本帖最后由 KYLE_K 于 2020-7-29 21:07 编辑
“当前已有100+用户参与分享,共计发放奖励50000+“
AC从上网行为管理升级到全网行为管理系统后,新增了不少功能,移动存储审计是基于终端审计的新增功能,今天就来测试一下移动存储审计功能,看看移动存储的审计效果如何。
一. 测试准备: 1. 全网行为管理审计设备一台(AC 13.0.7); 2. Windows 10终端一台; 3. U盘一个(USB 3.0接口)、移动硬盘一个(USB 3.0接口); 4. 小文件两个:文本文件A(仅有标题没有内容)、文本文件B(有标题有内容,大小为1K); 5. 普通文件两个:Word文件一个、PDF文件一个; 6. 大文件两个:windows XP3 ISO文件一个(625M)、windows 2012 ISO文件一个(4.1G)
测试文件截图详情见下图:
二. 测试步骤: 1.对windows 10 终端下发终端审计策略,相关操作见下图:
2.将对应文件拷贝到U盘和移动硬盘;
3.观察移动存储审计日志,相关操作见下图:
三. 测试结果验证: 1.把6个测试文件拷贝到U盘和移动硬盘后,生成了12条日志,日志数量无误,见下图:
2.每一条日志中都能显示详细信息,如不同的移动设备名称和类型,见下图:
3.可以根据关键字进行日志搜索,如根据文件名中包含的字符进行搜索,见下图:
4.能审计到空文件,详情见下图:
审计空文件有什么实际作用吗? 有的,如果将文件名改成包含敏感信息的文件名,例如身份证号+姓名,文件大小还是0B,如果审计不到,遇到类似的情况就不能追溯。
5.能审计到了源文件,源文件可以从设备上下载,见下图:
四. 注意事项 移动存储审计上传到AC的源文件,有大小限制,经过测试,可以支持10M以下大小的源文件下载,即使源文件大于10M,下载的源文件大小也只有10M,不能下载完整的源文件,详情见下图:
五. 试用总结 1.在不增加成本的情况下,通过升级AC系统版本增加移动存储审计功能,值得肯定;
2.移动存储基本功能都能满足,能在一定程度上补充对内网安全审计进行补充;
3.关于无法下载到超过10M的源文件情况,假设每次将文件拷贝到移动存储,都要上传一份到AC上,就会产生大量的流量,对内部网络造成不小的压力,所以审计不了大文件的源文件,这个也能理解。不过AC应该改进,给一个明显的提示,告诉用户审计不了这些大文件的源文件。
4.如果实在需要审计移动存储拷贝的大文件,而且也允许增加成本,可以通过桌面审计系统来实现,某公司生态圈厂家也有不少合适的方案,具体可以咨询对口销售。
| 
发表于 2024-2-28 11:01
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
