Windows 2003 Auditing and Logging Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được. Khối lượng thông
Trang 1Topic 3E Windows 2003 Auditing and Logging
Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được Khối lượng thông tin thu thập được thấy trong công cụ Event Viewer Event Viewer cung cấp 3 bảng ghi chính: Application Log, Security Log và System Log Trong chủ đề này, bạn sẽ tập trung vào Security Log
Mặc dù Windows 2003 tự động theo dõi và ghi nhận các sự kiện trong Application và System Log, Security Log phải được mở để nhìn thấy các sự kiện Security Log Để mở Security Log, bạn phải tạo một chính sách kiểm định Audit Policy
Cấu hình Audit Policy sẽ cho phép bạn có nhiều điều khiển qua các sự kiện cụ thể được ghi nhận vào bảng ghi Thí dụ, bạn có thể chỉ ghi lại các cố gắng đăng nhập hay đăng xuất vào hệ thống hoặc các thay đổi với tùy chọn chính sách Danh sách sau định nghĩa từng chính sách và cung cấp mô tả ngắn gọn về thiết lập :
Audit Account Logon Events – Thiết lập này ghi lại các sự kiện đăng nhập của tại khoản người dùng Nó có thể bao gồm sự kiện như thông tin vé Kerberos và tài khoản sử dụng để đăng nhập
Audit Account Management – Thiết lập này ghi lại các thay đổi, tạo mới hoặc xóa đi một tài khoản hoặc một nhóm người dùng Thiết lập này có thể ghi thêm việc đổi tên, vô hiệu hóa, kích hoạt và thay đổi mật khầu cho tài khoản người dùng
Audit Directory Service Access – Thiết lập này ghi lại truy xuất đến một đối tượng Active Directory bởi user Để chức bảng ghi này hoạt động, đối tượng phải được cầu hình cho kiểm đỉnh
Audit Logon Events – thiết lập này ghi lại các user đăng nhập hay đăng xuất, ghi lại kết thúc các kết nối mạng
Audit Object Access – Thiết lập này ghi lại các truy xuất đến tập tin, thư mục hay máy in Để bảng ghi này hoạt động, đối tượng cần phải được cấu hình để kiểm định
Audit Policy Change – Thiết lập này ghi lại các thay đổi đối với chính sách kiểm định , quyền user và thiết lập bảo mật user
Audit Privilege Use – Thiết lập này sẽ ghi lại việc sử dụng đặc quyền bởi tài khoản người dùng
Trang 2 Audit Process Tracking – Thiết lập này sẽ ghi lại tiếp trình thực thi các ứng dụng trong hệ thống
Audit System Events – Thiết lập này sẽ ghi lại các sự kiện hệ thống như tắt hoặc khởi động lại của máy tính
Hình 3-12
Oject Auditing
Để kiểm định truy xuất đến đối tượng cụ thể như tập tin, thư mục và máy in, bạn sẽ cần cấu hình thực hiện trên chính đối tượng đó, ngoài ra còn phải tạo Audit Policy Phần kiểm định của đối tượng được đặt trên tab Security trong Properties của đối tượng Click chọn nút Advanced, vào chọn tab Auditing
Một ví dụ về kiểm định có liện hệ với bảo mật, đó là một bảng ghi truy xuất tập tin thông thường theo dõi truy xuất vào thư mục System32 của hệ điều hành Như một thư mục quan trọng, nó có thể cung cấp thông tin bảo mật thích hợp để thấy các user đang truy xuất vào bên trong thư mục này và khi nào họ truy xuất vào đó
Active Directory Auditing
Như khi bạn có thể ghi lại truy xuất đến một đối tượng như tập tin hay thư mục, bạn cũng
có thể ghi lại truy xuất đến một đối tượng Active Directory Việc đầu tiên bạn cần làm là kích hoạt kiểm định đối tượng Active Directory trong chính sách kiểm định của bạn, sau
đó chọn đối tượng cụ thể bạn muốn kiểm định
Trang 3Để chính sách có hiệu quả, bạn có một vài tùy chọn :
Một là đợi cho đến khi chính sách truyền đến các khoảng thường xuyên được cầu hình bởi người quản trị
Một tùy chọn khác là chạy lệnh grupdate /Force tại dấu nháy lệnh
TASK 3E-1
Enabling Auditing
1 Từ Administrative Tools, mở Local Security Policy.
2 Mở Local Policies, và chọn Audit Policy.
3 Nhấp đôi chuột vào Audit Account Logon Events.
4 Check cả 2 Success và Failure, và click OK.
5 Nhấp đôi chuột vào Audit Logon Events.
6 Check cả 2 Success và Failure, và click OK.
7 Đóng Local Security Policy.
8 Mở command prompt, và gõ gpupdate /Force để cập nhật policy.
9 Mở Local Security Policy, và xác minh rằng các thiết lập mới đã có hiệu lực.
10 Đóng Local Security Policy.
Registry Auditing
Kiểm định Registry có thể cung cấp thông tin quan trọng trong bảo mật mạng cũng có thể cung cấp dự liệu quan trọng trong gỡ rối một sự kiện nào đó Điều này tương tự với tiến trình yêu cầu để kiểm định các sự kiện khác, trong đó bạn chọn đối tượng và sau đó cấu hình kiểm định trên đối tượng đó
Các tùy chọn tồn tại trong kiểm định Registry có một ít khác biệt so với kiểm định tập tin hay thư mục Có các quyền như Query Value hay Set Value Danh sách các truy xuất có thể được kiểm định thể hiện ở hình dưới Một vài tùy chọn kiểm định chi tiết như sau:
Query Value – Kiểm định user hoặc group đang đọc đối tượng
Set Value – Kiểm định user hoặc group đang đợi đối tượng
Create Subkey – Kiểm định user hoặc group đang tạo khóa
Enumerate Subkeys – Kiểm định user hoặc group đang liệt kê danh sách các khóa trong đối tượng
Trang 4Hình 3-13 Các tùy chọn này có thể được cấu hình cho cả thành công hoặc thất bại Do đó, nếu bạn muốn biết người nào thất bại trong cố gắng của họ để đọc SAM, bạn có thể chọn group
và kiểm định Query Value Failures
TASK 3E-2
Logging SAM Registry Access
1 Tạo một tài khoản người dùng thông thường với tên Ordinary và password là o01234567890!! Nhớ để người dùng bỏ chọn phải thay đổi mật khẩu đăng nhập
trước khi bấm vào tạo.Lưu ý,mật khẩu dài là mật khẩu của policy trước
2 Mở Regedit.
3 Vào HKEY_LOCAL_MACHINE\SAM\SAM.
4 Nhấp chuột phải vào khóa SAM\SAM, và chọn Permissions.
5 Click vào nút Advanced, và chọn Auditing tab.
6 Click Add button.
7 Trong Object Name text box, gõ Ordinary và click OK.
8 Với Query Value, check vào cả 2 Successful và Failed, và click OK.
Trang 59 Click OK để đóng bảng điều khiển Advanced trong SAM, và click OK để đóng Permissions trong SAM.
10 Đăng xuất khỏi tài khoản Administrator, và đăng nhập vào Ordinary.
11 Mở Regedit và vào HKEY_LOCAL_MACHINE và cố gắng mở SAM và SAM\SAM subkey.
12 Click OK để đóng thông báo lỗi.
13 Đăng xuất khỏi Ordinary và đăng nhập vào tài khoản Administrator Bạn sẽ
kiểm tra được các sự kiện trước
Managing the Event Viewer
Trong Event Viewer, bạn sẽ thực hiện các chức năng chính trong việc đọc và quản lý bảng ghi của hệ thống Bạn cũng có thể sử dụng phần mềm quản lý bảng ghi và gửi các bảng ghi đến kho dữ liệu để xem, nhưng vào thời điểm này bạn sẽ phải làm việc trực tiếp trong Event Viewer
Event Viewer cung cấp 3 bảng ghi : Application, System và Security Trong bảng ghi Event Viewer, có 5 loại sự kiện có thể được báo cáo Đó là Error, Warning, Information, Success Audit và Failure Audit Bạn có thể thêm các thành phần vào Event Viewer dựa vào các ứng dụng đã cài đặt như DNS như đã thể hiện ở hình 3-14
Các bảng ghi được liệt kê trong Viewer với hầu hết các sự kiện hiện hành ở phần trên cùng của danh sách Bạn có thể cần di chuyển lên xuống danh sách để theo dõi tần số của các sự kiện Bạn cũng có thể sắp xếp theo cột bằng cách click vào bất ký tên của cột nào
Trang 6Hình 3-14 Các đối tượng mà bạn chọn để ghi sẽ cung cấp 3 nguồn thông tin chính cho bạn là :
Các hành động mà nó thực hiện
Tài khoản người dùng đã thực hiện hành động đó
Thành công hay thất bại của một sự kiện
Bạn cũng có thể biết được các thông tin như thời gian của sự kiện, tên của các máy tính, địa chỉ IP của các máy tính và nhiều hơn nữa Trong hình 3-15, bạn có thể thấy một sự kiện với các thông tin sau:
Ngày và giờ của sự kiện
Tài khoản người dùng gây ra sự kiện
Sự kiện đó thất bại
Tên của máy tính mà sự kiện đó xảy ra
Tên của đối tượng được kiểm định
Hình 3-15
Trang 7TASK 3E-3
Viewing the Registry Audit
1 Mở Event Viewer.
2 Mở Security Log.
3 Trong Failure Event để cố gắng truy cập Registry của bạn Nếu vì một lý do Failure Event của bạn không hiển thị, hãy xem lại phần khái niệm trước trong ví
dụ 1
4 So sánh những gì bạn có thể xác định từ bản ghi của bạn vào ví dụ trước Bạn có thể xác định:
a User Account
b Date
c Time
d Success or Failure
e Computer Name
f Object Accessed
5 Khi bạn đã xác định được các mục này, đóng Event Viewer.
Event IDs
Dù ở phần này đề cập cho bạn có danh sách 529 sự kiện, nhưng nó không có nghĩa là tất
cả Bạn nên làm quen với các ID sự kiện chính để bạn có thể nhanh chóng nhận ra điều gì đang xảy ra trong hệ thống của bạn
Bảng dưới đây liệt kê các ID sự kiện liên quan đến bảo mật phổ biến Bạn nên làm quen với các ID này vì bạn sẽ thấy nó thường xuyên trong công việc của một chuyên gia bảo mật
512 Khởi động thành công hệ điều hành
513 Tắt thành công hệ điều hành
517 Xóa bảng ghi kiểm định thành công
528 Đăng nhập thành công
529 Đăng nhập thất bại do không biết username hay password
530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế
531 Đăng nhập thất bại do tài khoản đang bị vô hiệu hóa
540 Đăng nhập mạng thành công
624 Tạo tài khoản người dùng mới thành công
Trang 8626 Kích hoạt tài khoản người dùng thành công
628 Thay đổi mật khẩu tài khoản người dùng thành công
629 Vô hiệu hóa tài khoản người dùng thành công
644 Khóa một tài khoảng người dùng thành công
645 Tạo tài khoản máy tính mới thành công
Bạn có thể tìm thấy các mô tả cho các ID trên mạng ở rất nhiều nơi và từ Microsoft tại trang http://support.microsoft.com
Authentication Logging
Để mang tất cả các tùy chọn trong bảng ghi xuống một chủ thể nhỏ hơn, bạn tập trung vào tiến trình chứng thực Windows 2003 có thể cung cấp các bảng ghi mở rộng trên tất
cả các tiến trình đăng nhập thành công hay thất bại Điều này sẽ hỗ trợ cho bạn khá tốt khi điều tra các vấn đề bảo mật hay gỡ rối các truy xuất tài khoản
Bảng sau liệt kê các ID sự kiện có liên quan trực tiếp đến tiến trình chứng thực trong Windows 2003 và nó hoạt động bằng cách chọn các sự kiện đăng nhập thành công hay thất bại trong Audit Policy
528 Đăng nhập thành công
529 Đăng nhập thất bại do không biết username hay password
530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế
531 Đăng nhập thất bại do tài khoản hiện hành đang bị vô hiệu hóa
532 Đăng nhập thất bại do tài khoản đã hết hạn sử dụng
533 Đăng nhập thất bại do tài khoản không được phép đăng nhập tại máy
tính
534 Đăng nhập thất bại do tài khoảng không chấp nhận kiểu đăng nhập yêu
cầu ở máy tính như tương tác hoặc mạng
Trang 9535 Đăng nhập thất bại do mật khẩu của tài khoản đã hết hạn
536 Đăng nhập thất bại do NetLogon không hoạt động
537 Đăng nhập thất bại do lỗi ngoài ý muốn trong suốt quá trình cố gắng
đăng nhập
538 Đăng xuất thành công tài khoản
539 Đăng nhập thất bại do tài khoản đang bị khóa
540 Đăng nhập mạng thành công
Khi bạn xem xét chi tiết của Authentication Log, bạn sẽ tìm thấy Logon Type là một thông tin trong bảng ghi Có 6 Logon Type khác nhau :
Logon Type 2: Interactive
Logon Type 3: Network
Logon Type 4: Batch
Logon Type 5: Service
Logon Type 6: Proxy
Logon Type 7: Unlock the Workstation
Ngoài ra các Logon Type mà bạn có thể tìm thấy trong bảng ghi, bạn sẽ tìm thấy thông tin gọi là Logon Process Có 7 loại Logon Process khác nhau, và chúng có nhiều mô tả kỹ thuật hơn trong mục sau Logon Process là như sau :
NtLmSsp hoặc MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 : msv1_0.dll, gói chứng thực mặc định
KsecDD – ksecdd.sys, driver thiết bị bảo mật
User32 hoặc WinLogon\MSGina – winlogon.exe and msgina.dll, giao diện chứng thực người dùng
SCMgr – Quản lý điều khiển dịch vụ
LAN Manager Workstation Service
Advapi – API gọi đến LogonUser
Trang 10 MS.RADIU – gói chứng thực RADIUS ; một phần của Microsoft Internet Authentication Services(IAS)
Thông thường, ngươì quản trị sẽ chỉ sử dụng các Logon Event như mô tả sau Bạn có thể thêm Account Logon Events vào Audit Policy của bạn Nếu bạn thêm tùy chọn này với Success và Failure, bạn sẽ thấy báo cáo Event ID như thể hiện ở bảng sau :
672 Chấp nhận vé chứng thực thành công
673 Chấp nhận vé dịch vụ thành công
674 Vé chấp nhận làm mới thành công
675 Chuẩn bị chứng thực thất bại
676 Vé chứng thực yêu cầu thất bại
677 Vé dịch vụ yêu cầu thất bại
678 Tài khoản ánh xạ để đăng nhập thành công
679 Tài khoản ánh xạ để đăng nhập thất bại
680 Tài khoản dùng để đăng nhập thành công
681 Đăng nhập tài khoản <Tên tài khoản> từ <Nguồn> đến máy chủ tênmáy
thất bại Error Code là ErrorCode
682 Phiên kết nối lại với Winstation thành công
683 Ngắt kết nối phiên với Winstation thành công
Chú ý cho ID sự kiện 681, đó là mục gọi là ErrorCode Mã lỗi cung cấp chi tiết cụ thể ở mức độ cao hơn về một sự kiện Bảng sau xác định các Error Code và mô tả nguyên nhân đăng nhập thất bại
3221225572 Tên đăng nhập cung cấp không tồn tại
3221225578 Tên đăng nhập đúng nhưng mật khẩu sai
3221226036 Tài khoản người dùng đã bị khóa
3221225586 Tài khoản người dùng đã bị vô hiệu hóa
Trang 113221225583 Tài khoản người dùng đã đăng nhập quá thời gian cho
phép
3221225584 Tài khoản người dùng đăng nhập tới máy chủ mà họ có
quyền đăng nhập
3221225875 Tài khoản người dùng đã hết hạn
3221225585 Tài khoản người dùng đăng nhập với mật khẩu đã hết
hạn
3221226020 Người dùng đăng nhập tài khoản ở nơi mà người quản
trị chỉ định người dùng phải đổi mật khẩu ở lần đăng nhập sau
TASK 3E-4
Creating Events
1 Mở Event Viewer.
2 Nhấp chuột phải vào Security Log và chọn Clear All Events.
3 Khi bạn được nhắc để lưu các bảng ghi, click No.
4 Đóng Event Viewer.
5 Tạo tài khoản người dụng sử dụng tên đầu của bạn, và mật khẩu là
fF1234567890!! Nhớ bỏ chọn User Must Change Password trong Next Logon.
6 Khóa máy tính, đến khi nào đăng nhập vào tài khoản Administrator
7 Mở khóa máy tính, sử dụng chứng nhận Administrator
8 Đăng xuất khỏi tài khoản Administrator
9 Đăng nhập vào tên tài khoản mới tạo (tên đầu của bạn), sử dụng password sai.Nó
sẽ thất bại
10 Đăng nhập vào tài khoản mới,sử dụng password đúng Nó sẽ báo thành công
11 Cố gắng kết nối tới một máy tính khác trong mạng Điều này nên được như tài khoản người dùng cho sinh viên khác đã không được tạo trên máy tính của bạn
12 Cố gắng kết nối tới một máy tính khác trong mạng như điều khiển tài khoản administrator với mật khẩu đúng.Nó sẽ báo thành công
13 Đóng kết nối mạng, và đăng xuất khỏi tài khoản người dùng mới
14 Đăng nhập trở lại với tài khoản Administrator
Trang 12Viewing Event Logs
Bây giờ bạn đã tạo một nhóm các sự kiện để phân tích, bạn sẽ chạy qua tiến trình này Cố gắng theo dõi tần số các sự kiện mà bạn đã gây ra Xem sự khác nhau như thế nào giữa cục bộ và mạng trong bảng ghi và xác định các Event ID thật nhanh chóng để phân tích
TASK 3E-5
Viewing Event Logs
1 Mở Event Viewer.
2 Mở Security Log và kiểm tra bản ghi Bạn nên có thể xác định ít nhất một trong
các cách sau:
a A successful local logon
b A successful unlocking of the computer
c A successful network logon
d A failed local logon attempt
e A failed network logon attempt
3 Xác định Event IDs, Logon Types, và Errow Codes.
4 Đóng Event Viewer.
Managing Log File
Một khi bạn đã quen với các Event ID, bạn sẽ nhận thấy danh sách 529 sự kiện có thể chỉ
ra một khả năng tấn công Tuy nhiên với tất cả các sự kiện xảy ra và tất cả các dự liệu có thể được thu thập, quá trình xem xét và quản lý tập tin bản ghi đơn giản có thể trở nên dài dòng và thậm chí tràn ngập
Có một số tính năng được xây dựng sẵn trong Event Viewer, nó được thiết kế để giúp bạn làm việc với một khối lượng lớn thông tin thu thập được Ngoài các chức năng có sẵn trong Event Viewer còn có các ứng dụng thuộc bên thứ 3 được thiết kế để quản lý bảng ghi Các ứng dụng lọc sự kiện cụ thể, nhóm chúng lại cho dễ dàng và có thể báo cho bạn biết trong trường hợp một tần số sự kiện xác định xảy ra
Event Viewer Features
Một trong những tính năng dễ thấy nhất của Event Viewer đó là chức năng Search Thí
dụ, bạn có thể tìm thấy tất cả 529 sự kiện sau khi một chính sách mật khẩu mới được thực thi Bạn cần xác định khối lượng đăng nhập xấu để so sánh với trước khi chính sách được đưa vào Hoặc bạn có thể nghi ngời một tài khoản người dùng là kẻ tấn công và muốn chỉ tìm 529 sự kiện có liên quan đến tài khoản người dùng này
Để tìm bất cứ thứ gì ở đây, bạn sẽ sử dụng lệnh View Find Với lệnh này bạn có thể tìm các sự kiện trong các mục, bao gầm Event Source, Event ID, User, Computer,
Success, Failure, Information, Warning và Error
