Windows 資料軌跡 資訊安全 稽核 微軟

記錄檔案伺服器存取軌跡 免費達成稽核調閱要求

2017-10-18
隨著科技的進步,透過資訊科技(Information Technology,IT)來處理資料成為趨勢,而且越來越深入和複雜。內部稽核人員面對電腦化如何對內部控制結構造成衝擊,以及如何利用電腦輔助工具,甚至透過電腦查核資訊之可靠性,均應有充分的認識。
日前針對台灣企業用戶進行檔案存取安全調查,發現台灣企業最在意的檔案存取安全需求,77%的受訪者想瞭解是否有人異常地登入存取檔案,其次是想知道是否有異常地修改檔案(近六成的需求),可見檢核人員登入後是否有異常操作檔案的行為,已成為台灣企業進行記錄稽核的第一要務。

IT人員常常面臨到的情境是,在有限甚至無預算的情況下要肩負起公司資訊安全的重大任務,透過內部教育訓練、資安宣導,這都是較容易著手的。當然,若公司有編列預算在這塊當然是再好不過。如果公司年度編列將其納入考量,相對地就可以開始蒐集一些解決方案,不論是系統整合廠商、原廠,這邊就不多做論述。但往往可能跟筆者面對的處境相同,必須在有限的資源底下規劃出可因應公司內部控制及外部稽核的解決方案。

過去在微軟Windows記錄其中兩項「應用程式」及「安全性」,預設都是將事件做為「覆寫」,這也意謂著將無法蒐集完整的資料,但對較有經驗的內部稽核人員「抽閱」是認為可靠度較高的一種方式,過往的歷史記錄「安全性」無法像「應用程式」裡面能夠直覺式看出過去的事件,因為Windows記錄下的「安全性」記錄累積快速,例如筆者此次實際觀察內部正常使用的系統,一日就會產生高達285,230KB,相當於278MB的資料,如圖1所示,而且這還是壓縮過後的檔案大小。


▲圖1 每日記錄檔約產生278MB的壓縮檔資料量。

一般不可能放任這些平常用不到的資料占據儲存設備(Storage),將其每日所產生的事件記錄加以歸檔是較理想的方式,這也是為何在此採取將事件記錄(Event log)歸檔(Archiving)後,再搭配系統內建的排程功能去刪除這些事件(Event ID)。

目前微軟(Microsoft)也是目前台灣較為普遍的Infra Base,而各版本的物件存取的Event ID不盡相同,例如在Windows Server 2012環境底下,物件存取的事件代碼為4656及4663,如表1所示。

表1 微軟事件代碼

撰寫批次檔程式

首先撰寫兩支批次檔程式,一支為打包Event Log至Archiving,另外一支則用來例行刪除因不複寫所產生的Event Log。

‧程式1檔名:事件壓縮.bat

‧程式1說明:按照日期產生壓縮檔。


‧程式2檔名:事件刪除.bat

‧程式2說明:刪除event檔案


操作流程說明

操作流程相當簡易,分兩步驟,先建立「E:\Logs」資料夾,然後再去修改記錄檔存放路徑為「\Logs\Security.evtx」。

做法是從系統的「開始」功能表中開啟「事件檢視器」,接著在其左側樹狀目錄中展開「Windows記錄」,在其下的「安全性」項目上點擊滑鼠右鍵,並於隨後出現的快顯選單中選擇【內容】。此時,便可於「記錄檔路徑」欄位中將路徑修改為「E:\Logs\Security.evtx」,如圖2所示。


▲圖2 Windows記錄下的安全性設定。

路徑修改完成後自然會產生一個Security.evtx檔案,但須注意資料夾名稱是否輸入正確,如果資料夾名稱錯誤,檔案將不會抄過去。

兩個批次檔撰寫完成後,在系統的「工作排程器」中,設定每日下午9點做Archiving,間隔2小時確保時間足夠完成後,於每日下午11點刪除Event Log,如圖3所示。


▲圖3 事件壓縮完後刪除舊有事件。

在排程系統中,記得要將安全性選項變更為「不論使用者登入與否均執行」,如圖4所示。


▲圖4 變更安全性選項。

需要調閱特定日期的記錄檔時,只須到「E:\Archiving」找到欲查核日期的壓縮檔,並解壓縮到「E:\Logs」,接著便可在「事件檢視器」中查看已儲存的記錄。


▲圖5 檢視並篩選已儲存的記錄。

如果需要尋找特定類型的事件,可在右鍵快顯選單中點擊【篩選目前的記錄】,如圖5所示。輸入事件識別碼(如4556,4663)即可過濾出包含這些事件ID的記錄如圖6所示,並且進一步查看其細節。


▲圖6 指定事件識別碼來篩選檢視的記錄檔。

結語

資料軌跡向來都是各公司常會被歸類在資訊安全或是稽核的重點,在Windows Server 2012裡面,4656、4663被歸類在物件存取裡面,而實務上常常會遇到使用者誤刪檔案,或者變更資料夾內容,此時就可以從這個地方循線找出。

對於公司的稽核任務需要調閱檔案伺服器的Event Log,本文藉由將安全性Event Log設定為不覆寫,再透過批次檔來撰寫排程,便能夠完成歷史調閱的需求。

<本文作者:莊家冀,DCTS、MCP、NCLA、NCDA、LPIC-1、LPIC-2認證,歷任各原廠SI系統工程師,曾任英業達測試工程師、功學社網管專員,現職台灣車輛助理管理師熱愛Open Source關注資安大小事,喜歡旅遊、烹飪。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!