Windows安全加固系列---日志配置操作

此文章是关于Windows安全加固中对日志加固的配置与操作

1 审核登录

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

检测操作步骤 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。

审核登录事件，设置为成功和失败都审核。

2 审核策略更改

启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中
查看“审核策略更改”设置。

“审核策略更改”设置为“成功” 和“失败”都要审核。

3 审核对象访问
启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核对象访问”设置。

“审核对象访问”设置为“成功”和“失败”都要审核。

4 审核事件目录服务器访问

启用组策略中对Windows系统的审核目录服务访问，失败。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核目录服务器访问”设置。

“审核目录服务器访问”设置为“成功” 和“失败”都要审核。

5 审核特权使用

启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核特权使用”设置。

“审核特权使用”设置为“成功” 和“失败”都要审核。

6 审核系统事件
启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核系统事件”设置。

“审核系统事件”设置为“成功” 和“失败”都要审核。

7 审核账户管理

启用组策略中对Windows系统的审核账户管理，成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核账户管理” 设置。

“审核账户管理”设置为“成功” 和“失败”都要审核。

8 审核过程追踪

启用组策略中对Windows系统的审核过程追踪失败。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核过程追踪”设置。

“审核过程追踪”设置为 “失败”需要审核。

9 日志文件大小

设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

检测操作步骤 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：
查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。

“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

425984"KB 六个月