PCI DSS 10.2 规定:“对所有系统组件实施自动审计跟踪,以重建以下事件:“并且 10.2.2 继续,”任何具有根权限或管理权限的个人采取的所有行动。“
我正在努力在我们的 Windows 机器(Windows 7、8 和 2008R2)上实现这一点。
OSSEC 可以记录文件和注册表项的更改,但它不太适合这个要求,因为它不记录WHO做出了改变。
我尝试使用 Windows 中内置的审计策略,如下所示: http://blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging-in-windows/
因此我运行了 secpol.msc,转到“本地策略”>“审计策略”并为所有条目启用成功和失败。
接下来,我选择了一个很少触及的数据文件夹作为测试:“属性”>“安全”>“高级”>“审计”>“添加”
Select a principal: Administrators
Type: All
Access: Full control
Advanced Permissions: Only write, create and execute-related permissions checked.
这确实记录了对文件夹中文件的所有访问,但是问题是,事件日志现在不仅充斥着来自管理员组的明确成员的条目,而且似乎还充斥着来自任何具有管理员权限的进程(例如防病毒进程)的条目。
另外,请注意,以上内容仅适用于一个很少访问的文件夹 - 我还必须为所有系统文件夹等添加日志记录,这将使日志泛滥变得更加严重。
我如何记录管理员的所有活动用户(根据上述 10.2.2)没有这些额外的噪音?
此外,上述审计涵盖了文件系统更改,但如何审计关键注册表更改?
我将非常感激有关如何满足上述要求的建议(最好不要在商业产品上花费大量金钱)。
答案1
问题是默认管理员组隐式包含内置的“NT Authority \ SYSTEM”以及可能的其他内置帐户。
如果在默认管理员组上启用了审核,系统将生成所需的事件,以及与系统活动有关的大量不良事件,无论是否有人登录。
解决方案是创建一个管理员组,并明确创建由该组成员拥有的管理帐户。然后审核该组的活动。