◄آموزش (11) MCSA , MCSE

نکته مهم : حجم پیش*فرض این فایل 512 کیلوبایت است که اگر پر شود کاربران اجازه ورود به ویندوز را نخواهند داشت. پس اگر می*خواهید از آن زیاد استفاده کنید حتما حجم آن را افزایش دهید.

مثال : می*خوهیم لاگ کنیم چه کسی قصد ورود به سیستم را داشته است و آیا موفق شده یا خیر (چه از طریق خود سیستم و چه از طریق سیستم*های دیگر در شبکه)

راه حل : برای انجام این کار باید در بخش Audit Policy گزینه زیر را برای هر دو حالت Success و Failure فعال کنیم :


Audit Account Logon Events
پس از این کار، تمامی ورود و خروج*های سیستم چه از پای خود آن و چه از طریق شبکه در Event Viewer لاگ می*شونت که اگر دقت کنید کد موارد مربوط به این گزینه برابر با 680 است.

مثال : فولدر خاصی در سیستم وجود دارد. می*خواهیم هر کس سعی کرد آن را پاک کند (موفق یا ناموفق) موارد مربوطه لاگ شوند
نکته : این کار فقط روی درایوهای NTFS امکان*پذیر است.

راه حل : ابتدا در Audit Policy گزینه زیر را فعال می*کنیم

Audit Object Access
سپس به سراغ فولدر مذکور می*رویم. روی آن کلیک راست کرده و به ترتیب زیر پیش می*رویم :


Properties -> Permissions -> Advanced -> Auditing
حال انتخاب می*کنیم لاگ گیری برای چه کاربرانی فعال شود (اگر می*خواهیم همه کاربران را کنترل کنیم، Everyone را بر می گزینیم و بعد از آن از ما می*پرسد که چه عملی (Copy, Delete,…) مد نظر است.

بلافاصله پس از تایید، موارد مربوطه در Event Viewer با کد 560 یعنی (Object Access) لاگ می*شوند.

موارد دیگری هم وجود دارد که می*توانید خودتان آنها را بررسی کنید. مثلا گزینه زیر با کد 612 مشخص می*کند چه کسی سعی کرده است Policy ها را تغییر دهد :

Audit Policy Change Copy
کنترل اینکه چه کسی قصد داشته تغییراتی روی یوزرها (ساخت، حذف، تغییر رمز و ...) بدهد :

Audit Account Management
چه کسی قصد دسترسی و ایجاد تغییرات در Active Directory را داشته است
Audit Directory Service Access

/انجمن تخصصی شبکه

لینک مرتبط:

آموزش (10) MCSA , MCSE

آموزش (9) MCSA , MCSE

آموزش (8) MCSA , MCSE آموزش (7) MCSA , MCSE

/ 0 نظر / 72 بازدید