Chutima Selakhun
Frontend Developer
🔐 Lab: Configure Advanced Audit Policy
การตั้งค่า Advanced Audit Policy
📋 โจทย์
คุณทำงานเป็นผู้ดูแลระบบความปลอดภัย IT ของบริษัทขนาดเล็ก ในโครงการปรับปรุงความปลอดภัยอย่างต่อเนื่อง คุณต้องการตั้งค่านโยบายการตรวจสอบ (audit policy) สำหรับเครื่องคอมพิวเตอร์ทั้งหมด เพื่อตรวจสอบการพยายามเข้าสู่ระบบและเหตุการณ์สำคัญอื่นๆ
งานของคุณคือ: ตั้งค่านโยบายการตรวจสอบต่างๆ ใน WorkstationGPO ตามที่กำหนด
🔹 ส่วนที่ 1: Local Policies
| Local Policies | Setting |
|---|---|
| Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings | Enabled |
| Audit: Shut down system immediately if unable to log security audits | Enabled |
🔹 ส่วนที่ 2: Event Log (บันทึกเหตุการณ์)
| Event Log | Setting |
|---|---|
| Retention method for security log | Do not overwrite events (clear log manually) |
🔹 ส่วนที่ 3: Advanced Audit Policy Configuration
| Advanced Audit Policy Configuration | Setting |
|---|---|
| Account Logon: Audit Credential Validation | Success and Failure |
| Account Management: Audit User Account Management | Success and Failure |
| Account Management: Audit Security Group Management | Success and Failure |
| Account Management: Audit Other Account Management Events | Success and Failure |
| Account Management: Audit Computer Account Management | Success |
| Detailed Tracking: Audit Process Creation | Success |
| Logon/Logoff: Audit Logon | Success and Failure |
| Logon/Logoff: Audit Logoff | Success |
| Policy Change: Audit Authentication Policy Change | Success |
| Policy Change: Audit Audit Policy Change | Success and Failure |
| Privilege Use: Audit Sensitive Privilege Use | Success and Failure |
| System: Audit System Integrity | Success and Failure |
| System: Audit Security System Extension | Success and Failure |
| System: Audit Security State Change | Success and Failure |
| System: Audit IPsec Driver | Success and Failure |
⚠️ ห้ามใช้เมนู Audit แบบเก่าใน
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policies
ขั้นตอนการทำ
ขั้นตอนที่ 1 เปิดเครื่องมือ Group Policy (GPMC)
ที่มุมขวาบนของ Server Manager จะมีปุ่ม Tools
ในเมนูที่เด้งลงมา ให้เลือก Group Policy Management
ก็จะมีหน้าต่างใหม่เปิดขึ้นมา นี่คือเครื่องมือหลักที่จะต้องใช้
ขั้นตอนที่ 2 - หา WorkstationGPO
ในหน้าต่าง Group Policy Management ที่เปิดขึ้นมา ให้ไปที่
Forest → Domains → CorpNet.local → Group Policy Objects ในนั้นจะมี WorkstationGPO
เมื่อเจอแล้ว ให้คลิกขวาที่ WorkstationGPO และเลือก Edit
จะมีหน้าต่างชื่อ Group Policy Management Editor นี่คือทั้งหมดที่ต้องตั้งค่าตามโจทย์
ส่วนที่ 1: Local Policies
จากหน้าต่างที่พึ่งเปิด ให้ไปที่ Computer Configurati → Policies → Windows Settings → Security Settings → Local Policies → Security Options
ดับเบิลคลิกที่ Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
ติ๊ก Checkbox Define this policy setting ก่อน แล้วจะเลือก radio box ข้างล่างได้ ให้เลือก Enabled และกด OK
และ Audit: Shut down system immediately if unable to log security audits เป็น Enabled เช่นกัน
จะมีหน้าต่าง confirm มาถามว่า แน่ใจไหมที่จะเปลี่ยนค่านี้ เพราะค่าที่เรากำลังเปิด เป็นค่าที่มีผลกระทบกับระบบได้จริง ให้เรากดตกลง
ส่วนที่ 2: ตั้งค่า Event Log
ไปที่ Computer Configuration → Policies → Windows Settings → Security Settings → Event Log
ดับเบิลคลิกที่ Retention method for security log
แล้วติ๊ก Define → เลือก Do not overwrite events (clear log manually) และกด OK
ส่วนที่ 3: Advanced Audit Policy Configuration
ไปที่ Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies และหลังจากนี้ ทำตามตารางสุดท้าย
Account Logon: Audit Credential Validation : Success and Failure ✔️
Account Management: Audit User Account Management : Success and Failure ✔️
Account Management: Audit Security Group Management : Success and Failure ✔️
Account Management: Audit Other Account Management Events : Success and Failure ✔️
Account Management: Audit Computer Account Management : Success ✔️
Detailed Tracking: Audit Process Creation : Success ✔️
Logon/Logoff: Audit Logon : Success and Failure ✔️
Logon/Logoff: Audit Logoff : Success ✔️
Policy Change: Audit Authentication Policy Change : Success ✔️
Policy Change: Audit Audit Policy Change : Success and Failure ✔️
Privilege Use: Audit Sensitive Privilege Use : Success and Failure ✔️
System: Audit System Integrity : Success and Failure ✔️
System: Audit Security System Extension : Success and Failure ✔️
System: Audit Security State Change : Success and Failure ✔️
System: Audit IPsec Driver : Success and Failure ✔️
Done 🎉
สรุป
Lab นี้เป็นการฝึกตั้งค่า Advanced Audit Policy บน Windows Server ผ่าน Group Policy Management เพื่อเพิ่มความปลอดภัยในการตรวจสอบเหตุการณ์สำคัญ โดยครอบคลุม 3 ส่วนหลัก:
- Local Policies - เปิดใช้งานการบังคับใช้ Audit Policy Subcategory และตั้งค่าให้ระบบปิดทันทีหากไม่สามารถบันทึก Security Audit ได้
- Event Log - กำหนดให้ Security Log ไม่ถูกเขียนทับโดยอัตโนมัติ ต้องลบด้วยตนเอง
- Advanced Audit Policy Configuration - ตั้งค่าการตรวจสอบรายละเอียด 15 หมวดหมู่ ครอบคลุมทั้ง Account Logon, Account Management, Process Creation, Logon/Logoff, Policy Change, Privilege Use และ System เพื่อติดตามเหตุการณ์ทั้งที่สำเร็จและล้มเหลว
การตั้งค่าเหล่านี้ช่วยให้สามารถตรวจจับและตอบสนองต่อภัยคุกคามความปลอดภัยได้ทันท่วงที รวมถึงเก็บหลักฐานสำหรับการตรวจสอบย้อนหลัง