống tùy theo nhu cầu và sự tổ chức hợp lý trong hệ thống của
quý công ty.
4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ
hệ thống
Một trong những thế mạnh mà Group Policy của AD cung cấp đó là khả năng triển khai
cài đặt phần mềm tập trung đến các máy trạm mà người quản trị không phải đến từng
máy để thiết lập việc đưa đĩa chương trình vào ổ CD tại máy đó. ISP Inc. Trang 10/31
Việc thực hiện cài đặt này cho chúng ta hai giải pháp. Thứ nhất là cài đặt theo cơ chế
Publish mà người sử dụng có thể tự cài đặt phần mềm theo ý thích bằng cách vào công
cụ Add/remove Programs trong Control Panel để tự thiết lập riêng cho mình. Cách thứ
hai được gọi là Assign, Group Policy sẽ tự động cài đặt phần mềm vào máy tính của
người dùng một cách tự động khi máy tính đó tham gia và người dùng đăng nhập vào
hệ thống.
Hiện nay đã và đang có rất nhiều những phần mềm dành cho phía máy trạm mà được

• Xây dựng những hệ thống lọc tín hiệu ra vào ở tầng ứng dụng (Application Layer)
như SMTP, HTTP và FTP nhằm phát hiện ra những đọan mã độc hại.
• Thiết lập hệ thống Web caching nhằm tăng cường độ ổn định và tốc độ truy cập
đến những site sử dụng giao thức HTTP và FTP cho người dùng theo hai lọai:
o Người dùng ở m
ạng nội bộ truy cập những site ngoài Internet
o Người dùng ngòai Internet truy cập vào hệ thống site nội bộ
• Xây dựng và đưa ra những dịch vụ cung cấp về việc quan sát và thu thập phân
tích thông tin dựa trên lưu lượng của tòan bộ hệ thống, như lưu lượng truy cập
Internet của người dùng trong ngày trong tháng trong năm là bao nhiêu, những
giao thức chính nào mà người dùng hay sử dụng trong việc giao tiếp, những cảnh
báo nào hay được đưa ra nhiều nhấ
t v.v…… Qua đó người quản trị có thể phân
tích để đưa ra các giải pháp thích hợp để giải quyết tình trạng đang gặp phải,
nhằm mang lại sự ổn định cho hệ thống và tăng thêm độ an tòan cho cả mạng.
ISP Inc. Trang 12/31

Sơ đồ cấu trúc mẫu về bảo mật hạ tầng bên trong

• Giải pháp được đưa ra dựa trên hạ tầng Bảo Việt Nhân Thọ:
Để bảo vệ cho hệ thống kết nối ra Internet, những dịch vụ tối thiểu cần phải có trong
hệ thống bao gồm những thành phần sau đây:
o Hệ thống tường lửa
o Hệ thống phát hiện chống xâm nhập IDS/IPS
o Hệ thống lọc gói tin ở tầng ứng dụng (Application filtering)
o Hệ thống lưu thông tin, quan sát và gửi cảnh báo đến người quản trị
o Và cu

VPN L2TP UDP – 1701 Both
VPN IPSec 500, protocol 50 & 51 Both
NTP UDP - 123 Outgoing from internal network
DNS UDP - 53 Out
g
oin
g
from internal network
FTP TCP – 20, 21 Both
RDP TCP - 3389 Both

Tường lửa bên trong, chúng tôi có thể đưa ra những chính sách sau đây:

Protocol/Po
rt
From To Users Authentica
tion
Permissi
on
DNS
(UDP, 53)
Main and
branch
offices
Internet DNS
server
Internal DNS server
(used by internal main
office systems, VPN
clients, and branch

main office and branch
offices
No Allow
FTP
(TCP, 21)
Main and
branch
offices
Internet Employees No Allow
SMTP
(TCP, 25)
Internal
SMTP server
Internet
SMTP
servers
Internal and Internet
SMTP servers
No Allow
SMTP
(TCP, 25)
Internet
SMTP
servers
Internal
SMTP server
Internal and Internet
SMTP servers
No Allow
E-mail

using PPTP
(TCP, 1723)
and IP
Protocol 47
Internal
network
Internet Home and mobile VPN
client users
No Allow
IPSec VPN
tunnel
(UDP, 500)
and IP
Protocol 50
& 51)
Branch
offices
Main office Users in branch offices No Allow
NTP
(UDP, 123)
Internal
domain
controllers
Internet
based time
servers
Internal domain
controllers
No Allow
RDP

• Dịch vụ đa cộng tác(Collaboration services).
• Dịch vụ cung cấp email.
• Dịch vụ in ấn.
• Dịch vụ truy cập từ xa.
• Dịch vụ chứng thực (Certificate services.)
• Dịch vụ quản lý các bản vá lỗi hệ thống.
• D
ịch vụ bảo vệ và phục hồi dữ liệu.
4.3.2 Giải pháp thực hiện
Tùy theo nhu cầu và cách nắm bắt thông tin của người quản trị, hiện tại trên thế
giới có rất nhiều những hãng nổi tiếng chuyên cung cấp các giải pháp về phòng
chống Virus cho mạng doanh nghiệp như Symantec, Trend-Micro, ISS, Mc-Cafee
v.v…
Nhưng trình tự chung của việc cài đặt vẫn tuân theo một quy chuẩn sau đây:
1. Cài đặt hệ thống Antivirus và những thành phần liên quan trên máy chủ phụ của
hệ thống.
2. Cho phép máy chủ này cập nhật các bản vá lỗ
i và danh sách virus mới nhất từ
chính máy chủ của hãng cung cấp dịch vụ này để hệ thống có thể nhận dạng và
tiêu diệt những lọai virus hiện tại, cho đến thời điểm chúng được cập nhật.
3. Cài đặt chương trình antivirus dùng cho máy trạm lên tất cả những thành phần
còn lại trong hệ thống như các máy tính để bàn, máy chủ dịch vụ, kể cả những
thiết bị di động liên quan.
4. Cài
đặt những chương trình cung cấp việc nhận dạng các lọai Spyware và
Adware trên các máy trạm và máy chủ thích hợp trong hệ thống.
5. Cấu hình việc lọc các lọai Spam-mail trên các máy chủ mail.
6. Cài đặt thêm các thành phần ứng dụng trong việc lọc nội dung gói tin tại hệ thống
tường lửa hay những thiết bị liên quan, dùng để kiểm sóat toàn bộ lưu thông
trong mạng.

• Triển khai các bản vá patches đến các máy đang chạy Windows NT
• Triển khai phần mềm 3
rd
cho các máy Clients và các 3
rd
patches ISP Inc. Trang 17/31
• Triển khai patches và service packs cho các ứng dụng Microsoft như: Microsoft
Office, Microsoft SQL Server, Microsoft Exchange Server & Microsoft ISA server.
• Có khả năng kiểm tra lại tất cả các patches đã cài đặt đúng hay chưa.
Và do vậy, sự kết hợp giữa GFI LANguard N.S.S. và Microsoft SUS nhằm tăng cường
hơn nữa các khả năng quản lý và tiến hành vá lỗi cho Hệ điều hành và các ứng dụng
(Applications) trên các hệ thống Windows 2000/XP/.NET, giúp các hệ thống và ứng
dụng đang vận hành được cập nhật nhanh chóng tất cả các OS service packs, Microsoft
application patches và service packs, kể cà các software patches của các hãng phần
mềm th
ứ 3 (3
rd
party software).
Bởi vì Microsoft SUS server không thực sự là một ứng dụng quét trên desktop, mà hơi
thiên về một máy chủ tự động làm việc dưới dạng dịch vụ nền (background), như vậy
hơi khó khăn cho người quản trị một chút trong việc cài đặt so với các công cụ quản lý
vá lỗi khác. Tuy nhiên một khi đã cài đặt hoàn tất, thì quy trình quản lý vá lỗi sẽ được tự
động, và người quản trị sẽ dễ dàng hơn
đối với công việc của mình.

Việc quản lý Microsoft SUS server tất cả thông qua giao diện Web, và cho phép quản lý
từ xa. Microsoft SUS server tiến hành download tất cả các bản vá lỗi hoàn toàn tự động

Microsoft SQL Server, Microsoft Exchange Server và Microsoft ISA server (nếu
có).
• Kiểm tra lại các patches và service packs còn thiếu chưa được cài và tiến hành
báo cáo thông qua HTML report về các vấn đề này. ISP Inc. Trang 19/31

Kiểm tra các patches và service packs đã được cài đặt

Một khi các chương trình quản lý các bản vá đã được cài đặt, thì người quản trị cũng
cần chú ý đến việc thường xuyên rà quét hệ thống để kiểm tra các patches và service
packs đã được triển khai bởi Microsoft SUS. GFI LANguard N.S.S. sẽ nhanh chóng rà
soát hệ thống và liệt kê ra tất cả patches và service packs chưa cập nhất thông qua các
biểu tượng cảnh báo- Alerts node.

Phân phát các bản vá patches với GFI LANguard N.S.S.
ISP Inc. Trang 20/31

Các bản vá Patches đã được download
Sau khi xác định các bản vá patches nào cần cập nhật, GFI LANguard N.S.S. sẽ cung
cấp một danh sách các service packs và patches cần được download và sẽ lưu vào thư
mục GFI LANguard N.S.S download.

Giao diện cản báo của GFI LANguard N.S.S. về các bản vá
Chúng ta có thể thấy Microsoft SUS Server khá hoàn hảo khi cập nhật bản vá patch cho
hệ điều hành. Một khi đã cài đặt, hệ thống sẽ cập nhật tự động. Thế nhưng, Microsoft

Thường khi tiềm kiếm trong chương trình này, người quản trị nên tìm trước những thông
số về sự kiện sau đây:
• 529. Logon failure (đằng nhập sai tài khỏan và mật khẩu)
• 644. A user account was auto locked
• 675. Pre-authentication failed on a domain controller (mật khẩu không đúng)
• 676. Authentication ticket request failed
• 681. Logon failure ISP Inc. Trang 23/31
4.4.1.2 Sản phẩm Microsoft Operations Manager 2005
Microsoft Operations Manager (MOM) là một sản phẩm hiện nay đang được sử dụng rất
nhiều trong các doanh nghiệp lớn. MOM sẽ quan sát tòan bộ các hệ thống máy chủ từ
một nơi tập trung, sau đó thu thập các thông tin được lựa chọn từ các file lưu trữ các sự
kiện và chuyển chúng đến máy chủ quản lý dữ liệu của MOM. MOM 2005 và những bản
nâng cấp cao hơn còn có khả năng thu thập và chọn lọc các sự ki
ện từ những máy tính
không chạy phiên bản sử dụng dùng để cài đặt trên máy trạm là “MOM agents”.
MOM sử dụng chính các gói chính sách của nó để nhận dạng những thông tin và sự
kiện mà ảnh hưởng trực tiếp đến các hệ thống máy chủ, và nhiều lọai khác. Ngòai ra
người quản trị còn có thể tạo thêm cho mình những quy luật riêng (rules), qua đó theo
dõi đựợc những sự kiện xảy ra trong hệ thống và gửi các cảnh báo đó thông qua email,
thông đ
iệp pop-up, hoặc gửi trực tiếp đến hệ thống di động cho người quản trị.
Mặc dù MOM cung cấp rất nhiều những chức năng hữu ích mà có thể sử dụng trong
quá trình theo dõi an ninh và phát hiện ra các cuộc tấn công trong mạng, nhưng thường
thì chúng ta không dùng nó trong mục đích này.

4.4.1.3 Sản phẩm Microsoft Systems Management Server 2003
Microsoft Systems Management Server (SMS) 2003 là một sản phẩm thường đi kèm với
4.5.1 Theo dõi vấn đề an ninh và phát hiện các cuộc tấn công
Để theo dõi về vấn đề an ninh và phát hiện các cuộc tấn công, cần phải lên kế họach cụ
thể theo từng cấp độ thích hợp, và điển hình là theo từng vùng sau đây:
• Việc can thiệp quản lý tài khỏan người dùng
• Truy nhập vào tài nguyên được bảo vệ
• Thay đổi các chính sách bảo mật
• Tạo và xóa các mối quan hệ tin tưởng trong hệ thống
• Sử dụng quyền hạn trái phép
• Khởi
động lại hệ thống và thay đổi thông tin thời gian
• Hiệu chỉnh thông tin Registry
• Thực thi các đọan chương trình nguy hiểm
4.5.1.1 Truy cập vào những máy tính không được xác thực

Event ID Sự kiện xảy ra
528 Successful Logon
529 Logon Failure – Unknown
User Name or Bad
Password
530 Logon Failure – Time