1. 测评项目 a)
内容
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1.1 应核查是否开启了安全审计功能
在运行框中依次输入CompMgmtLauncher、eventvwr、compmgmt.msc
依次打开能够查看安全审计策略
服务器管理器
事件查看器
计算机管理
1.2 应核查安全审计范围是否覆盖到每个用户
一般来说开启了审计功能这项就符合。
1.3 应核查是否对重要的用户行为和重要安全事件进行审计
直接打开管理工具-本地安全策略能够看到是否开启审计功能。
2. 测评项目 b)
内容
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
2.1 应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
- 首先要注意时间的问题,如果服务器联网则时间默认符合。如果不联网则无法保证。对于局域网内可以设置一台ntp服务器来解决这个问题
- 其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。
3. 测评项目 c)
内容
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
此项还未编辑
4. 测评项目 d)
内容
应对审计进程进行保护,防止未经授权的中断
4.1 应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护
这一项和a差不多windows一般默认开启,要关闭还要用一些方法。