Topic 3E
Windows 2003 Auditing and Logging
Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình
thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được. Khối lượng thông tin thu
thập được thấy trong công cụ Event Viewer. Event Viewer cung cấp 3 bảng ghi chính:
Application Log, Security Log và System Log. Trong chủ đề này, bạn sẽ tập trung vào
Security Log.
Mặc dù Windows 2003 tự động theo dõi và ghi nhận các sự kiện trong Application và
System Log, Security Log phải được mở để nhìn thấy các sự kiện Security Log. Để mở
Security Log, bạn phải tạo một chính sách kiểm định Audit Policy.
Cấu hình Audit Policy sẽ cho phép bạn có nhiều điều khiển qua các sự kiện cụ thể được ghi
nhận vào bảng ghi. Thí dụ, bạn có thể chỉ ghi lại các cố gắng đăng nhập hay đăng xuất vào
hệ thống hoặc các thay đổi với tùy chọn chính sách. Danh sách sau định nghĩa từng chính
sách và cung cấp mô tả ngắn gọn về thiết lập :
 Audit Account Logon Events – Thiết lập này ghi lại các sự kiện đăng nhập của tại
khoản người dùng. Nó có thể bao gồm sự kiện như thông tin vé Kerberos và tài
khoản sử dụng để đăng nhập.
 Audit Account Management – Thiết lập này ghi lại các thay đổi, tạo mới hoặc xóa
đi một tài khoản hoặc một nhóm người dùng. Thiết lập này có thể ghi thêm việc đổi
tên, vô hiệu hóa, kích hoạt và thay đổi mật khầu cho tài khoản người dùng.
 Audit Directory Service Access – Thiết lập này ghi lại truy xuất đến một đối tượng
Active Directory bởi user. Để chức bảng ghi này hoạt động, đối tượng phải được
cầu hình cho kiểm đỉnh.
 Audit Logon Events – thiết lập này ghi lại các user đăng nhập hay đăng xuất, ghi
lại kết thúc các kết nối mạng.
 Audit Object Access – Thiết lập này ghi lại các truy xuất đến tập tin, thư mục hay
máy in. Để bảng ghi này hoạt động, đối tượng cần phải được cấu hình để kiểm
định.
 Audit Policy Change – Thiết lập này ghi lại các thay đổi đối với chính sách kiểm
định , quyền user và thiết lập bảo mật user.
 Audit Privilege Use – Thiết lập này sẽ ghi lại việc sử dụng đặc quyền bởi tài khoản

5. Nhấp đôi chuột vào Audit Logon Events.
6. Check cả 2 Success và Failure, và click OK.
7. Đóng Local Security Policy.
8. Mở command prompt, và gõ gpupdate /Force để cập nhật policy.
9. Mở Local Security Policy, và xác minh rằng các thiết lập mới đã có hiệu lực.
10. Đóng Local Security Policy.
Registry Auditing
Kiểm định Registry có thể cung cấp thông tin quan trọng trong bảo mật mạng cũng có thể
cung cấp dự liệu quan trọng trong gỡ rối một sự kiện nào đó. Điều này tương tự với tiến
trình yêu cầu để kiểm định các sự kiện khác, trong đó bạn chọn đối tượng và sau đó cấu
hình kiểm định trên đối tượng đó.
Các tùy chọn tồn tại trong kiểm định Registry có một ít khác biệt so với kiểm định tập tin
hay thư mục. Có các quyền như Query Value hay Set Value. Danh sách các truy xuất có thể
được kiểm định thể hiện ở hình dưới. Một vài tùy chọn kiểm định chi tiết như sau:
 Query Value – Kiểm định user hoặc group đang đọc đối tượng.
 Set Value – Kiểm định user hoặc group đang đợi đối tượng.
 Create Subkey – Kiểm định user hoặc group đang tạo khóa.
 Enumerate Subkeys – Kiểm định user hoặc group đang liệt kê danh sách các khóa
trong đối tượng.
Hình 3-13
Các tùy chọn này có thể được cấu hình cho cả thành công hoặc thất bại. Do đó, nếu bạn
muốn biết người nào thất bại trong cố gắng của họ để đọc SAM, bạn có thể chọn group và
kiểm định Query Value Failures.
TASK 3E-2
Logging SAM Registry Access
1. Tạo một tài khoản người dùng thông thường với tên Ordinary và password là
o01234567890!!. Nhớ để người dùng bỏ chọn phải thay đổi mật khẩu đăng nhập
trước khi bấm vào tạo.Lưu ý,mật khẩu dài là mật khẩu của policy trước.
2. Mở Regedit.
3. Vào HKEY_LOCAL_MACHINE\SAM\SAM.