สถานการณ์ในการเปิดใช้งาน Audit Log

0
4817

บริษัท demo.local มี Server01 ทำการ Share ข้อมูลส่วนกลาง เพื่อให้พนักงานในฝ่ายงานต่าง ๆ ได้ใช้งาน

ในเบื้องต้นบริษัทนี้มีพนักงานอยู่ 2 ฝ่ายคือ IT และ Sale

ฝ่าย Sale มีข้อมูลการขายที่เป็นความลับบริษัท จัดเก็บไว้บน Server01

หลังจากใช้งานข้อมูลบน Server01 พนักงานชื่อ Sale02 แจ้งว่าข้อมูลที่จัดเก็บบนเครื่องถูกลบออกไปจากระบบ

ผู้บริหารจึงแจ้งให้ผู้ดูแลระบบ IT Security ทำการตรวจสอบและปรับปรุงระบบให้รองรับการตรวจสอบ

จงแสดงวิธีทำ !

สร้าง Environment จำลองก่อน

1. มี User ชื่อ Sale01 และ Sale02 อยู่ในระบบ

2. มีการ Share Folder ให้ใช้งาน \\Server01\Sale

3. ให้สิทธิ์ในการเข้าใช้งาน Folder \\Server01\Sale ได้แค่ Sale01 และ Sale02

วิธีการสร้าง Environment จำลองใน Scenario นี้

1. ที่เครื่อง Server01 ทำการ ตรวจสอบว่ามี User อยู่เรียบร้อยแล้วโดยใช้เครื่องมือ Active Directory Users and Computers

2. หลังจากตรวจสอบว่ามี User เรียบร้อยแล้ว ให้สร้าง Share Folder ชื่อ Sale โดยให้ Security Permission Allow = Full Control มีสิทธิ์คือ Sale01 และ Sale02

3. ทดสอบการเข้าถึงที่เครื่อง Windows XP โดยทำการ Login ด้วย User Sale01 และ Sale02 เพื่อเข้าใช้งานระบบ แล้วเปิด Share Drive ขึ้นมาใช้งาน และทดลองสร้างไฟล์ sale01.txt sale02.txt

วิธีการ MAP Network Share Drive ให้ User ใช้งาน

จากตัวอย่างรูปด้านล่าง จะทำให้ User Sale01 มี Drive Z: ใช้งานอัตโนมัติทุกครั้งที่ Logon เข้าสู่ระบบ

และจะติดตามไปทุกที่ ทุกเครื่องที่ไป Logon

สถานการณ์ในการเปิดใช้งาน Audit Log

ที่ระดับ Server ข้อมูลในการเข้าใช้ระบบจะถูกจัดเก็บ Log ไว้ที่ Event Viewer

วิธีเข้าถึง Event Viewer = คลิกขวาที่ MyComputer เลือก Manage แล้วจะพบ Menu Event Viewer

ให้สังเกตที่ Security Log

สถานการณ์ในการเปิดใช้งาน Audit Log

การเปิด Audit เพื่อตรวจสอบการเข้าถึง Object

เพื่อคอยตรวจสอบการเข้าถึง Share File

1. ที่ Server01 ให้เปิด Default Domain Controller Policy

2. เลือก Audit Policy = Enable Audit Object Access = Success + Fail

3. ที่ Server01 ให้เข้าถึง Properties ของ Folder Sale แล้วเลือก Advance Option เพื่อเปิดการ Audit

เปิด Domain Controller Security Policy

สถานการณ์ในการเปิดใช้งาน Audit Log

เปิด Audit Object Access ให้เป็น Success + Failure

สถานการณ์ในการเปิดใช้งาน Audit Log

บนระบบ Server หรือ Computer จะมองข้อมูลเป็น Object การเปิด Audit Object Access หมายถึงการเปิดให้มีการเก็บ Log บนระบบในกรณีที่มีการเข้าถึง Data

การตั้งค่าให้ระบบเก็บ Log การเข้าถึงของ Folder Sale ในกรณีที่มีคนลบข้อมูล

** ถ้ามีใครลบข้อมูลออกจาก Folder Sale จะมีการบันทึก Log เพื่อเป็นหลักฐาน

วิธีทำ

1. เปิด Advance Properties ของ Folder Sale

สถานการณ์ในการเปิดใช้งาน Audit Log

2. ที่ TAB Auditing เลือก Add

สถานการณ์ในการเปิดใช้งาน Audit Log

3. เลือกเพิ่มชื่อ Sale01 เพื่อตั้งค่าการตรวจสอบการเข้าถึง

สถานการณ์ในการเปิดใช้งาน Audit Log

ตั้งค่าให้ User Sale01 ถ้าทำการลบข้อมูลบน Folder Sale ทั้งสำเร็จและไม่สำเร็จ ให้ทำการเก็บ Log ไว้ในระบบด้วย

สถานการณ์ในการเปิดใช้งาน Audit Log

สถานการณ์ในการเปิดใช้งาน Audit Log

1. เพื่อระบบทำงานสมบูรณ์ (เป็น Option) ให้ Reboot Server01

2. ที่เครื่อง Windows XP ให้เข้าใช้งานโดย Sale01, Sale02 แล้วสร้างไฟล์ไว้เยอะ ๆ

3. ที่เครื่อง Server01 ให้เข้าไป Clear Security Log ออกให้หมด

4. ใช้เครื่อง Windows XP เข้าไปโดย Sale02 แล้วทดสอบลบข้อมูลทิ้ง

5. ที่เครื่อง Server01 ให้เข้าดู Event Viewer ในส่วนของ Security Log ว่ามีการบันทึกไว้ถูกต้องหรือไม่?