ColoMax
November 13th, 2015, 19:57
سیاست*های نظارتی یا Audit Policy :
هدف از این سیاست*ها نظارت بر کارهایی است که کاربر با فایل*ها، فولدرها انجام می*دهد و یا تغییراتی که ممکن است بخواهد ایجاد کند، ورود و خروج وی به سیستم و .... دقت داشته باشید که این سیاست*ها به هیچ وجه جلوی کاربر را نمی*گیرد بلکه اعمال او را تحت نظر قرار داده و یک فایل گزارش از آنها تهیه می*کند. این فایل گزارش یا Log File را می*توان توسط ابزار Event Viewer مشاهده کرد. برای دیدن این ابزار و دیدن گزارش*های Audit مربوطه روی My Computer کلیک راست کنید، Manage را بزنید. سپس Event Viewer را انتخاب و در نهایت Security را برگزینید.
این فایل*ها پسوند evt دارند و فقط از همین طریق می*توان آنها را دید و با ابزارهای متنی مثل Notepad قابل مشاهده نیستند. می*توان با کلیک راست روی Security در Event Viewer مسیر این فایل*ها را دید و عوض کرد. مسیر پیش*فرض آن System32\Config\SecEvent.evt می*باشد.
نکته مهم : حجم پیش*فرض این فایل 512 کیلوبایت است که اگر پر شود کاربران اجازه ورود به ویندوز را نخواهند داشت. پس اگر می*خواهید از آن زیاد استفاده کنید حتما حجم آن را افزایش دهید.
مثال : می*خوهیم لاگ کنیم چه کسی قصد ورود به سیستم را داشته است و آیا موفق شده یا خیر (چه از طریق خود سیستم و چه از طریق سیستم*های دیگر در شبکه)
راه حل : برای انجام این کار باید در بخش Audit Policy گزینه زیر را برای هر دو حالت Success و Failure فعال کنیم :
Audit Account Logon Events
پس از این کار، تمامی ورود و خروج*های سیستم چه از پای خود آن و چه از طریق شبکه در Event Viewer لاگ می*شونت که اگر دقت کنید کد موارد مربوط به این گزینه برابر با 680 است.
مثال : فولدر خاصی در سیستم وجود دارد. می*خواهیم هر کس سعی کرد آن را پاک کند (موفق یا ناموفق) موارد مربوطه لاگ شوند
نکته : این کار فقط روی درایوهای NTFS امکان*پذیر است.
راه حل : ابتدا در Audit Policy گزینه زیر را فعال می*کنیم
Audit Object Access
سپس به سراغ فولدر مذکور می*رویم. روی آن کلیک راست کرده و به ترتیب زیر پیش می*رویم :
Properties -> Permissions -> Advanced -> Auditing
حال انتخاب می*کنیم لاگ گیری برای چه کاربرانی فعال شود (اگر می*خواهیم همه کاربران را کنترل کنیم، Everyoneرا بر می گزینیم و بعد از آن از ما می*پرسد که چه عملی (Copy, Delete,…) مد نظر است.
بلافاصله پس از تایید، موارد مربوطه در Event Viewer با کد 560 یعنی (Object Access) لاگ می*شوند.
موارد دیگری هم وجود دارد که می*توانید خودتان آنها را بررسی کنید. مثلا گزینه زیر با کد 612 مشخص می*کند چه کسی سعی کرده است Policy ها را تغییر دهد :
Audit Policy Change Copy
کنترل اینکه چه کسی قصد داشته تغییراتی روی یوزرها (ساخت، حذف، تغییر رمز و ...) بدهد :
Audit Account Management
چه کسی قصد دسترسی و ایجاد تغییرات در Active Directory را داشته است
Audit Directory Service Access
هدف از این سیاست*ها نظارت بر کارهایی است که کاربر با فایل*ها، فولدرها انجام می*دهد و یا تغییراتی که ممکن است بخواهد ایجاد کند، ورود و خروج وی به سیستم و .... دقت داشته باشید که این سیاست*ها به هیچ وجه جلوی کاربر را نمی*گیرد بلکه اعمال او را تحت نظر قرار داده و یک فایل گزارش از آنها تهیه می*کند. این فایل گزارش یا Log File را می*توان توسط ابزار Event Viewer مشاهده کرد. برای دیدن این ابزار و دیدن گزارش*های Audit مربوطه روی My Computer کلیک راست کنید، Manage را بزنید. سپس Event Viewer را انتخاب و در نهایت Security را برگزینید.
این فایل*ها پسوند evt دارند و فقط از همین طریق می*توان آنها را دید و با ابزارهای متنی مثل Notepad قابل مشاهده نیستند. می*توان با کلیک راست روی Security در Event Viewer مسیر این فایل*ها را دید و عوض کرد. مسیر پیش*فرض آن System32\Config\SecEvent.evt می*باشد.
نکته مهم : حجم پیش*فرض این فایل 512 کیلوبایت است که اگر پر شود کاربران اجازه ورود به ویندوز را نخواهند داشت. پس اگر می*خواهید از آن زیاد استفاده کنید حتما حجم آن را افزایش دهید.
مثال : می*خوهیم لاگ کنیم چه کسی قصد ورود به سیستم را داشته است و آیا موفق شده یا خیر (چه از طریق خود سیستم و چه از طریق سیستم*های دیگر در شبکه)
راه حل : برای انجام این کار باید در بخش Audit Policy گزینه زیر را برای هر دو حالت Success و Failure فعال کنیم :
Audit Account Logon Events
پس از این کار، تمامی ورود و خروج*های سیستم چه از پای خود آن و چه از طریق شبکه در Event Viewer لاگ می*شونت که اگر دقت کنید کد موارد مربوط به این گزینه برابر با 680 است.
مثال : فولدر خاصی در سیستم وجود دارد. می*خواهیم هر کس سعی کرد آن را پاک کند (موفق یا ناموفق) موارد مربوطه لاگ شوند
نکته : این کار فقط روی درایوهای NTFS امکان*پذیر است.
راه حل : ابتدا در Audit Policy گزینه زیر را فعال می*کنیم
Audit Object Access
سپس به سراغ فولدر مذکور می*رویم. روی آن کلیک راست کرده و به ترتیب زیر پیش می*رویم :
Properties -> Permissions -> Advanced -> Auditing
حال انتخاب می*کنیم لاگ گیری برای چه کاربرانی فعال شود (اگر می*خواهیم همه کاربران را کنترل کنیم، Everyoneرا بر می گزینیم و بعد از آن از ما می*پرسد که چه عملی (Copy, Delete,…) مد نظر است.
بلافاصله پس از تایید، موارد مربوطه در Event Viewer با کد 560 یعنی (Object Access) لاگ می*شوند.
موارد دیگری هم وجود دارد که می*توانید خودتان آنها را بررسی کنید. مثلا گزینه زیر با کد 612 مشخص می*کند چه کسی سعی کرده است Policy ها را تغییر دهد :
Audit Policy Change Copy
کنترل اینکه چه کسی قصد داشته تغییراتی روی یوزرها (ساخت، حذف، تغییر رمز و ...) بدهد :
Audit Account Management
چه کسی قصد دسترسی و ایجاد تغییرات در Active Directory را داشته است
Audit Directory Service Access