Vista 故障审计

Vista 故障审计

我需要见面政府安全要求以便运送我的产品。以下是我想要满足的具体要求:

组 ID(Vulid):V-1080 组

标题:文件审计配置

规则 ID:SV-29471r1_rule

严重程度:CAT II

规则版本(STIG-ID):2.007

规则标题:文件审核配置不符合最低要求。

漏洞讨论:对核心系统文件的不当修改会导致系统无法运行。此外,对这些系统文件的修改可能会对系统的安全配置产生重大影响。对系统文件所做的重大修改进行审计提供了一种确定责任方的方法。

误报:自动检查有时会将此报告为错误发现。如果对可疑发现的人工审查显示审计设置正确,则这不是发现。

职责:系统管理员 IAControls:ECAR-1、ECAR-2、ECAR-3

检查内容:如果未启用系统级审计,或者系统和数据分区未安装在 NTFS 分区上,则将此标记为发现。

打开 Windows 资源管理器并使用文件和文件夹属性功能来验证每个分区/驱动器上的审核设置是否配置为审核“所有人”组的所有“故障”。

如果任何分区/驱动器的配置未达到最低要求,则会发现这一点。

修复文本:在每个分区/驱动器上配置审核,以审核“所有人”组的所有“故障”。

我需要使用 Windows 文件审核记录整个本地磁盘 (C:) 的 Windows Vista 文件访问失败。在全新安装 Windows Vista Business SP2 后,我以本地管理员身份登录。在 Windows 资源管理器中,我选择 C:、属性、高级、审核、继续、继续。为所有人添加审核条目。应用于“此文件夹、子文件夹和文件”。选中“完全控制”以进行失败检查。不要选中“仅将这些审核条目应用于此容器内的对象和/或容器”。确定,应用。

应用完全控制失败审计

单击“应用”后,我收到数十条针对各种与操作系统相关的文件夹和文件的“访问被拒绝”错误消息。

将安全信息应用于以下对象时发生错误:

文件路径

拒绝访问。

或者

将安全信息应用于以下对象时发生错误:

文件路径

该进程无法访问该文件,因为它正在被另一个进程使用。

错误弹出

我尝试获取 C: 的所有权,但尝试这样做时也出现了错误。有没有一种简单的方法可以通过批处理脚本或 Windows GUI 为每个人启用对 C: 的完整审核,而不会收到数十条有关操作系统控制的文件和文件夹的错误消息?如果有什么触发了“访问被拒绝”,我是否可以跳过它,而不必在错误弹出窗口上单击“确定”?

答案1

我,以及可能所有的系统管理员,都会建议你不要在所有的驱动器,尤其是正在运行的驱动器。仅由于审核量巨大,这就有可能导致您的系统陷入停滞状态。

还有每个人组与您所想的不一样。如果您正在寻找已登录的实体人员,那么这不是您想要审核的正确组。...

记住,大量读写失败。 这是因为这是一种廉价而快速的方法来查找文件是否存在。如果您尝试创建一个文件,大多数(如果不是全部)程序都会尝试打开该名称的文件。如果存在,Windows 将返回一个文件,程序只会发出一个错误:“文件存在”。这是快很多而不是通过目录列表来检查文件名是否已被使用。

再次提醒,请记住,这里的负担在审核引擎上。文件系统将像往常一样运行,但审核引擎必须基本跟上。每次打开和关闭句柄时,审核引擎都必须检查是否由于 NTFS 故障而导致。考虑到不仅由操作系统创建,而且仅通过运行正常程序就会创建大量句柄,这很可能会使您的操作系统陷入停滞状态。

将安全信息应用于以下对象时发生错误:

文件路径

该进程无法访问该文件,因为它正在被另一个进程使用。

错误消息说明了一切。该文件正在被另一个程序使用,也可能是操作系统。在操作系统正在使用该文件时尝试修改该文件可能会导致操作系统崩溃。

将安全信息应用于以下对象时发生错误:

文件路径

拒绝访问。

一般来说,当有人竭力阻止您(系统所有者)访问文件时,通常是有原因的。

那么问题是……你想做什么?

这会帮助我们很多如果你详细解释你计划做什么。你的目标是什么?你是想跟踪登录用户的活动吗?这可能是最糟糕的方法。你是想跟踪流氓程序吗?同样,这不是你想要的方法。

编辑

现在我已经阅读了这些荒谬的要求,并且我们已经转移到了 ServerFault,希望我们能找到一个可以处理这些垃圾的人。

答案2

这是因为,除非访问这些系统的程序具有提升的权限,否则没有用户可以访问这些系统文件,而您不想一直这样做。

为什么不只启用用户可访问文件夹的审核?

相关内容