一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、测评项
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
三、测评项a
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
3.1测评项a要求1
应启用安全审计功能,默认情况下Windows的安全审计功能也就是Windows Event Log服务是自动开启的,如下图所示:
Windows Event Log服务
而且只有administrators组下的用户才可以关闭此服务,所以如果没有管理员权限用户有意关闭,此项要求是默认符合的,如下图所示:
管理审核和安全日志
3.2测评项a要求2
审计覆盖到每个用户,这项要求如果是Windows默认设置的话,还真不好说,我们可以查看审核策略里的那九项策略里,每个策略的属性说明,有的明确是覆盖所有用户,例如登录事件,大部分只审核有这些权限的用户,我觉得这一项问的有问题,应该加个前提就是拥有这些权限的所有用户,如果这样的话,Windows是默认符合的。
审核策略说明
3.3测评项a要求3
对重要的用户行为和重要安全事件进行审计,这项要求windows默认是不符合要求的,需要手动开启,像我就只开启了登录事件审计策略,要求中也没有规定那些是重要的,为了保险起见,最好都开启。
审核策略
四、测评项b
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
这项要求主要目的是审计记录要全面,应该至少包括事件的日期和时间、用户、事件类型、事件是否成功等,方便日后发生安全事件时追查源头。
我们可以在事件查看器-windows日志中查看相应的日志内容,对于每一条日志我们还可以右键点击事件属性来查看事件的详细信息,如下图所示:
日志-事件属性
五、测评项c
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
我们以安全日志为例,右键查看日志属性,可以看到日志的存储路径、最大大小、达到最大时该如何做等设置,我们可以看到,安全日志的大小已经有20M了,所以已经达到最大的限制,开始执行覆盖操作(旧事件优先),之前我们也看到了审计我们只开启了登录事件,现在就已经达到上限了,windows默认的存储日志的上限还是有点小,应该根据实际需求设置大一些,更重要的是达到最大限制后的操作应该选择第二项“日志满时将其存档,不覆盖事件”。
日志属性
然后我们根据日志存储的路径,找到日志文件,右键查看日志文件属性-安全,查看用户对日志文件的权限,我们可以看到只有SYSTEM、Administrator和eventlog组里的用户对日志文件拥有完全控制权限,SYSTEM和eventlog组应该是系统内置的安全组,也在用户和组里边找不到,因此只有管理员对日志有完全控制权限。
需要注意的是window默认设置了event log reader组,这里边的用户对日志拥有查看的权利,所以审计管理员应该放到这个组里,现在知道了用户权限分配的重要性,理论上如果用户只用administrator组里的用户登录维护系统,那么以后的许多项都是不符合要求的,可以说是高危险项,可以一票否决的,这个我们以后会讲。
六、测评项d
d)应对审计进程进行保护,防止未经授权的中断。
这一项呢我前边也说了,windows是自动开启审计服务的,只有administrator组里的用户可以关闭审计服务,这里又回到了使用管理员用户登录维护系统的问题,如果真是如此,那么这一项也就无法保障,所以一些项是递进关系的,前边不符合后边也就不用看了(个人观点)。
七、第三方审计系统
这个在测评过程中很少遇到,但是也有遇到过,这时只有根据具体情况具体分析吧,严格按照各个测评项去查看系统的对应配置。
以上就是一项一项教你测等保2.0——Windows安全审计的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。
1174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
