Windows 企業資訊安全稽核應用導入系列 (2)
設計稽核原則與稽核初步實作
**作者:**圖文/林柏甫
本期將會說明如何設計稽核的範圍與對象,並將最重要的「稽核物件存取」完整介紹。
上期的文章中,想必讀者們已經了解九大稽核原則的各項意義,在接下來我們就可以開始進入實戰的領域了!之前有提到,「過度稽核」並不是一件好事,且只會降低整體效能與增加稽核難度,所以在導入前筆者必須再三的說:「要注意!要注意!要注意!」
啟用稽核原則後的工作
定義稽核需求項目
在這一部分中,必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:
表1 需求與對應的稽核項目
| 稽核需求 | 稽核項目對應 |
| 列出非上班時段經由網域驗證登入的帳戶 | 稽核帳戶登入事件 |
| Active Directory 物件的異動 | 機和目錄存取服務 |
| 監控業務部報價單的變化 | 稽核物件存取,並針對業務部的資料夾啟用對應稽核 |
這裡舉出很單純的三個例子,可以說是「快速入門」用以了解意義。最重要也最常被使用的就是「稽核物件存取」,在所有的稽核原則中,這個項目的重要性超乎想像,也是本期的重點所在。
定義稽核範圍
這一個定義中必須明確的指出要稽核的機器有哪些。例如:機房所有的伺服器、公共檔案上的某個目錄、或者是企業內某個員工的電腦,大一點甚至可到某個部門全體。針對「物件存取」稽核的話,範圍的定義更是非常重要。範圍越廣大時,則在調閱稽核紀錄的難度將會提高;反之則可容易且精準的找出問題所在。
定義稽核對象
這一個定義筆者必須說:很暗黑。乍看之下會覺得「就對某個部門或員工稽核而已,哪裡暗黑?」,這裡則要反問「什麼情況下須要針對上述的對象進行稽核」?沒錯…企業害蟲 & 間諜!當一個員工對企業很不滿,可能會做出對公司不利的行為,或是某個新進人員有很高的權限可以接觸公司業務資料時,為保護公司機密而對該員工進行稽核。如果是公共檔案的資料夾,筆者會只對 Domain Users 與 Domain Admins (更大型一點的還包括 Enterprise Admins)進行稽核。
物件存取稽核的說明
當您對資料夾或檔案按下了滑鼠右鍵,進入到[內容]視窗,[安全性]的頁籤時可看到使用者名稱與對應的權限。只要再更深入的進入,按下右下角的[進階]則可看到更多的設定,沒錯!這裡就是物件存取稽核所要設置的核心了!這裡務必要了解每個項目的意義,才能每個檔案與資料夾可針對不同需求進行各種設定。
.jpg)
圖1 [安全性] 頁籤中的 [進階] 選項位置
.jpg)
圖2 [進階安全性設定] 中的 [稽核] 頁籤
定義稽核需求項目
在這一部分中,必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:
表2 稽核項目與觸發紀錄的時機對照
| 稽核項目 | 觸發紀錄時機 |
| 完全控制 | 所有列出的項目全部稽核。請注意,此選項會產生極大量的稽核事件紀錄。 |
| 周遊資料夾/執行檔案 | [對於資料夾]:稽核在資料夾間的移動,使用者沒有此權限又進入該資料夾時,勾選 "拒絕" 時則會將事件紀錄至稽核紀錄中。 [對於檔案]:執行了指定的檔案 (exe,msi) 時的稽核紀錄。 |
| 列出資料夾/讀取檔案 | [對於資料夾]:檢視資料夾中的檔案或子資料夾時的紀錄。 [對於檔案]: 讀取檔案內容(如文字檔) 時的紀錄。 |
| 讀取屬性 | 對檔案或資料夾按下滑鼠右鍵->內容後的紀錄。 |
| 讀取擴充屬性 | 讀取第三方軟體定義屬性的紀錄。例如:WinRAR 會在屬性視窗中加入一個「壓縮率」的屬性頁籤。 |
| 建立檔案/寫入資料 | [建立檔案] :建立新檔案時的紀錄。 [寫入資料] :變更檔案或複寫現有內容時。 |
| 建立資料夾/附加資料 | [建立資料夾] :中新增資料夾時。 [附加資料] :變更檔案結尾時。 |
| 寫入屬性 | 變更檔案或資料夾屬性,例如:將檔案或資料夾加上了 "隱藏" 的屬性。 |
| 寫入擴充屬性 | 變更第三方軟體擴充屬性時。 |
| 刪除子資料夾及檔案 | 刪除整個資料夾與其子檔案時。 |
| 刪除 | 刪除個別檔案時。 |
| 讀取權 | 檔案或資料夾的讀取與寫入時。 |
| 變更權限 | 檔案或資料夾之 NTFS 權限變更時。 |
| 取得擁有權 | 帳戶取得檔案或資料夾的擁有權時。 |
表3 各權限可進行的行為
| 特殊權限 | 完全控制 | 修改 | 閱讀及執行 | 列出資料夾內容 (限資料夾) |
讀取 | 寫入 |
| 周遊資料夾/執行檔案 | O | O | O | O | ||
| 列出資料夾/讀取資料 | O | O | O | O | O | |
| 讀取屬性 | O | O | O | O | O | |
| 讀取擴充屬性 | O | O | O | O | O | |
| 建立檔案/寫入資料 | O | O | O | |||
| 建立資料夾/附加資料 | O | O | O | |||
| 寫入屬性 | O | O | O | |||
| 寫入擴充屬性 | O | O | O | |||
| 刪除子資料夾及檔案 | O | |||||
| 刪除 | O | O | ||||
| 讀取權 | O | O | O | O | O | O |
| 變更權限 | O | |||||
| 取得擁有權 | O | |||||
| 同步處理 | O | O | O | O | O | O |
實作演練-稽核資料夾
以上洋洋灑灑的列出了細節資訊,短時間要全部吸收是有點難度的,旦經由實作的過程可以幫助各位更快速的記憶相關設定。
建立實作環境
首先,先建立一個名稱為TestAudit的資料夾,裡面再建立三個名稱為AAA、BBB、CCC的子資料夾。為了快速上手,我們針對 TestAudit 的稽核項目作簡單的設定,只選取下圖所示之項目即可:
.jpg)
圖3 TestAudit 資料夾的稽核項目設定
進行新增刪修並檢閱紀錄
第一步可以先測試將檔案複製到 TestAudit 資料夾中,同時複製檔案到 AAA, BBB, CCC 資料夾中。最後請將 CCC 資料夾刪除,並到安全性紀錄中瀏覽相關紀錄,您會發現,就不過短短的幾個步驟,安全性記錄已經產生許多事件了。請記得,這裡使用 everyone 是為了快速上手而作此設定,實際環境中還是以 Domain Users 與 Domain Admins 為建議選項。
.jpg)
圖4 TestAudit 的稽核紀錄
.jpg)
圖5 將 Test.txt 複製到 AuditTest 的紀錄 (ID 4656)
.jpg)
圖6 將資料夾 CCC 刪除的紀錄 (ID 4663)
後記
經過剛剛的實作後,是不是開始覺得稽核不再是紙上談兵的作業呢?這一次的實作雖然簡單,但從稽核紀錄裡的東西可以說是鉅細靡遺,每個物件的動作都掌握在其中,在檢閱紀錄時可以藉由此找出風險的所在。當然,稽核的應用可不只如此而已,最近兩期打底與牛刀小試讓各位上手後,相信各位讀者的底子已經足夠了,接下來進階應用與實務導入必定會更得心應手,我們下期見。
| 作者介紹: 林柏甫,現任Microsoft MVP,任職多奇數位資深系統工程師,技術社群-點部落顧問。擅長 Windows、資訊安全、企業IT流程導入。個人部落格:http://www.dotblogs.com.tw/tigerlin/ |
回到頁首