Mục tiêu của bài thực hành LAB nhằm giới thiệu đến các bạn về Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server 1. Mời các bạn tham khảo nội dung chi tiết.
Trang 1Audit
Chuẩn bị:
- Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1
NIC 1: 192.168.1.1/24
- Máy Windows XP: PC 1
NIC 1: 192.168.1.2/24
Mô hình:
Mục tiêu bài LAB:
- Cấu hình giám sát việc các user log on và sử dụng tài nguyên trên server1
- Mục tiêu cuối cùng: có thể giám sát các user khi log on và sử dụng tài nguyên
Lưu ý:
Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC
Trang 2Thực Hiện:
Bước 1(tạo user u1 /123 và cấu hình giám sát việc log on của các users):
Đầu tiên, ta sẽ chỉnh Local Security Policy để cho phép đặt password đơn giản cho users:
Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy:
Trong Local Security Policy, ta ta vào Account Policies -> Password Policy và disable phần Password must meet complexity requirements:
Tiếp theo, ta sẽ tạo user u1/123 trong Local Users and Groups:
Trang 3Vào Start -> Run rồi gõ lusrmgr.msc để truy cập Local Users and Groups:
Trong Local Users and Groups, ta tạo 1 user với tên u1/123:
Trang 4Vào Start -> Run rồi gõ secpol.msc để truy cập Local Security Policy:
TrongLocal Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit account logon events Properties và check vào Failure trong Audit these attempts để theo dõi các sự
kiện logon:
Trang 5Trên máy server1, ta vào Start -> Administrative Tools rồi chọn Event Viewer:
TrongEvent Viewer, ta vào Windows Log rồi chuột phải Security và chọn Clear Log:
Trang 6Trong cửa sổ Event Viewer, ta chọn Clear để xóa toàn bộ các log trước đây
Ta thử nhập password sai để không log on được user u1 Sau đó, ta vào Administrator để kiểm
tra
Trên máy server1, ta đăng nhập vào bằng Administrator và kiểm tra Event Viewer:
Trang 7TrongEvent Viewer, ta vào Windows Log -> Security và chọn Audit Failure và ta có thể thấy
lần đăng nhập bị lỗi của u1:
Bước 2(cấu hình giám sát việc sử dụng tài nguyên trên máy server1 của các users):
TrongLocal Security Policy, ta vào Local Policies -> Audit Policy rồi chọn vào Audit object access Properties và check vào Success và Failure trong Audit these attempts để theo dỏi việc
truy cập tài nguyên thành công hay thất bại:
Trang 8Trên máy server1, ta tạo 1 thư mục với tên DATA để giả lập tài nguyên cho user truy cập:
Trang 9Cấu hình loại bỏ kế thừa trên thư mục DATA:
Tiếp theo, ta cấu hình để chỉ cho phép Administrator có quyền trên thư mục DATA:
Trong DATA Properties, ta chọn Advanced Trong Advanced Security Settings for DATA, ta chọn Edit rồi chọn Add để thêm Everyone vào rồi chọn OK:
Trang 10Sau khi chọn OK, trong phần Auditing Entry for DATA ta chỉ cho phép Everyone chỉ có
quyền ghi mà không có quyền đọc dữ liệu:
Trang 11Để cập nhật cho Audit Policy vừa cấu hình, ta vào Start -> Run rồi gõ gpupdate /force:
Để kiểm tra, ta đăng nhập vào server1 bằng user u1 rồi truy cập vào thư mục DATA:
Trang 12Tiếp theo, ta đăng nhập admin để kiểm tra Event Viewer:
Sau khi đăng nhập admin, ta truy cập vào thư mục DATA và chỉnh sửa file1.txt:
Trang 13Rồi kiểm tra Event Viewer: