Windows服务器
控制点
3.
安全审计
对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。
a)
安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
要求解读:安全审计通过关注系统和网络日志文件、目录和文件中不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等来检查和防止虚假数据和欺骗行为,是保障计算机系统本地安全和网络安全的重要技术。因为对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键信息,所以,审计必须覆盖操作系统的所有用户。
Windows操作系统通过配置和开启安全审计功能、合理地配置安全审计内容、对重要的用户行为和重要安全事件进行审计,能够及时、准确地了解和判断安全事件的内容和性质,极大地节省系统资源。
检查方法
1.查看系统是否开启了安全审计功能。在命令行窗口输入secpol.msc命令,在弹出的“本地安全策略”窗口选择“安全设置”——>“本地策略”——>“审计策略”选项,在右侧的详细信息窗格中查看审计策略的设置情况。
2.询问系统管理员并查看是否使用了第三方审计工具或系统。
期望结果
1.结果如下:
-
审核策略更改:成功,失败。
-
审核登录事件:成功,失败。
-
审核对象访问:成功,失败。
-
审核进程跟踪:成功,失败。
-
审核目录服务访问:失败。
-
审核特权使用:失败。
-
审核系统事件:成功,失败。
-
审核账户登录事件:成功,失败。
-
审核账户管理:成功,失败。
记录内容应包括下表所示的项目。
|
审核项目 |
审核内容 |
成功 |
失败 |
|
审核账户登录事件 |
审核计算机用于验证用户身份的登录事件。也就是说,在域控制器上将审核所有的域登录事件,而在域成员上仅审核使用本地账户的事件 |
※ |
※ |
|
审核账户管理 |
审核所有涉及账户管理的事件,例如账户创建、账户锁定、账户删除等 |
※ |
※ |
|
审核目录服务访问 |
启用对Active Directory对象的访问的审核。此设置本身不会真正导致生成任何事件,仅当在对象上定义了SACL时才会审核访问。因此,启用成功和失败审核两者,才能使SACL生效 |
※ |
※ |
|
审核登录事件 |
审核在应用此策略的系统中发生的登录事件(无论账户属谁)。也就是说,在域成员上为此启用成功审核,将在有人员登录系统时生成一个事件。如果用于登录的账户是本地的,并且启用了“审核账户登录事件”设置,则该登录行为将生成两个事件。 |
※ |
※ |
|
审核对象访问 |
启用对所有可审核对象的访问的审核,例如对文件系统和注册表对象(目录服务对象除外)的访问。这些设置本身不会导致审核任何事件。它仅启用审核,使定义了SACL的对象得以被审核。因此,应当为此设置启用成功和失败审核两者 |
※ |
※ |
|
审核策略更改 |
定义是否审核对用户权限分配策略、审核策略或信任策略的更改。由于对此类型的访问的失败审核实际上并无意义,因此只需对此设置启用成功审核 |
※ |
|
|
审核系统事件 |
审核系统关闭、启动和影响系统或安全日志的事件,例如清除日志 |
※ |
2.部署了第三方审计工具,能够实现对用户的全覆盖(主要针对用户操作行为进行审计)。
b)
安全要求:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
要求解读:详细的审计记录是实现有效审计的保证。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。审计记录中的详细信息能够帮助管理员或其他相关检查人员准确地分析和定位事件。
检查方法
1.查看审计记录是否包含要求的信息。在命令行窗口输入“eventvwr.msc”,将弹出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“应用程序”、“安全”、“设置”、“系统”等事件类型。单击任意类型事件,查看是否满足此项要求。
2.如果安装了第三方审计工具,则查看审计记录是否包括日期、时间、类型、主体标识、客体标识和结果。
期望结果
1.Windows操作系统事件查看器中的审计记录默认满足此项。
2.在第三方审计工具中查看审计记录,审计信息包含日期、主体、客体、类型等。
c)
安全要求:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
要求解读:非法用户进入系统后的第一件事情就是清理系统日志和审计日志,而发现入侵行为最简单、最直接的方法就是查看系统记录和安全审计文件。因此,必须对审计记录进行安全保护,避免其受到未预期的删除、修改或覆盖等。
检查方法
1.如果日志数据是在本地保存的,则核查审计记录备份周期,有无异地备份。在命令行窗口输入eventvwr.msc命令,将弹出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“应用程序”、“安全”、“设置”、“系统”等事件类型。右键单击类型事件,在弹出的快捷菜单中选择“属性”选项,查看日志存储策略。
2.核查日志数据是否存放在日志服务器上及审计策略设置是否合理。
期望结果
1.如果日志数据是在本地存储的,则存储目录、周期和相关策略等设置合理。
2.如果部署了日志服务器,则审计策略设置合理。
d)
安全要求:应对审计进程进行保护,防止未经授权的中断。
要求解读:保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。
Windows操作系统具备在审计进程中进行自我保护的功能。
检查方法
1.访谈系统管理员,了解是否有第三方对审计进程采取监控和保护措施。
2.在命令行窗口输入secpol.msc命令,将弹出“本地安全策略”窗口。单击“安全设置-〉本地策略-〉用户权限分配”选项,单击右键,在弹出的快捷菜单中选择“管理审核和安全日志”选项,查看是否只有系统审计员或系统审计员所在的用户组具有“管理审核和安全日志”权限。
期望结果
1.由第三方对审计进程进行监控和保护。
2.非审计人员不能登录和操作日志。由专人负责审计日志的管理。