(本篇內容由ChatGPT生成後Allan再進行訂正整理)
當進行 ISO/IEC 27001:2022 第三方稽核時,稽核員在檢查資訊安全管理系統(ISMS)的技術控制落實情況時,通常會在 Windows Server 、 Linux Server 與使用者端電腦上執行一些指令,以確認系統安全性、帳號權限、日誌記錄、更新狀況等。以下是針對兩個Server平台及使用者端的查核,整理常見稽核查詢指令,並以稽核目的分類:
帳號與存取控制(A.5, A.6, A.8)
日誌記錄與監控(A.8.15, A.5.25)
作業系統安全設定(A.8.9, A.5.23)
系統更新與漏洞管理(A.8.8, A.5.27)
惡意程式防護(A.5.12)
時間同步(A.8.17)
powershell
net user
net localgroup
net localgroup Administrators
Get-LocalUser | Format-List
powershell
wevtutil qe Security "/q:*[System[(EventID=4624)]]" /f:text /c:5
Get-WinEvent -LogName Security | where {$_.Id -eq 4624} | select -First 5
powershell
net user <username>
Get-LocalUser | Where-Object { $_.Enabled -eq $true }
powershell
Get-HotFix
wmic qfe list brief /format:table
powershell
Get-MpComputerStatus
powershell
w32tm /query /status
bash
cat /etc/passwd
cat /etc/group
id <username>
getent passwd
bash
cat /etc/sudoers
ls /etc/sudoers.d/
sudo last
sudo lastlog
bash
sudo journalctl _SYSTEMD_UNIT=sshd.service | grep 'Failed password'
Ubuntu / Debian:
bash
dpkg -l | grep -i security
apt list --upgradable
CentOS / RHEL:
bash
yum list updates --security
rpm -qa --last
bash
clamscan -r /home
freshclam
bash
timedatectl status
ntpq -p
bash
netstat -tuln
ss -tuln
bash
ls -l /etc/passwd
find / -perm -4000
準備一份查詢指令腳本,稽核時可快速回應。
確認日誌保存策略與保留時間是否符合 ISO 27001 的要求。
稽核前先模擬執行這些查詢,確認無誤並修正異常。
Windows
powershell
net user
net localgroup administrators
macOS
bash
dscl . list /Users
dscl . -read /Groups/admin GroupMembership
Windows
powershell
Get-EventLog -LogName Security -InstanceId 4624 -Newest 5
macOS
bash
last
Windows
powershell
Get-MpComputerStatus
macOS(需視防毒軟體而定,例如 Sophos、CrowdStrike,或用如下方式確認 Gatekeeper 狀態)
bash
spctl --status
Windows(需使用 GPO 或查詢本機設定)
powershell
powercfg /query SCHEME_CURRENT SUB_VIDEO VIDEOIDLE
macOS
bash
defaults -currentHost read com.apple.screensaver idleTime
Windows
powershell
manage-bde -status C:
macOS
bash
fdesetup status
Windows
powershell
Get-WindowsUpdateLog
macOS
bash
softwareupdate -l
這部分通常需透過 MDM(如 Intune、Jamf)統一管理,但也可查詢本機設定。
Windows USB 偵測紀錄(可藉由事件檢視器查詢)
powershell
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {$_.Message -like "*USB*"}
macOS 查看 USB 裝置
bash
system_profiler SPUSBDataType
Windows
powershell
Get-WmiObject -Class Win32_Product | Select-Object Name, Version
macOS
bash
system_profiler SPApplicationsDataType
建議抽樣常用機型(如內勤/外勤筆電)進行查核。
若有 MDM 系統,建議出示報表直接呈現各項設定(BitLocker、AV、螢幕保護等)。
查核時務必確認是否符合組織安全政策(如:不使用本機admin、不允許未加密USB)。