安全审计是使用手动或自动技术对任何系统进行漏洞分析并生成报告的过程。手动审计包括与员工面谈、不使用任何自动化工具执行漏洞扫描、审查所有已安装的应用程序和操作系统访问控制以及分析对系统的物理访问的过程。在对操作系统的安全审计中,有windows审计、Linux审计等。Windows审计是在了解系统弱点后使系统安全的方法之一。 Windows 审核系统由跟踪事件和日志以及系统中触发的事件组成。
可以执行操作系统审计的两个重要区域是所有活动的或在后台运行的目录以及窗口和隐私设置的各种策略。 Active Directory 根据特定应用程序、文件夹和文件的身份提供有关它们的信息。由于它是用户身份验证和授权中广泛使用的方法,因此经常容易受到网络攻击。因此,应将监视和审核 Active Directory 中的更改视为安全审核的重要组成部分。另一个重要领域是 Windows 策略更改。
下面列出了可以在 Windows 操作系统中审计以进行系统漏洞评估的事件:
- 审计帐户登录事件:使用用户的确切日期和时间审计每个登录和注销实例。
- 审计账户管理:对机器上账户管理操作的每个实例进行审计,例如更改密码、账户用户名、用户数量等。
- 审计对象访问:审计用户访问具有指定系统访问控制列表 (SACL) 的对象的事件。对象的一些示例是文件、文件夹、注册表项、打印机等。
- 审核策略更改:审核用户权限更改、审核策略更改或修改信任策略的每个事件。
- 审核权限和使用:审核用户的每个实例。
- 审计进程跟踪:审计和跟踪程序激活、进程退出、句柄重复、间接对象访问等事件的详细信息。
- 审核系统事件:审核所有补丁更新,正在建立未知连接。
审计生命周期:审计框架包括四个主要步骤。第一步是计划,其中审核员根据组织的需要进行计划。第二部分包括评估,其中评估旧的审核并审查结果,然后相应地计划新的审核清单。第三步包括执行审计任务的跟进。最后一部分包括报告阶段,在该阶段中创建详细的审计报告并给出预期的解决方案。
执行审计的命令:这些需要在管理员模式下的 windows 命令提示符下执行。要访问命令提示符,请单击开始按钮,搜索 cmd,右键单击它并单击以管理员身份运行选项。
- Systeminfo:要获取系统的完整详细信息,例如安装日期、用户和帐户、上次日志活动等,所使用的命令是systeminfo ,它提供了系统的完整详细信息。
- ipconfig:要获取机器的 IP 地址,可以使用此命令。
- Secpol.msc:检索系统安全策略的配置 secpol.msc 命令用于帮助了解帐户策略、防火墙策略等。
- getmac:获取机器的mac地址。
- netstat:检查网络统计信息并分析已成功建立连接的外部或未知服务器。
- compmgmt.msc:检查系统中使用的外部设备及其日志等。