Bagikan melalui


Memantau Direktori Aktif untuk Tanda-tanda Risiko

Undang-Undang Nomor Lima: Kewaspadaan abadi adalah harga keamanan. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah

Sistem pemantauan log peristiwa yang solid adalah bagian penting dari desain Active Directory yang aman. Banyak kompromi keamanan komputer dapat ditemukan di awal peristiwa jika target memberlakukan pemantauan dan pemberitahuan log peristiwa yang sesuai. Laporan independen telah lama mendukung kesimpulan ini. Misalnya, Laporan Pelanggaran Data Verizon 2009 menyatakan:

"Ketidakefektifan yang jelas dari pemantauan peristiwa dan analisis log terus menjadi agak enigma. Kesempatan untuk deteksi ada di sana; penyelidik mencatat bahwa 66 persen korban memiliki bukti yang memadai yang tersedia dalam log mereka untuk menemukan pelanggaran seandainya mereka lebih rajin menganalisis sumber daya tersebut."

Kurangnya pemantauan log peristiwa aktif ini tetap menjadi kelemahan yang konsisten dalam rencana pertahanan keamanan banyak perusahaan. Laporan Pelanggaran Data Verizon 2012 menemukan bahwa meskipun 85 persen pelanggaran membutuhkan waktu beberapa minggu untuk diperhatikan, 84 persen korban memiliki bukti pelanggaran dalam log peristiwa mereka.

Kebijakan Audit Windows

Berikut ini adalah tautan ke blog dukungan resmi perusahaan Microsoft. Konten blog ini memberikan saran, panduan, dan rekomendasi tentang audit untuk membantu Anda meningkatkan keamanan infrastruktur Direktori Aktif Anda dan merupakan sumber daya yang berharga saat merancang kebijakan audit.

Tautan berikut ini menyediakan informasi tentang peningkatan audit Windows di Windows 8 dan Windows Server 2012, dan informasi tentang audit AD DS di Windows Server 2008.

  • Apa yang Baru dalam Audit Keamanan - Menyediakan gambaran umum fitur audit keamanan baru di Windows 8 dan Windows Server 2012.
  • Panduan Langkah demi Langkah Audit AD DS - Menjelaskan fitur audit Active Directory Domain Services (AD DS) baru di Windows Server 2008. Juga menyediakan prosedur untuk menerapkan fitur baru ini.

Kategori Audit Windows

Sebelum Windows Vista dan Windows Server 2008, Windows hanya memiliki sembilan kategori kebijakan audit log peristiwa:

  • Peristiwa Masuk Akun
  • Manajemen Akun
  • Akses Layanan Direktori
  • Peristiwa Masuk
  • Akses Objek
  • Perubahan Kebijakan
  • Penggunaan Hak Istimewa
  • Pelacakan Proses
  • Peristiwa Sistem

Sembilan kategori audit tradisional ini terdiri dari kebijakan audit. Setiap kategori kebijakan audit dapat diaktifkan untuk peristiwa Keberhasilan, Kegagalan, atau Keberhasilan dan Kegagalan. Deskripsinya disertakan di bagian berikutnya.

Deskripsi Kategori Kebijakan Audit

Kategori kebijakan audit mengaktifkan jenis pesan log peristiwa berikut.

Mengaudit Peristiwa Masuk Akun

Peristiwa Masuk Akun Audit melaporkan setiap instans prinsip keamanan (misalnya, pengguna, komputer, atau akun layanan) yang masuk ke atau keluar dari satu komputer ketika komputer lain digunakan untuk memvalidasi akun. Peristiwa masuk akun dihasilkan ketika akun utama keamanan domain diautentikasi pada pengontrol domain. Autentikasi pengguna lokal di komputer lokal menghasilkan peristiwa masuk yang dicatat di log keamanan lokal. Tidak ada peristiwa logoff akun yang dicatat.

Kategori ini menghasilkan banyak "kebisingan" karena Windows terus-menerus memiliki akun yang masuk ke dan keluar dari komputer lokal dan jarak jauh selama perjalanan bisnis normal. Terlepas dari ketidaknyamanan ini, setiap rencana keamanan harus mencakup keberhasilan dan kegagalan kategori audit ini.

Mengaudit Manajemen Akun

Pengaturan audit ini menentukan apakah akan melacak manajemen pengguna dan grup. Misalnya, pengguna dan grup harus dilacak saat akun pengguna atau komputer, grup keamanan, atau grup distribusi dibuat, diubah, atau dihapus. Pengguna dan grup juga harus dilacak ketika akun pengguna atau komputer diganti namanya, dinonaktifkan, atau diaktifkan, dan ketika kata sandi pengguna atau komputer diubah. Peristiwa dapat dihasilkan untuk pengguna atau grup yang ditambahkan ke atau dihapus dari grup lain.

Mengaudit Akses Layanan Direktori

Pengaturan kebijakan ini menentukan apakah akan mengaudit akses utama keamanan ke objek Direktori Aktif yang memiliki daftar kontrol akses sistem (SACL) yang ditentukan sendiri. Secara umum, kategori ini hanya boleh diaktifkan pada pengendali domain. Pengaturan ini menghasilkan banyak "kebisingan" jika diaktifkan.

Mengaudit Peristiwa Masuk

Peristiwa masuk dihasilkan ketika prinsip keamanan lokal diautentikasi di komputer lokal. Peristiwa Masuk merekam log masuk domain yang terjadi di komputer lokal. Peristiwa logoff akun tidak dihasilkan. Ketika diaktifkan, Peristiwa Masuk menghasilkan banyak "kebisingan", tetapi kebijakan ini tetap harus diaktifkan secara default dalam rencana audit keamanan apa pun.

Mengaudit Akses Objek

Akses Objek dapat menghasilkan peristiwa ketika objek yang ditentukan berikutnya dengan audit diaktifkan diakses (misalnya, Dibuka, Dibaca, Diganti Namanya, Dihapus, atau Ditutup). Setelah kategori audit utama diaktifkan, administrator harus secara individual menentukan objek mana yang akan mengaktifkan audit. Banyak objek sistem Windows dilengkapi dengan pengauditan diaktifkan, jadi mengaktifkan kategori ini biasanya akan mulai menghasilkan peristiwa sebelum administrator menentukan apa pun.

Kategori ini sangat "berisik" dan akan menghasilkan lima hingga 10 peristiwa untuk setiap akses objek. Mungkin sulit bagi administrator baru untuk mengaudit objek untuk mendapatkan informasi yang berguna. Ini hanya boleh diaktifkan saat diperlukan.

Mengaudit Perubahan Kebijakan

Pengaturan kebijakan ini menentukan apakah akan mengaudit setiap insiden perubahan pada kebijakan penetapan hak pengguna, kebijakan Windows Firewall, kebijakan Kepercayaan, atau perubahan pada kebijakan audit. Kategori ini harus diaktifkan pada semua komputer. Ini menghasilkan sedikit "kebisingan."

Penggunaan Hak Istimewa Audit

Ada puluhan hak dan izin pengguna di Windows (misalnya, Masuk sebagai Pekerjaan Batch dan Bertindak sebagai Bagian dari Sistem Operasi). Pengaturan kebijakan ini menentukan apakah akan mengaudit setiap instans perwakilan keamanan dengan menggunakan hak atau hak istimewa pengguna. Mengaktifkan kategori ini menghasilkan banyak "kebisingan", tetapi dapat membantu dalam melacak akun utama keamanan menggunakan hak istimewa yang ditingkatkan.

Pelacakan Proses Audit

Pengaturan kebijakan ini menentukan apakah akan mengaudit informasi pelacakan proses terperinci untuk peristiwa seperti aktivasi program, proses keluar, menangani duplikasi, dan akses objek tidak langsung. Ini berguna untuk melacak pengguna berbahaya dan program yang mereka gunakan.

Mengaktifkan Pelacakan Proses Audit menghasilkan sejumlah besar peristiwa, jadi biasanya diatur ke Tanpa Audit. Namun, pengaturan ini dapat memberikan manfaat besar selama respons insiden dari log terperinci proses yang dimulai dan waktu diluncurkan. Untuk pengendali domain dan server infrastruktur peran tunggal lainnya, kategori ini dapat diaktifkan dengan aman sepanjang waktu. Server peran tunggal tidak menghasilkan banyak lalu lintas pelacakan proses selama tugas normal mereka. Dengan demikian, mereka dapat diaktifkan untuk mengambil peristiwa yang tidak sah jika terjadi.

Audit Peristiwa Sistem

Peristiwa Sistem hampir merupakan kategori catch-all generik, mendaftarkan berbagai peristiwa yang berdampak pada komputer, keamanan sistemnya, atau log keamanan. Ini termasuk peristiwa untuk pematian dan mulai ulang komputer, kegagalan daya, perubahan waktu sistem, inisialisasi paket autentikasi, penghapusan log audit, masalah peniruan identitas, dan sejumlah peristiwa umum lainnya. Secara umum, mengaktifkan kategori audit ini menghasilkan banyak "kebisingan", tetapi menghasilkan peristiwa yang cukup sangat berguna sehingga sulit untuk tidak mengaktifkannya.

Kebijakan Audit Tingkat Lanjut

Dimulai dengan Windows Vista dan Windows Server 2008, Microsoft meningkatkan cara pemilihan kategori log peristiwa dapat dilakukan dengan membuat subkategori di bawah setiap kategori audit utama. Subkategori memungkinkan audit jauh lebih terperinci daripada yang bisa dilakukan dengan menggunakan kategori utama. Dengan menggunakan subkategori, Anda hanya dapat mengaktifkan bagian dari kategori utama tertentu dan melewati menghasilkan peristiwa yang tidak berguna. Setiap subkataan kebijakan audit dapat diaktifkan untuk peristiwa Keberhasilan, Kegagalan, atau Keberhasilan dan Kegagalan.

Untuk mencantumkan semua subkategori audit yang tersedia, tinjau kontainer Kebijakan Audit Tingkat Lanjut dalam Objek Kebijakan Grup atau ketik perintah berikut pada komputer apa pun yang menjalankan Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7, atau Windows Vista:

auditpol /list /subcategory:*

Untuk mendapatkan daftar subkataan audit yang saat ini dikonfigurasi pada komputer yang menjalankan Windows Server 2012, Windows Server 2008 R2, atau Windows 2008, ketik perintah berikut:

auditpol /get /category:*

Cuplikan layar berikut menunjukkan contoh auditpol.exe mencantumkan kebijakan audit saat ini.

Cuplikan layar yang memperlihatkan contoh auditpol.exe mencantumkan kebijakan audit saat ini.

Catatan

Kebijakan Grup tidak selalu secara akurat melaporkan status semua kebijakan audit yang diaktifkan, sedangkan auditpol.exe melakukannya. Lihat Mendapatkan Kebijakan Audit Efektif di Windows 7 dan 2008 R2 untuk detail selengkapnya.

Setiap kategori utama memiliki beberapa subkategori. Di bawah ini adalah daftar kategori, subkatoner dan deskripsi fungsinya.

Mengaudit Deskripsi Subkataan

Subkataan kebijakan audit mengaktifkan jenis pesan log peristiwa berikut:

Logon Akun

Validasi Kredensial

Subkategori ini melaporkan hasil pengujian validasi pada info masuk yang dikirimkan untuk permintaan masuk akun pengguna. Peristiwa ini terjadi di komputer yang otoritatif untuk kredensial. Untuk akun domain, pengendali domain bersifat otoritatif; untuk akun lokal komputer lokal bersifat otoritatif.

Di lingkungan domain, sebagian besar peristiwa masuk akun dicatat di log keamanan pengendali domain yang bersifat otoritatif untuk akun domain. Namun, peristiwa ini dapat terjadi pada komputer lain dalam organisasi saat akun lokal digunakan untuk masuk.

Operasi Tiket Layanan Kerberos

Subkataan ini melaporkan peristiwa yang dihasilkan oleh proses permintaan tiket Kerberos pada pengendali domain yang berwenang untuk akun domain.

Layanan Autentikasi Kerberos

Subkataan ini melaporkan peristiwa yang dihasilkan oleh layanan autentikasi Kerberos. Peristiwa ini terjadi di komputer yang otoritatif untuk kredensial.

Peristiwa Masuk Akun Lainnya

Subkategori ini melaporkan peristiwa yang terjadi sebagai respons terhadap kredensial yang dikirimkan untuk permintaan masuk akun pengguna yang tidak terkait dengan validasi kredensial atau tiket Kerberos. Peristiwa ini terjadi di komputer yang otoritatif untuk kredensial. Untuk akun domain, pengendali domain diberi otorisasi, sedangkan untuk akun lokal, komputer lokal diberi otorisasi.

Di lingkungan domain, sebagian besar peristiwa masuk akun dicatat di log keamanan pengendali domain yang berwenang untuk akun domain. Namun, peristiwa ini dapat terjadi pada komputer lain dalam organisasi saat akun lokal digunakan untuk masuk. Contohnya dapat mencakup yang berikut ini:

  • Pemutusan sesi Layanan Desktop Jarak Jauh
  • Sesi Layanan Desktop Jauh Baru
  • Mengunci dan membuka kunci stasiun kerja
  • Memanggil pengaman layar
  • Menutup pengaman layar
  • Deteksi serangan pemutaran ulang Kerberos, di mana permintaan Kerberos dengan informasi identik diterima dua kali
  • Akses ke jaringan nirkabel yang diberikan kepada pengguna atau akun komputer
  • Akses ke jaringan 802.1x berkabel yang diberikan ke akun pengguna atau komputer

Manajemen Akun

Manajemen Akun Pengguna

Subkataan ini melaporkan setiap peristiwa manajemen akun pengguna, seperti:

  • Akun pengguna dibuat, diubah, atau dihapus
  • Akun pengguna diganti namanya, dinonaktifkan, atau diaktifkan
  • Set kata sandi atau diubah

Jika pengaturan kebijakan audit ini diaktifkan, administrator dapat melacak peristiwa untuk mendeteksi pembuatan akun pengguna yang berbahaya, tidak disengaja, dan sah.

Manajemen Akun Komputer

Subkataan ini melaporkan setiap peristiwa manajemen akun komputer, seperti ketika akun komputer dibuat, diubah, dihapus, diganti namanya, dinonaktifkan, atau diaktifkan.

Manajemen Grup Keamanan

Subkategorang ini melaporkan setiap peristiwa manajemen grup keamanan, seperti ketika grup keamanan dibuat, diubah, atau dihapus atau ketika anggota ditambahkan ke atau dihapus dari grup keamanan. Jika pengaturan kebijakan audit ini diaktifkan, administrator dapat melacak peristiwa untuk mendeteksi pembuatan akun grup keamanan berbahaya, tidak disengaja, dan sah.

Manajemen Grup Distribusi

Subkategorang ini melaporkan setiap peristiwa manajemen grup distribusi, seperti saat grup distribusi dibuat, diubah, atau dihapus atau saat anggota ditambahkan ke atau dihapus dari grup distribusi. Jika pengaturan kebijakan audit ini diaktifkan, administrator dapat melacak peristiwa untuk mendeteksi pembuatan akun grup yang berbahaya, tidak disengaja, dan sah.

Manajemen Grup Aplikasi

Subkategorang ini melaporkan setiap peristiwa manajemen grup aplikasi di komputer, seperti ketika grup aplikasi dibuat, diubah, atau dihapus atau ketika anggota ditambahkan ke atau dihapus dari grup aplikasi. Jika pengaturan kebijakan audit ini diaktifkan, administrator dapat melacak peristiwa untuk mendeteksi pembuatan akun grup aplikasi yang berbahaya, tidak disengaja, dan sah.

Peristiwa Manajemen Akun Lainnya

Subkataan ini melaporkan peristiwa manajemen akun lainnya.

Pelacakan Proses Terperinci

Pemantauan Pelacakan Proses Terperinci mencakup pembuatan dan penghentian proses.

Pembuatan Proses

Subkataan ini melaporkan pembuatan proses dan nama pengguna atau program yang membuatnya.

Penghentian Proses

Subkataan ini melaporkan ketika proses berakhir.

Aktivitas DPAPI

Subkataan ini melaporkan mengenkripsi atau mendekripsi panggilan ke antarmuka pemrograman aplikasi perlindungan data (DPAPI). DPAPI digunakan untuk melindungi informasi rahasia seperti kata sandi tersimpan dan informasi utama.

Peristiwa RPC

Subkataan ini melaporkan peristiwa koneksi panggilan prosedur jarak jauh (RPC).

Akses Layanan Direktori

Akses Layanan Direktori

Subkataan ini melaporkan ketika objek AD DS diakses. Hanya objek dengan SACL yang dikonfigurasi yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan entri SACL. Peristiwa ini mirip dengan peristiwa akses layanan direktori di versi Windows Server sebelumnya. Subkataan ini hanya berlaku untuk pengontrol domain.

Perubahan Layanan Direktori

Subkataan ini melaporkan perubahan pada objek di AD DS. Jenis perubahan yang dilaporkan adalah membuat, memodifikasi, memindahkan, dan membatalkan penghapusan operasi yang dilakukan pada objek. Audit perubahan layanan direktori, jika sesuai, menunjukkan nilai lama dan baru dari properti yang diubah dari objek yang diubah. Hanya objek dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan entri SACL mereka. Beberapa objek dan properti tidak menyebabkan peristiwa audit dihasilkan karena pengaturan pada kelas objek dalam skema. Subkataan ini hanya berlaku untuk pengontrol domain.

Replikasi Layanan Direktori

Subkataan ini melaporkan ketika replikasi antara dua pengontrol domain dimulai dan berakhir.

Replikasi Layanan Direktori Terperinci

Subkataan ini melaporkan informasi terperinci tentang informasi yang direplikasi antar pengontrol domain. Peristiwa ini bisa sangat tinggi volumenya.

Masuk/Keluar

Masuk

Subkategori ini melaporkan saat pengguna mencoba masuk ke sistem. Peristiwa ini terjadi pada komputer yang diakses. Untuk logon interaktif, pembuatan peristiwa ini terjadi di komputer tempat pengguna masuk. Jika masuk jaringan terjadi guna mengakses berbagi, peristiwa ini muncul di komputer yang menghosting sumber daya yang diakses. Jika pengaturan ini dikonfigurasi ke Tidak ada audit, sulit atau tidak mungkin untuk menentukan pengguna mana yang telah mengakses atau mencoba mengakses komputer organisasi.

Server Kebijakan Jaringan

Subkataan ini melaporkan peristiwa yang dihasilkan oleh permintaan akses pengguna RADIUS (IAS) dan Network Access Protection (NAP). Permintaan ini dapat berupa Grant, Deny, Discard, Quarantine, Lock, dan Unlock. Mengaudit pengaturan ini akan menghasilkan rekaman dalam volume sedang atau tinggi pada server NPS dan IAS.

Mode Utama IPsec

Subkataan ini melaporkan hasil protokol Internet Key Exchange (IKE) dan Protokol Internet Terautentikasi (AuthIP) selama negosiasi Mode Utama.

Mode Diperluas IPsec

Subkataan ini melaporkan hasil AuthIP selama negosiasi Mode Diperpanjang.

Peristiwa Masuk/Keluar Lainnya

Subkataan ini melaporkan peristiwa terkait log masuk dan keluar lainnya, seperti sesi Layanan Desktop Jauh terputus dan terhubung kembali, menggunakan RunAs untuk menjalankan proses di bawah akun yang berbeda, dan mengunci dan membuka kunci stasiun kerja.

Logoff

Subkataan ini melaporkan ketika pengguna keluar dari sistem. Peristiwa ini terjadi pada komputer yang diakses. Untuk logon interaktif, pembuatan peristiwa ini terjadi di komputer tempat pengguna masuk. Jika masuk jaringan terjadi guna mengakses berbagi, peristiwa ini muncul di komputer yang menghosting sumber daya yang diakses. Jika pengaturan ini dikonfigurasi ke Tidak ada audit, sulit atau tidak mungkin untuk menentukan pengguna mana yang telah mengakses atau mencoba mengakses komputer organisasi.

Penguncian Akun

Subkataan ini melaporkan ketika akun pengguna dikunci sebagai akibat dari terlalu banyak upaya masuk yang gagal.

Mode Cepat IPsec

Subkataan ini melaporkan hasil protokol IKE dan AuthIP selama negosiasi Mode Cepat.

Masuk Khusus

Subkataan ini melaporkan ketika log masuk khusus digunakan. Log masuk khusus adalah log masuk yang memiliki hak istimewa setara administrator dan dapat digunakan untuk meningkatkan proses ke tingkat yang lebih tinggi.

Perubahan Kebijakan

Perubahan Azure Policy Audit

Subkataan ini melaporkan perubahan kebijakan audit termasuk perubahan SACL.

Perubahan Kebijakan Autentikasi

Subkataan ini melaporkan perubahan dalam kebijakan autentikasi.

Perubahan Kebijakan Otorisasi

Subkataan ini melaporkan perubahan kebijakan otorisasi termasuk perubahan izin (DACL).

Perubahan Kebijakan Tingkat Aturan MPSSVC

Subkataan ini melaporkan perubahan aturan kebijakan yang digunakan oleh Microsoft Protection Service (MPSSVC.exe). Layanan ini digunakan oleh Windows Firewall.

Pemfilteran Perubahan Kebijakan Platform

Subkataan ini melaporkan penambahan dan penghapusan objek dari WFP, termasuk filter startup. Peristiwa ini bisa sangat tinggi volumenya.

Kejadian Perubahan Kebijakan Lainnya

Subkataan ini melaporkan jenis perubahan kebijakan keamanan lainnya seperti konfigurasi Modul Platform Tepercaya (TPM) atau penyedia kriptografi.

Penggunaan Hak Istimewa

Hak Istimewa Penggunaan mencakup hak istimewa sensitif dan tidak sensitif.

Penggunaan Hak Istimewa Sensitif

Subkataan ini melaporkan ketika akun pengguna atau layanan menggunakan hak istimewa sensitif. Hak istimewa sensitif mencakup hak pengguna berikut:

  • Bertindak sebagai bagian dari sistem operasi
  • untuk file dan direktori
  • Membuat objek token, program debug
  • Mengaktifkan komputer dan akun pengguna agar dipercayai untuk delegasi
  • Membuat audit keamanan, meniru klien setelah autentikasi
  • Memuat dan membongkar driver perangkat
  • Mengelola audit dan log keamanan
  • Mengubah nilai lingkungan firmware
  • Mengganti token tingkat proses, memulihkan file dan direktori
  • Ambil kepemilikan file atau objek lainnya.

Mengaudit subkategori ini akan menciptakan kejadian dalam volume tinggi.

Penggunaan Hak Istimewa Nonsensitif

Subkataan ini melaporkan ketika akun pengguna atau layanan menggunakan hak istimewa yang tidak sensitif. Hak istimewa yang tidak sensitif mencakup hak pengguna berikut:

  • Mengakses Pengelola Info Masuk sebagai penelepon tepercaya
  • Akses komputer ini dari jaringan
  • Menambahkan stasiun kerja ke domain
  • Sesuaikan kuota memori untuk sebuah proses
  • Perbolehkan masuk secara lokal
  • Perbolehkan masuk melalui Layanan Desktop Jarak Jauh
  • Lalui pemeriksaan transversal
  • Mengubah waktu sistem
  • Membuat pagefile
  • Membuat objek global
  • Membuat objek bersama permanen
  • Membuat tautan simbolik
  • Tolak akses komputer ini dari jaringan
  • Tolak masuk sebagai pekerjaan batch
  • Menolak masuk sebagai layanan
  • Tolak masuk secara lokal
  • Tolak masuk melalui Layanan Desktop Jarak Jauh
  • Mematikan paksa dari sistem jarak jauh
  • Meningkatkan kumpulan kerja proses
  • Meningkatkan prioritas penjadwalan
  • Mengunci halaman dalam memori
  • Masuk sebagai tugas batch
  • Masuk sebagai layanan
  • Mengubah label objek
  • Melakukan tugas pemeliharaan volume
  • Proses tunggal profil
  • Melihat Performa Sistem
  • Menghapus komputer dari stasiun dok
  • Matikan sistem
  • Menyinkronkan data layanan direktori.

Mengaudit subkataan ini akan menciptakan volume peristiwa yang sangat tinggi.

Kejadian Penggunaan Hak Istimewa Lainnya

Pengaturan kebijakan keamanan ini saat ini tidak digunakan.

Akses Objek

Kategori Akses Objek mencakup subkategori Sistem File dan Registri.

Sistem file

Subkataan ini melaporkan kapan objek sistem file diakses. Hanya objek sistem file dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan entri SACL mereka. Dengan sendirinya, pengaturan kebijakan ini tidak akan menyebabkan audit peristiwa apa pun. Ini menentukan apakah akan mengaudit peristiwa pengguna yang mengakses objek sistem file yang memiliki daftar kontrol akses sistem (SACL) tertentu, yang secara efektif memungkinkan audit terjadi.

Jika pengaturan akses objek audit dikonfigurasi ke Berhasil, entri audit dihasilkan setiap kali pengguna berhasil mengakses objek dengan SACL tertentu. Jika pengaturan kebijakan ini dikonfigurasi ke Kegagalan, entri audit dihasilkan setiap kali pengguna gagal dalam upaya untuk mengakses objek dengan SACL tertentu.

Registri

Subkategori ini melaporkan ketika objek registri diakses. Hanya objek registri dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika mereka diakses dengan cara yang cocok dengan entri SACL mereka. Dengan sendirinya, pengaturan kebijakan ini tidak akan menyebabkan audit peristiwa apa pun.

Objek Kernel

Subkataan ini melaporkan ketika objek kernel seperti proses dan mutex diakses. Hanya objek kernel dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan entri SACL mereka. Biasanya objek kernel hanya diberikan SACL jika opsi audit AuditBaseObjects atau AuditBaseDirectories diaktifkan.

SAM

Subkataan ini melaporkan ketika objek database autentikasi Security Accounts Manager (SAM) lokal diakses.

Layanan Sertifikasi

Subkataan ini melaporkan ketika operasi Layanan Sertifikasi dilakukan.

Aplikasi Yang Dihasilkan

Subkataan ini melaporkan ketika aplikasi mencoba menghasilkan peristiwa audit dengan menggunakan antarmuka pemrograman aplikasi (API) audit Windows.

Menangani Manipulasi

Subkataan ini melaporkan ketika handel ke objek dibuka atau ditutup. Hanya objek dengan SACL yang menyebabkan peristiwa ini dihasilkan, dan hanya jika operasi penanganan yang dicoba cocok dengan entri SACL. Menangani peristiwa Manipulasi hanya dihasilkan untuk jenis objek tempat subkategori akses objek yang sesuai diaktifkan (misalnya, sistem file atau registri).

Berbagi File

Subkataan ini melaporkan ketika berbagi file diakses. Dengan sendirinya, pengaturan kebijakan ini tidak akan menyebabkan audit peristiwa apa pun. Ini menentukan apakah akan mengaudit peristiwa pengguna yang mengakses objek berbagi file yang memiliki daftar kontrol akses sistem (SACL) tertentu, yang secara efektif memungkinkan audit terjadi.

Pemfilteran Platform Packet Drop

Subkataan ini melaporkan ketika paket dihilangkan oleh Windows Filtering Platform (WFP). Peristiwa ini bisa sangat tinggi volumenya.

Memfilter Koneksi Platform

Subkataan ini melaporkan kapan koneksi diizinkan atau diblokir oleh WFP. Peristiwa ini bisa tinggi volumenya.

Peristiwa Akses Objek Lainnya

Subkataan ini melaporkan peristiwa terkait akses objek lainnya seperti pekerjaan Task Scheduler dan objek COM+.

Sistem

Perubahan Status Keamanan

Subkataan ini melaporkan perubahan status keamanan sistem, seperti ketika subsistem keamanan dimulai dan berhenti.

Ekstensi Sistem Keamanan

Subkataan ini melaporkan pemuatan kode ekstensi seperti paket autentikasi oleh subsistem keamanan.

Integritas Sistem

Subkataan ini melaporkan pelanggaran integritas subsistem keamanan.

Penggerak IPsec

Subkataan ini melaporkan aktivitas driver keamanan Protokol Internet (IPsec).

Kejadian Sistem Lainnya

Subkataan ini melaporkan peristiwa sistem lainnya.

Untuk informasi selengkapnya tentang deskripsi subkataan, lihat alat Microsoft Security Compliance Manager.

Setiap organisasi harus meninjau kategori dan subkatoner yang tercakup sebelumnya dan memungkinkan yang paling sesuai dengan lingkungan mereka. Perubahan pada kebijakan audit harus selalu diuji sebelum penyebaran di lingkungan produksi.

Mengonfigurasi Kebijakan Audit Windows

Kebijakan audit Windows dapat diatur menggunakan kebijakan grup, auditpol.exe, API, atau pengeditan registri. Metode yang direkomendasikan untuk mengonfigurasi kebijakan audit untuk sebagian besar perusahaan adalah Kebijakan Grup atau auditpol.exe. Mengatur kebijakan audit sistem memerlukan izin akun tingkat administrator atau izin yang didelegasikan yang sesuai.

Catatan

Hak istimewa Kelola audit dan log keamanan harus diberikan kepada prinsip keamanan (Administrator memilikinya secara default) untuk memungkinkan modifikasi opsi audit akses objek sumber daya individual, seperti file, objek Direktori Aktif, dan kunci registri.

Mengatur Kebijakan Audit Windows dengan Menggunakan Kebijakan Grup

Untuk mengatur kebijakan audit menggunakan kebijakan grup, konfigurasikan kategori audit yang sesuai yang terletak di bawah Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Kebijakan Audit (lihat cuplikan layar berikut untuk contoh dari Editor Kebijakan Grup Lokal (gpedit.msc)). Setiap kategori kebijakan audit dapat diaktifkan untuk peristiwa Keberhasilan, Kegagalan, atau Keberhasilan dan Kegagalan.

memantau AD

Kebijakan Audit Tingkat Lanjut dapat diatur dengan menggunakan Direktori Aktif atau kebijakan grup lokal. Untuk mengatur Kebijakan Audit Tingkat Lanjut, konfigurasikan subkataan yang sesuai yang terletak di bawah Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Audit Tingkat Lanjut (lihat cuplikan layar berikut untuk contoh dari Editor Kebijakan Grup Lokal (gpedit.msc)). Setiap subkataan kebijakan audit dapat diaktifkan untuk peristiwa Keberhasilan, Kegagalan, atau Keberhasilan dan Kegagalan .

Cuplikan layar yang memperlihatkan contoh dari Editor Kebijakan Grup Lokal (gpedit.msc).

Mengatur Kebijakan Audit Windows Menggunakan Auditpol.exe

Auditpol.exe (untuk mengatur kebijakan audit Windows) diperkenalkan di Windows Server 2008 dan Windows Vista. Awalnya, hanya auditpol.exe yang dapat digunakan untuk mengatur Kebijakan Audit Tingkat Lanjut, tetapi Kebijakan Grup dapat digunakan di Windows Server 2012, Windows Server 2008 R2, atau Windows Server 2008, Windows 8, dan Windows 7.

Auditpol.exe adalah utilitas baris perintah. Sintaksisnya adalah sebagai berikut:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

contoh sintaks Auditpol.exe:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Catatan

Auditpol.exe menetapkan Kebijakan Audit Tingkat Lanjut secara lokal. Jika kebijakan lokal bertentangan dengan Direktori Aktif atau Kebijakan Grup lokal, pengaturan Kebijakan Grup biasanya berlaku atas pengaturan auditpol.exe. Ketika beberapa grup atau konflik kebijakan lokal ada, hanya satu kebijakan yang akan berlaku (yaitu, ganti). Kebijakan audit tidak akan digabungkan.

Auditpol Pembuatan Skrip

Microsoft menyediakan contoh skrip untuk administrator yang ingin mengatur Kebijakan Audit Tingkat Lanjut dengan menggunakan skrip alih-alih mengetik secara manual di setiap perintah auditpol.exe.

Catatan Kebijakan Grup tidak selalu secara akurat melaporkan status semua kebijakan audit yang diaktifkan, sedangkan auditpol.exe melakukannya. Lihat Mendapatkan Kebijakan Audit Efektif di Windows 7 dan Windows 2008 R2 untuk detail selengkapnya.

Perintah Auditpol Lainnya

Auditpol.exe dapat digunakan untuk menyimpan dan memulihkan kebijakan audit lokal, dan untuk melihat perintah terkait audit lainnya. Berikut adalah perintah auditpol lainnya.

auditpol /clear - Digunakan untuk menghapus dan mengatur ulang kebijakan audit lokal

auditpol /backup /file:<filename> - Digunakan untuk mencadangkan kebijakan audit lokal saat ini ke file biner

auditpol /restore /file:<filename> - Digunakan untuk mengimpor file kebijakan audit yang disimpan sebelumnya ke kebijakan audit lokal

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Jika pengaturan kebijakan audit ini diaktifkan, hal ini menyebabkan sistem segera berhenti (dengan pesan STOP: C0000244 {Audit Failed}) jika audit keamanan tidak dapat dicatat karena alasan apa pun. Biasanya, peristiwa gagal dicatat ketika log audit keamanan penuh dan metode retensi yang ditentukan untuk log keamanan adalah Jangan Timpa Peristiwa atau Timpa Peristiwa berdasarkan Hari. Biasanya kebijakan ini hanya diaktifkan di lingkungan yang membutuhkan jaminan lebih tinggi bahwa log keamanan adalah pengelogan. Jika diaktifkan, administrator harus mengawasi ukuran log keamanan dengan cermat dan memutar log sesuai kebutuhan. Ini juga dapat diatur dengan Kebijakan Grup dengan memodifikasi opsi keamanan Audit: Matikan sistem segera jika tidak dapat mencatat audit keamanan (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Pengaturan kebijakan audit ini menentukan apakah akan mengaudit akses objek sistem global. Jika kebijakan ini diaktifkan, kebijakan ini menyebabkan objek sistem, seperti mutex, peristiwa, semaphores, dan perangkat DOS dibuat dengan daftar kontrol akses sistem default (SACL). Sebagian besar administrator mempertimbangkan untuk mengaudit objek sistem global terlalu "berisik", dan mereka hanya akan mengaktifkannya jika peretasan berbahaya dicurigai. Hanya objek bernama yang diberi SACL. Jika kebijakan audit akses objek audit (atau subkataan audit Objek Kernel) juga diaktifkan, akses ke objek sistem ini diaudit. Ketika mengonfigurasi pengaturan keamanan ini, perubahan tidak akan berlaku hingga Anda memulai ulang Windows. Kebijakan ini juga dapat diatur dengan Kebijakan Grup dengan memodifikasi opsi keamanan Mengaudit akses objek sistem global (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Pengaturan kebijakan audit ini menentukan bahwa objek kernel bernama (seperti mutex dan semaphores) akan diberikan SACL saat dibuat. AuditBaseDirectories memengaruhi objek kontainer sementara AuditBaseObjects memengaruhi objek yang tidak dapat berisi objek lain.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Pengaturan kebijakan audit ini menentukan apakah klien menghasilkan peristiwa ketika satu atau beberapa hak istimewa berikut ditetapkan ke token keamanan pengguna:

  • PrivilegeTokenUtamaTetapkan
  • Hak Istimewa Audit
  • Hak Istimewa Cadangan
  • CreateTokenPrivilege
  • Hak Istimewa Debug
  • EnableDelegationPrivilege
  • Menyamar sebagai Hak Istimewa
  • Hak Istimewa LoadDriverCharger
  • Kembalikan Privilege
  • Privilegi Keamanan
  • Hak Istimewa Lingkungan Sistem
  • Hak Kepemilikan
  • TcbPrivilege.

Jika opsi ini tidak diaktifkan (default=Disabled), hak istimewa BackupPrivilege dan RestorePrivilege tidak direkam. Mengaktifkan opsi ini dapat membuat log keamanan sangat berisik (kadang-kadang ratusan peristiwa per detik) selama operasi pencadangan. Kebijakan ini juga dapat diatur dengan Kebijakan Grup dengan memodifikasi opsi keamanan Audit: Mengaudit penggunaan hak istimewa Pencadangan dan Pemulihan.

Catatan

Beberapa informasi yang disediakan di sini diambil dari Jenis Opsi Audit Microsoft dan alat Microsoft SCM.

Memberlakukan Audit Tradisional atau Audit Tingkat Lanjut

Di Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7, dan Windows Vista, administrator dapat memilih untuk mengaktifkan sembilan kategori tradisional atau untuk menggunakan subkatoner. Ini adalah pilihan biner yang harus dibuat di setiap sistem Windows. Kategori utama dapat diaktifkan atau subkataan; Tidak mungkin keduanya.

Untuk mencegah kebijakan kategori tradisional warisan menimpa subkategori kebijakan audit, Anda harus mengaktifkan pengaturan subkategori kebijakan audit Paksa (Windows Vista atau yang lebih baru) untuk menimpa pengaturan kebijakan kategori kebijakan audit yang terletak di bawah Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan.

Kami menyarankan agar subkataan diaktifkan dan dikonfigurasi alih-alih sembilan kategori utama. Ini mengharuskan pengaturan Kebijakan Grup diaktifkan (untuk memungkinkan subkataan mengambil alih kategori audit) bersama dengan mengonfigurasi subkataan yang berbeda yang mendukung kebijakan audit.

Mengaudit subkataan dapat dikonfigurasi dengan menggunakan beberapa metode, termasuk Kebijakan Grup dan program baris perintah, auditpol.exe.

Langkah berikutnya