Windows安全加固系列---日志配置操作

此文章是关于Windows安全加固中对日志加固的配置与操作

1 审核登录

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

检测操作步骤 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。

审核登录事件,设置为成功和失败都审核。

2 审核策略更改

启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。

“审核策略更改”设置为“成功” 和“失败”都要审核。

3 审核对象访问
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。

“审核对象访问”设置为“成功”和“失败”都要审核。

4 审核事件目录服务器访问

启用组策略中对Windows系统的审核目录服务访问,失败。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。

“审核目录服务器访问”设置为“成功” 和“失败”都要审核。

5 审核特权使用

启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。

“审核特权使用”设置为“成功” 和“失败”都要审核。

6 审核系统事件
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。

“审核系统事件”设置为“成功” 和“失败”都要审核。

7 审核账户管理

启用组策略中对Windows系统的审核账户管理,成功和失败都要审核。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核账户管理” 设置。

“审核账户管理”设置为“成功” 和“失败”都要审核。

8 审核过程追踪

启用组策略中对Windows系统的审核过程追踪失败。

检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。

“审核过程追踪”设置为 “失败”需要审核。

9 日志文件大小

设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。

检测操作步骤 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。

“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”

425984"KB 六个月

你可能感兴趣的:(Windows安全加固系列)