建立稽核原則是資訊安全中非常重要的一環。監視物件的建立或修改可方便您追蹤潛在的安全性問題、確保使用者的責任,以及提供安全性漏洞事件的證據。
如果公司電腦上沒有設定稽核,或者稽核設定的門檻太低,在安全性事件發生後,就可能證據不足或根本無法提供證據以進行網路鑑識分析。反過來說,如果啟用太多稽核,那麼安全性記錄檔將會塞滿無意義的項目。所以公司中的所有電腦都應該使用符合情理的稽核原則,讓合法使用者為其動作負責,對於未經授權的活動也可加以偵測和追蹤。今天會針對如何設定稽核,以及如何避免記錄檔過大進行教學。
首先,我們要開始稽核原則:
- 由左下角的「開始」→「程式集」→「系統管理工具」,開啟「本機安全性原則」或「預設網域控制站安全性設定」。
- 雙擊「Windows 設定」,依序展開「安全性設定」→「本機原則」→「稽核原則」。
- 於右側欄雙擊「稽核物件存取」。
- 勾選「安全性原則設定」標籤中的「成功」。
經過以上的設定,這台電腦 (伺服器) 就已經有了基本的物件存取稽核的能力,接下來,我們再替需要監視的資料夾開啟稽核功能!
- 於計劃監視的資料夾上按右鍵,選擇「內容」。
- 切換至「安全性」標籤,點按「進階」按鈕。
- 切換至「」標籤,點按「新增」按鈕。
- 選擇欲稽核的使用者或群組後,勾選想要稽核的項目可以選擇讀取、建立、寫入、刪除,這邊的範例「刪除子資料夾及檔案」和「刪除」,並勾選「成功」或「失敗」時記錄。
由這一刻起,這個資料夾就會受到稽核監視,被稽核的使用者 (群組) 若刪除資料夾或檔案時,就會被記錄在「事件」中:
- 開啟「電腦管理」,切換至「系統工具」→「事件檢視器」→「安全性」。
- 點選相關的事件,就可以看到以下內容。
如果駭客新增、修改、刪除重要目錄檔案時,我們就可以由事件中去查看,到底是誰幹的好事了!
附帶一提的!可以想像公用存取的資料夾若是位在伺服器上,每天就可能有上百筆關於檔案存取的安全性事件記錄!所以,記得一定要去設定「記錄檔大小」的限制!不然,可能會一路澎脹到佔滿一整個磁碟!
- 開啟「電腦管理」,切換至「系統工具」→「事件檢視器」。
- 於左側的「安全性」上,按滑鼠右鍵,選擇「內容」。
0 意見:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!