日志安全管理设置机制

日志安全管理设置机制日志安全管理设置机制 1 windows 日志配置操作日志配置操作 1 1 日志配置日志配置 1 1 1 审核审核登录登录 安全基线项安全基线项 目名称目名称 操作系统审核登录策略安全基线要求项 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 开始 运行 执行 控制面板 管理工具 本地安全策略 审核策略 审核登录事件 基线符合性基线符合性 判定依据判定依据 审核登录事件 设置为成功和失败都审核 备注备注 1 1 2 审核策略审核策略更改更改 安全基线项安全基线项 目名称目名称 操作系统审核策略更改安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核策略更改 成功和失败都要审核 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核策略更改 设置 基线符合性基线符合性 判定依据判定依据 审核策略更改 设置为 成功 和 失败 都要审核 备注备注 1 1 3 审核审核对象访问对象访问 安全基线项安全基线项 目名称目名称 操作系统审核对象访问安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核对象访问 成功和失败都要审核 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核对象访问 设置 基线符合性基线符合性 判定依据判定依据 审核对象访问 设置为 成功 和 失败 都要审核 备注备注 1 1 4 审核事件审核事件目录服务器访问目录服务器访问 安全基线项安全基线项 目名称目名称 操作系统审核事件目录服务器访问策略安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核目录服务访问 失败 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核目录服务器访问 设置 基线符合性基线符合性 判定依据判定依据 审核目录服务器访问 设置为 成功 和 失败 都要审核 备注备注 1 1 5 审核特权使用审核特权使用 安全基线项安全基线项 目名称目名称 操作系统审核特权使用策略安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核特权使用 成功和失败都要审核 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核特权使用 设置 基线符合性基线符合性 判定依据判定依据 审核特权使用 设置为 成功 和 失败 都要审核 备注备注 1 1 6 审核系统事件审核系统事件 安全基线项安全基线项 目名称目名称 操作系统审核系统事件策略安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核系统事件 成功和失败都要审核 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核系统事件 设置 基线符合性基线符合性 判定依据判定依据 审核系统事件 设置为 成功 和 失败 都要审核 备注备注 1 1 7 审核账户管理审核账户管理 安全基线项安全基线项 目名称目名称 操作系统审核账户管理策略安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核帐户管理 成功和失败都要审核 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核账户管理 设置 基线符合性基线符合性 判定依据判定依据 审核账户管理 设置为 成功 和 失败 都要审核 备注备注 1 1 8 审核过程追踪审核过程追踪 安全基线项安全基线项 目名称目名称 操作系统审核过程追踪策略安全基线要求项 安全基线项安全基线项 说明说明 启用组策略中对 Windows 系统的审核过程追踪失败 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核过程追踪 设置 基线符合性基线符合性 审核过程追踪 设置为 失败 需要审核 判定依据判定依据 备注备注 1 1 9 日志文件大小日志文件大小 安全基线项安全基线项 目名称目名称 操作系统日志容量安全基线要求项 安全基线项安全基线项 说明说明 设置应用日志文件大小至少为 8192KB 设置当达到最大的日志尺寸时 按 需要改写事件 检测操作步检测操作步 骤骤 进入 控制面板 管理工具 事件查看器 在 事件查看器 本地 中 查看 应用日志 系统日志 安全日志 属性中的日志大小 以及设 置当达到最大的日志尺寸时的相应策略 基线符合性基线符合性 判定依据判定依据 应用日志 系统日志 安全日志 属性中的日志大小设置不小于 8192KB 设置当达到最大的日志尺寸时 按需要改写事件 备注备注 2 linux 日志审计日志审计 1 2 日志日志 1 2 1 syslog 登录事件记录登录事件记录 安全基线项安全基线项 目名称目名称 操作系统 Linux 登录审计安全基线要求项 安全基线项安全基线项 说明说明 日志审计 syslog 登录事件记录 检测操作步检测操作步 骤骤 执行命令 more etc syslog conf 查看参数 authpriv 值 基线符合性基线符合性 判定依据判定依据 若未对所有登录事件都记录 则低于安全要求 备注备注 1 3 审计审计 1 3 1 Syslog conf 的配置审核的配置审核 安全基线项安全基线项 目名称目名称 操作系统 Linux 配置审计安全基线要求项 安全基线项安全基线项 说明说明 日志审计 Syslog conf 的配置审核 检测操作步检测操作步 骤骤 执行 more etc syslog conf 查看是否设置了下列项 kern warning err authpriv none t loghost info mail none authpriv none cron none t loghost emerg t loghost local7 t loghost 基线符合性基线符合性 判定依据判定依据 若未设置 则低于安全要求 备注备注 补充操作说明 建议配置专门的日志服务器 加强日志信息的异地同步备份 3 SQLServer 日志日志 3 1 日志审计日志审计 3 1 1SQLServer 登录审计登录审计 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 登录审计安全基线要求项 安全基线项安全基线项 说明说明 数据库应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用 的账号 登录是否成功 登录时间 检测操作步检测操作步 骤骤 打开数据库属性 选择安全性 将安全性中的审计级别调整为 全部 基线符合性基线符合性 判定依据判定依据 登录成功和失败测试 检查相关信息是否被记录 备注备注 3 1 2SQLServer 安全事件审计安全事件审计 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 安全事件审计安全基线要求项 安全基线项安全基线项 说明说明 数据库应配置日志功能 记录对与数据库相关的安全事件 检测操作步检测操作步 骤骤 打开企业管理器 查看数据库 管理 中的 SQL Server 日志 查看当前 的日志记录和存档的日志记录是否包含相关数据库安全事件 1 参考配置操作 数据库默认开启日志记录 2 补充操作说明 增加帐号登陆审计 打开数据库属性 选择安全性 将安全性中的审计级别 调整为 全部 基线符合性基线符合性 判定依据判定依据 SQL Server 日志中是否存在数据库相关事件日志信息 备注备注 4 Oracle 日志日志 4 1 日志审计日志审计 4 1 1 数据库审计策略数据库审计策略 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 数据审计策略安全基线要求项 安全基线项安全基线项 说明说明 根据业务要求制定数据库审计策略 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus