Rekomendasi Kebijakan Audit
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7
Bagian ini membahas pengaturan kebijakan audit default Windows, pengaturan kebijakan audit dasar yang direkomendasikan, dan rekomendasi yang lebih agresif dari Microsoft, untuk stasiun kerja dan produk server.
Rekomendasi garis besar SCM yang ditunjukkan di sini, bersama dengan pengaturan yang kami sarankan untuk membantu mendeteksi kompromi, hanya dimaksudkan untuk menjadi panduan garis besar awal bagi administrator. Setiap organisasi harus membuat keputusan sendiri mengenai ancaman yang harus mereka hadapi, toleransi risiko yang dapat diterima, dan kategori kebijakan audit atau subkatoner apa yang harus mereka aktifkan. Untuk informasi lebih lanjut tentang ancaman, lihat Panduan Ancaman dan Penanggulangan. Administrator tanpa kebijakan audit yang bijaksana didorong untuk memulai dengan pengaturan yang direkomendasikan di sini, lalu untuk memodifikasi dan menguji, sebelum menerapkan di lingkungan produksi mereka.
Rekomendasinya adalah untuk komputer kelas perusahaan, yang didefinisikan Microsoft sebagai komputer yang memiliki persyaratan keamanan rata-rata dan memerlukan tingkat fungsionalitas operasional yang tinggi. Entitas yang membutuhkan persyaratan keamanan yang lebih tinggi harus mempertimbangkan kebijakan audit yang lebih agresif.
Catatan
Rekomendasi default dan garis besar Microsoft Windows diambil dari alat Microsoft Security Compliance Manager.
Pengaturan kebijakan audit garis besar berikut direkomendasikan untuk komputer keamanan normal yang tidak diketahui berada di bawah serangan aktif dan berhasil oleh musuh atau malware yang ditentukan.
Kebijakan Audit yang Direkomendasikan oleh Sistem Operasi
Bagian ini berisi tabel yang mencantumkan rekomendasi pengaturan audit yang berlaku untuk sistem operasi berikut:
- Server Windows 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Tabel ini berisi pengaturan default Windows, rekomendasi garis besar, dan rekomendasi yang lebih kuat untuk sistem operasi ini.
Legenda Tabel Kebijakan Audit
| Notasi | Rekomendasi |
|---|---|
| Ya | Aktifkan dalam skenario umum |
| Tidak | Jangan aktifkan dalam skenario umum |
| Jika | Aktifkan jika diperlukan untuk skenario tertentu, atau jika peran atau fitur yang diinginkan audit diinstal pada komputer |
| DC | Aktifkan pada pengendali domain |
| [Kosong] | Tidak ada rekomendasi |
Pengaturan Rekomendasi Audit Windows 10, Windows 8, dan Windows 7
Kebijakan Audit
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk Akun | |||
| Mengaudit Validasi Informasi Masuk | No | No |
Yes | No |
Yes | Yes |
| Mengaudit Layanan Autentikasi Kerberos | Yes | Yes |
||
| Mengaudit Operasi Tiket Layanan Kerberos | Yes | Yes |
||
| Mengaudit Peristiwa Masuk Akun Lain | Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Manajemen Akun | |||
| Mengaudit Manajemen Grup Aplikasi | |||
| Mengaudit Manajemen Akun Komputer | Yes | No |
Yes | Yes |
|
| Mengaudit Manajemen Grup Distribusi | |||
| Mengaudit Manajemen Akun Lainnya | Yes | No |
Yes | Yes |
|
| Mengaudit Manajemen Kelompok Keamanan | Yes | No |
Yes | Yes |
|
| Mengaudit Manajemen Akun Pengguna | Yes | No |
Yes | No |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Pelacakan Terperinci | |||
| Mengaudit Aktivitas DPAPI | Yes | Yes |
||
| Mengaudit Pembuatan Proses | Yes | No |
Yes | Yes |
|
| Penghentian Proses Audit | |||
| Mengaudit Peristiwa RPC |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses DS | |||
| Mengaudit Replikasi Layanan Direktori Terperinci | |||
| Mengaudit Akses Layanan Direktori | |||
| Mengaudit Perubahan Layanan Direktori | |||
| Mengaudit Replikasi Layanan Direktori |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk dan Keluar | |||
| Mengaudit Penguncian Akun | Yes | No |
Yes | No |
|
| Mengaudit Klaim Pengguna/Perangkat | |||
| Mengaudit Mode Perluasan IPsec | |||
| Mengaudit Mode Utama IPsec | IF | IF |
||
| Mengaudit Mode Cepat IPsec | |||
| Mengaudit Logoff | Yes | No |
Yes | No |
Yes | No |
| Log Masuk Audit 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Mengaudit Server Kebijakan Jaringan | Yes | Yes |
||
| Mengaudit Peristiwa Logon/Logoff Lainnya | |||
| Mengaudit Logon Khusus | Yes | No |
Yes | No |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses Objek | |||
| Mengaudit Aplikasi yang Dibuat | |||
| Mengaudit Layanan Sertifikasi | |||
| Mengaudit Berbagi File Terperinci | |||
| Mengaudit Berbagi File | |||
| Mengaudit Sistem File | |||
| Mengaudit Sambungan Platform Pemfilteran | |||
| Mengaudit Pelepasan Paket Platform Pemfilteran | |||
| Mengaudit Manipulasi Penanganan | |||
| Mengaudit Obyek Kernel | |||
| Mengaudit Peristiwa Akses Objek Lainnya | |||
| Mengaudit Registri | |||
| Mengaudit Penyimpanan yang Dapat Dilepas | |||
| Mengaudit SAM | |||
| Mengaudit Penahapan Kebijakan Akses Pusat |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Perubahan Kebijakan | |||
| Mengaudit Perubahan Kebijakan Audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Mengaudit Perubahan Kebijakan Autentikasi | Yes | No |
Yes | No |
Yes | Yes |
| Mengaudit Perubahan Kebijakan Otorisasi | |||
| Mengaudit Perubahan Kebijakan Platform Pemfilteran | |||
| Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC | Yes |
||
| Mengaudit Peristiwa Perubahan Kebijakan Lainnya |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Penggunaan Hak Istimewa | |||
| Mengaudit Penggunaan Hak Istimewa Non-Sensitif | |||
| Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya | |||
| Mengaudit Penggunaan Hak Istimewa Sensitif |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Sistem | |||
| Mengaudit Driver IPsec | Yes | Yes |
Yes | Yes |
|
| Mengaudit Peristiwa Sistem Lainnya | Yes | Yes |
||
| Mengaudit Perubahan Status Keamanan | Yes | No |
Yes | Yes |
Yes | Yes |
| Mengaudit Ekstensi Sistem Keamanan | Yes | Yes |
Yes | Yes |
|
| Mengaudit Integritas Sistem | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Audit Akses Objek Global | |||
| Mengaudit Driver IPsec | |||
| Mengaudit Peristiwa Sistem Lainnya | |||
| Mengaudit Perubahan Status Keamanan | |||
| Mengaudit Ekstensi Sistem Keamanan | |||
| Mengaudit Integritas Sistem |
1 Dimulai dengan Windows 10 versi 1809, Log Masuk Audit diaktifkan secara default untuk Keberhasilan dan Kegagalan. Di versi Windows sebelumnya, hanya Keberhasilan yang diaktifkan secara default.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, dan Audit Windows Server 2008 Pengaturan Rekomendasi
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk Akun | |||
| Mengaudit Validasi Informasi Masuk | No | No |
Yes | Yes |
Yes | Yes |
| Mengaudit Layanan Autentikasi Kerberos | Yes | Yes |
||
| Mengaudit Operasi Tiket Layanan Kerberos | Yes | Yes |
||
| Mengaudit Peristiwa Masuk Akun Lain | Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Manajemen Akun | |||
| Mengaudit Manajemen Grup Aplikasi | |||
| Mengaudit Manajemen Akun Komputer | Yes | DC |
Yes | Yes |
|
| Mengaudit Manajemen Grup Distribusi | |||
| Mengaudit Manajemen Akun Lainnya | Yes | Yes |
Yes | Yes |
|
| Mengaudit Manajemen Kelompok Keamanan | Yes | Yes |
Yes | Yes |
|
| Mengaudit Manajemen Akun Pengguna | Yes | No |
Yes | Yes |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Pelacakan Terperinci | |||
| Mengaudit Aktivitas DPAPI | Yes | Yes |
||
| Mengaudit Pembuatan Proses | Yes | No |
Yes | Yes |
|
| Penghentian Proses Audit | |||
| Mengaudit Peristiwa RPC |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses DS | |||
| Mengaudit Replikasi Layanan Direktori Terperinci | |||
| Mengaudit Akses Layanan Direktori | DC | DC |
DC | DC |
|
| Mengaudit Perubahan Layanan Direktori | DC | DC |
DC | DC |
|
| Mengaudit Replikasi Layanan Direktori |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk dan Keluar | |||
| Mengaudit Penguncian Akun | Yes | No |
Yes | No |
|
| Mengaudit Klaim Pengguna/Perangkat | |||
| Mengaudit Mode Perluasan IPsec | |||
| Mengaudit Mode Utama IPsec | IF | IF |
||
| Mengaudit Mode Cepat IPsec | |||
| Mengaudit Logoff | Yes | No |
Yes | No |
Yes | No |
| Mengaudit Logon | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Mengaudit Server Kebijakan Jaringan | Yes | Yes |
||
| Mengaudit Peristiwa Logon/Logoff Lainnya | Yes | Yes |
||
| Mengaudit Logon Khusus | Yes | No |
Yes | No |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses Objek | |||
| Mengaudit Aplikasi yang Dibuat | |||
| Mengaudit Layanan Sertifikasi | |||
| Mengaudit Berbagi File Terperinci | |||
| Mengaudit Berbagi File | |||
| Mengaudit Sistem File | |||
| Mengaudit Sambungan Platform Pemfilteran | |||
| Mengaudit Pelepasan Paket Platform Pemfilteran | |||
| Mengaudit Manipulasi Penanganan | |||
| Mengaudit Obyek Kernel | |||
| Mengaudit Peristiwa Akses Objek Lainnya | |||
| Mengaudit Registri | |||
| Mengaudit Penyimpanan yang Dapat Dilepas | |||
| Mengaudit SAM | |||
| Mengaudit Penahapan Kebijakan Akses Pusat |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Perubahan Kebijakan | |||
| Mengaudit Perubahan Kebijakan Audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Mengaudit Perubahan Kebijakan Autentikasi | Yes | No |
Yes | No |
Yes | Yes |
| Mengaudit Perubahan Kebijakan Otorisasi | |||
| Mengaudit Perubahan Kebijakan Platform Pemfilteran | |||
| Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC | Yes |
||
| Mengaudit Peristiwa Perubahan Kebijakan Lainnya |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Penggunaan Hak Istimewa | |||
| Mengaudit Penggunaan Hak Istimewa Non-Sensitif | |||
| Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya | |||
| Mengaudit Penggunaan Hak Istimewa Sensitif |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Sistem | |||
| Mengaudit Driver IPsec | Yes | Yes |
Yes | Yes |
|
| Mengaudit Peristiwa Sistem Lainnya | Yes | Yes |
||
| Mengaudit Perubahan Status Keamanan | Yes | No |
Yes | Yes |
Yes | Yes |
| Mengaudit Ekstensi Sistem Keamanan | Yes | Yes |
Yes | Yes |
|
| Mengaudit Integritas Sistem | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Audit Akses Objek Global | |||
| Mengaudit Driver IPsec | |||
| Mengaudit Peristiwa Sistem Lainnya | |||
| Mengaudit Perubahan Status Keamanan | |||
| Mengaudit Ekstensi Sistem Keamanan | |||
| Mengaudit Integritas Sistem |
Mengatur Kebijakan Audit pada Stasiun Kerja dan Server
Semua rencana manajemen log peristiwa harus memantau stasiun kerja dan server. Kesalahan umum adalah hanya memantau server atau pengendali domain. Karena peretasan berbahaya sering kali awalnya terjadi di stasiun kerja, tidak memantau stasiun kerja mengabaikan sumber informasi terbaik dan paling awal.
Administrator harus dengan cermat meninjau dan menguji kebijakan audit apa pun sebelum implementasi di lingkungan produksi mereka.
Peristiwa untuk Dipantau
ID peristiwa yang sempurna untuk menghasilkan pemberitahuan keamanan harus berisi atribut berikut:
Kemungkinan tinggi terjadinya menunjukkan aktivitas yang tidak sah
Jumlah rendah positif palsu
Kemunculan harus menghasilkan respons investigasi/forensik
Dua jenis peristiwa harus dipantau dan diberi tahu:
Peristiwa di mana bahkan satu kejadian menunjukkan aktivitas yang tidak sah
Akumulasi peristiwa di atas garis besar yang diharapkan dan diterima
Contoh peristiwa pertama adalah:
Jika Domain Admin (DAs) dilarang masuk ke komputer yang bukan pengontrol domain, satu kemunculan anggota DA yang masuk ke stasiun kerja pengguna akhir harus menghasilkan pemberitahuan dan diselidiki. Jenis pemberitahuan ini mudah dihasilkan dengan menggunakan peristiwa Audit Special Logon 4964 (Grup khusus telah ditetapkan ke log masuk baru). Contoh lain dari pemberitahuan instans tunggal meliputi:
Jika Server A tidak boleh tersambung ke Server B, beri tahu saat tersambung satu sama lain.
Pemberitahuan jika akun pengguna akhir normal secara tak terduga ditambahkan ke grup keamanan sensitif.
Jika karyawan di lokasi pabrik A tidak pernah bekerja di malam hari, waspada saat pengguna masuk pada tengah malam.
Pemberitahuan jika layanan yang tidak sah diinstal pada pengendali domain.
Selidiki apakah pengguna akhir biasa mencoba untuk langsung masuk ke SQL Server yang tidak memiliki alasan yang jelas untuk melakukannya.
Jika Anda tidak memiliki anggota di grup DA Anda, dan seseorang menambahkan diri mereka sendiri di sana, segera periksa.
Contoh peristiwa kedua adalah:
Jumlah log masuk yang gagal yang menyimpang dapat menunjukkan serangan tebakan kata sandi. Agar perusahaan memberikan pemberitahuan untuk jumlah logo yang gagal yang luar biasa tinggi, mereka harus terlebih dahulu memahami tingkat normal logon yang gagal dalam lingkungan mereka sebelum peristiwa keamanan berbahaya.
Untuk daftar lengkap peristiwa yang harus Anda sertakan saat memantau tanda-tanda penyusupan, silakan lihat Lampiran L: Peristiwa untuk Dipantau.
Objek dan Atribut Direktori Aktif untuk Dipantau
Berikut ini adalah akun, grup, dan atribut yang harus Anda pantau untuk membantu Anda mendeteksi upaya untuk membahayakan penginstalan Active Directory Domain Services Anda.
Sistem untuk menonaktifkan atau menghapus perangkat lunak antivirus dan anti-malware (secara otomatis memulai ulang perlindungan ketika dinonaktifkan secara manual)
Akun administrator untuk perubahan yang tidak sah
Aktivitas yang dilakukan dengan menggunakan akun istimewa (secara otomatis menghapus akun ketika aktivitas mencurigakan selesai atau waktu yang dialokasikan telah kedaluwarsa)
Akun istimewa dan VIP di AD DS. Pantau perubahan, terutama perubahan pada atribut pada tab Akun (misalnya, cn, nama, sAMAccountName, userPrincipalName, atau userAccountControl). Selain memantau akun, batasi siapa yang dapat memodifikasi akun menjadi sekumpulan pengguna administratif sekecil mungkin.
Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.
Mengelompokkan server berdasarkan klasifikasi beban kerja mereka, yang memungkinkan Anda mengidentifikasi server yang harus dipantau dengan cepat dan paling ketat dikonfigurasi
Perubahan pada properti dan keanggotaan grup AD DS berikut: Admin Perusahaan (EA), Admin Domain (DA), Administrator (BA), dan Admin Skema (SA)
Akun istimewa yang dinonaktifkan (seperti akun Administrator bawaan di Direktori Aktif dan pada sistem anggota) untuk mengaktifkan akun
Akun manajemen untuk mencatat semua penulisan ke akun
Wizard Konfigurasi Keamanan bawaan untuk mengonfigurasi pengaturan layanan, registri, audit, dan firewall untuk mengurangi permukaan serangan server. Gunakan wizard ini jika Anda menerapkan jump server sebagai bagian dari strategi host administratif Anda.
Informasi Tambahan untuk Memantau Layanan Domain Direktori Aktif
Tinjau tautan berikut untuk informasi tambahan tentang pemantauan AD DS:
Audit Akses Objek Global adalah Magic - Menyediakan informasi tentang mengonfigurasi dan menggunakan Konfigurasi Kebijakan Audit Tingkat Lanjut yang ditambahkan ke Windows 7 dan Windows Server 2008 R2.
Memperkenalkan Perubahan Audit di Windows 2008 - Memperkenalkan perubahan audit yang dibuat di Windows 2008.
Trik Audit Dingin di Vista dan 2008 - Menjelaskan fitur baru audit yang menarik di Windows Vista dan Windows Server 2008 yang dapat digunakan untuk memecahkan masalah atau melihat apa yang terjadi di lingkungan Anda.
One-Stop Shop untuk Audit di Windows Server 2008 dan Windows Vista - Berisi kompilasi fitur audit dan informasi yang terkandung dalam Windows Server 2008 dan Windows Vista.
Panduan Langkah demi Langkah Audit AD DS - Menjelaskan fitur audit Active Directory Domain Services (AD DS) baru di Windows Server 2008. Ini juga menyediakan prosedur untuk mengimplementasikan fitur baru ini.
Daftar Umum Kritis Rekomendasi ID Peristiwa Keamanan
Semua rekomendasi ID Peristiwa disertai dengan peringkat kekritisan sebagai berikut:
Tinggi: ID peristiwa dengan peringkat kekritisan tinggi harus selalu dan segera diberi tahu dan diselidiki.
Sedang: ID Peristiwa dengan peringkat kekritisan sedang dapat menunjukkan aktivitas berbahaya, tetapi harus disertai dengan beberapa kelainan lain (misalnya, angka yang tidak biasa terjadi dalam periode waktu tertentu, kejadian yang tidak terduga, atau kemunculan pada komputer yang biasanya tidak akan diharapkan untuk mencatat peristiwa.). Peristiwa kekritisan sedang juga dapat dikumpulkan sebagai metrik dan dibandingkan dari waktu ke waktu.
Rendah: Dan ID Peristiwa dengan peristiwa kekritisan rendah tidak boleh mengumpulkan perhatian atau menyebabkan pemberitahuan, kecuali berkorelasi dengan peristiwa kekritisan sedang atau tinggi.
Rekomendasi ini dimaksudkan untuk memberikan panduan garis besar bagi administrator. Semua rekomendasi harus ditinjau secara menyeluruh sebelum implementasi di lingkungan produksi.
Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.