Windows服務器
控制點
3.
安全審計
對服務器進行安全審計的目的是保持對操作系統和數據庫系統的運行情況及用戶行為的跟蹤,以便事后進行追蹤和分析。
a)
安全要求:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
要求解讀:安全審計通過關注系統和網絡日志文件、目錄和文件中不期望的改變、程序執行中的不期望行為、物理形式的入侵信息等來檢查和防止虛假數據和欺騙行為,是保障計算機系統本地安全和網絡安全的重要技術。因為對審計信息的分析可以為計算機系統的脆弱性評估、責任認定、損失評估、系統恢復提供關鍵信息,所以,審計必須覆蓋操作系統的所有用戶。
Windows操作系統通過配置和開啟安全審計功能、合理地配置安全審計內容、對重要的用戶行為和重要安全事件進行審計,能夠及時、准確地了解和判斷安全事件的內容和性質,極大地節省系統資源。
檢查方法
1.查看系統是否開啟了安全審計功能。在命令行窗口輸入secpol.msc命令,在彈出的“本地安全策略”窗口選擇“安全設置”——>“本地策略”——>“審計策略”選項,在右側的詳細信息窗格中查看審計策略的設置情況。
2.詢問系統管理員並查看是否使用了第三方審計工具或系統。
期望結果
1.結果如下:
-
審核策略更改:成功,失敗。
-
審核登錄事件:成功,失敗。
-
審核對象訪問:成功,失敗。
-
審核進程跟蹤:成功,失敗。
-
審核目錄服務訪問:失敗。
-
審核特權使用:失敗。
-
審核系統事件:成功,失敗。
-
審核賬戶登錄事件:成功,失敗。
-
審核賬戶管理:成功,失敗。
記錄內容應包括下表所示的項目。
| 審核項目 |
審核內容 |
成功 |
失敗 |
| 審核賬戶登錄事件
|
審核計算機用於驗證用戶身份的登錄事件。也就是說,在域控制器上將審核所有的域登錄事件,而在域成員上僅審核使用本地賬戶的事件 |
※ |
※ |
| 審核賬戶管理
|
審核所有涉及賬戶管理的事件,例如賬戶創建、賬戶鎖定、賬戶刪除等 |
※ |
※ |
| 審核目錄服務訪問
|
啟用對Active Directory對象的訪問的審核。此設置本身不會真正導致生成任何事件,僅當在對象上定義了SACL時才會審核訪問。因此,啟用成功和失敗審核兩者,才能使SACL生效 |
※ |
※ |
| 審核登錄事件
|
審核在應用此策略的系統中發生的登錄事件(無論賬戶屬誰)。也就是說,在域成員上為此啟用成功審核,將在有人員登錄系統時生成一個事件。如果用於登錄的賬戶是本地的,並且啟用了“審核賬戶登錄事件”設置,則該登錄行為將生成兩個事件。 |
※ |
※ |
| 審核對象訪問
|
啟用對所有可審核對象的訪問的審核,例如對文件系統和注冊表對象(目錄服務對象除外)的訪問。這些設置本身不會導致審核任何事件。它僅啟用審核,使定義了SACL的對象得以被審核。因此,應當為此設置啟用成功和失敗審核兩者 |
※ |
※ |
| 審核策略更改
|
定義是否審核對用戶權限分配策略、審核策略或信任策略的更改。由於對此類型的訪問的失敗審核實際上並無意義,因此只需對此設置啟用成功審核 |
※ |
|
| 審核系統事件
|
審核系統關閉、啟動和影響系統或安全日志的事件,例如清除日志 |
※ |
2.部署了第三方審計工具,能夠實現對用戶的全覆蓋(主要針對用戶操作行為進行審計)。
b)
安全要求:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
要求解讀:詳細的審計記錄是實現有效審計的保證。審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等。審計記錄中的詳細信息能夠幫助管理員或其他相關檢查人員准確地分析和定位事件。
檢查方法
1.查看審計記錄是否包含要求的信息。在命令行窗口輸入“eventvwr.msc”,將彈出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“應用程序”、“安全”、“設置”、“系統”等事件類型。單擊任意類型事件,查看是否滿足此項要求。
2.如果安裝了第三方審計工具,則查看審計記錄是否包括日期、時間、類型、主體標識、客體標識和結果。
期望結果
1.Windows操作系統事件查看器中的審計記錄默認滿足此項。
2.在第三方審計工具中查看審計記錄,審計信息包含日期、主體、客體、類型等。
c)
安全要求:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
要求解讀:非法用戶進入系統后的第一件事情就是清理系統日志和審計日志,而發現入侵行為最簡單、最直接的方法就是查看系統記錄和安全審計文件。因此,必須對審計記錄進行安全保護,避免其受到未預期的刪除、修改或覆蓋等。
檢查方法
1.如果日志數據是在本地保存的,則核查審計記錄備份周期,有無異地備份。在命令行窗口輸入eventvwr.msc命令,將彈出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“應用程序”、“安全”、“設置”、“系統”等事件類型。右鍵單擊類型事件,在彈出的快捷菜單中選擇“屬性”選項,查看日志存儲策略。
2.核查日志數據是否存放在日志服務器上及審計策略設置是否合理。
期望結果
1.如果日志數據是在本地存儲的,則存儲目錄、周期和相關策略等設置合理。
2.如果部署了日志服務器,則審計策略設置合理。
d)
安全要求:應對審計進程進行保護,防止未經授權的中斷。
要求解讀:保護審計進程,確保當安全事件發生時能夠及時記錄事件的詳細信息。
Windows操作系統具備在審計進程中進行自我保護的功能。
檢查方法
1.訪談系統管理員,了解是否有第三方對審計進程采取監控和保護措施。
2.在命令行窗口輸入secpol.msc命令,將彈出“本地安全策略”窗口。單擊“安全設置-〉本地策略-〉用戶權限分配”選項,單擊右鍵,在彈出的快捷菜單中選擇“管理審核和安全日志”選項,查看是否只有系統審計員或系統審計員所在的用戶組具有“管理審核和安全日志”權限。
期望結果
1.由第三方對審計進程進行監控和保護。
2.非審計人員不能登錄和操作日志。由專人負責審計日志的管理。