windows审计系统的简单介绍

Wazuh功能——审计 who-data审核who-data
新版本3.4.0 。
从3.4.0版本开始,Wazuh集成了一项新功能 , 可以从监控文件中获取who-data 。
此信息包含对监控文件进行更改的用户,以及用于执行这些更改的程序名或进程 。
一、在Linux中审计who-data
who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件 , 这些审计事件由syscheck处理并报告给经理 。
1、配置
首先,我们需要检查审计守护进程是否安装在我们的系统中 。
在基于RedHat的系统中 , Auditd通常是默认安装的 。如果没有安装 , 我们需要使用以下命令进行安装:
# yum install audit
对于基于Debian的系统 , 请使用以下命令:
# apt install auditd
下一步是配置syscheck,以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:
添加此配置后,我们需要重新启动Wazuh来应用更改 。
我们可以检查是否应用了用于监视所选文件夹的审计规则 。要检查这一点,我们需要执行以下命令
# auditctl -l | grep wazuh_fim
并检查是否添加了规则
当代理停止时,我们可以使用相同的命令检查添加的规则是否已成功删除 。
2、警报字段
当启用whodata时,在FIM警报中接收到以下字段:
3、警报的例子
在下面的示例中,我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:
日志格式警告:
JSON格式的警告:
二、在Windows中审计who-data
1、它是如何工作的
who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件,这些审计事件由syscheck处理并报告给管理者 。兼容大于Windows Vista的系统 。
2、配置
要在whodata模式下启动监视,必须正确配置要监视的目录的SACL 。Wazuh在启动ossec.conf文件中标记whodata="https://www.04ip.com/post/yes"的目录时自动执行此任务:
系统审计策略也需要正确配置 。对于大多数受支持的Windows系统,这部分也是自动完成的 。如果您的系统优于Windows Vista,但审计策略无法自配置,请参阅配置本地审计策略指南 。
三、警报字段
【windows审计系统的简单介绍】 启用whodata时,将收到以下字段:
四、警报的例子
日志格式警告:
JSON格式的警告:
Windows 7是否具有安全审计的功能Win7对审计功能做了很大的优化windows审计系统,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待 。
当将某个文件夹设置为共享后,可以通过操作系统的访问审核功能,让系统记录下访问这个共享文件 的相关信息 。这个功能在Windows7以前的操作系统版本中就可以实现 。此时的安全审核在共享级 。共享 时一个文件服务器的入口点,以便允许用户访问文件服务器上的特定目录 。注意 , 共享级别的安全审核 ,无法做到审计文件访问,即文件级别的安全审核访问 。也就是说,现在只是针对一个单独的文件需要 设置审计文件访问 , 在FAT32等比较老的文件系统中无法实现,windows审计系统他们只能够针对整个文件加设置访问审计,而无法针对特定的文件 。
一、在文件级别还是在共享级别设置安全审计
共享级别安全性只能够在文件夹上设置安全审计,所以其灵活性相对差一点 。而文件级别的安全 审计,可以在特定的服务器上、目录或者文件上设置审计 。故系统管理员的灵活性比较高 , 可以根据时 机需要,在合适的地方部署安全审计 。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录 。在Windows网络中,对一些关键网络资源的访问进行审计,是提高网络安全与企业 数据安全的比较通用的手法 , 可以通过安全审计来确定是否有人正试图访问受限制的信息 。
在哪 个级别上设置安全审计比较有利呢?这主要看用户的需要 。如在一个文件夹中,有数以百计的文件 。而其 实比较机密的可能就是五、六个文件 。此时如果在文件夹级别上实现安全访问审计的话,那么在安全日 志中,其审核记录会很多 。此时查看起来反而会非常的不方便 , 有时候反而有用的记录会被那些无用记 录所遮挡掉 。为此,如果一个文件夹中文件或者子文件夹比较多,而有审计要求的文件又在少数,此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适 。如此可以减少系 统管理员后续维护的工作量 。相反 , 在共享文件中,有一个特定的文件夹专门用来放置一些机密文件 , 此时就是在文件夹级别上实现安全审计更加的合理 。可见在哪个级别上来实现安全审计策略,并没有一 个固定的标准 。这主要看用户需求来定的 。如果一定要说出一个具体的参考标准,那么可以根据如下这 个准则来选择,即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求 , 就在哪个级别上 设置安全访问审计 。简单的说,就是同时满足两个条件 。一是产生的审核记录最少,便于阅读;二是需要 满足用户安全方面的需求 。往往则两个条件是相互矛盾的,系统管理员需要在他们之间取得一个均衡 。
二、该选用什么样的安全审计策略?
在审计文件访问策略中,可以根据需要选择多种安全 审计策略,即可以告诉操作系统 , 在发生哪些操作时将访问的信息记入到安全日志中,包括访问人员、 访问者的电脑、访问时间、进行了什么操作等等 。如果将全部的访问操作都记录在日志中,那么日志的 容量会变得很大 , 反而不易于后许的维护与管理 。为此系统管理员在设置审计文件访问策略时,往往需 要选择一些特定的事件 , 以减少安全访问日志的容量 。为了达到这个目的,下面的一些建议各位系统管 理员可以参考一下 。
一是最少访问操作原则 。在Windows7种,将这个访问操作分为很细,如修改 权限、更改所有者等等十多种访问操作 。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者 进行相关的设置,但是对于系统管理员来说这仍然是一个福音 。权限细分意味着管理员选择特定的访问 操作之后 , 就可以得到最少的审核记录 。简单的说,“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现 。因为在实际工作中,往往只需要对特定的操作进行审计即可 。如只 对用户更改文件内容或者访问文件等少部分操作进行审计即可 。而不需要对全部操作进行审计 。如此产 生的审计记录就会少的多,同时用户的安全需求也得以实现 。
二是失败操作优先选择 。对于任何 的操作,系统都分为成功与失败两种情况 。在大部分情况下 , 为了收集用户非法访问的信息,只需要让 系统记入失败事件即可 。如某个用户,其只能够只读访问某个共享文件 。此时管理员就可以给这个文件 设置一个安全访问策略 。当用户尝试更改这个文件时将这个信息记入下来 。而对于其他的操作,如正常 访问时则不会记录相关的信息 。这也可以大幅度的减少安全审计记录 。所以笔者建议,一般情况下只要 启用失败事件即可 。在其不能够满足需求的情况下,才考虑同时启用成功事件记录 。此时一些合法用户 合法访问文件的信息也会被记录下来,此时需要注意的是,安全日志中的内容可能会成倍的增加 。在 Windows7操作系统中可以通过刷选的方式来过滤日志的内容,如可以按“失败事件”,让系 统只列出那些失败的记录,以减少系统管理员的阅读量 。
三、如何利用蜜糖策略收集非法访问者 的信息?
在实际工作中,系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息 。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖 , 吸引一些想偷蜜的蜜蜂,并将他们的信息记 录下来 。如可以在网络的共享文件上,设置一些看似比较重要的文件 。然后在这些文件上设置审计访问 策略 。如此,就可以成功地收集那些不怀好意的非法入侵者 。不过这守纪起来的信息,往往不能够作为 证据使用 。而只能够作为一种访问的措施 。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子” , 老是试图访问一些未经授权的文件,或者对某些文件进行越权操作,如恶意更改或者删除文件等等 。知己知彼,才能够购百战百胜 。收集了这些信息之后,系统管理员才可 以采取对应的措施 。如加强对这个用户的监控,或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等 。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者,以防止他们做出更 加严重的破坏 。
四、注意:文件替换并不会影响原有的审计访问策略 。
如上图中,有一 个叫做捕获的图片文件 , 笔者为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略 。此时,笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中,把原先的文件覆盖掉 。注意此时将这个没有设置任何的安 全审计访问策略 。文件复制过去之后,因为同名会将原先的文件覆盖掉 。但是,此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了 。换句话说,现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限 。这是一个很奇怪的现象,笔者也是在无意之中发现 。不知道这是Windows7 操作系统 的一个漏洞呢 , 还是其故意这么设置的?这有待微软操作系统的开发者来解释了 。
除了服务器系统之外,windows7系统的安全性也是非常值得信任的,也正因为它极高的安全防护受到了很多用户的喜爱 , 拥有着一群广泛的体验用户,究竟是怎样的安全机制来保护着系统呢,让我们去认识一下windows7系统下强大的安全功能吧 。
1、Kernel Patch:系统级的安全平台的一个亮点就是kernel patch,它可以阻止对进程列表等核心信息的恶意修改,这种安全保护这只有在操作系统能实现,其他杀毒软件是无法实现的 。
2、进程权限控制:低级别的进程不能修改高级别的进程 。
3、用户权限控制UAC:将用户从管理员权限级别移开,在缺省条件下用户不再一直使用管理员权限,虽然UAC一直被争议,在使用中笔者也常常感到繁琐,但用户权限控制确实是操作系统的发展趋势,因为用户一直使用管理员权限是非常危险的 。
当然,Win7还是有了很大的改善,在Vista下,UAC管理范围很宽,很多应用都碰到UAC提示 。而在Win7里,减少了需要UAC提示的操作,强调安全的同时更加注重用户体验
4、审计功能:Win7对审计功能做了很大的优化,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待 。
5、安全访问:一台机器上多个防火墙的配置 。Win7里面可以同时配置存储多个防火墙配置,随着用户位置的变换,自动切换到不同的防火墙配置里 。
6、DNSSec支持:增强了域名解析协议标准,老的DNS是有风险的,因此增加了对DNS增强版DNSSec的支持 。
7、NAP网络权限保护:这个是在VISTA中就引入的功能,里继续继承了 。可以对电脑进行健康检验 。
8、DirectAccess安全无缝的同公司网络连接:远程用户通过VPN难以访问公司资源,IT面临对远程机器管理的挑战 。win7系统的解决方案就是DirectAccess,提供了公司内外对公司资源的一致性访问体验 。提高远程用户的效率 。唯一的局限在于,只能在server2008系统中才能使用 。
9、应用程序控制AppLocker:禁止非授权的应用程序在网络运行 。对应用程序进行标准化管理,通过Group Policy进行管理 。其中一个亮点是规则简单,可以基于厂商的信任认证,比如你把AAA公司设为黑名单,以后所有这个公司的软件产品和程序,都会被拒绝 。
10、数据保护BitLocker:保护笔记本丢失后数据安全问题,同时也支持对U盘的加密和保护,优盘是病毒传播的重要途径之一,BitLocker可以对U盘进行加密处理,防止别人对你的优盘进行数据写入 。这就阻隔的病毒侵入的风险 。
Windows7系统的安全性防护是用户们有目共睹的,正因为有上述介绍的这些强大的安全功能做后盾,windows7系统的用户才可以这么放松,这么没烦恼地畅游网络,放心使用系统 。
windows系统怎样部署日志审计系统如果windows审计系统你是要查看日志windows审计系统的windows审计系统,
直接右键--计算机--选择管理--windows日志里面有各种日志可以查看 。
windows审计系统的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于、windows审计系统的信息别忘了在本站进行查找喔 。

    推荐阅读