windows文件保护_等保测评2.0:Windows安全审计
请点击上面
一键关注!
原创作者:起于凡而非于凡,
内容来源:FreeBuf
一、说明
本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。
二、测评项
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
三、测评项a
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略:
分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。
按照测评要求里的内容,该测评项存在三个递进的要求:
首先默认状况下,日志审计功能都是开启的,因为Windows Event Log服务器都是默认开启的,而且一般情况下也关不掉(所以一般情况下开启安全审计功能这个要求是符合的):
不过网上说将日志文件夹的权限全部去掉,系统也无法记录日志,一般没人这么干:
对于第2个要求,也就是是否覆盖到每个用户,在默认状况下是否符合就不好说的。
至于第3个要求,对重要的用户行为和重要安全事件进行审计,肯定就不符合了,因为默认的审核策略都是未开启:
对于审核策略中应该开启哪些策略,初级教程说得挺明白的,我就直接截图了:
四、测评项b
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
对于这个测评项,其主旨是审计的内容应至少包含事件的日期、时间,涉及事件的主体、客体,事件的结果以及事件的内容这些信息,以便用于在发生安全事件时进行追溯。
4.1. 时间信息
这里第一个要注意的就是日期和时间,如果服务器是联网的,那么可以自己通过网络进行时间同步,时间的准确性不成问题:
但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间等信息的准确性。
所以对于局域网内的服务器,可以设置一台ntp服务器,该ntp服务器对外联网,其余服务器的时间与这台服务器的时间进行同步,以该ntp服务器的时间为准。
具体ntp服务器如何设置,百度上有:https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html
最后,设置完ntp服务器后,在internet时间设置中将服务器的ip改为ntp服务器的ip即可:
4.2. 其余信息
其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。
但是我个人理解有些测评项是递进的,对于安全审计控制点而言,如果审计功能没有开启,或者开启了但是没有达到审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计的要求。
那么这个地方就不应该给符合的结论,顶多只能给部分符合。
另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。
比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间等。而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型等。
五、测评项c
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
5.1. 日志的内容
windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其包含内容为:
5.2. 文件权限
这里首先应该是查看审计记录文件的权限,是否会被未授权用户删除。
windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:
这三个文件的权限,在windows2008 r2中默认为:
三个文件的所有者均为:LOCAL SERVICE
每个文件的权限拥有者eventlog是啥我也不很清楚,应该是Windows里的一个内置安全体。
也就是从默认情况来看,只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。
5.3. 事件查看器的权限
另外,在事件查看器中可以直接清空日志,对于一个隶属于users的普通用户而言,在事件查看器中,安全日志看都看不了,其余的日志可看,但均不可操作:
对于任何一个日志,都无权进行清空以及属性设置:
将该普通用户添加到event log reader组后,可以查看安全日志了,但对于所有日志仍然不能操作:
如果给该普通用户加上管理审核和安全日志的权限,则仅对于安全日志则具备清除日志的权限,其他权限仍然不具备:
如果给该普通用户加上生成安全审核的权限,则权限方面没啥变化:
5.4. 避免受到未预期的删除、修改或覆盖
从文件权限和事件查看器的权限来看,拥有管理审核和安全日志的权限,则可以在事件查看器中清除安全日志。
而隶属于administrators组的用户,则可以直接删除日志文件,以及在事件查看器中清除任何日志,以及设置日志的存储策略。
至于administrators组在事件查看器中的权限是在哪设置的,我不知道,哪位知道可以告诉我……
因为就算在管理审核和安全日志的权限中移除掉administrators组(该权限默认赋予给administrators组的),administrators组的权限仍然没有变化……
对于日志的存储策略,默认都是如下图所设置:
一是按需要覆盖事件(旧事件优先)。也就是说,当日志文件达到上限时,会把一些旧的日志文件记录删除掉,以存储新的日志信息
二是日志满时将其存档,不覆盖事件。这个选项是2003操作系统中没有的,在Windows7操作系统中新增加的选项。如果选择了这个选项,那么到日志文件的大小达到上限时,操作系统不会覆盖原有的日志记录。而是先把旧的日志记录进行存档,然后再利用新的日志信息来覆盖旧的日志信息。
三是不覆盖事件。当日志文件达到上限值之后,系统不会继续记录新的事件信息。需要系统管理员手工清楚日志文件后,系统才会记录记录日志信息。
所以,日志大小应该按照被测评单位的实际需求进行设置,太小肯定是不符合的,而存储策略应该选第一项或者第二项,第三项可能会导致系统无法保存最新的记录。
5.5. 定期备份
对日志进行定期备份就不用多说了吧?
无论是自己手动去拷贝,或者将日志推送到日志综合审计平台等第三方系统或者备份一体机等备份工具去备份,都可以。
六、测评项d
应对审计进程进行保护,防止未经授权的中断。
这里实际上在测评项a那一部分说过了,默认就是开启的,Windows Event Log服务无法在一般情况下关闭。
顶多就是在存储策略下动手脚,比如去除掉日志文件的所有权限,亦或者在事件查看器中对日志的存储策略进行设置,比如将日志最大大小设置为极小等。
否则,这一项理论上默认满足,但是我觉得测评项的要求是递进的,前面的测评项不符合的话,这个顶多给部分符合吧(个人理解)。
七、日志综合审计系统
日志审计系统有两种:
一种是将各个设备(操作系统、网络设备等)的日志都推送到这个系统当中,一般都是syslog协议。
如果是这种,那么关于安全审计控制点中的所有测评项,还是要以windows上自己的策略设置为准,因为这个系统做的仅仅是将各个设备的日志抓取过来,如果windows本身没有开启安全审计或者审计策略未设置,那么该系统也没啥用,该没有就是没有。
另外一种是基于流量解析的审计,通过解析网络流量中的信息,进行事件记录,这种最常见的是各种数据库日志审计系统。但是对于操作系统特别是windows系统存不存在这种,我不知道。
对于linux系统,你操作的时候主要靠各种命令,那么对这些命令进行审计存在可能。
对于各类数据库,你也要用各类sql语句来进行交互,对于这些语句进行审计也是可能的。
但是对于windows系统,基本上都是图形化界面,顶多我输入账户、口令的时候能审计下,其余操作如果全用鼠标点击,这是没办法通过解析来进行审计的。
不过换一种设备的话,像很多堡垒机都存在录像功能,直接将windows的操作进行录像化保存,这种算不算日志审计,我也不清楚,看具体情况吧。
「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!
知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。
如何加入:扫描下方二维码,扫码付费即可加入。
加入知识星球的同学,请加我微信,拉您进VIP交流群!
加入群聊
为了【天億网络安全】微信群管理,想进群的朋友先加我好友,我拉你们进群,微信二维码如下:
—THE END—
朋友都在看
▶️公安部 马力 | 网络安全等级保护2.0主要标准介绍
▶️公安部 任卫红| 等保2.0标准框架及基本要求标准对比介绍
▶️等保2.0-新形势下如何建设等级保护
▶️干货 | 等保2.0新标准介绍
▶️优化版 | 网络安全常用标准汇总(可打包下载)
▶️全国等保测评师俱乐部微信群
天億网络安全
【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】
↑↑↑长按图片识别二维码关註↑↑↑
欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识
windows文件保护_等保测评2.0:Windows安全审计相关推荐
- windows 查看网络中断事件_等保测评2.0:Windows安全审计
一.说明 本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解. 二.测评项 a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计: b)审计记录应包括 ...
- oracle中prad函数_等保测评2.0:Oracle身份鉴别
一.说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解. 二.测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 ...
- oracle 日志 安全审计,等保测评2.0:Oracle安全审计(下)
1. 说明 本篇文章主要说一说Oracle数据库安全审计控制点中b.c.d测评项的相关内容和理解,以及一些其它零碎的与等保相关的内容. 2. 测评项 b)审计记录应包括事件的日期和时间.用户.事件类型 ...
- centos so查看_等保测评主机安全:CentOS密码修改周期与登录失败处理
本文和等保联系不是很密切,还是说一了些linux里细节一些的东西,所以有可能会浪费你生命中的好几分钟,同时我使用的是centos6. 一.密码修改周期策略 首先贴上我的上一篇文章,和本篇有些关联,大家 ...
- 等保测评2.0超详细解读,收藏这一篇就够了
一.等级保护介绍 1.1什么是等级保护 网络安全等级保护是指对国家重要信息.法人和其他组织及公民的专有信息以及信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品 ...
- centos 等保三级_等保测评主机安全:CentOS访问控制
原标题:等保测评主机安全:CentOS访问控制 一.说明 权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象. 所以,我觉得还是有必要了解一下centos系统大概有什么方法可 ...
- 等保小能手_等保测评怎么做
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],&q ...
- windows文件保护_文件通通用它加密,安全等级提高一个档次
现在是数据时代,很多东西都跟数据相关,例如我们常说的,大数据,敏感数据等.有的时候我们可能会对敏感数据(商业数据)或者自己不想让别人看见的数据进行加密(个人隐私,照片等等),那么今天就给大家聊聊win ...
- centos删除文件夹_等保测评主机安全之centos密码长度
密码长度,作为等级保护主机测评项里中密码复杂度要求之一,是必须要查的. 在<等级测评师初级教程>里,对于密码长度的设置指向了/etc/login.defs里的PASS_MIN_LEN字段. ...
最新文章
- 2021年大数据Spark(四十一):SparkStreaming实战案例六 自定义输出 foreachRDD
- 帝国Cms批量上传多图morepic上传超过最大文件2m的限制的方法
- 一套代码编译出ios和android,Hippy: Hippy 是一个新生的跨端开发框架,目标是使开发者可以只写一套代码就直接运行于三个平台(iOS、Android 和 Web)...
- php thumbs.db,window_Win8系统删除thumbs.db文件的方法, 最近有Win8系统用户反映, - phpStudy...
- 5000元性价比高的笔记本_2018性价比笔记本电脑品牌推荐 5000左右笔记本性价比推荐...
- 基于beego一键创建RESTFul应用
- Windows任务管理 连接用户登录信息 通用类[C#版]
- python能不能在win10系统中使用_python在win10下可以用吗
- 组策略查看login记录_k8s实践记录(五)
- BZOJ1876 SDOI2009 SuperGCD 其他
- 如何对关键词密度设置
- 生命中最重要的是什么?---9人的临终遗言
- 教程 | Rhino Compute Sevice介绍及环境搭建
- 阿里云压缩包无法分享解决方案
- linux 输入两个命令,Linux两条命令touch、vi
- 用浏览器访问云服务器文件,浏览器访问云服务器文件
- Android获取软键盘输入内容
- 理解和使用Promise.all和Promise.race
- c语言中n的阶乘的流程图,n的阶乘流程图(计算机n的阶乘流程图)
- 联想小新java_联想小新700 i7 完美efi 黑果 mac 10.14