Vista障害監査
製品を出荷するには、 政府のセキュリティ要件 を満たす必要があります。これが私が満たそうとしている特定の要件です:
グループID(Vulid):V-1080グループ
タイトル:ファイル監査構成
ルールID:SV-29471r1_rule
重大度:CAT II
ルールバージョン(STIG-ID):2.007
ルールのタイトル:ファイル監査の構成が最小要件を満たしていません。
脆弱性の説明:コアシステムファイルを不適切に変更すると、システムが動作不能になる可能性があります。さらに、これらのシステムファイルを変更すると、システムのセキュリティ構成に大きな影響を与える可能性があります。システムファイルに加えられた重要な変更の監査は、責任者を決定する方法を提供します。
誤検知:自動チェックにより、これが誤検出として報告されることがあります。疑わしい調査結果を手動で確認した結果、監査が正しく設定されていることが示された場合、これは調査結果ではありません。
責任:システム管理者IAControls:ECAR-1、ECAR-2、ECAR-3
コンテンツの確認:システムレベルの監査が有効になっていない場合、またはシステムとデータのパーティションがNTFSパーティションにインストールされていない場合は、これを検出結果としてマークします。
Windowsエクスプローラーを開き、ファイルとフォルダーのプロパティ機能を使用して、各パーティション/ドライブの監査設定が「Everyone」グループのすべての「失敗」を監査するように構成されていることを確認します。
パーティション/ドライブが少なくとも最小要件に設定されていない場合、これは調査結果です。
修正テキスト:「Everyone」グループのすべての「Failures」を監査するように、各パーティション/ドライブの監査を構成します。
ローカルディスク全体のWindowsファイル監査を使用してWindowsVistaファイルアクセスの失敗をログに記録する必要があります(C :)。 Windows Vista Business SP2の新規インストールで、ローカル管理者としてログインします。 Windowsエクスプローラーで、[C:]、[プロパティ]、[詳細]、[監査]、[続行]、[続行]を選択します。全員の監査エントリを追加します。 「このフォルダ、サブフォルダ、およびファイル」に適用します。 「フルコントロール」で失敗を確認します。 'これらの監査エントリをこのコンテナ内のオブジェクトやコンテナにのみ適用する'をオフのままにします。 OK、適用します。
[適用]をクリックすると、OS関連のさまざまなフォルダやファイルに対して数十の「アクセスが拒否されました」というエラーメッセージが表示されます。
セキュリティ情報の適用中にエラーが発生しました:
ファイルパス
アクセスが拒否されました。
または
セキュリティ情報の適用中にエラーが発生しました:
ファイルパス
別のプロセスによって使用されているため、プロセスはファイルにアクセスできません。
C:の所有権を取得しようとしましたが、それも実行しようとするとエラーが発生しました。 OS制御のファイルやフォルダーに対して数十のエラーメッセージを表示せずに、バッチスクリプトまたはWindows GUIを介してC:for Everyoneの完全な監査を有効にする簡単な方法はありますか? 「アクセスが拒否されました」をトリガーするものがある場合、エラーポップアップで「OK」をクリックするのではなく、スキップできますか?
私、そしておそらくすべてのシステム管理者は、全体ドライブ、特に動作中のドライブで監査を使用しないようにします。これは、監査だけでも膨大な量であるため、システムを停止させる可能性があります。
そしてEveryoneグループはあなたが思っているものではありません。ログインした物理的な人間を探している場合、これは監査したい正しいグループではありません。 。 。
多くの読み取りと書き込みが失敗するこれは、ファイルが存在するかどうかを確認するための安価で高速な方法であるためです。ファイルを作成しようとすると、すべてではないにしても、ほとんどのプログラムがその名前でファイルを開こうとします。存在する場合、Windowsはファイルを返し、プログラムは「ファイルが存在します」というエラーを吐き出します。これははるかに高速ですディレクトリリストを調べて、ファイル名がすでに使用されているかどうかを確認するよりもです。
ここでも、監査エンジンに負担がかかることに注意してください。ファイルシステムは通常どおりに動作しますが、監査エンジンは基本的に追いつく必要があります。ハンドルを開いたり閉じたりするたびに、監査エンジンはそれがNTFS障害によるものかどうかを確認する必要があります。 OSだけでなく、通常のプログラムを実行するだけで作成されるハンドルの量を考えると、これによりOSが停止する可能性があります。
セキュリティ情報の適用中にエラーが発生しました:
ファイルパス
別のプロセスによって使用されているため、プロセスはファイルにアクセスできません。
エラーメッセージはそれをすべて説明しています。ファイルは別のプログラム、またはおそらくOSによって使用されています。 OSの使用中にファイルを変更しようとすると、OSがクラッシュする可能性があります。
セキュリティ情報の適用中にエラーが発生しました:
ファイルパス
アクセスが拒否されました。
一般に、誰かがシステムの所有者であるあなたでさえファイルへのアクセスをブロックする努力をしたとき、それは通常理由があります。
だから問題はです。 。 。あなたは何をしようとしているのですか?
あなたが何をしようとしているのかを正確に説明すれば、それは私たちを助けるでしょうたくさん。あなたの目標は何ですか?ログインしたユーザーのアクティビティを追跡しようとしていますか?これはおそらくそれを行うための最悪の方法です。不正なプログラムを追跡しようとしていますか?繰り返しますが、これはあなたがこれをしたい方法ではありません。
編集
ばかげた要件を読み、ServerFaultに移動したので、このがらくたに対処している人を見つけることができれば幸いです。
これは、システムファイルにアクセスするプログラムが昇格された特権を持っていない限り、ユーザーがこれらのシステムファイルにアクセスできないためであり、常にアクセスしたくないためです。
ユーザーがアクセスできるフォルダーでのみ監査を有効にしないのはなぜですか?