刚安装了Windows Server 2008R2 SP1,看是否可以解决这个问题,但是没有。 在pipe理员login到域控制器之前,有许多事件可以阻止WFP从Server60到Server60或从Server60到Server70的连接。 server60和server70都是域控制器。 一个pipe理员login,WFP事件停止。 默认情况下,防火墙处于closures状态。 是的,我知道世界粮食计划署在启动顺序中踢了一阵子,直到防火墙接pipe或在我的情况下不会接pipe(自Vista以来),但我显然不应该自动login到域控制器,并调用自动locking或什么。 示例事件 LEVEL =信息来源=微软Windows安全审计EventID = 5152“过滤平台数据包丢失”及其邪恶双胞胎ID = 5157“过滤平台连接” "The Windows Filtering platform has blocked a connection." Direction %%14593 SourceAddress 192.168.10.60 SourcePort 49677 DestAddress 192.168.10.60 DestPort 389 Protocol 6 FilterRTID 65667 LayerName %%14611 LayerRTID 48 RemoteUserID S-1-0-0 RemoteMachineID S-1-0-0 windows-server-2008-r2 WFP BFE WindowsFilteringPlatform BaseFilteringEngine
我们有一堆* nix机器,其中一些机器上可能安装了IBM软件。 有没有一种方法可以识别安装的IBM软件的机器和types?
我正在查看我的selinux警报日志文件,并运行多个条目标记 **** Invalid AVC allowed in current policy *** 我明白,这表示一个问题( 阅读或getattr等),我看到哪些进程造成的,但我不明白的标签。 什么是无效的AVC ? 怎么可能呢?
在RHEL5安全指南中,build议使用AIDE来检查软件完整性。 并且还内置了RPM完整性检查function。 但是频繁的检查可能会对资源要求很高,而且很less有用处。 另一方面,关键部分的不断审计相对便宜。 它在一定程度上仍然保证完整性。 所以基本上我的问题是:在哪种情况下,完整性检查(AIDE,RPM或新的东西)比审计更好? UPD:只是澄清一点。 我所说的“审计”是指基于特定的auditd守护进程的RHEL审计服务。 它可以适当调整,不断监督文件和目录。 要失败一个完整性检查,文件应该以某种方式修改,这将由审计系统logging。 那么为什么还要考虑后果(比如校验和失败)呢,我们可以追溯这种修改的原因吗?
目前我有一个相当大的syslog-ng集群设置,这是我的主要日志集合点。 我需要能够确认某些日志并将其标记为审核目的。 比如所有失败的sudo尝试。 我可以很容易地将我感兴趣的日志发送到特定的文件夹,程序或电子邮件,但是想知道你们用于审计的方面。 目前我发送他们到一个MySQL数据库,并在它显示的日志,我可以点击确认,并添加评论,如果我喜欢它。 虽然这种方法的工作,我想要一些更专业的外观。 我曾经考虑过将它们绑定到一个开源的票务系统,并在审查后closures它们,但希望其他人的意见。 谢谢, 埃里克
我有两个独立的环境,一个在另一个环境中发生的奇怪的行为。 具体来说,错误与PHP有关: Fatal error: Nesting level too deep – recursive dependency? 这只发生在AWS上,而不是在我们的内部托pipe,这是一个ESXi虚拟机。 我们尝试同步PHP,PHP模块,Apache,Apache模块版本和configuration都未能消除此AWS唯一错误。 因此,我们现在希望将networking扩大,并考虑依赖性和系统范围的configuration,以尝试和进一步消除环境中的差异。 至less在概念层面上,我已经被同事告知,为此目的可能有指纹工具。 感谢您的任何build议。
我正在尝试logging由于limits.conf中定义的限制上限而导致失败的程序的详细信息。 我最初的计划是用审计系统来做。 这个想法是跟踪限制在limit.conf中的系统调用失败的地方。 然而,这种方法的问题在于,不可能跟踪cpu时间的违规行为,因为违规行为不涉及系统调用的失败。 在CPU时间的情况下,有一件事情是违反cpu时间的程序将被交付一个SIGXCPU。 所以我的问题是我应该如何去logging违反CPU时间的程序? 还有没有limits.conf特定的日志可用?
我目前正在使用auditd来loggingSSH到用户系统的TTY活动。 但是,SFTP会话不会以这种方式logging。 有没有办法使用auditdlogin或将我需要使用单独的logging器的SFTP?
目前我正在编写一些PS脚本,这些脚本可以在新Web服务器上运行,以便在投入生产之前对其进行加固。 其中一个脚本将启动secedit并导入我已定义的策略。 我的查询围绕策略inf文件的[事件审核]部分。 它包含各个方面进行审计的选项,例如: [Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 0 AuditObjectAccess = 0 etc etc 从这个angular度来看,似乎我有两个可能的价值观; 1或0.我的问题是如何设置是否logging每个事件的成功,失败或成功与失败? 任何指针将不胜感激。
我公司最近解雇了一个人。 他们说,他们正在审核这个人的电子活动。 我们都有远程桌面连接,我们用于在家工作。 你知道他们可以在rdp活动上访问什么级别的信息吗? 例如,他们是否确切地知道你在连接时做了什么,比如在Word文档或Excel电子表格上工作,还是只知道你什么时候login,多久等等?