Vista 故障審計
我需要滿足政府的安全要求才能運送我的產品。這是我要滿足的特定要求:
組 ID(有效):V-1080 組
標題:文件審計配置
規則 ID:SV-29471r1_rule
嚴重性: CAT II
規則版本 (STIG-ID):2.007
規則標題:文件審核配置不滿足最低要求。
漏洞討論:核心系統文件修改不當會導致系統無法執行。此外,對這些系統文件的修改會對系統的安全配置產生重大影響。對系統文件的重大修改進行審計提供了一種確定責任方的方法。
誤報:自動檢查有時會將其報告為錯誤發現。如果對可疑結果的人工審核顯示審核設置正確,那麼這將不是一個結果。
職責:系統管理員 IAControls:ECAR-1、ECAR-2、ECAR-3
檢查內容:如果未啟用系統級審核,或者係統和數據分區未安裝在 NTFS 分區上,則將此標記為發現。
打開 Windows 資源管理器並使用文件和文件夾屬性功能來驗證每個分區/驅動器上的審核設置是否配置為審核“所有人”組的所有“失敗”。
如果任何分區/驅動器未配置為至少最低要求,那麼這是一個發現。
修復文本:在每個分區/驅動器上配置審核以審核“所有人”組的所有“失敗”。
我需要使用整個本地磁碟 (C:) 的 Windows 文件審核來記錄 Windows Vista 文件訪問失敗。使用全新安裝的 Windows Vista Business SP2,我以本地管理員身份登錄。在 Windows 資源管理器中,我選擇 C:、屬性、高級、審核、繼續、繼續。為所有人添加審核條目。應用於“此文件夾、子文件夾和文件”。檢查“完全控制”是否失敗。取消選中“僅將這些審核條目應用於此容器中的對象和/或容器”。好的,申請。
點擊應用後,我收到數十條與作業系統相關的文件夾和文件的“訪問被拒絕”錯誤消息。
將安全資訊應用於:
文件路徑
訪問被拒絕。
或者
將安全資訊應用於:
文件路徑
該程序無法訪問該文件,因為它正被另一個程序使用。
我嘗試獲取 C: 的所有權,但是當我嘗試這樣做時也遇到了錯誤。是否有一種簡單的方法可以通過批處理腳本或通過 Windows GUI 為每個人啟用 C 的完整審核,而不會收到作業系統控制的文件和文件夾的數十條錯誤消息?如果有觸發“訪問被拒絕”的東西,我可以跳過它,而不必在錯誤彈出視窗上點擊“確定”嗎?
我,可能還有所有系統管理員,將引導您遠離在整個驅動器上使用審計,尤其是在工作驅動器上。由於審計的數量龐大,這有可能使您的系統陷入停頓。
而Everyone組並不是你想像的那樣。如果您正在尋找已登錄的物理人類,這不是您要審核的正確組。. .
請記住,很多讀取和寫入都失敗了。 這是因為這是一種查找文件是否存在的廉價且快速的方法。如果您嘗試創建文件,大多數(如果不是全部)程序將嘗試使用該名稱打開文件。如果它存在,Windows 將返回一個文件,而程序只是吐出一個錯誤:“文件存在”。這比瀏覽目錄列表並檢查文件名是否已被使用要快得多。
同樣,請記住這裡的審計引擎的負擔。文件系統將正常執行,但審計引擎必須基本跟上。每次打開和關閉句柄時,審計引擎都必須檢查它是否是由於 NTFS 故障造成的。考慮到不僅由作業系統創建的大量句柄,而且僅通過執行普通程序創建,這可能會使您的作業系統停滯不前。
將安全資訊應用於:
文件路徑
該程序無法訪問該文件,因為它正被另一個程序使用。
錯誤消息說明了一切。該文件正被另一個程序或可能是作業系統使用。在作業系統使用文件時嘗試修改文件有可能導致作業系統崩潰。
將安全資訊應用於:
文件路徑
訪問被拒絕。
通常,當有人努力阻止您(您的系統所有者)訪問文件時,通常是有原因的。
所以問題是。. . 你想做什麼?
如果您準確地解釋您打算做什麼,這將對我們**有很大幫助。**你的目標是什麼?您是否正在嘗試跟踪登錄使用者的活動?這可能是最糟糕的方法。您是否正在嘗試跟踪流氓程序?同樣,這不是您想要的方式。
編輯
既然我已經閱讀了這些荒謬的要求,我們就轉到了 ServerFault,希望我們能找到處理過這種垃圾的人。