请点击上面
一键关注!
原创作者:起于凡而非于凡,
内容来源:FreeBuf
一、说明
本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。
二、测评项
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
三、测评项a
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略:
分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。
按照测评要求里的内容,该测评项存在三个递进的要求:
首先默认状况下,日志审计功能都是开启的,因为Windows Event Log服务器都是默认开启的,而且一般情况下也关不掉(所以一般情况下开启安全审计功能这个要求是符合的):
不过网上说将日志文件夹的权限全部去