遼寧省林業項目資金管理辦法

平等安全評估2.0:Windows安全審核

金融外包項目評估報告

人力資源企業環境分析案例分析

    

一、說明

本文主要討論Windows系統中安全審核控制點的內容和理解。

二、測評項

a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

d)應對審計進程進行保護,防止未經授權的中斷。

三、測評項a

a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

對于windows而言,在服務器管理器或事件查看器或計算機管理中都可以查看到審計日志的具體內容以及一些策略:

分別可以在運行框中輸入CompMgmtLauncher、eventvwr、compmgmt.msc打開。

按照測評要求里的內容,該測評項存在三個遞進的要求:

首先默認狀況下,日志審計功能都是開啟的,因為Windows Event Log服務器都是默認開啟的,而且一般情況下也關不掉(所以一般情況下開啟安全審計功能這個要求是符合的):

不過網上說將日志文件夾的權限全部去掉,系統也無法記錄日志,一般沒人這么干:

對于第2個要求,也就是是否覆蓋到每個用戶,在默認狀況下是否符合就不好說的。

至于第3個要求,對重要的用戶行為和重要安全事件進行審計,肯定就不符合了,因為默認的審核策略都是未開啟:

對于審核策略中應該開啟哪些策略,初級教程說得挺明白的,我就直接截圖了:

四、測評項b

b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

對于這個測評項,其主旨是審計的內容應至少包含事件的日期、時間,涉及事件的主體、客體,事件的結果以及事件的內容這些信息,以便用于在發生安全事件時進行追溯。

4.1. 時間信息

這里第一個要注意的就是日期和時間,如果服務器是聯網的,那么可以自己通過網絡進行時間同步,時間的準確性不成問題:

但是如果服務器本身不聯網,本機上時間的是否準確就不能保證,也就無法保證事件中日期、時間等信息的準確性。

所以對于局域網內的服務器,可以設置一臺ntp服務器,該ntp服務器對外聯網,其余服務器的時間與這臺服務器的時間進行同步,以該ntp服務器的時間為準。

具體ntp服務器如何設置,百度上有:https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html

最后,設置完ntp服務器后,在internet時間設置中將服務器的ip改為ntp服務器的ip即可:

4.2. 其余信息

其余信息的話,windows的審計記錄是包括要求字段的,理論上默認就符合該測評項。

但是我個人理解有些測評項是遞進的,對于安全審計控制點而言,如果審計功能沒有開啟,或者開啟了但是沒有達到審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計的要求。

那么這個地方就不應該給符合的結論,頂多只能給部分符合。

另外插一句嘴,在寫測評記錄表的時候,要按照實際情況來寫,而不是直接復制測評項中的文字。

比如windows的安全審計的測評項b,要寫就寫實際的審計記錄中包含的字段,如級別、用戶、記錄時間等。而不是去直接復制測評項中的內容,比如事件的日期和時間、用戶、事件類型等。

五、測評項c

應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

5.1. 日志的內容

windows中的日志一般我們比較關注應用程序日志、安全日志、系統日志(其中最重要的是安全日志),其包含內容為:

5.2. 文件權限

這里首先應該是查看審計記錄文件的權限,是否會被未授權用戶刪除。

windows中的日志一般我們比較關注應用程序日志、安全日志、系統日志(其中最重要的是安全日志),其存儲文件分別是:

這三個文件的權限,在windows2008 r2中默認為:

三個文件的所有者均為:LOCAL SERVICE

每個文件的權限擁有者eventlog是啥我也不很清楚,應該是Windows里的一個內置安全體。

也就是從默認情況來看,只有隸屬于administrators組的用戶才擁有直接對文件進行刪除的權限。

5.3. 事件查看器的權限

另外,在事件查看器中可以直接清空日志,對于一個隸屬于users的普通用戶而言,在事件查看器中,安全日志看都看不了,其余的日志可看,但均不可操作:

對于任何一個日志,都無權進行清空以及屬性設置:

將該普通用戶添加到event log reader組后,可以查看安全日志了,但對于所有日志仍然不能操作:

如果給該普通用戶加上管理審核和安全日志的權限,則僅對于安全日志則具備清除日志的權限,其他權限仍然不具備:

如果給該普通用戶加上生成安全審核的權限,則權限方面沒啥變化:

5.4. 避免受到未預期的刪除、修改或覆蓋

從文件權限和事件查看器的權限來看,擁有管理審核和安全日志的權限,則可以在事件查看器中清除安全日志。

而隸屬于administrators組的用戶,則可以直接刪除日志文件,以及在事件查看器中清除任何日志,以及設置日志的存儲策略。

至于administrators組在事件查看器中的權限是在哪設置的,我不知道,哪位知道可以告訴我……

因為就算在管理審核和安全日志的權限中移除掉administrators組(該權限默認賦予給administrators組的),administrators組的權限仍然沒有變化……

對于日志的存儲策略,默認都是如下圖所設置:

一是按需要覆蓋事件(舊事件優先)。也就是說,當日志文件達到上限時,會把一些舊的日志文件記錄刪除掉,以存儲新的日志信息

二是日志滿時將其存檔,不覆蓋事件。這個選項是2003操作系統中沒有的,在Windows7操作系統中新增加的選項。如果選擇了這個選項,那么到日志文件的大小達到上限時,操作系統不會覆蓋原有的日志記錄。而是先把舊的日志記錄進行存檔,然后再利用新的日志信息來覆蓋舊的日志信息。

三是不覆蓋事件。當日志文件達到上限值之后,系統不會繼續記錄新的事件信息。需要系統管理員手工清楚日志文件后,系統才會記錄記錄日志信息。

所以,日志大小應該按照被測評單位的實際需求進行設置,太小肯定是不符合的,而存儲策略應該選第一項或者第二項,第三項可能會導致系統無法保存最新的記錄。

5.5. 定期備份

對日志進行定期備份就不用多說了吧?

無論是自己手動去拷貝,或者將日志推送到日志綜合審計平臺等第三方系統或者備份一體機等備份工具去備份,都可以。

六、測評項d

應對審計進程進行保護,防止未經授權的中斷。

這里實際上在測評項a那一部分說過了,默認就是開啟的,Windows Event Log服務無法在一般情況下關閉。

頂多就是在存儲策略下動手腳,比如去除掉日志文件的所有權限,亦或者在事件查看器中對日志的存儲策略進行設置,比如將日志最大大小設置為極小等。

否則,這一項理論上默認滿足,但是我覺得測評項的要求是遞進的,前面的測評項不符合的話,這個頂多給部分符合吧(個人理解)。

七、日志綜合審計系統

日志審計系統有兩種:

一種是將各個設備(操作系統、網絡設備等)的日志都推送到這個系統當中,一般都是syslog協議。

如果是這種,那么關于安全審計控制點中的所有測評項,還是要以windows上自己的策略設置為準,因為這個系統做的僅僅是將各個設備的日志抓取過來,如果windows本身沒有開啟安全審計或者審計策略未設置,那么該系統也沒啥用,該沒有就是沒有。

另外一種是基于流量解析的審計,通過解析網絡流量中的信息,進行事件記錄,這種最常見的是各種數據庫日志審計系統。但是對于操作系統特別是windows系統存不存在這種,我不知道。

對于linux系統,你操作的時候主要靠各種命令,那么對這些命令進行審計存在可能。

對于各類數據庫,你也要用各類sql語句來進行交互,對于這些語句進行審計也是可能的。

但是對于windows系統,基本上都是圖形化界面,頂多我輸入賬戶、口令的時候能審計下,其余操作如果全用鼠標點擊,這是沒辦法通過解析來進行審計的。

不過換一種設備的話,像很多堡壘機都存在錄像功能,直接將windows的操作進行錄像化保存,這種算不算日志審計,我也不清楚,看具體情況吧。

*本文原創作者:起于凡而非于凡,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載


精彩推薦






上海譽銀股權投資基金管理www.xzhichang.com
wap.xzhichang.com
bbs.xzhichang.com
www.58trz.com
www.yirenbbs.com
m.yirenbbs.com

當前文章:http://www.tbcdoy.live/qypi383c/631037-860103-98444.html

發布時間:07:36:54

項目融資  創業融資總額怎么算  投融資模式  兩江投融資體制  融資余額在網上怎么找  融資財務報表怎么做  融資業務員怎么找客戶  寧波東融資本怎么樣  怎么樣融資  全國融資團隊怎么聯系  恒宇融資怎么樣  

<相關文章>

一個人“做不到”的四件事實際上是在告訴你他不愛你

    

1.為您犧牲娛樂時間

男人的娛樂是為了達到精神享受和身體放松的目的,但是當男人有愛時,與情人在一起就是通常更能夠實現身心愉悅。因此,一個真正愛你的男人愿意暫時犧牲休閑時間來陪伴你。雖然這并不意味著他只要有娛樂活動就債權投資借貸方_58投融資|www.58trz.com不會愛你的表演,但是如果他總是自己做事并且不在乎你的有好項目怎么找人投資_58投融資|www.58trz.com感受,那只能說明他對你的愛心遠非深愛。學位。

2.為您改變個性

兩個不同的人就像兩條平行的線。如果沒有愛,也許永遠不會有交集的可能性。然而,正是由于愛,兩條線自發地向一個方向傾斜。即使這種傾斜程度不明顯,只要它種植業項目資金績效目標申報表_58投融資|www.58trz.com們持續存在,有一天它們就可以合并。因此,如果一個男人不愿意為你改變,那意味著你必須強迫自己靠近他以團結在一起。這樣的愛自然會失去平衡,不值得您付出努力。

3.積極計劃與企業的金融需求分析方法_58投融資|www.58trz.com您結婚

如果他不與您結婚,您是否仍然相信他所謂的關系?女人為愛付出代價的最大原因之一就是意愿,因為她們希望獲得幸福的婚姻生活,因為這意味著幸福的未來。如果一個男人根本不打算嫁企業貸款哪家銀行好?_58投融資|www.58trz.com給你,那么就沒有必要浪費他的青春,因為他對你的“愛”根本受不了審查。

4.認真向你承諾未來

愛的意義是什么?有人說,愛是人與人之間的強烈依戀,親密和向往,其中親密,信任和奉獻是愛的基本屬性。因此,可以看出,愛建設銀行 小微企業貸款_58投融資|www.58trz.com的力量源于對未來的向往,愛的不竭動力是相互的承諾。因此,如果一個人從未認真地答應過您的未來,則意味著您在他眼中沒有未來,或者他從未考慮過為未來做計劃。沒有未來計劃的愛值得信任嗎?所以沒有必要期待它,這樣的男人不值得你去愛。

用手機訪問
下載APP
appicon 下載
掃一掃,手機瀏覽
code
休閑娛樂
綜合熱點資訊
單機游戲下載
微信棋牌官网 雷速体育在线比分 浙江6+1 即时赔率彩富网 甘肃11选5 吉林快3 股票配资有哪些正规平台 股票配资平台找恒瑞行配资丿 中船重工股票代码 二分彩 刮刮乐 北单 上海时时乐 金证通配资 趣富配资 澳博瑞特配资 尊享配资
精彩專欄
游民星空聯運游戲
雷速体育在线比分 浙江6+1 即时赔率彩富网 甘肃11选5 吉林快3 股票配资有哪些正规平台 股票配资平台找恒瑞行配资丿 中船重工股票代码 二分彩 刮刮乐 北单 上海时时乐 金证通配资 趣富配资 澳博瑞特配资 尊享配资