Мне нужно встретиться государственные требования безопасности чтобы отправить мой товар. Вот конкретное требование, которое я пытаюсь выполнить:
ID группы (Vulid): V-1080 Group
Название: Конфигурация аудита файлов
ID правила: SV-29471r1_rule
Степень серьезности: CAT II
Версия правила (STIG-ID): 2.007
Название правила: Конфигурация аудита файлов не соответствует минимальным требованиям.
Обсуждение уязвимости. Неправильная модификация основных системных файлов может сделать систему неработоспособной. Кроме того, изменения в этих системных файлах могут существенно повлиять на конфигурацию безопасности системы. Аудит значительных изменений, внесенных в системные файлы, позволяет определить ответственную сторону.
Ложные срабатывания: автоматическая проверка иногда сообщает об этом как о ложном обнаружении. Если ручная проверка сомнительного открытия показывает, что аудит установлен правильно, то это не будет обнаружением.
Ответственность: Системный администратор IAControls: ИКАР-1, ИКАР-2, ИКАР-3
Проверить содержимое: если аудит на уровне системы не включен или разделы системы и данных не установлены на разделах NTFS, отметьте это как обнаружение.
Откройте проводник Windows и используйте функцию свойств файлов и папок, чтобы убедиться, что параметры аудита на каждом разделе / диске настроены для аудита всех «сбоев» для группы «Все».
Если какой-либо раздел / диск не настроен как минимум на минимальные требования, то это обнаружение.
Текст исправления: Настройте аудит для каждого раздела / диска для аудита всех «сбоев» для группы «все».
Мне нужно регистрировать сбои доступа к файлам в Windows Vista с помощью аудита файлов Windows для всего локального диска (C :). После новой установки Windows Vista Business SP2 я вхожу в систему как локальный администратор. В проводнике Windows я выбираю C :, Свойства, Дополнительно, Аудит, Продолжить, Продолжить. Добавьте запись аудита для всех. Применить к «Эта папка, подпапки и файлы». Отметьте «Полный доступ» на «Ошибка». Не устанавливайте флажок «Применять эти записи аудита к объектам и / или контейнерам только в этом контейнере». ОК, Применить.
После нажатия кнопки «Применить» я получаю десятки сообщений об ошибках «Доступ запрещен» для различных папок и файлов, связанных с ОС.
Произошла ошибка при применении информации безопасности к:
Путь файла
Доступ запрещен.
или
Произошла ошибка при применении информации безопасности к:
Путь файла
Процесс не может получить доступ к файлу, потому что он используется другим процессом.
Я попытался стать владельцем C :, но у меня тоже возникли ошибки. Есть ли простой способ включить полный аудит для C: для всех либо с помощью пакетного сценария, либо через графический интерфейс Windows без получения десятков сообщений об ошибках для файлов и папок, контролируемых ОС? Если есть что-то, что вызывает «Доступ запрещен», могу ли я просто пропустить это, вместо того, чтобы нажимать «ОК» во всплывающем окне с ошибкой?
Я, и, вероятно, все системные администраторы, уведу вас от использования аудита на все привод, особенно рабочий привод. Это просто может привести к остановке вашей системы из-за огромного количества одитинга.
И Все группа не такая, как вы думаете. Это не та группа, которую вы хотите проверять, если вы ищете физических людей, вошедших в систему. . .
Иметь ввиду, МНОЖЕСТВО операций чтения и записи терпит неудачу. Это потому, что это дешевый и быстрый способ узнать, существует ли файл. Если вы попытаетесь создать файл, большинство, если не все, программы попытаются открыть файл с этим именем. Если он существует, Windows вернет файлы, а программа просто выдаст ошибку: «Файл существует». Это намного быстрее чем просмотреть список каталогов и проверить, используется ли уже имя файла.
Опять же, имейте в виду, что здесь нагрузка ложится на двигатель аудита. Файловая система будет работать как обычно, но механизм аудита должен в основном не отставать. Каждый раз, когда дескриптор открывается и закрывается, механизм аудита должен проверить, не произошло ли это из-за сбоя NTFS. Учитывая огромное количество дескрипторов, которые создаются не только ОС, но и просто запуском обычной программы, это может привести к остановке вашей ОС.
Произошла ошибка при применении информации безопасности к:
Путь файла
Процесс не может получить доступ к файлу, потому что он используется другим процессом.
Сообщение об ошибке все объясняет. Файл используется другой программой или, возможно, ОС. Попытка изменить файл во время его использования ОС может привести к сбою ОС.
Произошла ошибка при применении информации безопасности к:
Путь файла
Доступ запрещен.
В общем, когда кто-то пытался заблокировать доступ к файлу даже вам, владельцу вашей системы, обычно для этого есть причина.
Так вот вопрос. . . Что ты пытаешься сделать?
Это поможет нам много если вы точно объясните, что собираетесь делать. Какова ваша цель? Вы пытаетесь отслеживать действия пользователя, вошедшего в систему? Это, наверное, худший способ сделать это. Вы пытаетесь отслеживать мошеннические программы? Опять же, это не то, как вы хотите.
редактировать
Теперь, когда я прочитал нелепые требования и мы перешли на ServerFault, надеюсь, мы сможем найти кого-нибудь, кто имел дело с этим дерьмом.
Это должно быть связано с тем, что ни один пользователь не может получить доступ к этим системным файлам, если программа, обращающаяся к ним, не имеет повышенных привилегий, а вы не хотите делать это все время.
Почему бы вам не включить аудит только для папок, доступных пользователю?