等保测评2.0：Windows安全审计

一、解说

本篇文章首要说一说windows系统中平安审计的掌握点的相关内容和懂得。 [好文分享：www.ii77.com]

二、测评项

a)应启用平安审计功能，审计笼盖到每个用户，对主要的用户行为和主要平安事件进行审计； [原文来自：www.ii77.com]

b)审计记录应包罗事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c)应对审计记录进行珍爱，按期备份，避免受到未预期的删除、点窜或笼盖等；

d)应对审计历程进行珍爱，防止未经授权的休止。

三、测评项a

a)应启用平安审计功能，审计笼盖到每个用户，对主要的用户行为和主要平安事件进行审计；

对于windows而言，在办事器治理器或事件查察器或较量机治理中都能够查察到审计日志的具体内容以及一些策略：

离别能够在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。

按照测评要求里的内容，该测评项存在三个递进的要求：

首先默认状况下，日志审计功能都是开启的，因为Windows Event Log办事器都是默认开启的，并且一样情形下也关不掉（所以一样情形下开启平安审计功能这个要求是相符的）：

不外网上说将日志文件夹的权限悉数去掉，系统也无法记录日志，一样没人这么干：

对于第2个要求，也就是是否笼盖到每个用户，在默认状况下是否相符就欠好说的。

至于第3个要求，对主要的用户行为和主要平安事件进行审计，一定就不相符了，因为默认的审核策略都是未开启：

对于审核策略中应该开启哪些策略，初级教程说得挺领略的，我就直接截图了：

四、测评项b

b)审计记录应包罗事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

对于这个测评项，其大旨是审计的内容应至少包含事件的日期、时间，涉及事件的主体、客体，事件的究竟以及事件的内容这些信息，以便用于在发生平安事件时进行追溯。

4.1. 时间信息

这里第一个要注重的就是日期和时间，若是办事器是联网的，那么能够本身经由收集进行时间同步，时间的正确性不成问题：

然则若是办事器自己不联网，本机上时间的是否正确就不克包管，也就无法包管事件中日期、时间等信息的正确性。

所以对于局域网内的办事器，能够设置一台ntp办事器，该ntp办事器对外联网，其余办事器的时间与这台办事器的时间进行同步，以该ntp办事器的时间为准。

具体ntp办事器若何设置，百度上有：https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html

最后，设置完ntp办事器后，在internet时间设置中将办事器的ip改为ntp办事器的ip即可：

4.2. 其余信息

其余信息的话，windows的审计记录是包罗要求字段的，理论上默认就相符该测评项。

然则我小我懂得有些测评项是递进的，对于平安审计掌握点而言，若是审计功能没有开启，或许开启了然则没有达到审计笼盖到每个用户，对主要的用户行为和主要平安事件进行审计的要求。

那么这个处所就不该该给相符的结论，顶多只能给部门相符。

此外插一句嘴，在写测评记录表的时候，要按照实际情形来写，而不是直接复制测评项中的文字。

好比windows的平安审计的测评项b，要写就写实际的审计记录中包含的字段，如级别、用户、记录时间等。而不是去直接复制测评项中的内容，好比事件的日期和时间、用户、事件类型等。

五、测评项c

应对审计记录进行珍爱，按期备份，避免受到未预期的删除、点窜或笼盖等；

5.1. 日志的内容

windows中的日志一样我们对照存眷应用法式日志、平安日志、系统日志（个中最主要的是平安日志），其包含内容为：

5.2. 文件权限

这里首先应该是查察审计记录文件的权限，是否会被未授权用户删除。

windows中的日志一样我们对照存眷应用法式日志、平安日志、系统日志（个中最主要的是平安日志），其存储文件离别是：

这三个文件的权限，在windows2008 r2中默认为：

三个文件的所有者均为：LOCAL SERVICE

每个文件的权限拥有者eventlog是啥我也不很清楚，应该是Windows里的一个内置平安体。

也就是从默认情形来看，只有附属于administrators组的用户才拥有直接对文件进行删除的权限。

5.3. 事件查察器的权限

此外，在事件查察器中能够直接清空日志，对于一个附属于users的通俗用户而言，在事件查察器中，平安日志看都看不了，其余的日志可看，但均弗成把持：

对于任何一个日志，都无权进行清空以及属性设置：

将该通俗用户添加到event log reader组后，能够查察平安日志了，但对于所有日志仍然不克把持：

若是给该通俗用户加上治理审核和平安日志的权限，则仅对于平安日志则具备消灭日志的权限，其他权限仍然不具备：

若是给该通俗用户加上生成平安审核的权限，则权限方面没啥转变：

5.4. 避免受到未预期的删除、点窜或笼盖

从文件权限和事件查察器的权限来看，拥有治理审核和平安日志的权限，则能够在事件查察器中消灭平安日志。

而附属于administrators组的用户，则能够直接删除日志文件，以及在事件查察器中消灭任何日志，以及设置日志的存储策略。

至于administrators组在事件查察器中的权限是在哪设置的，我不知道，哪位知道能够敷陈我……

因为就算在治理审核和平安日志的权限中移除掉administrators组（该权限默认付与给administrators组的），administrators组的权限仍然没有转变……

对于日志的存储策略，默认都是如下图所设置：

一是按需要笼盖事件(旧事件优先)。也就是说，当日志文件达到上限时，会把一些旧的日志文件记录删除掉，以存储新的日志信息

二是日志满时将其存档，不笼盖事件。这个选项是2003把持系统中没有的，在Windows7把持系统中新增加的选项。若是选择了这个选项，那么到日志文件的巨细达到上限时，把持系统不会笼盖原有的日志记录。而是先把旧的日志记录进行存档，然后再行使新的日志信息来笼盖旧的日志信息。

三是不笼盖事件。当日志文件达到上限值之后，系统不会持续记录新的事件信息。需要系统治理员手工清楚日志文件后，系统才会记录记录日志信息。

所以，日志巨细应该按照被测评单元单子的实际需求进行设置，太小一定是不相符的，而存储策略应该选第一项或许第二项，第三项或者会导致系统无法留存最新的记录。

5.5. 按期备份

对日志进行按期备份就不消多说了吧？

无论是本身手动去拷贝，或许将日志推送到日志综合审计..等第三方系统或许备份一体机等备份对象去备份，都能够。

六、测评项d

应对审计历程进行珍爱，防止未经授权的休止。

这里实际上在测评项a那一部门说过了，默认就是开启的，Windows Event Log办事无法在一样情形下封闭。

顶多就是在存储策略下着手脚，好比去除掉日志文件的所有权限，亦或许在事件查察器中对日志的存储策略进行设置，好比将日志最大巨细设置为极小等。

不然，这一项理论上默认知足，然则我感觉测评项的要求是递进的，前面的测评项不相符的话，这个顶多给部门相符吧（小我懂得）。

七、日志综合审计系统

日志审计系统有两种：

一种是将各个设备（把持系统、收集设备等）的日志都推送到这个系统傍边，一样都是syslog和谈。

若是是这种，那么关于平安审计掌握点中的所有测评项，照样要以windows上本身的策略设置为准，因为这个系统做的仅仅是将各个设备的日志抓取过来，若是windows自己没有开启平安审计或许审计策略未设置，那么该系统也没啥用，该没有就是没有。

此外一种是基于流量解析的审计，经由解析收集流量中的信息，进行事件记录，这种最常见的是各类数据库日志审计系统。然则对于把持系统稀奇是windows系统存不存在这种，我不知道。

对于linux系统，你把持的时候首要靠各类号令，那么对这些号令进行审计存在或者。

对于各类数据库，你也要用各类sql语句来进行交互，对于这些语句进行审计也是或者的。

然则对于windows系统，根基上都是图形化界面，顶多我输入账户、口令的时候能审计下，其余把持若是全用鼠标点击，这是没法子经由解析来进行审计的。

不外换一种设备的话，像好多碉堡机都存在录像功能，直接将windows的把持进行录像化留存，这种算不算日志审计，我也不清楚，看具体情形吧。

*本文原创作者：起于凡而非于凡，本文属于FreeBuf原创奖励规划，未经许可禁止转载

出色介绍