Auditoria de falha do Vista

Question

Auditoria de falha do Vista

#1 resposta do (3 votos)
#2 resposta do (1 votos)

4

Eu preciso atender aos requisitos de segurança do governo para enviar meu produto. Aqui está um requisito específico que estou tentando atender:

Group ID (Vulid): V-1080 Group

Title: File Auditing Configuration

Rule ID: SV-29471r1_rule

Severity: CAT II

Rule Version (STIG-ID): 2.007

Rule Title: File-auditing configuration does not meet minimum requirements.

Vulnerability Discussion: Improper modification of the core system files can render a system inoperable. Further, modifications to these system files can have a significant impact on the security configuration of the system. Auditing of significant modifications made to the system files provides a method of determining the responsible party.

False Positives: Automated checking sometimes reports this as a false finding. If a manual review of a questionable finding shows auditing to be set correctly, then this would not be a finding.

Responsibility: System Administrator IAControls: ECAR-1, ECAR-2, ECAR-3

Check Content: If system-level auditing is not enabled, or if the system and data partitions are not installed on NTFS partitions, then mark this as a finding.

Open Windows Explorer and use the file and folder properties function to verify that the audit settings on each partition/drive is configured to audit all "failures" for the "Everyone" group.

If any partition/drive is not configured to at least the minimum requirement, then this is a finding.

Fix Text: Configure auditing on each partition/drive to audit all "Failures" for the "Everyone" group.

Eu preciso registrar as falhas de acesso a arquivos do Windows Vista usando a auditoria de arquivos do Windows para todo o disco local (C :). Com uma nova instalação do Windows Vista Business SP2, faço logon como administrador local. No Windows Explorer, seleciono C :, Propriedades, Avançado, Auditoria, Continuar, Continuar. Adicione uma entrada de auditoria para todos. Aplique a 'Esta pasta, subpastas e arquivos'. Verifique 'Full Control' por falha. Deixe 'Aplicar apenas estas entradas de auditoria a objetos e / ou contêineres dentro deste contêiner' desmarcado. OK, aplique.

DepoisdeclicaremAplicar,recebodezenasdemensagensdeerro"Acesso negado" para várias pastas e arquivos relacionados ao sistema operacional.

An error occurred while applying security information to:

File path

Access is denied.

ou

An error occurred while applying security information to:

File path

The process cannot access the file because it is being used by another process.

EutenteipegaroOwnershipofC:,masrecebierrosquandotenteifazerissotambém.ExisteumamaneirasimplesdeativaraAuditoriacompletaparaC:paraTodos,sejaporscriptemloteoupormeiodaGUIdoWindows,semobterdezenasdemensagensdeerroparapastasearquivoscontroladospelosistemaoperacional?Sehouveralgoqueaciona"Acesso negado", posso simplesmente ignorá-lo em vez de clicar em "OK" em um pop-up de erro?

permissions windows-vista

por BennyMcBenBen 12.07.2011 / 17:35

2 respostas

1

Isso deve ser porque nenhum usuário pode acessar os arquivos do sistema, a menos que o programa que os acessa tenha privilégios elevados, e você não quer fazer isso o tempo todo.

Por que você não apenas ativa a auditoria em pastas acessíveis pelo usuário?

por 12.07.2011 / 17:44

Tags permissions windows-vista

Autenticação Kerberos por meio do balanceador de carga Obtendo o mesmo endereço IP para imagens virtuais clonadas

score 3 · Accepted Answer

Eu, e provavelmente todos os administradores do sistema, vou evitar que você use a Auditoria em uma unidade inteira , especialmente uma unidade em funcionamento. Isso só tem o potencial de paralisar o sistema devido à grande quantidade de auditoria sozinha.

E o grupo Todos não é o que você acha que é. Este não é o grupo correto que você deseja auditar se estiver procurando por seres humanos logados. . .

Tenha em mente que muitas leituras e gravações falham. Isso ocorre porque é uma maneira rápida e barata de descobrir se existe um arquivo. Se você tentar criar um arquivo, a maioria dos programas, se não todos, tentará abrir um arquivo com esse nome. Se existir, o Windows retornará um arquivo e o programa apenas exibirá um erro: "Arquivo existe". Isso é muito mais rápido do que percorrer a lista de diretórios e verificar se o nome do arquivo já está sendo usado.

Novamente, lembre-se de que a carga está no mecanismo de auditoria aqui. O sistema de arquivos vai agir como normal, mas o mecanismo de auditoria tem que basicamente acompanhar. Toda vez que um identificador é aberto e fechado, o mecanismo de auditoria deve verificar se foi devido a uma falha do NTFS. Considerando a enorme quantidade de identificadores que são criados não apenas pelo sistema operacional, mas apenas executando um programa normal, isso tem o provável potencial de colocar seu sistema operacional em estado estacionário.

An error occurred while applying security information to:

File path

The process cannot access the file because it is being used by another process.

A mensagem de erro explica tudo. O arquivo está sendo usado por outro programa, ou possivelmente pelo sistema operacional. Tentando modificar o arquivo enquanto o sistema operacional está usando, ele tem o potencial de travar o sistema operacional.

An error occurred while applying security information to:

File path

Access is denied.

Em geral, quando alguém passou pelo esforço de bloquear até você, o proprietário do sistema, o acesso ao arquivo, geralmente é por um motivo.

Então a questão é. . . O que você está tentando fazer?

Isso nos ajudaria muito se você explicar exatamente o que planeja fazer. Qual é o teu objetivo? Você está tentando rastrear as atividades do usuário logado? Esta é provavelmente a pior maneira de fazer isso. Você está tentando rastrear programas maliciosos? Novamente, essa não é a maneira que você quer fazer isso.

Editar

Agora que eu li os requisitos ridículos e fomos transferidos para o ServerFault, esperamos encontrar alguém que tenha lidado com essa porcaria.