PCI DSS 10.2说:“ 为所有系统组件实施自动审计跟踪以重新构build以下事件: ”和10.2.2继续: “ 任何具有根或pipe理权限的个人采取的所有行动 ”。
我正在努力使我们的Windows机器(Windows 7,8&2008R2)发生这种情况。
OSSEC可以将更改logging到文件和registry项中,但是由于不logging是谁进行了更改,所以对此要求不太合适。
我尝试使用Windows中的内置审计策略, 依此 : http : //blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging -in窗口/
所以我跑了secpol.msc,去“本地策略”>“审计策略”,并启用所有条目的成功和失败。
接下来,我select了一个很less碰到的数据文件夹作为testing:“属性”>“安全”>“高级”>“审计”>“添加”
Select a principal: Administrators Type: All Access: Full control Advanced Permissions: Only write, create and execute-related permissions checked. 这确实会logging对文件夹中所有文件的访问,但问题是现在事件日志中不仅包含pipe理员组的显式成员,而且还包括来自任何具有pipe理员权限的进程(例如防病毒stream程)。
此外,请注意,上述只是一个很less访问的文件夹 – 我将不得不添加日志logging所有系统文件夹等,这将使日志泛滥更糟糕。
我怎样才能loggingpipe理员用户所做的所有活动(按照上述10.2.2),而没有任何额外的噪音?
此外,上述审计涵盖文件系统更改,但如何审核关键的registry更改 ?
如果符合上述要求,最好不要在商业产品上花费很多钱。
问题是,默认的pipe理员组隐含地包括内置的“NT Authority \ SYSTEM”以及潜在的其他内置帐户。
如果在默认pipe理员组上启用了审计function,系统将生成所需的事件,以及与系统活动有关的大量不良事件,无论是否有人login。
解决scheme是创build一个pipe理员组,并明确地创build该组个人成员拥有的pipe理帐户。 然后审核该组的活动。