تبلیغات
آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل - جلسه یازدهم - سیاست های نظارتی یا Audit Policy
آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل
آموزش نصب انواع سیستم عامل ، شبکه ، سرویس هاست ، مجازی سازی و غیره...

مرتبه
تاریخ : دوشنبه 25 مهر 1390
میخواستم مفصل تر باشه اما هم وقت کم داشتم هم اینکه هی شما گفتید کی شروع میشه کی شروع میشه بعدی چی شد ؟؟؟؟؟

ضمنا چون جلسه بعد مربوط به شیرینگ هست یک کم مفصل تره و نخواستم چند تیکه اش کنم.


در ادامه به سراغ قسمت مهم سیاست های نظارتی یا Audit Policy می رویم.
هدف از این سیاست ها نظارت بر كارهایی است كه كاربر با فایل ها، فولدرها انجام می دهد و یا تغییراتی كه ممكن است بخواهد ایجاد كند، ورود و خروج وی به سیستم و .... دقت داشته باشید كه این سیاست ها به هیچ وجه جلوی كاربر را نمی گیرد بلكه اعمال او را تحت نظر قرار داده و یك فایل گزارش از آنها تهیه می كند. این فایل گزارش یا Log File را می توان توسط ابزار Event Viewer مشاهده كرد. برای دیدن این ابزار و دیدن گزارش های Audit مربوطه روی My Computer كلیك راست كنید، Manage را بزنید. سپس Event Viewer را انتخاب و در نهایت Security را برگزینید.

این فایل ها پسوند evt دارند و فقط از همین طریق می توان آنها را دید و با ابزارهای متنی مثل Notepad قابل مشاهده نیستند. می توان با كلیك راست روی Security در Event Viewer مسیر این فایل ها را دید و عوض كرد. مسیر پیش فرض آن System32\Config\SecEvent.evt می باشد.

نكته مهم : حجم پیش فرض این فایل 512 كیلوبایت است كه اگر پر شود كاربران اجازه ورود به ویندوز را نخواهند داشت. پس اگر می خواهید از آن زیاد استفاده كنید حتما حجم آن را افزایش دهید.

مثال : می خوهیم لاگ كنیم چه كسی قصد ورود به سیستم را داشته است و آیا موفق شده یا خیر (چه از طریق خود سیستم و چه از طریق سیستم های دیگر در شبكه)

راه حل : برای انجام این كار باید در بخش Audit Policy گزینه زیر را برای هر دو حالت Success و Failure فعال كنیم :


Audit Account Logon Events
پس از این كار، تمامی ورود و خروج های سیستم چه از پای خود آن و چه از طریق شبكه در Event Viewer لاگ می شونت كه اگر دقت كنید كد موارد مربوط به این گزینه برابر با 680 است.

مثال : فولدر خاصی در سیستم وجود دارد. می خواهیم هر كس سعی كرد آن را پاك كند (موفق یا ناموفق) موارد مربوطه لاگ شوند
نكته : این كار فقط روی درایوهای NTFS امكان پذیر است.

راه حل : ابتدا در Audit Policy گزینه زیر را فعال می كنیم

Audit Object Access
سپس به سراغ فولدر مذكور می رویم. روی آن كلیك راست كرده و به ترتیب زیر پیش می رویم :


Properties -> Permissions -> Advanced -> Auditing
حال انتخاب می كنیم لاگ گیری برای چه كاربرانی فعال شود (اگر می خواهیم همه كاربران را كنترل كنیم، Everyone را بر می گزینیم و بعد از آن از ما می پرسد كه چه عملی (Copy, Delete,…) مد نظر است.

بلافاصله پس از تایید، موارد مربوطه در Event Viewer با كد 560 یعنی (Object Access) لاگ می شوند.

موارد دیگری هم وجود دارد كه می توانید خودتان آنها را بررسی كنید. مثلا گزینه زیر با كد 612 مشخص می كند چه كسی سعی كرده است Policy ها را تغییر دهد :

Audit Policy Change Copy
كنترل اینكه چه كسی قصد داشته تغییراتی روی یوزرها (ساخت، حذف، تغییر رمز و ...) بدهد :

Audit Account Management
چه كسی قصد دسترسی و ایجاد تغییرات در Active Directory را داشته است
Audit Directory Service Access

همه این موارد رو حتما تمرین کنید


طبقه بندی: دوره شبکه مایکروسافت، 
برچسب ها: دوره مایکروسافت، آموزش دوره مایکروسافت، آموزش تعریف سیاست های نظارتی،
ارسال توسط پیمان کوره پز
آخرین مطالب