《网络安全标准实践指南—Windows 7操作系统安全加固指引》之安全配置加固的安全审计(三)
2022-5-28 14:13:58 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

2022年5月26日全国信息安全标准化委员会发布了《网络安全标准实践指南—Windows 7操作系统安全加固指引》,全国信息安全标准化委员会针对2020年1月开始微软不再提供Windows 7操作系统的更新服务,制定了Windows 7操作系统安全加固指引,本文根据实践指南内容,从实际出发对windows 7操作系统安全配置加固的安全审计进行实际加固作业。

1、账户登录审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->账户登录->“审核凭证验证”、“审核Kerberos身份验证服务”、“审核Kerberos服务票证操作”以及“审核其他账户登录事件”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

2、账户管理审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->账户管理->“审核计算机账户管理”、“审核通讯组管理”、“审核其他账户管理事件”、“审核安全组管理”以及“审核用户账户管理”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

3、进程详细跟踪审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->详细跟踪->“审核DPAPI活动”、“审核进程创建”、“进程终止”以及“审核RPC事件”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

4、目录服务访问审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->DS访问->“审核详细的目录服务复制”、“审核目录服务访问”、“审核目录服务更改”、“审核目录服务复制”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

5、计算机登录事件审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->登录/注销->“审核账户锁定”、“审核IPsec扩展模式”、“审核IPsec主模式”、“审核IPsec快速模式”、“审核注销”、“审核登录”、“审核网络策略服务器”、“审核其他登录/注销事件”以及“审核特殊登录”,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

6、对象访问审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->对象访问->“审核已生成应用程序”、“审核证书服务”、“审核详细的文件共享”、“审核文件共享”、“审核文件系统”、“审核筛选平台连接”、“审核筛选平台数据包丢弃”、“审核句柄操作”、“审核内核对象”、“审核其他对象访问事件”、“审核注册表”以及“审核SAM”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

7、策略更改审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->策略更改->“审核审核策略更改”、“审核身份验证策略更改”、“审核授权策略更改”、“审核筛选平台”以及“审核MPSSVC规则级别策略更改”以及“审核其他策略更改事件”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

8、特权使用审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->特权使用->“审核非敏感权限使用”、“审核其他权限使用事件”以及“审核敏感权限使用”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

9、系统事件审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->系统->“审核IPsec驱动程序”、“审核其他系统事件”、“审核安全状态更改”、“审核安全系统扩展”以及“审核系统完整性”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

10、全局对象访问审计

在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置->Windows设置->安全设置->高级审核策略配置->系统审核策略-本地组策略对象->全局对象访问审计->“文件系统”和“注册表”的策略值,并勾选“配置以下审核事件”的“成功”复选框,以及“失败”复选框。

11、日志配额

在运行窗口输入“gpedit.msc”打开本地组策略。将计算机配置->管理模板->Windows组件->事件日志服务->系统->“最大日志大小(KB)”的策略值配置为“已启用:最大日志大小(KB)为‘32768’(经验值,可满足《中华人民共和国网络安全法》最低保存日志时间180天的存储要求)或更高”。


文章来源: https://www.freebuf.com/articles/endpoint/334576.html
如有侵权请联系:admin#unsafe.sh