Redhat有这个支持安全修复的策略。 但是,当RHEL和CentOS站点被审计时,审计人员总是列出软件包版本或者询问ssh它的版本号是什么,然后他们让你失败,因为你看起来运行的是OpenSSH的易受攻击版本。 我能看到的唯一方法就是: 编译RHEL安全公告的列表,这大概会显示显然旧的rpm实际上是修补的。 我敢打赌,审计师实际上不会真正阅读。 只要安装一个新的包,即使它没有意义。 这比听起来要困难得多,因为开发人员的软件包不会有init.d脚本和其他集成。 而当你的远程访问方法时,OpenSSH很难安装在无人值守数据中心的顶部。 有更好的主意吗? 有一种叫做OVAL的东西。 Redhat至less用来提供这种格式的build议。 它是否真的在审计工作?
我正在寻找一种方法来监视用户使用RDP(SSL或RDP,encryption级别)loginWindows 2012 R2服务器时使用的安全层。 在GPM编辑器的“高级审计策略configuration”中我没有find任何有用的东西,但也许我错过了一些东西。
我想审计registry相关的事件(修改密钥删除密钥等),所以我启用它通过组策略,并设置“全球对象访问审计”审计“身份validation用户”。 不幸的是,事件数量太高,其中几乎95%来自“NT系统”。 以下是我的问题。 – >为什么“NT系统”是“authentication用户”的一部分? – >我应该在“全局对象访问审计”中select什么,它将审计限制在除SYSTEM之外的所有交互式和非交互式用户。 编辑:如果我要使用“域用户”,我需要为每个域在森林和森林中创build单独的条目; 我希望,这是最后的举动。
在Windows 7上,我想通过使用包含的Windows审计function,对所有子文件夹和特定本地文件夹的文件执行审计。 当用户将文件从相同的NTFS卷移动到configuration了审核的文件夹时,由于NTFS移动/复制devisefunction/缺陷,文件不会inheritance审核设置( 如何解决NTFS移动/复制devise缺陷? )。 我已经configuration了MoveSecurityAttributes( https://support.microsoft.com/en-us/kb/310316 ),它解决了权限问题,但不是审核设置。 是否有与MoveSecurityAttributes类似的设置用于审计设置? 有没有办法强制所有子文件夹和文件的审计设置? 我知道有可能创build一个重置审计设置的脚本。 然而,该文件夹包含大约一百万个文件,并且在不使用时closures了电脑,所以它似乎不是一个实际的解决scheme。 而且它违反了总是让文件夹中的所有文件都被审核的目标。
我正在IIS服务器上的目录上实施文件审核,以便在有人尝试修改或删除任何文档时收到通知。 我设置Advanced Auditing Policy\Audit Policies\Object Access:File System来审计成功和失败。 根据我读过的所有文档,下一个阶段是将SACL设置为需要监视的任何文件/目录。 但是,在设置SACL之前检查安全事件日志将显示许多事件ID 4656(请求对象的句柄)。 阅读这些事件表明,他们正在筹备访问各种系统文件。 我访问这些文件/目录的属性对话框,并单击安全选项卡上。 接下来,我点击高级button,然后select审核选项卡。 在那里我看到审计已经为Everyone用户设置了logging所有的写入。 接下来我运行了一个powershell脚本: Get-ChildItem -Path "C:\" -Recurse | ForEach-Object { $file = $_.FullName $(Get-Acl -Audit $file).GetAuditRules($true,$false, [System.Security.Principal.SecurityIdentifier]) | ForEach-Object { Write-Output $file } } 列出所有启用审计的文件/目录。 事实certificate,在这个IIS框中,我有超过32,000个文件启用审计。 考虑到过去我可能已经启用了这些function,接下来我会对域控制器运行相同的脚本,并计算出相似的数字。 这些都在testing环境中,所以我接下来将脚本运行到另一个生产IIS服务器(我没有构build),得到了类似的结果。 所以我的问题是: 这是正常的吗? 安装了32K以上的审计SACL文件,但策略最初是禁用的? 启用策略导致事件日志填充无用的事件 – 在testingIIS服务器上,我注意到在一个小时内发生了大约100个事件。 虽然我可以很容易地修改上面的脚本来删除这些SACL,然后只添加我需要的,这是一个安全的事情吗? 更普遍 – 我错过了一些明显的东西?
我的目标是在某些Windows机器上为文件系统对象configuration高级审计策略,以覆盖组策略。 我需要这个适用于Windows Server 2008(R1)和更高版本。 从我读过的 ,这是可能的通过将此registry值设置为1: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 然后运行这个命令: auditpol.exe /set /subcategory:"File System" /success:enable 我是否正确理解这一点,或者高级审计政策是否也可以被群体政策所覆盖? *更新* 我创build了几个虚拟机,并创build一个testing域,试试这个。 它似乎工作, 但设置Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (控制SCENoApplyLegacyAuditPolicy )仍然可以通过组策略禁用 – 如果是这样,我不明白如何覆盖它,使审计不会再次在下一个gpupdate禁用。 这可能吗?
目前,当用户打印文档时,在我们的事件日志中logging了事件ID 10。 我们大多数XP客户端在Win2003 domian上。 但是,我不能告诉这个用户打印了一个文件。 如何跟踪用户用于打印特定文档的计算机? 如果可能的话,免费解决scheme会更好。
我是否正确,如果某个程序安装在服务器上并显示在“添加删除/程序”程序中,那么当用户在物理控制台上login到服务器,或者使用RDP和而不是当用户通过共享访问服务器? 如果是这样,那么这应该显示为事件ID 528。 换句话说,如果我只看事件ID 528,我可以得到一个嫌疑犯名单。 它是否正确?
我正在审核Windows 2008 R2服务器中的某些文件夹,并且在安全事件日志中有一个“成功审核”条目,其中包含以下“访问请求信息”: Access Request Information: Accesses: %%1537 Access Mask: 0x10000 我不知道什么types的访问“%% 1537”是。 访问请求信息对您意味着什么?
我正在使用Cent 6的Cpanel机器,一些神秘的脚本正在将主目录(!)的权限更改为777.我排除了所有简单的修复,所以我只需要在目录上设置一个监视等到它再次发生。 麻烦的是,我目前的规定是: `auditctl -w /home -pa -k homedir_perm_changes` 正在recursion地观察整个主目录,而这个分区存储电子邮件和文件目录,因此完全有太多的信息。 我怎样才能削减我的规则,使其只能直接查看/ home下的目录,而不能查看其下的整个(巨大的)目录树? 谢谢!