我正在IIS服务器上的目录上实施文件审核,以便在有人尝试修改或删除任何文档时收到通知。
我设置Advanced Auditing Policy\Audit Policies\Object Access:File System来审计成功和失败。
根据我读过的所有文档,下一个阶段是将SACL设置为需要监视的任何文件/目录。
但是,在设置SACL之前检查安全事件日志将显示许多事件ID 4656(请求对象的句柄)。 阅读这些事件表明,他们正在筹备访问各种系统文件。
我访问这些文件/目录的属性对话框,并单击安全选项卡上。 接下来,我点击高级button,然后select审核选项卡。 在那里我看到审计已经为Everyone用户设置了logging所有的写入。
接下来我运行了一个powershell脚本:
Get-ChildItem -Path "C:\" -Recurse | ForEach-Object { $file = $_.FullName $(Get-Acl -Audit $file).GetAuditRules($true,$false, [System.Security.Principal.SecurityIdentifier]) | ForEach-Object { Write-Output $file } }
列出所有启用审计的文件/目录。 事实certificate,在这个IIS框中,我有超过32,000个文件启用审计。
考虑到过去我可能已经启用了这些function,接下来我会对域控制器运行相同的脚本,并计算出相似的数字。 这些都在testing环境中,所以我接下来将脚本运行到另一个生产IIS服务器(我没有构build),得到了类似的结果。
所以我的问题是:
这是正常的吗? 安装了32K以上的审计SACL文件,但策略最初是禁用的? 启用策略导致事件日志填充无用的事件 – 在testingIIS服务器上,我注意到在一个小时内发生了大约100个事件。
虽然我可以很容易地修改上面的脚本来删除这些SACL,然后只添加我需要的,这是一个安全的事情吗?
更普遍 – 我错过了一些明显的东西?