windows系统怎样部署日志审计系统【windows的审计系统的简单介绍】微软系统中任何关于如何限制或控制管理员权限的讨论通常都会得到这样的结果:windows的审计系统你怎样才能不把管理权限送给那些你不信任的人?这有一定道理windows的审计系统,但是在没有证据表明管理员做错了事情的情况下,如何才能正确判断一个管理员是否值得信任呢?再者,你如何证明你的判断呢?你不能剥夺一个域管理员太多权限 , 尤其是在每个域都要管理的多网域环境下,所以说有时候限制管理员的权利和授权活动这项工作很难实现 。辅助人员和供给人员通常也需要具有管理权利,而且有时政治需求还会需要更多的管理人员 。所以,真正的问题是 , 你如何去审计一个管理员?虽然答案是只要启用审计就行了,但是只是简单地启用审计功能并不能解决所有的问题 。举例来说,我最近与许多管理员一起进行了一项大型的活动目录部署活动 。他们有一个应用程序,使用特定的用户对象属性提供对该应用程序的连接 。站在安全相关立场 , 他们发现管理员可以禁用审计功能 , 修改一些关键的属性,并且可以对该应用程序做坏事 。然后该管理员可以重新启用审计功能而不会被觉察---甚至WindowsServer2008R2的属性审计功能也是如此 。启用审计功能的时候 , 系统可以记录足够的事件,从中可以看出谁改变了对象,以及谁改变了属性 。但是由于审计功能被禁用 , 所有这方面的证据都消失了 。
当前市面上的代码审计工具哪个比较好?第一类:Seay源代码审计系统
这是基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上 。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞,基本上覆盖常见的PHP漏洞 。在功能上 , 它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能 。
第二类:Fortify SCA
Fortify
SCA是由惠普研发的一款商业软件产品,针对源代码进行专业的白盒安全审计 。当然,它是收费的 , 而且这种商业软件一般都价格不菲 。它有Windows、Linux、Unix以及Mac版本,通过内置的五大主要分析引擎对应用软件的源代码进行静态分析 。
第三类:RIPS
RIPS是一款基于PHP开发的针对PHP代码安全审计的软件 。另外,它也是一款开源软件,由国外安全研究员开发,程序只有450KB,目前能下载到的最新版本是0.54,不过这款程序已经停止更新了 。它最大的亮点在于调用了PHP内置解析器接口token_get_all , 并且使用Parser做了语法分析,实现了跨文件的变量及函数追踪,扫描结果中非常直观地展示了漏洞形成及变量传递过程 , 误报率非常低 。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞,文件多种样式的代码高亮 。
Wazuh功能——审计 who-data审核who-data
新版本3.4.0 。
从3.4.0版本开始windows的审计系统,Wazuh集成了一项新功能 , 可以从监控文件中获取who-data 。
此信息包含对监控文件进行更改的用户,以及用于执行这些更改的程序名或进程 。
一、在Linux中审计who-data
who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件,这些审计事件由syscheck处理并报告给经理 。
1、配置
首先,windows的审计系统我们需要检查审计守护进程是否安装在我们的系统中 。
在基于RedHat的系统中,Auditd通常是默认安装的 。如果没有安装,我们需要使用以下命令进行安装:
# yum install audit
对于基于Debian的系统,请使用以下命令:
# apt install auditd
下一步是配置syscheck,以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:
添加此配置后,我们需要重新启动Wazuh来应用更改 。
我们可以检查是否应用了用于监视所选文件夹的审计规则 。要检查这一点,我们需要执行以下命令
# auditctl -l | grep wazuh_fim
并检查是否添加了规则
当代理停止时,我们可以使用相同的命令检查添加的规则是否已成功删除 。
2、警报字段
当启用whodata时,在FIM警报中接收到以下字段:
3、警报的例子
在下面的示例中,我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:
日志格式警告:
JSON格式的警告:
二、在Windows中审计who-data
1、它是如何工作的
who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件,这些审计事件由syscheck处理并报告给管理者 。兼容大于Windows Vista的系统 。
2、配置
要在whodata模式下启动监视,必须正确配置要监视的目录的SACL 。Wazuh在启动ossec.conf文件中标记whodata="https://www.04ip.com/post/yes"的目录时自动执行此任务:
系统审计策略也需要正确配置 。对于大多数受支持的Windows系统,这部分也是自动完成的 。如果您的系统优于Windows Vista,但审计策略无法自配置,请参阅配置本地审计策略指南 。
三、警报字段
启用whodata时 , 将收到以下字段:
四、警报的例子
日志格式警告:
JSON格式的警告:
关于windows的审计系统和的介绍到此就结束了 , 不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息 , 记得收藏关注本站 。
推荐阅读
- 新手抖音直播怎么设置密码,抖音直播可以设置密码
- materialtypesap的简单介绍
- 极限动作作死游戏,极限运动的游戏
- 中国go语言第一人 go语言创始人
- 高洛峰thinkphp,高洛峰 新版php视频
- 原生js实现转盘抽奖,抽奖转盘html
- pg批量清空表数据,pg数据库删除大量数据
- 怎么把oracle怎么找 怎么查找oracle下的目录具体位置
- go语言还能用什么软件编,go语言用什么编译器