របៀបបកស្រាយព្រឹត្តិការណ៍សុវត្ថិភាព Windows ID 4688 នៅក្នុងការស៊ើបអង្កេតមួយ។

សេចក្តីផ្តើម

បើយោងតាមឧតាមប៉ាន់ស្មានរបស់ឧស្សាហកម្ម Gartner ក្នុងឆ្នាំ២០២១ បានឲ្យដឹងថា ការចំណាយរបស់អ្នកប្រើប្រាស់ចុងក្រោយលើសេវា public cloud បានកើនឡើងយ៉ាងខ្លាំង។ តួលេខនេះគឺគួរឱ្យភ្ញាក់ផ្អើល ដោយមានការប៉ាន់ប្រមាណការចំណាយគឺ ៣៩៦ ពាន់លានដុល្លារក្នុងឆ្នាំ ២០២១ និងកើនឡើង ២១.៧% ដល់ ៤៨២ ពាន់លានដុល្លារក្នុងឆ្នាំ ២០២២។ លើសពីនេះ Gartner ព្យាករណ៍ពីការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងការចំណាយផ្នែកព័ត៌មានវិទ្យារបស់សហគ្រាស ជាមួយនឹងការចំណាយលើ public cloud លើសពី ៤៥% នៃការចំណាយសរុបនៅឆ្នាំ ២០២៦ តិចជាង ១៧% ក្នុងឆ្នាំ២០២១។ ការប៉ាន់ប្រមាណនេះ ឆ្លុះបញ្ចាំងពីការកើនឡើងនូវការកោតសរសើរ ចំពោះអត្ថប្រយោជន៍របស់ cloud ទាក់ទងនឹងការធ្វើមាត្រដ្ឋាន ភាពបត់បែន និងការបង្កើនប្រសិទ្ធភាពតម្លៃ។ ក្រុមហ៊ុន Microsoft, លេខសម្គាល់ព្រឹត្តិការណ៍ (ហៅផងដែរថាកម្មវិធីកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍) កំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ជាក់លាក់មួយ។ វា​ជា​លេខ​សម្គាល់​ដែល​ភ្ជាប់​ទៅ​នឹង​ព្រឹត្តិការណ៍​នីមួយៗ​ដែល​បាន​កត់ត្រា​ដោយ​ប្រព័ន្ធ​ប្រតិបត្តិការ Windows។ អ្នកកំណត់អត្តសញ្ញាណផ្តល់ ព អំពីព្រឹត្តិការណ៍ដែលបានកើតឡើង និងអាចត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណ និងដោះស្រាយបញ្ហាទាក់ទងនឹងប្រតិបត្តិការប្រព័ន្ធ។ ព្រឹត្តិការណ៍មួយ នៅក្នុងបរិបទនេះ សំដៅលើសកម្មភាពណាមួយដែលធ្វើឡើងដោយប្រព័ន្ធ ឬអ្នកប្រើប្រាស់នៅលើប្រព័ន្ធមួយ។ ព្រឹត្តិការណ៍ទាំងនេះអាចត្រូវបានមើលនៅលើ Windows ដោយប្រើកម្មវិធីមើលព្រឹត្តិការណ៍

លេខសម្គាល់ព្រឹត្តិការណ៍ 4688 ត្រូវបានកត់ត្រានៅពេលណាដែលដំណើរការថ្មីត្រូវបានបង្កើត។ វាកត់ត្រាកម្មវិធីនីមួយៗដែលដំណើរការដោយម៉ាស៊ីន និងទិន្នន័យកំណត់អត្តសញ្ញាណរបស់វា រួមទាំងអ្នកបង្កើត គោលដៅ និងដំណើរការដែលបានចាប់ផ្តើមវា។ ព្រឹត្តិការណ៍ជាច្រើនត្រូវបានកត់ត្រានៅក្រោមលេខសម្គាល់ព្រឹត្តិការណ៍ 4688។ នៅពេលចូល ប្រព័ន្ធរងកម្មវិធីគ្រប់គ្រងវគ្គ (SMSS.exe) ត្រូវបានបើកដំណើរការ ហើយព្រឹត្តិការណ៍ 4688 ត្រូវបានចូល។ ប្រសិនបើប្រព័ន្ធមួយត្រូវបានឆ្លងមេរោគដោយមេរោគនោះ malware ទំនងជាបង្កើតដំណើរការថ្មីដើម្បីដំណើរការ។ ដំណើរការបែបនេះនឹងត្រូវបានចងក្រងជាឯកសារក្រោម ID 4688។

 

ដាក់ពង្រាយ Redmine នៅលើអ៊ូប៊ុនទូ 20.04 នៅលើ AWS

ការបកស្រាយលេខសម្គាល់ព្រឹត្តិការណ៍ 4688

ដើម្បីបកស្រាយលេខសម្គាល់ព្រឹត្តិការណ៍ 4688 វាជារឿងសំខាន់ក្នុងការយល់ដឹងអំពីវាលផ្សេងៗគ្នាដែលរួមបញ្ចូលក្នុងកំណត់ហេតុព្រឹត្តិការណ៍។ វាលទាំងនេះអាចត្រូវបានប្រើដើម្បីរកមើលភាពមិនប្រក្រតីណាមួយ និងតាមដានប្រភពដើមនៃដំណើរការត្រឡប់ទៅប្រភពរបស់វា។

• ប្រធានបទអ្នកបង្កើត៖ វាលនេះផ្តល់ព័ត៌មានអំពីគណនីអ្នកប្រើប្រាស់ដែលបានស្នើសុំបង្កើតដំណើរការថ្មី។ វាលនេះផ្តល់នូវបរិបទ និងអាចជួយអ្នកស៊ើបអង្កេតកោសល្យវិច្ច័យកំណត់អត្តសញ្ញាណភាពមិនប្រក្រតី។ វារួមបញ្ចូលវាលរងជាច្រើន រួមទាំង៖

• • ឧបករណ៍កំណត់អត្តសញ្ញាណសុវត្ថិភាព (SID)” យោងតាម ក្រុមហ៊ុន MicrosoftSID គឺជាតម្លៃតែមួយគត់ដែលប្រើដើម្បីកំណត់អត្តសញ្ញាណអ្នកទទួលបន្ទុក។ វាត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់នៅលើម៉ាស៊ីនវីនដូ។
  • ឈ្មោះគណនី៖ SID ត្រូវបានដោះស្រាយដើម្បីបង្ហាញឈ្មោះគណនីដែលផ្តួចផ្តើមបង្កើតដំណើរការថ្មី។
  • ដែនគណនី៖ ដែនដែលកុំព្យូទ័រជាកម្មសិទ្ធិ។
  • លេខសម្គាល់ការចូល៖ ជាតម្លៃលេខគោលដប់ប្រាំមួយតែមួយគត់ដែលត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណវគ្គចូលរបស់អ្នកប្រើប្រាស់។ វាអាចត្រូវបានប្រើដើម្បីភ្ជាប់ព្រឹត្តិការណ៍ដែលមានលេខសម្គាល់ព្រឹត្តិការណ៍ដូចគ្នា។

• ប្រធានបទគោលដៅ៖ វាលនេះផ្តល់ព័ត៌មានអំពីគណនីអ្នកប្រើប្រាស់ដែលដំណើរការកំពុងដំណើរការក្រោម។ ប្រធានបទដែលបានលើកឡើងនៅក្នុងព្រឹត្តិការណ៍នៃការបង្កើតដំណើរការអាចនៅក្នុងកាលៈទេសៈខ្លះខុសពីប្រធានបទដែលបានលើកឡើងនៅក្នុងព្រឹត្តិការណ៍បញ្ចប់ដំណើរការ។ ដូច្នេះ នៅពេលដែលអ្នកបង្កើត និងគោលដៅមិនមានការចូលដូចគ្នា វាជាការសំខាន់ក្នុងការរួមបញ្ចូលប្រធានបទគោលដៅ ទោះបីជាពួកគេទាំងពីរយោងលេខសម្គាល់ដំណើរការដូចគ្នាក៏ដោយ។ វាលរងគឺដូចគ្នាទៅនឹងប្រធានបទនៃអ្នកបង្កើតខាងលើ។
• ព័ត៌មានអំពីដំណើរការ៖ វាលនេះផ្តល់ព័ត៌មានលម្អិតអំពីដំណើរការដែលបានបង្កើត។ វារួមបញ្ចូលវាលរងជាច្រើន រួមទាំង៖

• • លេខសម្គាល់ដំណើរការថ្មី (PID)៖ តម្លៃលេខគោលដប់ប្រាំមួយតែមួយគត់ដែលបានកំណត់ទៅដំណើរការថ្មី។ ប្រព័ន្ធប្រតិបត្តិការ Windows ប្រើវាដើម្បីតាមដានដំណើរការសកម្ម។
  • ឈ្មោះដំណើរការថ្មី៖ ផ្លូវពេញលេញ និងឈ្មោះនៃឯកសារដែលអាចប្រតិបត្តិបាន ដែលត្រូវបានដាក់ឱ្យដំណើរការដើម្បីបង្កើតដំណើរការថ្មី។
  • ប្រភេទការវាយតម្លៃសញ្ញាសម្ងាត់៖ ការវាយតម្លៃសញ្ញាសម្ងាត់គឺជាយន្តការសុវត្ថិភាពដែលប្រើដោយ Windows ដើម្បីកំណត់ថាតើគណនីអ្នកប្រើប្រាស់ត្រូវបានអនុញ្ញាតឱ្យធ្វើសកម្មភាពជាក់លាក់ណាមួយឬអត់។ ប្រភេទនិមិត្តសញ្ញាដែលដំណើរការនឹងប្រើដើម្បីស្នើសុំសិទ្ធិខ្ពស់ត្រូវបានគេហៅថា "ប្រភេទការវាយតម្លៃសញ្ញាសម្ងាត់"។ មានតម្លៃបីដែលអាចធ្វើបានសម្រាប់វាលនេះ។ ប្រភេទ 1 (%%1936) បង្ហាញថាដំណើរការនេះកំពុងប្រើនិមិត្តសញ្ញាអ្នកប្រើប្រាស់លំនាំដើម ហើយមិនបានស្នើសុំការអនុញ្ញាតពិសេសណាមួយឡើយ។ សម្រាប់វាលនេះ វាគឺជាតម្លៃទូទៅបំផុត។ ប្រភេទ 2 (%%1937) បង្ហាញថាដំណើរការបានស្នើសុំសិទ្ធិអ្នកគ្រប់គ្រងពេញលេញដើម្បីដំណើរការ ហើយទទួលបានជោគជ័យក្នុងការទទួលបានវា។ នៅពេលដែលអ្នកប្រើប្រាស់ដំណើរការកម្មវិធី ឬដំណើរការជាអ្នកគ្រប់គ្រង វាត្រូវបានបើក។ ប្រភេទទី 3 (%%1938) បង្ហាញថាដំណើរការនេះបានទទួលតែសិទ្ធិដែលទាមទារដើម្បីអនុវត្តសកម្មភាពដែលបានស្នើសុំ បើទោះបីជាវាស្នើសុំសិទ្ធិកើនឡើងក៏ដោយ។

• • ស្លាកសញ្ញាចាំបាច់៖ ស្លាកភាពសុចរិតដែលត្រូវបានចាត់ឱ្យដំណើរការ។ 
  • លេខសម្គាល់ដំណើរការអ្នកបង្កើត៖ តម្លៃលេខគោលដប់ប្រាំមួយតែមួយគត់ដែលបានកំណត់ទៅដំណើរការដែលចាប់ផ្តើមដំណើរការថ្មី។ 
  • ឈ្មោះដំណើរការអ្នកបង្កើត៖ ផ្លូវពេញលេញ និងឈ្មោះនៃដំណើរការដែលបង្កើតដំណើរការថ្មី។
  • បន្ទាត់ពាក្យបញ្ជាដំណើរការ៖ ផ្តល់ព័ត៌មានលម្អិតអំពីអាគុយម៉ង់ដែលបានបញ្ចូលទៅក្នុងពាក្យបញ្ជាដើម្បីចាប់ផ្តើមដំណើរការថ្មី។ វា​រួម​បញ្ចូល​វាល​រង​មួយ​ចំនួន​រួម​ទាំង​ថត​បច្ចុប្បន្ន និង​សញ្ញា​សញ្ញា។

ដាក់ពង្រាយ GoPhish Phishing Platform នៅលើ Ubuntu 18.04 ចូលទៅក្នុង AWS

សន្និដ្ឋាន

 

នៅពេលវិភាគដំណើរការមួយ វាចាំបាច់ណាស់ក្នុងការកំណត់ថាតើវាស្របច្បាប់ ឬព្យាបាទ។ ដំណើរការស្របច្បាប់អាចកំណត់អត្តសញ្ញាណបានយ៉ាងងាយស្រួលដោយមើលលើប្រធានបទអ្នកបង្កើត និងវាលព័ត៌មានដំណើរការ។ លេខសម្គាល់ដំណើរការអាចត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណភាពមិនប្រក្រតី ដូចជាដំណើរការថ្មីដែលត្រូវបានបង្កើតចេញពីដំណើរការមេមិនធម្មតា។ បន្ទាត់ពាក្យបញ្ជាក៏អាចត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពស្របច្បាប់នៃដំណើរការមួយ។ ឧទាហរណ៍ ដំណើរការដែលមានអាគុយម៉ង់ដែលរួមបញ្ចូលផ្លូវឯកសារទៅកាន់ទិន្នន័យរសើបអាចបង្ហាញពីចេតនាព្យាបាទ។ វាលប្រធានបទអ្នកបង្កើតអាចត្រូវបានប្រើដើម្បីកំណត់ថាតើគណនីអ្នកប្រើប្រាស់ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសកម្មភាពគួរឱ្យសង្ស័យ ឬមានសិទ្ធិកើនឡើង។ 

លើស​ពី​នេះ​ទៅ​ទៀត វា​ជា​ការ​សំខាន់​ក្នុង​ការ​ភ្ជាប់​ព្រឹត្តិការណ៍ ID 4688 ជាមួយ​នឹង​ព្រឹត្តិការណ៍​ពាក់ព័ន្ធ​ផ្សេង​ទៀត​ក្នុង​ប្រព័ន្ធ​ដើម្បី​ទទួល​បាន​បរិបទ​អំពី​ដំណើរការ​ដែល​ទើប​បង្កើត​ថ្មី។ លេខសម្គាល់ព្រឹត្តិការណ៍ 4688 អាចត្រូវបានទាក់ទងជាមួយ 5156 ដើម្បីកំណត់ថាតើដំណើរការថ្មីត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការភ្ជាប់បណ្តាញណាមួយ។ ប្រសិនបើដំណើរការថ្មីត្រូវបានភ្ជាប់ជាមួយសេវាកម្មដែលបានដំឡើងថ្មី ព្រឹត្តិការណ៍ 4697 (ការដំឡើងសេវាកម្ម) អាចត្រូវបានទាក់ទងជាមួយ 4688 ដើម្បីផ្តល់ព័ត៌មានបន្ថែម។ លេខសម្គាល់ព្រឹត្តិការណ៍ 5140 (ការបង្កើតឯកសារ) ក៏អាចត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណឯកសារថ្មីដែលបង្កើតឡើងដោយដំណើរការថ្មី។

សរុបមក ការយល់ដឹងអំពីបរិបទនៃប្រព័ន្ធគឺដើម្បីកំណត់សក្តានុពល ផលប៉ះពាល់ នៃដំណើរការ។ ដំណើរការដែលបានផ្តួចផ្តើមនៅលើម៉ាស៊ីនមេដ៏សំខាន់មួយទំនងជាមានផលប៉ះពាល់ខ្លាំងជាងដំណើរការមួយដែលបានចាប់ផ្តើមនៅលើម៉ាស៊ីនឯករាជ្យ។ បរិបទជួយដឹកនាំការស៊ើបអង្កេត ផ្តល់អាទិភាពដល់ការឆ្លើយតប និងគ្រប់គ្រងធនធាន។ តាមរយៈការវិភាគលើវាលផ្សេងៗគ្នានៅក្នុងកំណត់ហេតុព្រឹត្តិការណ៍ និងអនុវត្តការជាប់ទាក់ទងជាមួយព្រឹត្តិការណ៍ផ្សេងទៀត ដំណើរការដែលមិនប្រក្រតីអាចត្រូវបានតាមដានពីប្រភពដើម និងមូលហេតុដែលបានកំណត់។