等保安全计算环境之Windows（安全审计+入侵防范）（二级）_windows开启安全审计功能

目录

前言

一、安全审计

二、入侵防范

---

前言

上篇文章写了关于Windows身份鉴别和访问控制的核查项和核查方法，接下来讲的是安全审计、入侵防范的核查项和核查方法。

---

一、安全审计

1、应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

a、查看是否启用安全审计功能？是否全面启用？

b、或者安装第三方审计工具。

输入命令secpol.msc，选择本地策略——>审核策略。
//预期结果如下：
审核策略更改：成功，失败 
审核登录事件： 成功，失败 
审核对象访问： 成功，失败 
审核进程跟踪： 成功，失败 
审核目录服务访问：失败 
审核特权使用：失败 
审核系统事件：成功，失败 
审核账户登录事件： 成功，失败
审核账户管理：成功，失败

 如果安装第三方审计工具，重点查看审计是否覆盖用户的操作行为。

2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

输入“eventvwr.msc”，选择事件查看器（本地）——>Windows日志下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型，点击任意类型事件，查看日志文件是否满足此项要求。

Windows操作系统事件查看器中的审计记录默认满足。

3、应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

输入“eventvwr.msc”，选择事件查看器（本地）——>Windows日志下选择其中“应用程序”、“安全”、“设置”、“系统”任意一项参看属性。（默认按需要覆盖事件）

//勾选日志满是将其存档，不覆盖事件

 4、应对审计进程进行保护，防止未经授权的中断

 输入secpol.msc，选择安全设置-——>本地策略——>用户权限分配”，右键点击策略中的“管理审核和安全日志”，查看是否只有系统审计员或系统审计员所在的用户组

二、入侵防范

1、应遵循最小安装的原则，仅安装需要的组件和应用程序；

a、未安装非必要组件

b、未安装非必要的应用程序

输appwiz.cp，打开程序和功能界面，查看右侧程序列表中的安装的应用程序。
 
//预期结果：
没有安装不必要的应用程序，如QQ
 
 
输入dcomcnfg，打开组件服务界面，选择控制台根节点——>组件服务——>计算机——>我的电脑，查看右侧组件列表中的组件内容.
 
//预期结果：
访谈系统管理员，核查有无多余的组件

2、应关闭不需要的系统服务、默认共享和高危端口；

a、未安装不必要的服务；
b、未打开不必要的端口；
c、不存在默认共享；

1、输入services.msc，查看是否有多余的服务
 
//预期结果：
Alerter、Remote Registry Service、Messenger、Task Scheduler未启动。
 
2、输入cmd进入命令行，输入netstat -an，查看开启的端口
 
//高危端口：135、137、138、139、445等
 
3、输入cmd进入命令行，输入net share，查看开启的默认共享
 
//关闭多余的共享文件夹

3、应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

a、查看主机防火墙对登录终端的接入地址限制

b、查看IP筛选器对登录终端的接入地址限制

4、应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

//不适用

5、应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

a、系统是否定期进行漏洞扫描，并及时修补漏洞

b、系统补丁是否及时更新

输入appwiz.cpl，打开程序和功能界面，点击左侧列表中的“查看已安装的更新”，打开“已安装更新”界面，查看右侧列表中的补丁更新情况。

---