windows系統(tǒng)怎樣部署日志審計(jì)系統(tǒng)

微軟系統(tǒng)中任何關(guān)于如何限制或控制管理員權(quán)限的討論通常都會(huì)得到這樣的結(jié)果：你怎樣才能不把管理權(quán)限送給那些你不信任的人?這有一定道理，但是在沒(méi)有證據(jù)表明管理員做錯(cuò)了事情的情況下，如何才能正確判斷一個(gè)管理員是否值得信任呢?再者，你如何證明你的判斷呢?你不能剝奪一個(gè)域管理員太多權(quán)限，尤其是在每個(gè)域都要管理的多網(wǎng)域環(huán)境下，所以說(shuō)有時(shí)候限制管理員的權(quán)利和授權(quán)活動(dòng)這項(xiàng)工作很難實(shí)現(xiàn)。輔助人員和供給人員通常也需要具有管理權(quán)利，而且有時(shí)政治需求還會(huì)需要更多的管理人員。所以，真正的問(wèn)題是，你如何去審計(jì)一個(gè)管理員?雖然答案是只要啟用審計(jì)就行了，但是只是簡(jiǎn)單地啟用審計(jì)功能并不能解決所有的問(wèn)題。舉例來(lái)說(shuō)，我最近與許多管理員一起進(jìn)行了一項(xiàng)大型的活動(dòng)目錄部署活動(dòng)。他們有一個(gè)應(yīng)用程序，使用特定的用戶(hù)對(duì)象屬性提供對(duì)該應(yīng)用程序的連接。站在安全相關(guān)立場(chǎng)，他們發(fā)現(xiàn)管理員可以禁用審計(jì)功能，修改一些關(guān)鍵的屬性，并且可以對(duì)該應(yīng)用程序做壞事。然后該管理員可以重新啟用審計(jì)功能而不會(huì)被覺(jué)察---甚至WindowsServer2008R2的屬性審計(jì)功能也是如此。啟用審計(jì)功能的時(shí)候，系統(tǒng)可以記錄足夠的事件，從中可以看出誰(shuí)改變了對(duì)象，以及誰(shuí)改變了屬性。但是由于審計(jì)功能被禁用，所有這方面的證據(jù)都消失了。

成都創(chuàng)新互聯(lián)公司成立于2013年，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站設(shè)計(jì)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元文圣做網(wǎng)站,已為上家服務(wù),為文圣各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):13518219792

windows系統(tǒng)中可以通過(guò)什么進(jìn)行系統(tǒng)日志的審計(jì)

WindowsNT/2000的系統(tǒng)日志文件有應(yīng)用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系統(tǒng)日志SysEvent.Evt，根據(jù)系統(tǒng)開(kāi)通的服務(wù)還會(huì)產(chǎn)生相應(yīng)的日志文件。例如，DNS服務(wù)器日志DNS Serv.evt，F(xiàn)TP日志、WWW日志等。

日志文件默認(rèn)存放位置：%systemroot%\system32\config，默認(rèn)文件大小512KB。這些日志文件在注冊(cè)表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相應(yīng)鍵值來(lái)改變?nèi)罩疚募拇娣怕窂胶痛笮　?/p>

概述

查看系統(tǒng)日志方法：開(kāi)始→設(shè)置→控制面板→管理工具中找到的“事件查看器”，或者在【開(kāi)始】→【運(yùn)行】→輸入 eventvwr.msc 也可以直接進(jìn)入“事件查看器”在“事件查看器”當(dāng)中的系統(tǒng)日志中包含了windows XP 系統(tǒng)組建記錄的事件，在啟動(dòng)過(guò)程中加載驅(qū)動(dòng)程序和其他一些系統(tǒng)組建的成功與否都記錄在系統(tǒng)日志當(dāng)中。

可從以下哪幾方面審計(jì)windows系統(tǒng)是否存在后門(mén)

1、可以從查看服務(wù)信息審計(jì)。

2、可以從查看驅(qū)動(dòng)信息審計(jì)。

3、可以從查看注冊(cè)表鍵值審計(jì)。

4、可以從查看系統(tǒng)日志審計(jì)等方面審計(jì)。

Wazuh功能——審計(jì) who-data

審核who-data

新版本3.4.0。

從3.4.0版本開(kāi)始，Wazuh集成了一項(xiàng)新功能，可以從監(jiān)控文件中獲取who-data。

此信息包含對(duì)監(jiān)控文件進(jìn)行更改的用戶(hù)，以及用于執(zhí)行這些更改的程序名或進(jìn)程。

一、在Linux中審計(jì)who-data

who-data監(jiān)視功能使用Linux審計(jì)子系統(tǒng)獲取關(guān)于誰(shuí)在監(jiān)視目錄中進(jìn)行了更改的信息。這些更改產(chǎn)生審計(jì)事件，這些審計(jì)事件由syscheck處理并報(bào)告給經(jīng)理。

1、配置

首先，我們需要檢查審計(jì)守護(hù)進(jìn)程是否安裝在我們的系統(tǒng)中。

在基于RedHat的系統(tǒng)中，Auditd通常是默認(rèn)安裝的。如果沒(méi)有安裝，我們需要使用以下命令進(jìn)行安裝:

# yum install audit

對(duì)于基于Debian的系統(tǒng)，請(qǐng)使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我們的ossec.conf文件的所選文件夾中啟用whodata監(jiān)視:

添加此配置后，我們需要重新啟動(dòng)Wazuh來(lái)應(yīng)用更改。

我們可以檢查是否應(yīng)用了用于監(jiān)視所選文件夾的審計(jì)規(guī)則。要檢查這一點(diǎn)，我們需要執(zhí)行以下命令

# auditctl -l | grep wazuh_fim

并檢查是否添加了規(guī)則

當(dāng)代理停止時(shí)，我們可以使用相同的命令檢查添加的規(guī)則是否已成功刪除。

2、警報(bào)字段

當(dāng)啟用whodata時(shí)，在FIM警報(bào)中接收到以下字段:

3、警報(bào)的例子

在下面的示例中，我們可以看到用戶(hù)Smith是如何向文件/etc/hosts.添加新IP的允許使用具有sudo權(quán)限的nano編輯器:

日志格式警告:

JSON格式的警告:

二、在Windows中審計(jì)who-data

1、它是如何工作的

who-data監(jiān)視功能使用Microsoft Windows審計(jì)系統(tǒng)獲取關(guān)于誰(shuí)在監(jiān)視目錄中進(jìn)行了更改的信息。這些更改產(chǎn)生審計(jì)事件，這些審計(jì)事件由syscheck處理并報(bào)告給管理者。兼容大于Windows Vista的系統(tǒng)。

2、配置

要在whodata模式下啟動(dòng)監(jiān)視，必須正確配置要監(jiān)視的目錄的SACL。Wazuh在啟動(dòng)ossec.conf文件中標(biāo)記whodata="yes"的目錄時(shí)自動(dòng)執(zhí)行此任務(wù):

系統(tǒng)審計(jì)策略也需要正確配置。對(duì)于大多數(shù)受支持的Windows系統(tǒng)，這部分也是自動(dòng)完成的。如果您的系統(tǒng)優(yōu)于Windows Vista，但審計(jì)策略無(wú)法自配置，請(qǐng)參閱配置本地審計(jì)策略指南。

三、警報(bào)字段

啟用whodata時(shí)，將收到以下字段:

四、警報(bào)的例子

日志格式警告:

JSON格式的警告:

文章名稱(chēng)：windows的審計(jì)系統(tǒng)的簡(jiǎn)單介紹
網(wǎng)站地址：http://chinadenli.net/article46/hgoeeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、網(wǎng)站營(yíng)銷(xiāo)、網(wǎng)站建設(shè)、域名注冊(cè)、App開(kāi)發(fā)、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)