主页 > 网络知识 > 等保测评2.0:Windows安全审计

等保测评2.0:Windows安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

d)应对审计进程进行保护,防止未经授权的中断。

三、测评项a

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略:

 

等保测评2.0:Windows安全审计

分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。

按照测评要求里的内容,该测评项存在三个递进的要求:

 

等保测评2.0:Windows安全审计

首先默认状况下,日志审计功能都是开启的,因为Windows Event Log服务器都是默认开启的,而且一般情况下也关不掉(所以一般情况下开启安全审计功能这个要求是符合的):

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

不过网上说将日志文件夹的权限全部去掉,系统也无法记录日志,一般没人这么干:

 

等保测评2.0:Windows安全审计

对于第2个要求,也就是是否覆盖到每个用户,在默认状况下是否符合就不好说的。

至于第3个要求,对重要的用户行为和重要安全事件进行审计,肯定就不符合了,因为默认的审核策略都是未开启:

 

等保测评2.0:Windows安全审计

对于审核策略中应该开启哪些策略,初级教程说得挺明白的,我就直接截图了:

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

四、测评项b

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

对于这个测评项,其主旨是审计的内容应至少包含事件的日期、时间,涉及事件的主体、客体,事件的结果以及事件的内容这些信息,以便用于在发生安全事件时进行追溯。

4.1. 时间信息

这里第一个要注意的就是日期和时间,如果服务器是联网的,那么可以自己通过网络进行时间同步,时间的准确性不成问题:

 

等保测评2.0:Windows安全审计

但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间等信息的准确性。

所以对于局域网内的服务器,可以设置一台ntp服务器,该ntp服务器对外联网,其余服务器的时间与这台服务器的时间进行同步,以该ntp服务器的时间为准。

具体ntp服务器如何设置,百度上有:https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html

最后,设置完ntp服务器后,在internet时间设置中将服务器的ip改为ntp服务器的ip即可:

 

等保测评2.0:Windows安全审计

4.2. 其余信息

其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。

但是我个人理解有些测评项是递进的,对于安全审计控制点而言,如果审计功能没有开启,或者开启了但是没有达到审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计的要求。

那么这个地方就不应该给符合的结论,顶多只能给部分符合。

 

等保测评2.0:Windows安全审计

另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。

比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间等。而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型等。

五、测评项c

应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

5.1. 日志的内容

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其包含内容为:

 

等保测评2.0:Windows安全审计

5.2. 文件权限

这里首先应该是查看审计记录文件的权限,是否会被未授权用户删除。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

这三个文件的权限,在windows2008 r2中默认为:

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

 

等保测评2.0:Windows安全审计

三个文件的所有者均为:LOCAL SERVICE

每个文件的权限拥有者eventlog是啥我也不很清楚,应该是Windows里的一个内置安全体。

也就是从默认情况来看,只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

5.3. 事件查看器的权限

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!