[資安筆記] Windows企業資安稽核應用系列 (2) - 設計稽核原則與稽核初步實作

[資安筆記] Windows企業資安稽核應用系列 (2) - 設計稽核原則與稽核初步實作

本文刊登於 RUN!PC 月刊 2009/04 183 期

 

上篇文章中已經了解九大稽核原則的各項意義,接下來我們就可以開始進入實戰的領域了!之前有提到,「過度稽核」並不是一件好事,且只會降低整體效能與增加稽核難度,所以在導入前筆者必須再三的說:「要注意!要注意!要注意!」

 

 

啟用稽核原則後的工作

  • 定義稽核需求項目
    在這一部分中,必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:

    表1    需求與對應的稽核項目

    稽核需求

    稽核項目對應

    列出非上班時段經由網域驗證登入的帳戶

    稽核帳戶登入事件

    Active Directory 物件的異動

    機和目錄存取服務

    監控業務部報價單的變化

    稽核物件存取
    並針對業務部的資料夾啟用對應稽核



    這裡舉出很單純的三個例子,可以說是「快速入門」用以了解意義。最重要也最常被使用的就是「稽核物件存取」,在所有的稽核原則中,這個項目的重要性超乎想像,也是本篇的重點所在。

     
  • 定義稽核範圍
    這一個定義中必須明確的指出要稽核的機器有哪些。例如:機房所有的伺服器、公共檔案上的某個目錄、或者是企業內某個員工的電腦,大一點甚至可到某個部門全體。針對「物件存取」稽核的話,範圍的定義更是非常重要。範圍越廣大時,則在調閱稽核紀錄的難度將會提高;反之則可容易且精準的找出問題所在。
     
  • 定義稽核對象
    這一個定義筆者必須說有點「暗黑」的成份。乍看之下會覺得「就對某個部門或員工稽核而已,哪裡暗黑?」,這裡則要反問「什麼情況下須要針對上述的對象進行稽核」?沒錯…企業害蟲 & 間諜!當一個員工對企業很不滿,可能會做出對公司不利的行為,或是某個新進人員有很高的權限可以接觸公司業務資料時,為保護公司機密而對該員工進行稽核。如果是公共檔案的資料夾,筆者會只對 Domain Users 與 Domain Admins (更大型一點的還包括 Enterprise Admins)進行稽核。

 

 

物件存取稽核說明

對資料夾或檔案按下了滑鼠右鍵,進入到[內容]視窗,[安全性]的頁籤時可看到使用者名稱與對應的權限。只要再更深入的進入,按下右下角的[進階]則可看到更多的設定,沒錯!這裡就是物件存取稽核所要設置的核心了!這裡務必要了解每個項目的意義,才能每個檔案與資料夾可針對不同需求進行各種設定。
 

clip_image002[4]

 

圖1    [安全性]頁籤中的[進階]選項位置

 

 

clip_image002[6]

圖2    [進階安全性設定]中的[稽核]頁籤

 

  • 定義稽核需求項目
    這一部分中必須充分了解稽核九大項目的意義與功能範圍,才能明確定義什麼是企業真正需要的。在這裡筆者舉幾個簡單的例子,並用表格讓讀者們可以快速的了解:


    表2    稽核項目與觸發紀錄的時機對照

    稽核項目

    觸發紀錄時機

    完全控制

    所有列出的項目全部稽核。請注意,此選項會產生極大量的稽核事件紀錄。

    周遊資料夾/執行檔案

    [對於資料夾]:稽核在資料夾間的移動,使用者沒有此權限又進入該資料夾時,勾選 “拒絕”時則會將事件紀錄至稽核紀錄中。

    [對於檔案]:執行了指定的檔案(exe,msi)時的稽核紀錄。

    列出資料夾/讀取檔案

    [對於資料夾]:檢視資料夾中的檔案或子資料夾時的紀錄。

    [對於檔案]: 讀取檔案內容(如文字檔) 時的紀錄。

    讀取屬性

    對檔案或資料夾按下滑鼠右鍵->內容後的紀錄。

    讀取擴充屬性

    讀取第三方軟體定義屬性的紀錄。例如:WinRAR會在屬性視窗中加入一個「壓縮率」的屬性頁籤。

    建立檔案/寫入資料

    [建立檔案] :建立新檔案時的紀錄。

    [寫入資料] :變更檔案或複寫現有內容時。

    建立資料夾/附加資料

    [建立資料夾] :中新增資料夾時。

    [附加資料] :變更檔案結尾時。

    寫入屬性

    變更檔案或資料夾屬性,例如:將檔案或資料夾加上了 “隱藏” 的屬性。

    寫入擴充屬性

    變更第三方軟體擴充屬性時。

    刪除子資料夾及檔案

    刪除整個資料夾與其子檔案時。

    刪除

    刪除個別檔案時。

    讀取權

    檔案或資料夾的讀取與寫入時。

    變更權限

    檔案或資料夾之 NTFS 權限變更時。

    取得擁有權

    帳戶取得檔案或資料夾的擁有權時。



     
    表3    各權限可進行的行為

    特殊權限

    完全控制

    修改

    閱讀及執行

    列出資料夾內容
    (限資料夾)

    讀取

    寫入

    周遊資料夾/執行檔案

    O

    O

    O

    O

     

     

    列出資料夾/讀取資料

    O

    O

    O

    O

    O

     

    讀取屬性

    O

    O

    O

    O

    O

     

    讀取擴充屬性

    O

    O

    O

    O

    O

     

    建立檔案/寫入資料

    O

    O

     

     

     

    O

    建立資料夾/附加資料

    O

    O

     

     

     

    O

    寫入屬性

    O

    O

     

     

     

    O

    寫入擴充屬性

    O

    O

     

     

     

    O

    刪除子資料夾及檔案

    O

     

     

     

     

     

    刪除

    O

    O

     

     

     

     

    讀取權

    O

    O

    O

    O

    O

    O

    變更權限

    O

     

     

     

     

     

    取得擁有權

    O

     

     

     

     

     

    同步處理

    O

    O

    O

    O

    O

    O



 

 實作演練-稽核資料夾

  • 建立實作環境
    首先,先建立一個名稱為TestAudit的資料夾,裡面再建立三個名稱為AAA、BBB、CCC的子資料夾。為了快速上手,我們針對TestAudit的稽核項目作簡單的設定,只選取下圖所示之項目即可:
     

clip_image001

圖3    TestAudit 資料夾稽核項目設定 

 

  • 進行新增刪修並檢閱紀錄
    第一步可以先測試將檔案複製到TestAudit資料夾中,同時複製檔案到 AAA, BBB, CCC 資料夾中。最後請將 CCC 資料夾刪除,並到安全性紀錄中瀏覽相關紀錄,您會發現,就不過短短的幾個步驟,安全性記錄已經產生許多事件了。請記得,這裡使用 everyone 是為了快速上手而作此設定,實際環境中還是以 Domain Users 與 Domain Admins 為建議選項。
     

clip_image002[8]
圖4    TestAudit的稽核紀錄


clip_image002[10]

圖5    將Test.txt複製到AuditTest的紀錄(ID 4656)

 

clip_image002[12]

圖6    將資料夾CCC刪除的紀錄(ID 4663)
 

 

後記 
這一次的實作雖然簡單,但從稽核紀錄裡的東西可以說是鉅細靡遺,每個物件的動作都掌握在其中,在檢閱紀錄時可以藉由此找出風險的所在。當然,稽核的應用可不只如此而已,最近兩期打底與牛刀小試讓各位上手後,相信各位讀者的底子已經足夠了,接下來進階應用與實務導入必定會更得心應手。

如果覺得這篇文章對你有所幫助,可以透過 Paypal 支持作者唷~