บริษัท demo.local มี Server01 ทำการ Share ข้อมูลส่วนกลาง เพื่อให้พนักงานในฝ่ายงานต่าง ๆ ได้ใช้งาน
ในเบื้องต้นบริษัทนี้มีพนักงานอยู่ 2 ฝ่ายคือ IT และ Sale
ฝ่าย Sale มีข้อมูลการขายที่เป็นความลับบริษัท จัดเก็บไว้บน Server01
หลังจากใช้งานข้อมูลบน Server01 พนักงานชื่อ Sale02 แจ้งว่าข้อมูลที่จัดเก็บบนเครื่องถูกลบออกไปจากระบบ
ผู้บริหารจึงแจ้งให้ผู้ดูแลระบบ IT Security ทำการตรวจสอบและปรับปรุงระบบให้รองรับการตรวจสอบ
จงแสดงวิธีทำ !
สร้าง Environment จำลองก่อน
1. มี User ชื่อ Sale01 และ Sale02 อยู่ในระบบ
2. มีการ Share Folder ให้ใช้งาน \\Server01\Sale
3. ให้สิทธิ์ในการเข้าใช้งาน Folder \\Server01\Sale ได้แค่ Sale01 และ Sale02
วิธีการสร้าง Environment จำลองใน Scenario นี้
1. ที่เครื่อง Server01 ทำการ ตรวจสอบว่ามี User อยู่เรียบร้อยแล้วโดยใช้เครื่องมือ Active Directory Users and Computers
2. หลังจากตรวจสอบว่ามี User เรียบร้อยแล้ว ให้สร้าง Share Folder ชื่อ Sale โดยให้ Security Permission Allow = Full Control มีสิทธิ์คือ Sale01 และ Sale02
3. ทดสอบการเข้าถึงที่เครื่อง Windows XP โดยทำการ Login ด้วย User Sale01 และ Sale02 เพื่อเข้าใช้งานระบบ แล้วเปิด Share Drive ขึ้นมาใช้งาน และทดลองสร้างไฟล์ sale01.txt sale02.txt
วิธีการ MAP Network Share Drive ให้ User ใช้งาน
จากตัวอย่างรูปด้านล่าง จะทำให้ User Sale01 มี Drive Z: ใช้งานอัตโนมัติทุกครั้งที่ Logon เข้าสู่ระบบ
และจะติดตามไปทุกที่ ทุกเครื่องที่ไป Logon
ที่ระดับ Server ข้อมูลในการเข้าใช้ระบบจะถูกจัดเก็บ Log ไว้ที่ Event Viewer
วิธีเข้าถึง Event Viewer = คลิกขวาที่ MyComputer เลือก Manage แล้วจะพบ Menu Event Viewer
ให้สังเกตที่ Security Log
การเปิด Audit เพื่อตรวจสอบการเข้าถึง Object
เพื่อคอยตรวจสอบการเข้าถึง Share File
1. ที่ Server01 ให้เปิด Default Domain Controller Policy
2. เลือก Audit Policy = Enable Audit Object Access = Success + Fail
3. ที่ Server01 ให้เข้าถึง Properties ของ Folder Sale แล้วเลือก Advance Option เพื่อเปิดการ Audit
เปิด Domain Controller Security Policy
เปิด Audit Object Access ให้เป็น Success + Failure
บนระบบ Server หรือ Computer จะมองข้อมูลเป็น Object การเปิด Audit Object Access หมายถึงการเปิดให้มีการเก็บ Log บนระบบในกรณีที่มีการเข้าถึง Data
การตั้งค่าให้ระบบเก็บ Log การเข้าถึงของ Folder Sale ในกรณีที่มีคนลบข้อมูล
** ถ้ามีใครลบข้อมูลออกจาก Folder Sale จะมีการบันทึก Log เพื่อเป็นหลักฐาน
วิธีทำ
1. เปิด Advance Properties ของ Folder Sale
2. ที่ TAB Auditing เลือก Add
3. เลือกเพิ่มชื่อ Sale01 เพื่อตั้งค่าการตรวจสอบการเข้าถึง
ตั้งค่าให้ User Sale01 ถ้าทำการลบข้อมูลบน Folder Sale ทั้งสำเร็จและไม่สำเร็จ ให้ทำการเก็บ Log ไว้ในระบบด้วย
1. เพื่อระบบทำงานสมบูรณ์ (เป็น Option) ให้ Reboot Server01
2. ที่เครื่อง Windows XP ให้เข้าใช้งานโดย Sale01, Sale02 แล้วสร้างไฟล์ไว้เยอะ ๆ
3. ที่เครื่อง Server01 ให้เข้าไป Clear Security Log ออกให้หมด
4. ใช้เครื่อง Windows XP เข้าไปโดย Sale02 แล้วทดสอบลบข้อมูลทิ้ง
5. ที่เครื่อง Server01 ให้เข้าดู Event Viewer ในส่วนของ Security Log ว่ามีการบันทึกไว้ถูกต้องหรือไม่?