Ghi log cho các file và thư mục nhạy cảm

    Phát sinh từ thực tế cuộc chiến của những người làm an toàn thông tin, hầu hết chúng ta đều có các file, dữ liệu quan trọng không muốn người khác nhòm ngó. Do đó nhu cầu theo dõi các access đến các file và folder là những nhu cầu cần thiết để theo dõi những process đã access đến file. Trong 1 số trường hợp, việc phát hiện ra các process lạ access đến file config hoặc backup config sẽ giúp ta phát hiện ra mình đã bị exploit và đặt backdoor hoặc biết được hành vi và mục đích của attacker.
Một cách đơn giản để theo dõi các file nhạy cảm là dùng event views có sẵn của windows. Để có tác vụ này OS phải cao hơn bản Home premium.
Đầu tiên ta phải enable chế độ audit file và folder tại local polices trong task Audit object access


Sau đó, ta đến folder hoặc file nhạy cảm để chỉ định ghi log cho đối tượng đó :

Trong phần advanced, ta phải thêm vào user muốn theo dõi :
Sau đó xác định các tác vụ ta muốn theo dõi, ở đây, ta sẽ theo dõi các tác vụ list folder và đọc dữ liệu :

Sau khi thiết đặt, thử view folder đó ra và vào event view để xem log ghi lại :

Trong log ta có thểt hấy được tiến trình access vào file và tác vụ mà tiến trình đó thực hiện từ đó để xác định xem access vào file là hợp lệ hay không.
Nguồn Tài Liệu
http://antoanthongtin.wordpress.com/category/tips/page/3/