Freigeben über


Empfehlungen für Systemüberwachungsrichtlinien

In diesem Artikel werden die Windows-Überwachungsrichtlinieneinstellungen und die grundlegenden und erweiterten Empfehlungen von Microsoft für Arbeitsstationen und Server behandelt. Es bietet Anleitungen, die Administratoren bei der Auswahl geeigneter Überwachungsrichtlinien unterstützen, die auf den Anforderungen ihrer Organisation basieren.

Die hier gezeigten Basisempfehlungen für den Security Compliance Manager (SCM) sowie die empfohlenen Einstellungen zur Unterstützung der Erkennung von Systemkompromittierungen dienen ausschließlich als Ausgangspunkt und Leitfaden für Administratoren. Jede Organisation muss ihre eigenen Entscheidungen bezüglich der Bedrohungen, denen sie ausgesetzt sind, ihren akzeptablen Risikotoleranzen und der Überwachungsrichtlinienkategorien oder Unterkategorien, die sie aktivieren sollten, treffen. Administratoren ohne eine durchdachte Überwachungsrichtlinie werden empfohlen, mit den hier empfohlenen Einstellungen zu beginnen und dann vor der Implementierung in ihrer Produktionsumgebung zu ändern und zu testen.

Die Empfehlungen gelten für Computer der Unternehmensklasse, laut Definition von Microsoft also Computer mit durchschnittlichen Sicherheitsanforderungen und einem hohen Maß an erforderlicher Betriebsfunktionalität. Entitäten mit höheren Sicherheitsanforderungen sollten aggressivere Überwachungsrichtlinien in Betracht ziehen.

Die folgenden grundlegenden Überwachungsrichtlinien-Einstellungen werden für Computer mit normaler Sicherheitsstufe empfohlen, die nicht bekannt dafür sind, dass sie aktiven, erfolgreichen Angriffen durch entschlossene Gegner oder Schadsoftware ausgesetzt sind.

Dieser Abschnitt enthält Tabellen, in denen die Empfehlungen für Überwachungseinstellungen aufgeführt werden, die für das Windows-Betriebssystem (Betriebssystem) sowohl für den Client als auch für den Server gelten.

Legende zur System-Auditrichtlinien-Tabelle

Notation Empfehlung
Ja In generellen Szenarien aktivieren
Nein In allgemeinen Szenarien nicht aktivieren
Wenn Bei Bedarf für ein bestimmtes Szenario aktivieren, oder wenn auf dem Computer Rollen oder ein Features installiert sind, für die die Überwachung gewünscht wird
SL Auf Domänencontrollern aktivieren
[leer] Keine Empfehlung

Diese Tabellen enthalten die Windows-Standardeinstellung, die Basisempfehlungen und stärkere Empfehlungen für die Betriebssystemplattform, die Sie ausführen.

Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Kontoanmeldung
Überprüfen der Anmeldeinformationen überwachen No | No Yes | No Yes | Yes
Kerberos-Authentifizierungsdienst überwachen Yes | Yes
Ticketvorgänge des Kerberos-Diensts überwachen Yes | Yes
Andere Kontoanmeldungsereignisse überwachen Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Kontoverwaltung
Anwendung von Gruppenmanagement prüfen
Computer-Kontoverwaltung prüfen Yes | No Yes | Yes
Verteilergruppenverwaltung überwachen
Andere Kontoverwaltungsereignisse überwachen Yes | No Yes | Yes
Sicherheitsgruppenverwaltung überwachen Yes | No Yes | Yes
Benutzerkontenverwaltung überwachen Yes | No Yes | No Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Detaillierte Überwachung
DPAPI-Aktivität überwachen Yes | Yes
Prozesserstellung überwachen Yes | No Yes | Yes
Beendigung des Auditprozesses
RPC-Ereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
DS-Zugriff
Detaillierte Verzeichnisdienstreplikation überwachen
Verzeichnisdienstzugriff überwachen
Verzeichnisdienständerungen überwachen
Verzeichnisdienstreplikation überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Anmelden und Abmelden
Kontosperrung überwachen Yes | No Yes | No
Benutzer-/Geräteansprüche überwachen
IPsec-Erweiterungsmodus überwachen
IPsec-Hauptmodus überwachen IF | IF
IPsec-Schnellmodus überwachen
Abmelden überwachen Yes | No Yes | No Yes | No
Anmelden überwachen 1 Yes | Yes Yes | Yes Yes | Yes
Netzwerk-Richtlinienserver prüfen Yes | Yes
Andere Anmelde-/Abmeldeereignisse überwachen
Spezielle Anmeldung überwachen Yes | No Yes | No Yes | Yes

1 Ab Windows 10, Version 1809, ist „Anmeldung überwachen“ für „Erfolg“ und „Fehler“ standardmäßig aktiviert. In früheren Versionen von Windows ist standardmäßig nur „Erfolg“ aktiviert.

Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Objektzugriff
Audit-Anwendung erstellt
Audit-Zertifizierungsdienste
Detaillierte Dateifreigabe überwachen
Dateifreigabe überwachen
Dateisystem überwachen
Filterplattformverbindung überwachen
Verworfene Filterplattformpakete überwachen
Handleänderung überwachen
Kernelobjekt überwachen
Andere Objektzugriffsereignisse überwachen
Prüfregister
Wechselmedien überwachen
SAM überwachen
Staging zentraler Zugriffsrichtlinien überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Richtlinienänderung
Überwachungsrichtlinienänderung überwachen Yes | No Yes | Yes Yes | Yes
Authentifizierungsrichtlinienänderung überwachen Yes | No Yes | No Yes | Yes
Autorisierungsrichtlinienänderung überwachen
Richtlinienänderung für Filterplattform überwachen
MPSSVC-Richtlinienänderung auf Regelebene überwachen Yes
Andere Richtlinienänderungsereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Nutzung von Berechtigungen
Nicht sensible Verwendung von Rechten überwachen
Andere Rechteverwendungsereignisse überwachen
Überprüfung der Verwendung sensibler Privilegien
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
System
IPsec-Treiber überwachen Yes | Yes Yes | Yes
Andere Systemereignisse überwachen Yes | Yes
Sicherheitsstatusänderung überwachen Yes | No Yes | Yes Yes | Yes
Sicherheitssystemerweiterung überwachen Yes | Yes Yes | Yes
Systemintegrität prüfen Yes | Yes Yes | Yes Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)
Success | Failure
Grundempfehlung
Success | Failure
Stärkere Empfehlung
Success | Failure
Globale Objektzugriffsüberwachung
IPsec-Treiber überwachen
Andere Systemereignisse überwachen
Sicherheitsstatusänderung überwachen
Sicherheitssystemerweiterung überwachen
Systemintegrität prüfen

Festlegen der Überwachungsrichtlinie auf Arbeitsstationen und Servern

Die effektive Ereignisprotokollverwaltung erfordert die Überwachung von Arbeitsstationen und Servern. Die ausschließliche Konzentration auf Server oder Domänencontroller (DC) ist ein häufiger Fehler, da anfängliche Anzeichen bösartiger Aktivitäten häufig auf Arbeitsstationen auftreten. Indem Sie Arbeitsstationen in Ihre Überwachungsstrategie einbeziehen, erhalten Sie Zugang zu kritischen Frühindikatoren der Kompromittierung.

Bevor Sie eine Überwachungsrichtlinie in einer Produktionsumgebung bereitstellen, sollten Administratoren die Richtlinie sorgfältig überprüfen, testen und überprüfen, um sicherzustellen, dass sie die Sicherheits- und Betriebsanforderungen der Organisation erfüllt.

Zu überwachende Ereignisse

Eine perfekte Ereignis-ID zum Generieren einer Sicherheitswarnung sollte die folgenden Attribute enthalten:

  • Hohe Wahrscheinlichkeit, dass das Auftreten auf unbefugte Aktivitäten hinweist

  • Geringe Anzahl an falsch positiven Ergebnissen

  • Das Auftreten sollte zu einer (forensischen) Untersuchung führen

Zwei Arten von Ereignissen sollten überwacht werden und zu Warnungen führen:

  • Ereignisse, bei denen ein Vorkommen ein starker Indikator für nicht autorisierte oder verdächtige Aktivitäten ist.

  • Eine Ansammlung von Ereignissen über einer erwarteten und akzeptierten Grundlage.

Beispiel für diesen ersten Ereignistyp:

Wenn Domänenadministratoren nicht berechtigt sind, sich bei computern anzumelden, die keine DCs sind, sollte ein einzelnes Vorkommen einer Domänenadministratormitgliedsanmeldung bei einer Endbenutzerarbeitsstation eine Warnung generieren und untersucht werden. Diese Art von Warnung lässt sich einfach erzeugen, indem Sie das Audit-Spezialanmeldeereignis 4964 verwenden (Bestimmte Gruppen wurden einem neuen Anmeldevorgang zugewiesen). Weitere Beispiele für Warnungen bei einer einzelnen Instanz sind:

  • Wenn Server A niemals eine Verbindung mit Server B herstellen sollte, benachrichtigen Sie, wenn sie eine Verbindung zueinander herstellen.

  • Warnung, wenn ein Standardbenutzerkonto unerwartet einer privilegierten oder vertraulichen Sicherheitsgruppe hinzugefügt wird.

  • Wenn Mitarbeiter am Werksstandort A niemals nachts arbeiten, benachrichtigen Sie, wenn sich ein Benutzer nachts anmeldet.

  • Warnung, wenn ein nicht autorisierter Dienst auf einem DC installiert ist.

  • Untersuchen Sie, ob ein normaler Endbenutzer versucht, sich direkt bei einem SQL Server anzumelden, für den er keinen eindeutigen Grund dafür hat.

  • Wenn Sie keine Mitglieder in Ihrer Gruppe "Domänenadministrator" haben und sich dort jemand selbst hinzufügt, überprüfen Sie es sofort.

Beispiel für diesen zweiten Ereignistyp:

Eine hohe Anzahl fehlgeschlagener Anmeldeversuche könnte einen Kennwortratenangriff signalisieren. Um dies zu erkennen, sollten Organisationen zuerst ermitteln, was eine normale Rate von fehlgeschlagenen Anmeldungen in ihrer Umgebung ist. Dann können Warnungen ausgelöst werden, wenn dieser Basisplan überschritten wird.

Eine umfassende Liste der Ereignisse, die Sie bei der Überwachung auf Gefährdungszeichen einschließen sollten, finden Sie in Anhang L: Ereignisse zum Überwachen.

Active Directory-Objekte und -Attribute, die überwacht werden sollen

Im Folgenden finden Sie die Konten, Gruppen und Attribute, die Sie überwachen sollten, um Versuche zu erkennen, ihre Active Directory Domain Services-Installation zu kompromittieren.

  • Systeme zum Deaktivieren oder Entfernen von Antiviren- und Antischadsoftware (automatischer Neustartschutz, wenn er manuell deaktiviert wird)

  • Administratorkonten für nicht autorisierte Änderungen

  • Aktivitäten, die mit privilegierten Konten ausgeführt werden (Konto automatisch entfernen, wenn verdächtige Aktivitäten abgeschlossen oder die zugewiesene Zeit abgelaufen sind)

  • Konten mit Berechtigungen und VIP-Konten in AD DS. Überwachen von Änderungen an Attributen auf der Registerkarte "Konto", z. B.:

    • cn

    • Name

    • sAMAccountName

    • Benutzerprinzipalname

    • Benutzerkontensteuerung

    Beschränken Sie zusätzlich zur Überwachung der Konten, wer die Konten ändern darf, auf eine möglichst kleine Gruppe von Administratorbenutzern. Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.

  • Gruppieren Sie Server nach der Klassifizierung ihrer Workloads. So können Sie schnell die Server identifizieren, die am stärksten überwacht und besonders streng konfiguriert werden sollten.

  • Änderungen an den Eigenschaften und der Mitgliedschaft der folgenden AD DS-Gruppen:

    • Administratoren

    • Domänenadministratoren

    • Organisationsadministratoren

    • Schema-Administratoren

  • Deaktivierte Konten mit Berechtigungen (z. B. integrierte Administratorkonten in Active Directory und auf Mitgliedssystemen) zum Aktivieren der Konten

  • Verwaltungskonten zum Protokollieren aller Schreibvorgänge in das Konto

  • Integrierter Sicherheitskonfigurations-Assistent zum Konfigurieren von Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen, um die Angriffsfläche des Servers zu verringern. Verwenden Sie diesen Assistenten, wenn Sie Jumpserver als Teil Ihrer Verwaltungshoststrategie implementieren.

Zusätzliche Informationen zur Überwachung von AD DS

Weitere Informationen zur Überwachung von AD DS finden Sie unter den folgenden Links:

Kritikalitäten von Empfehlungen zur Sicherheitsereignis-ID

Alle Empfehlungen zur Ereignis-ID werden wie folgt von einer Kritikalitätsbewertung begleitet:

Bewertung BESCHREIBUNG
Hoch Ereignis-IDs mit einer hohen kritischen Bewertung müssen stets und umgehend gemeldet und untersucht werden.
Mittel Eine Ereignis-ID mit mittlerer Kritikalität könnte auf schädliche Aktivitäten hinweisen, muss jedoch von einer weiteren Anomalie begleitet werden. Ein Beispiel könnte eine ungewöhnliche Zahl sein, die in einem bestimmten Zeitraum auftritt, unerwartete Vorkommnisse oder Vorkommnisse auf einem Computer, die normalerweise nicht erwartet würden, das Ereignis zu protokollieren. Ein mittelkritisches Ereignis kann auch als Metrik erfasst und dann über Zeit hinweg verglichen werden.
Niedrig Eine Ereignis-ID mit Ereignissen von geringer Kritikalität sollte keine Aufmerksamkeit erregen oder Warnungen auslösen, es sei denn, sie sind mit Ereignissen von mittlerer oder hoher Kritikalität korreliert.

Diese Empfehlungen sollen einen Basisleitfaden für einen Administrator bereitstellen. Alle Empfehlungen sollten gründlich überprüft werden, bevor sie in einer Produktionsumgebung implementiert werden.

Siehe auch