[資安筆記] Windows企業資安稽核應用系列 (2) - 設計稽核原則與稽核初步實作
上篇文章中已經了解九大稽核原則的各項意義,接下來我們就可以開始進入實戰的領域了!之前有提到,「過度稽核」並不是一件好事,且只會降低整體效能與增加稽核難度,所以在導入前筆者必須再三的說:「要注意!要注意!要注意!」
啟用稽核原則後的工作
- 定義稽核需求項目
在這一部分中,必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:
表1 需求與對應的稽核項目稽核需求
稽核項目對應
列出非上班時段經由網域驗證登入的帳戶
稽核帳戶登入事件
Active Directory 物件的異動
機和目錄存取服務
監控業務部報價單的變化
稽核物件存取
並針對業務部的資料夾啟用對應稽核
這裡舉出很單純的三個例子,可以說是「快速入門」用以了解意義。最重要也最常被使用的就是「稽核物件存取」,在所有的稽核原則中,這個項目的重要性超乎想像,也是本篇的重點所在。
- 定義稽核範圍
這一個定義中必須明確的指出要稽核的機器有哪些。例如:機房所有的伺服器、公共檔案上的某個目錄、或者是企業內某個員工的電腦,大一點甚至可到某個部門全體。針對「物件存取」稽核的話,範圍的定義更是非常重要。範圍越廣大時,則在調閱稽核紀錄的難度將會提高;反之則可容易且精準的找出問題所在。
- 定義稽核對象
這一個定義筆者必須說有點「暗黑」的成份。乍看之下會覺得「就對某個部門或員工稽核而已,哪裡暗黑?」,這裡則要反問「什麼情況下須要針對上述的對象進行稽核」?沒錯…企業害蟲 & 間諜!當一個員工對企業很不滿,可能會做出對公司不利的行為,或是某個新進人員有很高的權限可以接觸公司業務資料時,為保護公司機密而對該員工進行稽核。如果是公共檔案的資料夾,筆者會只對 Domain Users 與 Domain Admins (更大型一點的還包括 Enterprise Admins)進行稽核。
物件存取稽核說明
對資料夾或檔案按下了滑鼠右鍵,進入到[內容]視窗,[安全性]的頁籤時可看到使用者名稱與對應的權限。只要再更深入的進入,按下右下角的[進階]則可看到更多的設定,沒錯!這裡就是物件存取稽核所要設置的核心了!這裡務必要了解每個項目的意義,才能每個檔案與資料夾可針對不同需求進行各種設定。
![clip_image002[4]](https://dotblogsfile.blob.core.windows.net/user/tigerlin/1001/Windows2_E3ED/clip_image002%5B4%5D.jpg "clip_image002[4]")
圖1 [安全性]頁籤中的[進階]選項位置
![clip_image002[6]](https://dotblogsfile.blob.core.windows.net/user/tigerlin/1001/Windows2_E3ED/clip_image002%5B6%5D.jpg "clip_image002[6]")
圖2 [進階安全性設定]中的[稽核]頁籤
- 定義稽核需求項目
這一部分中必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:
表2 稽核項目與觸發紀錄的時機對照稽核項目
觸發紀錄時機
完全控制
所有列出的項目全部稽核。請注意,此選項會產生極大量的稽核事件紀錄。
周遊資料夾/執行檔案
[對於資料夾]:稽核在資料夾間的移動,使用者沒有此權限又進入該資料夾時,勾選 “拒絕”時則會將事件紀錄至稽核紀錄中。
[對於檔案]:執行了指定的檔案(exe,msi)時的稽核紀錄。
列出資料夾/讀取檔案
[對於資料夾]:檢視資料夾中的檔案或子資料夾時的紀錄。
[對於檔案]: 讀取檔案內容(如文字檔) 時的紀錄。
讀取屬性
對檔案或資料夾按下滑鼠右鍵->內容後的紀錄。
讀取擴充屬性
讀取第三方軟體定義屬性的紀錄。例如:WinRAR會在屬性視窗中加入一個「壓縮率」的屬性頁籤。
建立檔案/寫入資料
[建立檔案] :建立新檔案時的紀錄。
[寫入資料] :變更檔案或複寫現有內容時。
建立資料夾/附加資料
[建立資料夾] :中新增資料夾時。
[附加資料] :變更檔案結尾時。
寫入屬性
變更檔案或資料夾屬性,例如:將檔案或資料夾加上了 “隱藏” 的屬性。
寫入擴充屬性
變更第三方軟體擴充屬性時。
刪除子資料夾及檔案
刪除整個資料夾與其子檔案時。
刪除
刪除個別檔案時。
讀取權
檔案或資料夾的讀取與寫入時。
變更權限
檔案或資料夾之 NTFS 權限變更時。
取得擁有權
帳戶取得檔案或資料夾的擁有權時。
- 表3 各權限可進行的行為
特殊權限 | 完全控制 | 修改 | 閱讀及執行 | 列出資料夾內容 | 讀取 | 寫入 |
周遊資料夾/執行檔案 | O | O | O | O |
|
|
列出資料夾/讀取資料 | O | O | O | O | O |
|
讀取屬性 | O | O | O | O | O |
|
讀取擴充屬性 | O | O | O | O | O |
|
建立檔案/寫入資料 | O | O |
|
|
| O |
建立資料夾/附加資料 | O | O |
|
|
| O |
寫入屬性 | O | O |
|
|
| O |
寫入擴充屬性 | O | O |
|
|
| O |
刪除子資料夾及檔案 | O |
|
|
|
|
|
刪除 | O | O |
|
|
|
|
讀取權 | O | O | O | O | O | O |
變更權限 | O |
|
|
|
|
|
取得擁有權 | O |
|
|
|
|
|
同步處理 | O | O | O | O | O | O |
實作演練-稽核資料夾
- 建立實作環境
首先,先建立一個名稱為TestAudit的資料夾,裡面再建立三個名稱為AAA、BBB、CCC的子資料夾。為了快速上手,我們針對TestAudit的稽核項目作簡單的設定,只選取下圖所示之項目即可:
圖3 TestAudit 資料夾稽核項目設定
- 進行新增刪修並檢閱紀錄
第一步可以先測試將檔案複製到TestAudit資料夾中,同時複製檔案到 AAA, BBB, CCC 資料夾中。最後請將 CCC 資料夾刪除,並到安全性紀錄中瀏覽相關紀錄,您會發現,就不過短短的幾個步驟,安全性記錄已經產生許多事件了。請記得,這裡使用 everyone 是為了快速上手而作此設定,實際環境中還是以 Domain Users 與 Domain Admins 為建議選項。
![clip_image002[8]](https://dotblogsfile.blob.core.windows.net/user/tigerlin/1001/Windows2_E3ED/clip_image002%5B8%5D.jpg "clip_image002[8]")
圖4 TestAudit的稽核紀錄 ![clip_image002[10]](https://dotblogsfile.blob.core.windows.net/user/tigerlin/1001/Windows2_E3ED/clip_image002%5B10%5D.jpg "clip_image002[10]")
圖5 將Test.txt複製到AuditTest的紀錄(ID 4656)
![clip_image002[12]](https://dotblogsfile.blob.core.windows.net/user/tigerlin/1001/Windows2_E3ED/clip_image002%5B12%5D.jpg "clip_image002[12]")
圖6 將資料夾CCC刪除的紀錄(ID 4663)
後記
這一次的實作雖然簡單,但從稽核紀錄裡的東西可以說是鉅細靡遺,每個物件的動作都掌握在其中,在檢閱紀錄時可以藉由此找出風險的所在。當然,稽核的應用可不只如此而已,最近兩期打底與牛刀小試讓各位上手後,相信各位讀者的底子已經足夠了,接下來進階應用與實務導入必定會更得心應手。
