Vista失败审计
我需要满足政府的安全要求才能运送我的产品。 这是我正在试图满足的具体要求:
组ID(Vulid):V-1080组
标题:文件审计configuration
规则ID:SV-29471r1_rule
严重性:CAT II
规则版本(STIG-ID):2.007
规则标题:文件审计configuration不符合最低要求。
漏洞讨论:不正确地修改核心系统文件会导致系统无法运行。 此外,对这些系统文件的修改可能会对系统的安全性configuration产生重大影响。 对系统文件进行重大修改的审计提供了确定责任方的方法。
误报:自动检查有时会将此报告为错误发现。 如果手动审查一个有问题的调查结果显示审核设置正确,那么这不会是一个发现。
职责:系统pipe理员IAControls:ECAR-1,ECAR-2,ECAR-3
检查内容:如果未启用系统级审核,或者系统和数据分区未安装在NTFS分区上,则将其标记为发现。
打开Windows资源pipe理器并使用文件和文件夹属性function来validation每个分区/驱动器上的审核设置是否configuration为审核“Everyone”组的所有“失败”。
如果任何分区/驱动器未configuration为至less满足最低要求,那么这是一个发现。
修复文本:在每个分区/驱动器上configuration审计,以审核“Everyone”组的所有“故障”。
我需要使用整个本地磁盘(C :)的Windows文件审计loggingWindows Vista文件访问失败。 在全新安装Windows Vista Business SP2的情况下,我以本地pipe理员身份login。 在Windows资源pipe理器中,selectC:,属性,高级,审计,继续,继续。 为每个人添加审核条目。 应用于“此文件夹,子文件夹和文件”。 检查“完全控制”失败。 将“仅将此审核条目应用于此容器中的对象和/或容器”取消选中。 好,应用。
当我点击应用程序后,我得到了各种操作系统相关文件夹和文件的数十个“访问被拒绝”错误消息。
将安全信息应用于以下时出错:
文件path
访问被拒绝。
要么
将安全信息应用于以下时出错:
文件path
该进程无法访问该文件,因为它正在被另一个进程使用。
我尝试过C:的所有权,但是当我试图这样做的时候,我也遇到了错误。 有没有一种简单的方法来启用全面的审计C:为每个人通过批处理脚本或通过Windows GUI没有得到操作系统控制的文件和文件夹的数十个错误消息? 如果有什么触发“访问被拒绝”,我可以跳过它,而不必点击错误popup窗口上的“确定”?
我,也可能是所有的系统pipe理员,都会使您远离在整个驱动器上使用Auditing,尤其是工作驱动器。 由于单纯的审计量,这只会使系统陷入停滞。
Everyone组不是你想象的那样。 如果您正在寻找已login的物理人类,这不是您想要审核的正确群组。 。 。
请记住, 很多读取和写入失败。 这是因为这是一个便宜而快速的方法来查明一个文件是否存在。 如果您尝试创build文件,则大多数(即使不是全部)程序将尝试按该名称打开文件。 如果存在,Windows将返回一个文件,程序只是吐出一个错误:“文件存在”。 这比通过目录列表并检查文件名是否已被使用要快得多 。
再次,请记住审计引擎的负担在这里。 文件系统会像正常一样工作,但是审计引擎必须基本跟上。 每次打开和closures句柄时,审计引擎都必须检查是否由于NTFS故障。 考虑到不仅仅是由操作系统创build的手柄的数量,而且只是运行一个普通的程序,这有可能使您的操作系统停滞不前。
将安全信息应用于以下时出错:
文件path
该进程无法访问该文件,因为它正在被另一个进程使用。
错误消息解释了这一切。 该文件正在被另一个程序,或可能的操作系统使用。 尝试在操作系统正在使用时修改文件可能会导致操作系统崩溃。
将安全信息应用于以下时出错:
文件path
访问被拒绝。
一般来说,当有人经过努力阻止你的系统的所有者访问该文件时,通常是有原因的。
所以问题是。 。 。 你想做什么?
如果你确切地解释你打算做什么,这将帮助我们很多 。 你的目标是什么? 你是否试图跟踪login的用户的活动? 这可能是最糟糕的做法。 你想跟踪stream氓程序吗? 这又不是你想要这样做的方式。
编辑
现在我已经读了荒谬的要求,我们已经转移到ServerFault,希望我们可以find一个谁处理这个废话。
这一定是因为没有用户可以访问这些系统文件,除非访问它们的程序具有提升的权限,而且你不想一直这么做。
为什么不只在用户可访问的文件夹上启用审核?