Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a Windows naplózási szabályzatának beállításait, valamint a Microsoft alapkonfigurációját és a munkaállomásokra és kiszolgálókra vonatkozó speciális javaslatokat ismerteti. Útmutatást nyújt a rendszergazdáknak a szervezet igényeinek megfelelő naplózási szabályzatok kiválasztásához.
Az itt látható Security Compliance Manager (SCM) alapkonfiguráció-javaslatok, valamint a rendszerbiztonsági problémák észlelését segítő ajánlott beállítások csak a rendszergazdák számára ajánlott alapkonfigurációs útmutatók. Minden szervezetnek saját döntéseket kell hoznia azokkal a fenyegetésekkel kapcsolatban, amelyekkel szembesül, az elfogadható kockázati tűréshatárokat, valamint hogy milyen naplózási szabályzatkategóriákat vagy alkategóriákat kell engedélyeznie. Az átgondolt naplózási szabályzattal nem rendelkező rendszergazdákat javasoljuk, hogy kezdjenek az itt javasolt beállításokkal, majd módosítsanak és teszteljenek, mielőtt éles környezetben implementálják őket.
A javaslatok nagyvállalati szintű számítógépekre vonatkoznak, amelyeket a Microsoft olyan számítógépekként határoz meg, amelyek átlagos biztonsági követelményekkel rendelkeznek, és magas szintű működést igényelnek. A magasabb biztonsági követelményekkel rendelkező entitásoknak agresszívebb naplózási szabályzatokat kell figyelembe venniük.
A következő alapszintű auditálási házirend-beállításokat javasoljuk azokhoz az általános biztonsági szintet fenntartó számítógépekhez, amelyekről nem ismert, hogy határozott ellenfelek vagy kártevők aktív, sikeres támadása alatt állnak.
Ajánlott rendszernaplózási szabályzat operációs rendszer szerint
Ez a szakasz olyan táblákat tartalmaz, amelyek felsorolják azokat a naplózási beállításokat, amelyek az ügyfélre és a kiszolgálóra egyaránt vonatkoznak a Windows operációs rendszerre (OS).
Rendszernaplózási házirend tábla jelmagyarázata
| Notation | Recommendation |
|---|---|
| Yes | Engedélyezés általános forgatókönyvekben |
| No | Általános forgatókönyvekben nem engedélyezett |
| If | Ha szükséges egy adott forgatókönyvhöz, vagy ha a számítógépen telepítve van egy olyan szerepkör vagy funkció, amelyhez naplózás szükséges |
| DC | Engedélyezés a tartományvezérlőkön |
| [Blank] | No recommendation |
Ezek a táblák tartalmazzák a Windows alapértelmezett beállítását, az alapkonfigurációs javaslatokat és az erősebb javaslatokat, attól függően, hogy melyik operációs rendszer platformot futtatja.
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Logon | |||
| Hitelesítő adatok érvényesítése | No | No |
Yes | No |
Yes | Yes |
| Kerberos hitelesítési szolgáltatás ellenőrzése | Yes | Yes |
||
| Kerberos-szolgáltatásjegyműveletek naplózása | Yes | Yes |
||
| Egyéb fiókbejegyzési események naplózása | Yes | Yes |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Management | |||
| Auditálás alkalmazáscsoport-kezeléshez | |||
| Számítógépfiókok kezelésének auditálása | Yes | No |
Yes | Yes |
|
| Terjesztési csoportkezelés auditálása | |||
| Egyéb fiókfelügyeleti események ellenőrzése | Yes | No |
Yes | Yes |
|
| Biztonsági csoportkezelés auditja | Yes | No |
Yes | Yes |
|
| Felhasználói fiókok kezelésének auditálása | Yes | No |
Yes | No |
Yes | Yes |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Detailed Tracking | |||
| DPAPI-tevékenység naplózása | Yes | Yes |
||
| Folyamat-létrehozás auditálása | Yes | No |
Yes | Yes |
|
| Auditálási folyamat lezárása | |||
| RPC-események auditálása |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| DS Access | |||
| Címtár szolgáltatás részletes replikációjának ellenőrzése | |||
| Címtárszolgáltatás hozzáférésének naplózása | |||
| Címtárszolgáltatás változásainak ellenőrzése | |||
| Címtárszolgáltatás-replikáció ellenőrzése |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Bejelentkezés és Kijelentkezés | |||
| Fiókzárolás auditálása | Yes | No |
Yes | No |
|
| Felhasználói/eszközjogcímek ellenőrzése | |||
| IPsec bővített mód ellenőrzése | |||
| Az IPsec főmódjának ellenőrzése | IF | IF |
||
| IPsec gyorsmód ellenőrzése | |||
| Audit Logoff | Yes | No |
Yes | No |
Yes | No |
| Audit Logon 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Hálózati házirend-kiszolgáló ellenőrzése | Yes | Yes |
||
| Egyéb bejelentkezési/kijelentkezési események naplózása | |||
| Különleges bejelentkezés naplózása | Yes | No |
Yes | No |
Yes | Yes |
1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. A Windows korábbi verzióiban alapértelmezés szerint csak a Siker engedélyezve van.
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Object Access | |||
| Létrehozott ellenőrző alkalmazás | |||
| Könyvvizsgálati tanúsítási szolgáltatások | |||
| Fájlmegosztás részletes ellenőrzése | |||
| Fájlmegosztás ellenőrzése | |||
| Fájlrendszer auditálása | |||
| Ellenőrzési szűrőplatform-kapcsolat | |||
| Naplózási platformcsomagok elvetése | |||
| Ellenőrzési leíró manipulációja | |||
| Kernelobjektum ellenőrzése | |||
| Egyéb objektum-hozzáférési események naplózása | |||
| Audit Registry | |||
| Cserélhető tároló auditálása | |||
| Audit SAM | |||
| Központi hozzáférési szabályzat tesztelésének ellenőrzése |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Policy Change | |||
| Auditálási szabályzat módosítása | Yes | No |
Yes | Yes |
Yes | Yes |
| Hitelesítési házirend módosításának ellenőrzése | Yes | No |
Yes | No |
Yes | Yes |
| Engedélyezési házirend módosítása | |||
| Ellenőrzési szűrőplatform házirendjének módosítása | |||
| MPSSVC szabályszintű házirend-módosítások ellenőrzése | Yes |
||
| Egyéb szabályzatmódosítási események auditálása |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Privilege Use | |||
| Nem bizalmas jogosultságok használatának naplózása | |||
| Egyéb jogosultság-használati események naplózása | |||
| Érzékeny jogosultságok használatának naplózása |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| System | |||
| IPsec-illesztőprogram ellenőrzése | Yes | Yes |
Yes | Yes |
|
| Egyéb rendszer események ellenőrzése | Yes | Yes |
||
| Biztonsági állapotmódosítások naplózása | Yes | No |
Yes | Yes |
Yes | Yes |
| Biztonsági rendszer bővítmény | Yes | Yes |
Yes | Yes |
|
| Rendszer-integritás ellenőrzése | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Ellenőrzési szabályzatkategória vagy alkategória | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Globális objektumhozzáférés naplózás | |||
| IPsec-illesztőprogram ellenőrzése | |||
| Egyéb rendszer események ellenőrzése | |||
| Biztonsági állapotmódosítások naplózása | |||
| Biztonsági rendszer bővítmény | |||
| Rendszer-integritás ellenőrzése |
Ellenőrzési szabályzat beállítása munkaállomásokon és kiszolgálókon
A hatékony eseménynapló-kezeléshez a munkaállomások és a kiszolgálók monitorozása is szükséges. A kizárólag kiszolgálókra vagy tartományvezérlőkre (DC) való összpontosítás gyakori hiba, mivel a rosszindulatú tevékenységek kezdeti jelei gyakran a munkaállomásokon jelennek meg. A munkaállomások monitorozási stratégiába való beépítésével hozzáférhet a kritikus korai kompromittáltsági mutatókhoz.
Mielőtt bármilyen naplózási szabályzatot éles környezetben helyez üzembe, a rendszergazdáknak gondosan át kell vizsgálniuk, tesztelniük és ellenőriznie kell a szabályzatot, hogy megfeleljenek a szervezeti biztonsági és üzemeltetési követelményeknek.
Figyelendő események
A biztonsági riasztás létrehozásához tökéletes eseményazonosítónak a következő attribútumokat kell tartalmaznia:
Nagy a valószínűsége annak, hogy az előfordulás jogosulatlan tevékenységet jelez
Kevés hamis pozitív
Az előfordulásnak vizsgálati/kriminalisztikai választ kell eredményeznie
Két eseménytípust kell figyelni és figyelmeztetni:
Olyan események, ahol egy esemény erős jelzése a jogosulatlan vagy gyanús tevékenységeknek.
A várt és elfogadott alapkonfiguráció fölötti események halmozódása.
Az első eseményre példa:
Ha a tartományi rendszergazdák nem jelentkezhetnek be olyan számítógépekre, amelyek nem tartományvezérlők, akkor egy tartományi rendszergazdai tag végfelhasználói munkaállomásra történő bejelentkezésének egyetlen előfordulása is riasztást kell, hogy generáljon, amelyet ki kell vizsgálni. Ezt a riasztástípust egyszerűen létrehozhatja a 4964-es naplózási különleges bejelentkezési esemény (speciális csoportok lettek hozzárendelve egy új bejelentkezéshez). Az egypéldányos riasztások további példái a következők:
If Server A should never connect to Server B, alert when they connect to each other.
Riasztás, ha a rendszer váratlanul hozzáad egy standard felhasználói fiókot egy kiemelt vagy bizalmas biztonsági csoporthoz.
Ha az alkalmazottak a gyári helyen A soha nem dolgoznak éjszaka, riasztást, ha egy felhasználó bejelentkezik éjszaka.
Riasztás, ha nem engedélyezett szolgáltatás van telepítve egy tartományvezérlőn.
Vizsgálja meg, hogy egy normál végfelhasználó megpróbál-e közvetlenül bejelentkezni egy OLYAN SQL Serverre, amelyhez nincs egyértelmű oka.
Ha nincsenek tagok a Tartományi Adminisztrátorok csoportjában, és valaki hozzáadja magát, azonnal ellenőrizze.
A második eseményre példa:
A sikertelen bejelentkezési kísérletek nagy száma jelszó-találgatásos támadást jelezhet. Ennek észleléséhez a szervezeteknek először meg kell határozniuk, hogy mi a sikertelen bejelentkezések normál aránya a környezetükben. Ezután riasztások aktiválhatók az alapkonfiguráció túllépésekor.
Tekintse meg az átfogó listáját azoknak az eseményeknek, amelyeket figyelemmel kell kísérnie a veszélyeztetés jeleinek felmérésére az L Függelék: Megfigyelendő események című részben.
Monitorozni kívánt Active Directory-objektumok és attribútumok
Az alábbiakban azokat a fiókokat, csoportokat és attribútumokat kell figyelnie, amelyek segítenek észlelni az Active Directory Domain Services telepítésének veszélyeztetésére tett kísérleteket.
Víruskereső és kártevőirtó szoftverek letiltására vagy eltávolítására szolgáló rendszerek (automatikusan indítsa újra a védelmet, ha manuálisan le van tiltva)
Rendszergazdai fiókok jogosulatlan módosításokhoz
Kiemelt fiókok használatával végrehajtott tevékenységek (automatikusan eltávolítják a fiókot a gyanús tevékenységek befejezésekor vagy a kijelölt idő lejártakor)
Kiemelt és VIP-fiókok az AD DS-ben. Figyelje meg az attribútumok módosításait a Fiók lapon, például:
cn
name
sAMAccountName
userPrincipalName
userAccountControl
A fiókok monitorozása mellett korlátozza, hogy ki módosíthatja a fiókokat a lehető legkisebb rendszergazdai felhasználókra. Tekintse meg L függelék: A figyelendő események a figyelendő események listáját, a kritikussági értékelésüket és az eseményüzenetek összegzését.
Csoportosítsa a kiszolgálókat a számítási feladataik besorolása alapján, így gyorsan azonosíthatja a legszigorúbban figyelt és legszigorúbban konfigurált kiszolgálókat
A következő AD DS-csoportok tulajdonságainak és tagságának módosítása:
Administrators
Domain Admins
Enterprise Admins
Schema Admins
Letiltott emelt szintű fiókok (például az Active Directory beépített rendszergazdai fiókjai és tagrendszerek) a fiókok engedélyezéséhez
Menedzsmenti fiókok a fiók összes írásának naplózására
Beépített biztonsági konfigurációs varázsló a kiszolgáló támadási felületének csökkentése érdekében konfigurálja a szolgáltatás- és beállításjegyzék-, naplózási és tűzfalbeállításokat. Ezt a varázslót akkor használja, ha a felügyeleti gazdagépstratégia részeként ugrókiszolgálót implementál.
További információk az AD DS monitorozásához
Az AD DS figyelésével kapcsolatos további információkért tekintse át az alábbi hivatkozásokat:
Biztonsági eseményazonosító-javaslatok kritikusságai
Az eseményazonosítóra vonatkozó javaslatokhoz az alábbiak szerint kell kritikussági minősítést csatolni:
| Rating | Description |
|---|---|
| High | A magas kritikussági minősítéssel rendelkező eseményazonosítókat mindig és azonnal értesíteni és kivizsgálni kell. |
| Medium | Egy közepes kritikussági minősítéssel rendelkező eseményazonosító rosszindulatú tevékenységre utalhat, de valamilyen más rendellenességgel kell kísérnie. Ilyen lehet például egy adott időszakban előforduló szokatlan szám, váratlan események vagy olyan események a számítógépen, amelyek általában nem várhatók az esemény naplózására. A közepes kritikussági eseményeket metrikaként is összegyűjtheti, majd idővel összehasonlíthatja. |
| Low | Az alacsony kritikussági eseményekkel rendelkező eseményazonosítónak nem szabad figyelmet keltenie vagy riasztásokat okoznia, kivéve, ha közepes vagy magas kritikussági eseményekkel van összefüggésben. |
Ezek a javaslatok alapszintű útmutatót nyújtanak a rendszergazdák számára. Éles környezetben történő implementálás előtt minden javaslatot alaposan át kell vizsgálni.