等保測評2.0:Windows安全審計
- 2020 年 2 月 20 日
- 筆記
一、說明
本篇文章主要說一說windows系統中安全審計的控制點的相關內容和理解。
二、測評項
a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的資訊; c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等; d)應對審計進程進行保護,防止未經授權的中斷。
三、測評項a
a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
對於windows而言,在伺服器管理器或事件查看器或電腦管理中都可以查看到審計日誌的具體內容以及一些策略:
分別可以在運行框中輸入CompMgmtLauncher、eventvwr、compmgmt.msc打開。
按照測評要求里的內容,該測評項存在三個遞進的要求:
首先默認狀況下,日誌審計功能都是開啟的,因為Windows Event Log伺服器都是默認開啟的,而且一般情況下也關不掉(所以一般情況下開啟安全審計功能這個要求是符合的):
不過網上說將日誌文件夾的許可權全部去掉,系統也無法記錄日誌,一般沒人這麼干:
對於第2個要求,也就是是否覆蓋到每個用戶,在默認狀況下是否符合就不好說的。
至於第3個要求,對重要的用戶行為和重要安全事件進行審計,肯定就不符合了,因為默認的審核策略都是未開啟:
對於審核策略中應該開啟哪些策略,初級教程說得挺明白的,我就直接截圖了:
四、測評項b
b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的資訊;
對於這個測評項,其主旨是審計的內容應至少包含事件的日期、時間,涉及事件的主體、客體,事件的結果以及事件的內容這些資訊,以便用於在發生安全事件時進行追溯。
4.1. 時間資訊
這裡第一個要注意的就是日期和時間,如果伺服器是聯網的,那麼可以自己通過網路進行時間同步,時間的準確性不成問題:
但是如果伺服器本身不聯網,本機上時間的是否準確就不能保證,也就無法保證事件中日期、時間等資訊的準確性。
所以對於區域網內的伺服器,可以設置一台ntp伺服器,該ntp伺服器對外聯網,其餘伺服器的時間與這台伺服器的時間進行同步,以該ntp伺服器的時間為準。
具體ntp伺服器如何設置,百度上有:https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html
最後,設置完ntp伺服器後,在internet時間設置中將伺服器的ip改為ntp伺服器的ip即可:
4.2. 其餘資訊
其餘資訊的話,windows的審計記錄是包括要求欄位的,理論上默認就符合該測評項。
但是我個人理解有些測評項是遞進的,對於安全審計控制點而言,如果審計功能沒有開啟,或者開啟了但是沒有達到審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計的要求。
那麼這個地方就不應該給符合的結論,頂多只能給部分符合。
另外插一句嘴,在寫測評記錄表的時候,要按照實際情況來寫,而不是直接複製測評項中的文字。
比如windows的安全審計的測評項b,要寫就寫實際的審計記錄中包含的欄位,如級別、用戶、記錄時間等。而不是去直接複製測評項中的內容,比如事件的日期和時間、用戶、事件類型等。
五、測評項c
應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
5.1. 日誌的內容
windows中的日誌一般我們比較關注應用程式日誌、安全日誌、系統日誌(其中最重要的是安全日誌),其包含內容為:
5.2. 文件許可權
這裡首先應該是查看審計記錄文件的許可權,是否會被未授權用戶刪除。
windows中的日誌一般我們比較關注應用程式日誌、安全日誌、系統日誌(其中最重要的是安全日誌),其存儲文件分別是:
這三個文件的許可權,在windows2008 r2中默認為:
三個文件的所有者均為:LOCAL SERVICE
每個文件的許可權擁有者eventlog是啥我也不很清楚,應該是Windows里的一個內置安全體。
也就是從默認情況來看,只有隸屬於administrators組的用戶才擁有直接對文件進行刪除的許可權。
5.3. 事件查看器的許可權
另外,在事件查看器中可以直接清空日誌,對於一個隸屬於users的普通用戶而言,在事件查看器中,安全日誌看都看不了,其餘的日誌可看,但均不可操作:
對於任何一個日誌,都無權進行清空以及屬性設置:
將該普通用戶添加到event log reader組後,可以查看安全日誌了,但對於所有日誌仍然不能操作:
如果給該普通用戶加上管理審核和安全日誌的許可權,則僅對於安全日誌則具備清除日誌的許可權,其他許可權仍然不具備:
如果給該普通用戶加上生成安全審核的許可權,則許可權方面沒啥變化:
5.4. 避免受到未預期的刪除、修改或覆蓋
從文件許可權和事件查看器的許可權來看,擁有管理審核和安全日誌的許可權,則可以在事件查看器中清除安全日誌。
而隸屬於administrators組的用戶,則可以直接刪除日誌文件,以及在事件查看器中清除任何日誌,以及設置日誌的存儲策略。
至於administrators組在事件查看器中的許可權是在哪設置的,我不知道,哪位知道可以告訴我……
因為就算在管理審核和安全日誌的許可權中移除掉administrators組(該許可權默認賦予給administrators組的),administrators組的許可權仍然沒有變化……
對於日誌的存儲策略,默認都是如下圖所設置:
一是按需要覆蓋事件(舊事件優先)。也就是說,當日誌文件達到上限時,會把一些舊的日誌文件記錄刪除掉,以存儲新的日誌資訊
二是日誌滿時將其存檔,不覆蓋事件。這個選項是2003作業系統中沒有的,在Windows7作業系統中新增加的選項。如果選擇了這個選項,那麼到日誌文件的大小達到上限時,作業系統不會覆蓋原有的日誌記錄。而是先把舊的日誌記錄進行存檔,然後再利用新的日誌資訊來覆蓋舊的日誌資訊。
三是不覆蓋事件。當日誌文件達到上限值之後,系統不會繼續記錄新的事件資訊。需要系統管理員手工清楚日誌文件後,系統才會記錄記錄日誌資訊。
所以,日誌大小應該按照被測評單位的實際需求進行設置,太小肯定是不符合的,而存儲策略應該選第一項或者第二項,第三項可能會導致系統無法保存最新的記錄。
5.5. 定期備份
對日誌進行定期備份就不用多說了吧?
無論是自己手動去拷貝,或者將日誌推送到日誌綜合審計平台等第三方系統或者備份一體機等備份工具去備份,都可以。
六、測評項d
應對審計進程進行保護,防止未經授權的中斷。
這裡實際上在測評項a那一部分說過了,默認就是開啟的,Windows Event Log服務無法在一般情況下關閉。
頂多就是在存儲策略下動手腳,比如去除掉日誌文件的所有許可權,亦或者在事件查看器中對日誌的存儲策略進行設置,比如將日誌最大大小設置為極小等。
否則,這一項理論上默認滿足,但是我覺得測評項的要求是遞進的,前面的測評項不符合的話,這個頂多給部分符合吧(個人理解)。
七、日誌綜合審計系統
日誌審計系統有兩種:
一種是將各個設備(作業系統、網路設備等)的日誌都推送到這個系統當中,一般都是syslog協議。
如果是這種,那麼關於安全審計控制點中的所有測評項,還是要以windows上自己的策略設置為準,因為這個系統做的僅僅是將各個設備的日誌抓取過來,如果windows本身沒有開啟安全審計或者審計策略未設置,那麼該系統也沒啥用,該沒有就是沒有。
另外一種是基於流量解析的審計,通過解析網路流量中的資訊,進行事件記錄,這種最常見的是各種資料庫日誌審計系統。但是對於作業系統特別是windows系統存不存在這種,我不知道。
對於linux系統,你操作的時候主要靠各種命令,那麼對這些命令進行審計存在可能。
對於各類資料庫,你也要用各類sql語句來進行交互,對於這些語句進行審計也是可能的。
但是對於windows系統,基本上都是圖形化介面,頂多我輸入賬戶、口令的時候能審計下,其餘操作如果全用滑鼠點擊,這是沒辦法通過解析來進行審計的。
不過換一種設備的話,像很多堡壘機都存在錄像功能,直接將windows的操作進行錄像化保存,這種算不算日誌審計,我也不清楚,看具體情況吧。
*本文原創作者:起於凡而非於凡,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
