⼀、说明
本篇⽂章主要说⼀说windows系统中安全审计的控制点的相关内容和理解。
⼆、测评项
a)应启⽤安全审计功能,审计覆盖到每个⽤户,对重要的⽤户⾏为和重要安全事件进⾏审计; b)审计记录应包括事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进⾏保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进⾏保护,防⽌未经授权的中断。
三、测评项a
a)应启⽤安全审计功能,审计覆盖到每个⽤户,对重要的⽤户⾏为和重要安全事件进⾏审计;
对于windows⽽⾔,在服务器管理器或事件查看器或计算机管理中都可以查看到审计⽇志的具体内容以及⼀些策略: 分别可以在运⾏框中输⼊CompMgmtLauncher、eventvwr、compmgmt.msc打开。
按照测评要求⾥的内容,该测评项存在三个递进的要求:
⾸先默认状况下,⽇志审计功能都是开启的,因为Windows Event Log服务器都是默认开启的,⽽且⼀般情况下也关不掉(所以⼀般情况下开启安全审计功能这个要求是符合的):
不过⽹上说将⽇志⽂件夹的权限全部去掉,系统也⽆法记录⽇志,⼀般没⼈这么⼲:
对于第2个要求,也就是是否覆盖到每个⽤户,在默认状况下是否符合就不好说的。
⾄于第3个要求,对重要的⽤户⾏为和重要安全事件进⾏审计,肯定就不符合了,因为默认的审核策略都是未开启:
对于审核策略中应该开启哪些策略,初级教程说得挺明⽩的,我就直接截图了:
对于审核策略中应该开启哪些策略,初级教程说得挺明⽩的,我就直接截图了:
四、测评项b
b)审计记录应包括事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息;
对于这个测评项,其主旨是审计的内容应⾄少包含事件的⽇期、时间,涉及事件的主体、客体,事件的结果以及事件的内容这些信息,以便⽤于在发⽣安全事件时进⾏追溯。
4.1. 时间信息
4.1. 时间信息
这⾥第⼀个要注意的就是⽇期和时间,如果服务器是联⽹的,那么可以⾃⼰通过⽹络进⾏时间同步,时间的准确性不成问题:
但是如果服务器本⾝不联⽹,本机上时间的是否准确就不能保证,也就⽆法保证事件中⽇期、时间等信息的准确性。
所以对于局域⽹内的服务器,可以设置⼀台ntp服务器,该ntp服务器对外联⽹,其余服务器的时间与这台服务器的时间进⾏同步,以该ntp服务器的时间为准。
最后,设置完ntp服务器后,在internet时间设置中将服务器的ip改为ntp服务器的ip即可:
4.2. 其余信息
4.2. 其余信息
其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。
但是我个⼈理解有些测评项是递进的,对于安全审计控制点⽽⾔,如果审计功能没有开启,或者开启了但是没有达到审计覆盖到每个⽤户,对重要的⽤户⾏为和重要安全事件进⾏审计的要求。
那么这个地⽅就不应该给符合的结论,顶多只能给部分符合。
另外插⼀句嘴,在写测评记录表的时候,要按照实际情况来写,⽽不是直接复制测评项中的⽂字。
⽐如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、⽤户、记录时间等。⽽不是去直接复制测评项中的内容,⽐如事件的⽇期和时间、⽤户、事件类型等。
五、测评项c
应对审计记录进⾏保护,定期备份,避免受到未预期的删除、修改或覆盖等;
5.1. ⽇志的内容
windows中的⽇志⼀般我们⽐较关注应⽤程序⽇志、安全⽇志、系统⽇志(其中最重要的是安全⽇志),其包含内容为:
5.2. ⽂件权限
这⾥⾸先应该是查看审计记录⽂件的权限,是否会被未授权⽤户删除。
日志审计windows中的⽇志⼀般我们⽐较关注应⽤程序⽇志、安全⽇志、系统⽇志(其中最重要的是安全⽇志),其存储⽂件分别是:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议