*Quản lý dữ liệu ghi nhận trong : EventVwr.msc
*Nguyên lý Audit :
1. Audit - Theo dõi log on trái phép trên pc.
GĐ-1: Tạo hồ sơ theo dõi.
GĐ-2: Cấu hình
b1 .Conputer config..\ Win.. Setting\ Secu..Setting\ local policy\ Audit pol
b2. Tùy chỉnh Audit:
Audit account logon events Failure
.... còn lại .................. No auditing
b3. Finish. quan sát các Event tại DC.
*Ý nghĩa : để theo dõi và ghi nhận sự kiện logon thất bại trên máy client. Từ đó phát hiện được đối tượng, truy cập trái phép vào hệ thống an ninh Cty.
2. Audit - Theo dõi truy cập trái phép vào tài nguyên: 03giai đoạn
GĐ-1: Áp policy (GPO hoặc Local policy) lên computer chứa tài nguyên.
+ Audit object acccess Failure
GĐ-2: "Advanced Security Setting" của tài nguyên \ Auditing\
1. Khai báo đối tượng muốn theo dõi. (Everyone)
2. Hành động thành công hay thất bại. (ListFolder Read to Failure)
GĐ-3: Quan sát "Hồ sơ Event " (từ) tại máy DC.
