Trilha de auditoria para todas as ações realizadas com privilégios de administrador

2

O PCI DSS 10.2 diz, " Implementar trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: " e 10.2.2 continua, " Todas as ações tomadas por qualquer indivíduo com raiz ou privilégios administrativos. "

Estou lutando para que isso aconteça em nossas máquinas Windows (Windows 7, 8 e 2008R2).

O OSSEC pode registrar alterações em arquivos e entradas do Registro, mas é um ajuste inadequado para esse requisito, já que ele não registra quem fez a alteração.

Eu tentei usar a política de auditoria incorporada no Windows, por isso: link

Então eu executei secpol.msc, fui para "Políticas locais" > "Política de Auditoria" e ativou Sucesso e Falha para todas as entradas.

Em seguida, escolhi uma pasta de dados raramente tocada como um teste: "Propriedades" > "Segurança" > "Avançado" > "Auditoria" > "Adicionar"

Select a principal: Administrators
Type: All
Access: Full control
Advanced Permissions: Only write, create and execute-related permissions checked.

Isso registra todo o acesso a arquivos na pasta, mas o problema é que o log de eventos agora é inundado com entradas não apenas dos membros explícitos do grupo Administradores, mas também aparentemente de qualquer processo com privilégios de administrador (como os processos antivírus).

Além disso, observe que o acima é apenas para uma pasta raramente acessada - eu terei que adicionar log para todas as pastas do sistema, etc., o que tornará o log flood muito pior.

Como posso registrar todas as atividades tomadas por usuários administradores (por 10.2.2 acima) sem todo esse ruído extra?

Além disso, a auditoria acima abrange as alterações do sistema de arquivos, mas como auditar as alterações do registro ?

Gostaria de receber conselhos sobre como cumprir o requisito acima (preferencialmente sem gastar muito dinheiro em um produto comercial).

    
por Zek 07.09.2015 / 05:07

1 resposta

0

O problema é que o grupo Administradores padrão inclui implicitamente o 'NT Authority \ SYSTEM' integrado, assim como outras contas internas.

Se a auditoria estiver habilitada no grupo Administradores padrão, o sistema gerará os eventos desejados, juntamente com vários eventos indesejáveis relacionados à atividade do sistema, independentemente de alguém estar conectado ou não.

A solução é criar um grupo Administradores e criar explicitamente contas administrativas pertencentes a membros individuais desse grupo. Em seguida, audite a atividade desse grupo.

    
por 09.02.2017 / 13:59