資安稽核常用指令

(本篇內容由ChatGPT生成後Allan再進行訂正整理)

當進行 ISO/IEC 27001:2022 第三方稽核時，稽核員在檢查資訊安全管理系統（ISMS）的技術控制落實情況時，通常會在 Windows Server 、 Linux Server 與使用者端電腦上執行一些指令，以確認系統安全性、帳號權限、日誌記錄、更新狀況等。以下是針對兩個Server平台及使用者端的查核，整理常見稽核查詢指令，並以稽核目的分類：

🔐 一、共通稽核目標分類

1. 帳號與存取控制（A.5, A.6, A.8）
   
   

2. 日誌記錄與監控（A.8.15, A.5.25）
   
   

3. 作業系統安全設定（A.8.9, A.5.23）
   
   

4. 系統更新與漏洞管理（A.8.8, A.5.27）
   
   

5. 惡意程式防護（A.5.12）
   
   

6. 時間同步（A.8.17）
   
   

🖥️ 二、Windows Server 常見稽核指令

1. 使用者帳號與群組資訊

powershell

net user

net localgroup

net localgroup Administrators

Get-LocalUser | Format-List

2. 登入事件與安全日誌

powershell

wevtutil qe Security "/q:*[System[(EventID=4624)]]" /f:text /c:5

Get-WinEvent -LogName Security | where {$_.Id -eq 4624} | select -First 5

3. 啟用的帳號與最近登入時間

powershell

net user <username>

Get-LocalUser | Where-Object { $_.Enabled -eq $true }

4. 安全更新與修補情況

powershell

Get-HotFix

wmic qfe list brief /format:table

5. 防毒狀況（若使用 Windows Defender）

powershell

Get-MpComputerStatus

6. 系統時間同步設定

powershell

w32tm /query /status

🐧 三、Linux Server 常見稽核指令（以 Ubuntu/CentOS 為主）

1. 使用者帳號與群組資訊

bash

cat /etc/passwd

cat /etc/group

id <username>

getent passwd

2. Sudo 權限與登入紀錄

bash

cat /etc/sudoers

ls /etc/sudoers.d/

sudo last

sudo lastlog

3. 最近登入失敗紀錄

bash

sudo journalctl _SYSTEMD_UNIT=sshd.service | grep 'Failed password'

4. 套件與安全更新紀錄

Ubuntu / Debian:

bash

dpkg -l | grep -i security

apt list --upgradable

CentOS / RHEL:

bash

yum list updates --security

rpm -qa --last

5. 防毒與惡意程式掃描（如使用 ClamAV）

bash

clamscan -r /home

freshclam

6. 系統時間同步

bash

timedatectl status

ntpq -p

7. 開放的埠口與網路連線

bash

netstat -tuln

ss -tuln

8. 檔案與目錄權限設定

bash

ls -l /etc/passwd

find / -perm -4000

📋 小技巧建議：

• 準備一份查詢指令腳本，稽核時可快速回應。
  
  

• 確認日誌保存策略與保留時間是否符合 ISO 27001 的要求。
  
  

• 稽核前先模擬執行這些查詢，確認無誤並修正異常。
  
  

💻 四、使用者端個人電腦常見稽核查核項目

🧩 1. 使用者帳號與權限設定（避免使用 local admin）

Windows

powershell

net user

net localgroup administrators

macOS

bash

dscl . list /Users

dscl . -read /Groups/admin GroupMembership

🔐 2. 登入/登出紀錄（針對異常存取行為追蹤）

Windows

powershell

Get-EventLog -LogName Security -InstanceId 4624 -Newest 5

macOS

bash

last

🛡️ 3. 防毒防護狀態（例如 Windows Defender / 第三方 AV）

Windows

powershell

Get-MpComputerStatus

macOS（需視防毒軟體而定，例如 Sophos、CrowdStrike，或用如下方式確認 Gatekeeper 狀態）

bash

spctl --status

🔧 4. 自動鎖定與螢幕保護設定（ISO 27001 A.5.10 要求）

Windows（需使用 GPO 或查詢本機設定）

powershell

powercfg /query SCHEME_CURRENT SUB_VIDEO VIDEOIDLE

macOS

bash

defaults -currentHost read com.apple.screensaver idleTime

🔍 5. 裝置加密狀態（BitLocker / FileVault）

Windows

powershell

manage-bde -status C:

macOS

bash

fdesetup status

🔄 6. 自動更新與修補機制（確保漏洞管理到位）

Windows

powershell

Get-WindowsUpdateLog

macOS

bash

softwareupdate -l

🧭 7. 網路與外部裝置控制（是否允許USB / 藍牙等）

這部分通常需透過 MDM（如 Intune、Jamf）統一管理，但也可查詢本機設定。

Windows USB 偵測紀錄（可藉由事件檢視器查詢）

powershell

Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {$_.Message -like "*USB*"}

macOS 查看 USB 裝置

bash

system_profiler SPUSBDataType

📝 8. 軟體清單（防止未授權安裝）

Windows

powershell

Get-WmiObject -Class Win32_Product | Select-Object Name, Version

macOS

bash

system_profiler SPApplicationsDataType

📌 稽核建議重點提示

• 建議抽樣常用機型（如內勤/外勤筆電）進行查核。
  
  

• 若有 MDM 系統，建議出示報表直接呈現各項設定（BitLocker、AV、螢幕保護等）。
  
  

• 查核時務必確認是否符合組織安全政策（如：不使用本機admin、不允許未加密USB）。