Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wet nummer vijf: Eeuwige waakzaamheid is de prijs van de veiligheid. - 10 Onveranderbare wetten van beveiligingsbeheer
Een solide bewakingssysteem voor gebeurtenislogboeken is een cruciaal onderdeel van elk beveiligd Active Directory-ontwerp. Veel computerbeveiligingscompromissen kunnen vroegtijdig worden ontdekt als de doelwitten adequate monitoring en waarschuwingen van gebeurtenislogboeken toepassen. Onafhankelijke rapporten hebben deze conclusie lang ondersteund. In het 2009 Verizon Data Breach Report wordt bijvoorbeeld het volgende vermeld:
"De schijnbare ineffectiviteit van gebeurtenisbewaking en logboekanalyse blijft enigszins een raadsel. De mogelijkheid voor detectie is er; onderzoekers merkten op dat 66 procent van de slachtoffers voldoende bewijs beschikbaar had in hun logboeken om de inbreuk te ontdekken, als ze meer zorgvuldig waren geweest bij het analyseren van dergelijke resources."
Dit gebrek aan het bewaken van actieve gebeurtenislogboeken blijft een consistente zwakte in de beveiligingsbeveiligingsplannen van veel bedrijven. Uit het rapport 2012 Verizon Data Breach bleek dat hoewel 85 procent van de schendingen enkele weken duurde, 84 procent van de slachtoffers bewijs had van de schending in hun gebeurtenislogboeken.
Windows-controlebeleid
Hieronder ziet u koppelingen naar de officiële ondersteuningsblog van Microsoft voor ondernemingen. De inhoud van deze blogs biedt advies, richtlijnen en aanbevelingen over controle om u te helpen bij het verbeteren van de beveiliging van uw Active Directory-infrastructuur en zijn een waardevolle resource bij het ontwerpen van een controlebeleid.
- Global Object Access Auditing is Magic - Beschrijft een controlemechanisme met de naam Advanced Audit Policy Configuration, toegevoegd aan Windows 7 en Windows Server 2008 R2, waarmee u kunt instellen welke typen gegevens u eenvoudig wilt controleren zonder dat u scripts, auditpol.exeen dergelijke hoeft te gebruiken.
- Introductie van controlewijzigingen in Windows 2008 - Introduceert de controlewijzigingen die zijn aangebracht in Windows Server 2008.
- Coole controle trucs in Vista en 2008 - Legt interessante controlefuncties van Windows Vista en Windows Server 2008 uit die kunnen worden gebruikt voor het oplossen van problemen of het zien van wat er in uw omgeving gebeurt.
- One-Stop Shop for Auditing in Windows Server 2008 en Windows Vista - Bevat een compilatie van controlefuncties en informatie in Windows Server 2008 en Windows Vista.
De volgende koppelingen bevatten informatie over verbeteringen in Windows-controle in Windows 8 en Windows Server 2012 en informatie over AD DS-controle in Windows Server 2008.
- Wat is er nieuw in beveiligingscontrole : biedt een overzicht van nieuwe beveiligingscontrolefuncties in Windows 8 en Windows Server 2012.
- stapsgewijze handleiding voor AD DS-controle : beschrijft de nieuwe ad DS-controlefunctie (Active Directory Domain Services) in Windows Server 2008. Biedt ook procedures voor het implementeren van deze nieuwe functie.
Windows auditcategorieën
Vóór Windows Vista en Windows Server 2008 had Windows slechts negen controlebeleidscategorieën voor gebeurtenislogboeken:
- Accountaanmeldingsevenementen
- Account Management
- Toegang tot adreslijstservice
- Logon Events
- Object Access
- Policy Change
- Privilege Use
- Process Tracking
- System Events
Deze negen traditionele auditcategorieën bestaan uit een controlebeleid. Elke controlebeleidscategorie kan worden ingeschakeld voor geslaagde, mislukte of geslaagde en mislukte gebeurtenissen. De beschrijvingen zijn opgenomen in de volgende sectie.
Beschrijving van categoriën van controlebeleid
Met de categorieën controlebeleid kunt u de volgende berichttypen voor gebeurtenislogboeken inschakelen.
Account-aanmeldgebeurtenissen controleren
Auditaccount aanmeldingsactiviteiten rapporteren elke keer dat een beveiligingsprincipaal (bijvoorbeeld gebruikers-, computer- of serviceaccount) zich aanmeldt of afmeldt bij een computer wanneer een andere computer wordt gebruikt om het account te verifieren. Accountaanmeldingsgebeurtenissen worden gegenereerd wanneer een domeinbeveiligingsprincipaalaccount wordt geverifieerd op een domeincontroller. Verificatie van een lokale gebruiker op een lokale computer genereert een aanmeldingsgebeurtenis die is vastgelegd in het lokale beveiligingslogboek. Er worden geen accountafmeldgebeurtenissen vastgelegd.
Deze categorie genereert veel "ruis" omdat Windows voortdurend accounts heeft die zich aanmelden bij en van de lokale en externe computers tijdens de normale gang van zaken. Ondanks dit ongemak moet elk beveiligingsplan het succes en falen van deze controlecategorie omvatten.
Accountbeheer auditeren
Met deze controle-instelling wordt bepaald of het beheer van gebruikers en groepen moet worden bijgehouden. Gebruikers en groepen moeten bijvoorbeeld worden bijgehouden wanneer een gebruikers- of computeraccount, een beveiligingsgroep of een distributiegroep wordt gemaakt, gewijzigd of verwijderd. Gebruikers en groepen moeten ook worden bijgehouden wanneer de naam van een gebruikers- of computeraccount wordt gewijzigd, uitgeschakeld of ingeschakeld en wanneer een gebruikers- of computerwachtwoord wordt gewijzigd. Een gebeurtenis kan worden gegenereerd voor gebruikers of groepen die zijn toegevoegd aan of verwijderd uit andere groepen.
Directoryservice-toegang controleren
Met deze beleidsinstelling wordt bepaald of er toezicht moet worden gehouden op de toegang van beveiligingsprincipalen tot een Active Directory-object dat zijn eigen specifieke systeemtoegangsbeheerlijst (SACL) heeft. Over het algemeen mag deze categorie alleen worden ingeschakeld op domeincontrollers. Deze instelling genereert veel 'ruis' indien ingeschakeld.
Logonevenementen controleren
Aanmeldingsgebeurtenissen vinden plaats wanneer een lokale beveiligingsentiteit wordt geverifieerd op een lokale computer. Aanmeldingsevenementen registreert domeinaanmeldingen die plaatsvinden op de lokale computer. Accountafmeldingevenementen worden niet gegenereerd. Wanneer deze optie is ingeschakeld, genereert aanmeldingsgebeurtenissen veel 'ruis', maar dit beleid moet echter standaard worden ingeschakeld in elk beveiligingscontroleplan.
Objecttoegang auditeren
Objecttoegang kan gebeurtenissen genereren wanneer vervolgens gedefinieerde objecten waarvoor controle is ingeschakeld, worden geopend (bijvoorbeeld Geopend, Lezen, Hernoemd, Verwijderd of Gesloten). Nadat de hoofdcontrolecategorie is ingeschakeld, moet de beheerder afzonderlijk definiëren welke objecten controle hebben ingeschakeld. Veel Windows-systeemobjecten worden geleverd met controle ingeschakeld. Als u deze categorie inschakelt, worden meestal gebeurtenissen gegenereerd voordat de beheerder een van de gebeurtenissen heeft gedefinieerd.
Deze categorie is erg luidruchtig en genereert vijf tot 10 gebeurtenissen voor elke objecttoegang. Het kan lastig zijn voor beheerders die geen objectcontrole hebben, om nuttige informatie te verkrijgen. Deze moet alleen worden ingeschakeld wanneer dat nodig is.
Beleidswijziging controleren
Met deze beleidsinstelling wordt bepaald of elke incidentie van een wijziging in het toewijzingsbeleid voor gebruikersrechten, Windows Firewall-beleid, vertrouwensbeleid of wijzigingen in het controlebeleid moet worden gecontroleerd. Deze categorie moet zijn ingeschakeld op alle computers. Het genereert zeer weinig 'ruis'.
Gebruik van bevoegdheden controleren
Er zijn tientallen gebruikersrechten en machtigingen in Windows (bijvoorbeeld aanmelden als batchtaak en fungeren als onderdeel van het besturingssysteem). Deze beleidsinstelling bepaalt of elke instantie van een beveiligingsprincipaal moet worden gecontroleerd door een gebruikersrecht of -bevoegdheid uit te oefenen. Het inschakelen van deze categorie resulteert in veel 'ruis', maar het kan handig zijn bij het bijhouden van beveiligingsprincipalaccounts met verhoogde bevoegdheden.
Proces voor het bijhouden van audits
Met deze beleidsinstelling wordt bepaald of gedetailleerde traceringsgegevens voor processen moeten worden gecontroleerd voor gebeurtenissen zoals programmaactivering, procesafsluiten, duplicatie verwerken en indirecte objecttoegang. Het is handig voor het bijhouden van kwaadwillende gebruikers en de programma's die ze gebruiken.
Enabling Audit Process Tracking generates a large number of events, so typically it's set to No Auditing. Deze instelling kan echter een groot voordeel opleveren tijdens een incidentreactie vanuit het gedetailleerde logboek van de processen die zijn gestart en de tijd waarop ze zijn gestart. Voor domeincontrollers en andere infrastructuurservers met één rol kan deze categorie altijd veilig worden ingeschakeld. Servers met één rol genereren niet veel procestraceringsverkeer tijdens de normale loop van hun taken. Als zodanig kunnen ze worden ingeschakeld om niet-geautoriseerde gebeurtenissen vast te leggen als ze zich voordoen.
Controle van systeemgebeurtenissen
Systeemgebeurtenissen is bijna een algemene catch-all-categorie, waarbij verschillende gebeurtenissen worden geregistreerd die van invloed zijn op de computer, de systeembeveiliging of het beveiligingslogboek. Het omvat gebeurtenissen voor computer afsluiten en opnieuw opstarten, stroomstoringen, systeemtijdwijzigingen, initialisaties van verificatiepakketten, controlelogboeken wissen, imitatieproblemen en een host van andere algemene gebeurtenissen. Over het algemeen veroorzaakt het inschakelen van deze auditcategorie veel 'ruis', maar het genereert genoeg zeer nuttige gebeurtenissen, waardoor het moeilijk is om aan te bevelen deze niet in te schakelen.
Geavanceerd controlebeleid
Vanaf Windows Vista en Windows Server 2008 heeft Microsoft de manier verbeterd waarop categorieselecties voor gebeurtenislogboeken kunnen worden gemaakt door subcategorieën te maken onder elke hoofdcontrolecategorie. Met subcategorieën kan controle veel gedetailleerder zijn dan anders met behulp van de hoofdcategorieën. Met behulp van subcategorieën kunt u alleen delen van een bepaalde hoofdcategorie inschakelen en gebeurtenissen overslaan die niet nuttig zijn. Elke subcategorie van het controlebeleid kan worden ingeschakeld voor geslaagde, mislukte of geslaagde en mislukte gebeurtenissen.
Als u alle beschikbare subcategorieën voor controle wilt weergeven, controleert u de container Geavanceerd controlebeleid in een groepsbeleidsobject of typt u de volgende opdracht op een computer met Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 of Windows Vista:
auditpol /list /subcategory:*
Als u een lijst met momenteel geconfigureerde controlesubcategorieën wilt ophalen op een computer met Windows Server 2012, Windows Server 2008 R2 of Windows 2008, typt u de volgende opdracht:
auditpol /get /category:*
In de volgende schermopname ziet u een voorbeeld van auditpol.exe met het huidige controlebeleid.
Note
Groepsbeleid rapporteert niet altijd nauwkeurig de status van alle ingeschakelde controlebeleidsregels, terwijl auditpol.exe wel doet. Zie Meer informatie over het effectieve controlebeleid in Windows 7 en 2008 R2 voor meer details.
Elke hoofdcategorie heeft meerdere subcategorieën. Hieronder ziet u een lijst met categorieën, subcategorieën en beschrijvingen van hun functies.
Beschrijvingen van subcategorieën controleren
Subcategorieën voor controlebeleid schakelen de volgende berichttypen voor gebeurtenislogboeken in:
Account Logon
Credential Validation
Deze subcategorie rapporteert de resultaten van validatietests op referenties die zijn ingediend voor een aanmeldingsaanvraag voor een gebruikersaccount. Deze gebeurtenissen vinden plaats op de computer die gezaghebbend is voor de inloggegevens. Voor domeinaccounts is de domeincontroller gezaghebbend; voor lokale accounts is de lokale computer gezaghebbend.
In domeinomgevingen worden de meeste aanmeldingsgebeurtenissen van het account vastgelegd in het beveiligingslogboek van de domeincontrollers die gezaghebbend zijn voor de domeinaccounts. Deze gebeurtenissen kunnen echter plaatsvinden op andere computers in de organisatie wanneer lokale accounts worden gebruikt om u aan te melden.
Kerberos-serviceticketbewerkingen
Deze subcategorie rapporteert gebeurtenissen die zijn gegenereerd door kerberos-ticketaanvraagprocessen op de domeincontroller die gezaghebbend is voor het domeinaccount.
Kerberos-verificatieservice
Deze subcategorie rapporteert gebeurtenissen die zijn gegenereerd door de Kerberos-verificatieservice. Deze gebeurtenissen vinden plaats op de computer die gezaghebbend is voor de inloggegevens.
Andere aanmeldingsevenementen voor accounts
Deze subcategorie rapporteert de gebeurtenissen die optreden als reactie op referenties die zijn ingediend voor een aanmeldingsaanvraag voor een gebruikersaccount die niet betrekking hebben op referentievalidatie of Kerberos-tickets. Deze gebeurtenissen vinden plaats op de computer die gezaghebbend is voor de inloggegevens. Voor domeinaccounts is de domeincontroller gezaghebbend, terwijl voor lokale accounts de lokale computer gezaghebbend is.
In domeinomgevingen worden de meeste aanmeldingsgebeurtenissen voor accounts vastgelegd in het beveiligingslogboek van de domeincontrollers die gezaghebbend zijn voor de domeinaccounts. Deze gebeurtenissen kunnen echter plaatsvinden op andere computers in de organisatie wanneer lokale accounts worden gebruikt om u aan te melden. Voorbeelden hiervan zijn:
- Onderbrekingen van externe bureaubladservicesessies
- Nieuwe sessies voor Extern bureaublad-services
- Een werkstation vergrendelen en ontgrendelen
- Een schermbeveiliging aanroepen
- Een schermbeveiliging uitschakelen
- Detectie van een Kerberos-replay-aanval, waarbij een Kerberos-aanvraag met identieke informatie tweemaal wordt ontvangen
- Toegang tot een draadloos netwerk dat is verleend aan een gebruikers- of computeraccount
- Toegang tot een bekabeld 802.1x-netwerk verleend aan gebruikers- of computeraccount
Account Management
Gebruikersaccountbeheer
Deze subcategorie rapporteert elke gebeurtenis van gebruikersaccountbeheer, zoals:
- Gebruikersaccount gemaakt, gewijzigd of verwijderd
- Gebruikersaccount is hernoemd, uitgeschakeld of ingeschakeld
- Wachtwoord ingesteld of gewijzigd
Als deze controlebeleidsinstelling is ingeschakeld, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde creatie van gebruikersaccounts te detecteren.
Computeraccountbeheer
Deze subcategorie rapporteert elke gebeurtenis van computeraccountbeheer, zoals wanneer een computeraccount wordt gemaakt, gewijzigd, verwijderd, hernoemd, uitgeschakeld of ingeschakeld.
Beheer van beveiligingsgroepen
Deze subcategorie rapporteert elke gebeurtenis van beveiligingsgroepbeheer, bijvoorbeeld wanneer een beveiligingsgroep wordt gemaakt, gewijzigd of verwijderd of wanneer een lid wordt toegevoegd aan of verwijderd uit een beveiligingsgroep. Als deze controlebeleidsinstelling is ingeschakeld, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde creatie van beveiligingsgroepaccounts te detecteren.
Distributiegroepbeheer
Deze subcategorie rapporteert elke gebeurtenis van distributiegroepbeheer, zoals wanneer een distributiegroep wordt gemaakt, gewijzigd of verwijderd of wanneer een lid wordt toegevoegd aan of verwijderd uit een distributiegroep. Als deze instelling voor controlebeleid is ingeschakeld, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde creatie van groepsaccounts te detecteren.
Beheer van toepassingsgroepen
Deze subcategorie rapporteert elke gebeurtenis van toepassingsgroepsbeheer op een computer, zoals wanneer een toepassingsgroep wordt gemaakt, gewijzigd of verwijderd of wanneer een lid wordt toegevoegd aan of verwijderd uit een toepassingsgroep. Als deze instelling voor controlebeleid is ingeschakeld, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde accounts voor het maken van toepassingsgroepen te detecteren.
Andere gebeurtenissen voor accountbeheer
Deze subcategorie rapporteert andere accountbeheergebeurtenissen.
Gedetailleerde procestracering
Gedetailleerde bewaking van procestracking omvat zowel het maken als beëindigen van processen.
Process Creation
Deze subcategorie rapporteert het maken van een proces en de naam van de gebruiker of het programma dat het heeft gemaakt.
Process Termination
Deze subcategorie rapporteert wanneer een proces wordt beëindigd.
DPAPI Activity
Deze subcategorie rapporteert aanroepen om gegevens te versleutelen of te ontsleutelen naar de Data Protection Application Programming Interface (DPAPI). DPAPI wordt gebruikt voor het beveiligen van geheime informatie, zoals opgeslagen wachtwoord- en sleutelgegevens.
RPC Events
In deze subcategorie worden RPC-verbindingsgebeurtenissen (Remote Procedure Call) gerapporteerd.
Toegang tot adreslijstservice
Toegang tot adreslijstservice
Deze subcategorie rapporteert wanneer een AD DS-object wordt geopend. Alleen objecten met geconfigureerde SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met de SACL-vermeldingen. Deze gebeurtenissen zijn vergelijkbaar met de toegangsevenementen van de adreslijstservice in eerdere versies van Windows Server. Deze subcategorie is alleen van toepassing op domeincontrollers.
Wijzigingen in adreslijstservice
Deze subcategorie rapporteert wijzigingen in objecten in AD DS. De typen wijzigingen die worden gerapporteerd, zijn bewerkingen maken, wijzigen, verplaatsen en ongedaan maken die op een object worden uitgevoerd. Controle van wijzigingen in adreslijstservice geeft, indien van toepassing, de oude en nieuwe waarden aan van de gewijzigde eigenschappen van de objecten die zijn gewijzigd. Alleen objecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL-vermeldingen. Sommige objecten en eigenschappen zorgen er niet voor dat controlegebeurtenissen worden gegenereerd vanwege instellingen in de objectklasse in het schema. Deze subcategorie is alleen van toepassing op domeincontrollers.
Replicatie van directoryservice
Deze subcategorie rapporteert wanneer replicatie tussen twee domeincontrollers begint en eindigt.
Gedetailleerde replicatie van adreslijstservice
Deze subcategorie rapporteert gedetailleerde informatie over de informatie die tussen domeincontrollers wordt gerepliceerd. Deze gebeurtenissen kunnen zeer hoog in volume zijn.
Logon/Logoff
Logon
Deze subcategorie rapporteert wanneer een gebruiker zich probeert aan te melden bij het systeem. Deze gebeurtenissen vinden plaats op de geopende computer. Voor interactieve aanmeldingen vindt de generatie van deze gebeurtenissen plaats op de computer waarop de gebruiker is aangemeld. Als er een netwerkaanmelding plaatsvindt voor toegang tot een share, worden deze gebeurtenissen gegenereerd op de computer die als host fungeert voor de geopende resource. If this setting is configured to No auditing, it's difficult or impossible to determine which user has accessed or attempted to access organization computers.
Beleidsserver voor Netwerken
Deze subcategorie rapporteert gebeurtenissen die zijn gegenereerd door RADIUS (IAS) en NAP-aanvragen voor gebruikerstoegang (Network Access Protection). These requests can be Grant, Deny, Discard, Quarantine, Lock, and Unlock. Het controleren van deze instelling resulteert in een gemiddeld of hoog volume records op NPS- en IAS-servers.
IPsec-hoofdmodus
Deze subcategorie rapporteert de resultaten van het IKE-protocol (Internet Key Exchange) en geverifieerde Internet Protocol (AuthIP) tijdens de onderhandelingen over de main mode.
Uitgebreide IPsec-modus
Deze subcategorie rapporteert de resultaten van AuthIP tijdens de onderhandelingen over de uitgebreide modus.
Andere aanmeldings-/afmeldingsevenementen
Deze subcategorie rapporteert andere aanmeldings- en afmeldingsgebeurtenissen, zoals het verbreken en opnieuw verbinden van sessies van Extern Bureaublad-services, het gebruik van RunAs voor het uitvoeren van processen onder een ander account, en het vergrendelen en ontgrendelen van een werkstation.
Logoff
Deze subcategorie rapporteert wanneer een gebruiker zich afmeldt bij het systeem. Deze gebeurtenissen vinden plaats op de geopende computer. Voor interactieve aanmeldingen vindt de generatie van deze gebeurtenissen plaats op de computer waarop de gebruiker is aangemeld. Als er een netwerkaanmelding plaatsvindt voor toegang tot een share, worden deze gebeurtenissen gegenereerd op de computer die als host fungeert voor de geopende resource. If this setting is configured to No auditing, it's difficult or impossible to determine which user has accessed or attempted to access organization computers.
Account Lockout
Deze subcategorie rapporteert wanneer het account van een gebruiker is vergrendeld als gevolg van te veel mislukte aanmeldingspogingen.
Snelle IPsec-modus
Deze subcategorie rapporteert de resultaten van het IKE-protocol en AuthIP tijdens de onderhandelingen over de snelle modus.
Special Logon
Deze subcategorie rapporteert wanneer een speciale login wordt gebruikt. Een speciale aanmelding is een aanmelding met gelijkwaardige beheerdersbevoegdheden en kan worden gebruikt om een proces naar een hoger niveau te verhogen.
Policy Change
Wijziging van controlebeleid
Deze subcategorie rapporteert wijzigingen in het controlebeleid, inclusief SACL-wijzigingen.
Wijziging van verificatiebeleid
Deze subcategorie rapporteert wijzigingen in verificatiebeleid.
Wijziging van autorisatiebeleid
Deze subcategorie rapporteert wijzigingen in autorisatiebeleid, inclusief machtigingen (DACL)-wijzigingen.
MPSSVC-beleidswijziging Rule-Level
Deze subcategorie rapporteert wijzigingen in beleidsregels die worden gebruikt door de Microsoft Protection Service (MPSSVC.exe). Deze service wordt gebruikt door Windows Firewall.
Wijziging van platformbeleid filteren
Deze subcategorie rapporteert het toevoegen en verwijderen van objecten uit WFP, inclusief opstartfilters. Deze gebeurtenissen kunnen zeer hoog in volume zijn.
Andere gebeurtenissen voor beleidswijziging
Deze subcategorie rapporteert andere typen wijzigingen in beveiligingsbeleid, zoals de configuratie van de Trusted Platform Module (TPM) of cryptografische providers.
Privilege Use
Het gebruik van bevoegdheden omvat zowel gevoelige als niet-gevoelige bevoegdheden.
Gebruik van gevoelige bevoegdheden
Deze subcategorie rapporteert wanneer een gebruikersaccount of -service een gevoelige bevoegdheid gebruikt. Een gevoelige bevoegdheid omvat de volgende gebruikersrechten:
- Fungeren als onderdeel van het besturingssysteem
- Back-ups maken van bestanden en mappen
- Een tokenobject maken, programma's opsporen
- Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegering
- Beveiligingscontroles genereren, een client nabootsen na verificatie
- Apparaatstuurprogramma's laden en verwijderen
- Controle en beveiligingslogboek beheren
- Omgevingswaarden in firmware wijzigen
- Een token op procesniveau vervangen, bestanden en mappen herstellen
- Eigenaar worden van bestanden of andere objecten.
Als u deze subcategorie controleert, wordt een groot aantal gebeurtenissen gemaakt.
Gebruik van niet-gevoelige bevoegdheden
Deze subcategorie rapporteert wanneer een gebruikersaccount of -service een niet-gevoelige bevoegdheid gebruikt. Een niet-gevoelige bevoegdheid omvat de volgende gebruikersrechten:
- Toegang tot Referentiebeheer als vertrouwde aanvrager
- Toegang tot deze computer vanaf het netwerk
- Werkstations toevoegen aan domein
- Geheugenquota aanpassen voor een proces
- Lokaal aanmelden toestaan
- Aanmelding via Externe bureaubladdiensten toestaan
- Controle van doorgang negeren
- De systeemtijd wijzigen
- Een paginabestand maken
- Globale objecten maken
- Permanent gedeelde objecten maken
- Symbolische koppelingen maken
- Toegang tot deze computer weigeren vanuit het netwerk
- Het aanmelden als batchtaak weigeren
- Inloggen als een service ontzeggen
- Lokaal aanmelden weigeren
- Aanmelding via extern bureaubladservices weigeren
- Geforceerd afsluiten vanaf een extern systeem
- Een proces-werkset verhogen
- Prioriteit verhogen voor planning
- Pagina's in het geheugen vergrendelen
- Aanmelden als batchtaak
- Aanmelden als service
- Een objectlabel wijzigen
- Onderhoudstaken op volume uitvoeren
- Een enkel proces bekijken
- Systeemprestaties profileren
- Computer uit basisstation verwijderen
- Het systeem afsluiten
- Synchroniseer adreslijstservicegegevens.
Als u deze subcategorie auditeert, wordt een zeer groot aantal gebeurtenissen gegenereerd.
Overige gebeurtenissen met betrekking tot het gebruik van rechten
Deze beveiligingsbeleidsinstelling wordt momenteel niet gebruikt.
Object Access
De categorie Objecttoegang bevat subcategorieën bestandssysteem en register.
File System
Deze subcategorie rapporteert wanneer bestandssysteemobjecten worden geopend. Alleen bestandssysteemobjecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL-vermeldingen. Deze beleidsinstelling veroorzaakt op zichzelf geen controle van gebeurtenissen. Hiermee wordt bepaald of er een audit moet worden uitgevoerd van de gebeurtenis waarbij een gebruiker toegang krijgt tot een bestandssysteemobject met een opgegeven systeemtoegangsbeheerlijst (SACL), waardoor auditing effectief kan plaatsvinden.
If the audit object access setting is configured to Success, an audit entry is generated each time that a user successfully accesses an object with a specified SACL. If this policy setting is configured to Failure, an audit entry is generated each time that a user fails in an attempt to access an object with a specified SACL.
Registry
Deze subcategorie rapporteert wanneer registerobjecten worden geopend. Alleen registerobjecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL-vermeldingen. Deze beleidsinstelling veroorzaakt op zichzelf geen controle van gebeurtenissen.
Kernel Object
Deze subcategorie rapporteert wanneer kernelobjecten, zoals processen en mutexes, worden geopend. Alleen kernelobjecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL-vermeldingen. Kernelobjecten krijgen doorgaans alleen SACL's wanneer de AuditBaseObjects- of AuditBaseDirectories-auditopties zijn ingeschakeld.
SAM
Deze subcategorie rapporteert wanneer lokale SAM-verificatiedatabaseobjecten (Security Accounts Manager) worden geopend.
Certification Services
Deze subcategorie rapporteert wanneer Certification Services-bewerkingen worden uitgevoerd.
Application Generated
Deze subcategorie rapporteert wanneer toepassingen controlegebeurtenissen proberen te genereren met behulp van de Windows-api's (Application Programming Interfaces).
Handle Manipulation
Deze subcategorie rapporteert wanneer een ingang voor een object wordt geopend of gesloten. Alleen objecten met SACL's zorgen ervoor dat deze gebeurtenissen worden gegenereerd en alleen als de poging tot afhandeling overeenkomt met de SACL-vermeldingen. Manipulatiegebeurtenissen worden alleen gegenereerd voor objecttypen waarbij de bijbehorende subcategorie voor objecttoegang is ingeschakeld (bijvoorbeeld bestandssysteem of register).
File Share
Deze subcategorie rapporteert wanneer een bestandsshare wordt geopend. Deze beleidsinstelling veroorzaakt op zichzelf geen controle van gebeurtenissen. Hiermee wordt bepaald of de gebeurtenis moet worden gecontroleerd van een gebruiker die toegang heeft tot een bestandsshareobject met een opgegeven systeemtoegangsbeheerlijst (SACL), waardoor controle effectief kan worden uitgevoerd.
Pakketverlies op filterplatform
Deze subcategorie rapporteert wanneer pakketten worden verwijderd door Windows Filtering Platform (WFP). Deze gebeurtenissen kunnen zeer hoog in volume zijn.
Platformverbinding filteren
Deze subcategorie rapporteert wanneer verbindingen zijn toegestaan of geblokkeerd door WFP. Deze gebeurtenissen kunnen groot zijn in volume.
Andere gebeurtenissen voor objecttoegang
Deze subcategorie rapporteert andere gebeurtenissen met betrekking tot objecttoegang, zoals Task Scheduler-taken en COM+-objecten.
System
Wijziging van beveiligingsstatus
Deze subcategorie rapporteert wijzigingen in de beveiligingsstatus van het systeem, zoals wanneer het beveiligingssubsysteem wordt gestart en gestopt.
Beveiligingssysteemextensie
Deze subcategorie rapporteert het laden van extensiecode, zoals verificatiepakketten door het beveiligingssubsysteem.
System Integrity
Deze subcategorie rapporteert over schendingen van de integriteit van het beveiligingssubsysteem.
IPsec Driver
Deze subcategorie rapporteert over de activiteiten van het IPsec-stuurprogramma (Internet Protocol Security).
Andere systeemevenementen
Deze subcategorie rapporteert over andere systeemgebeurtenissen.
Raadpleeg het hulpprogramma Microsoft Security Compliance Manager voor meer informatie over de beschrijvingen van de subcategorie.
Elke organisatie moet de vorige behandelde categorieën en subcategorieën bekijken en de categorieën inschakelen die het beste bij hun omgeving passen. Wijzigingen in het controlebeleid moeten altijd worden getest vóór de implementatie in een productieomgeving.
Windows-controlebeleid configureren
Windows-controlebeleid kan worden ingesteld met behulp van groepsbeleid, auditpol.exe, API's of registerbewerkingen. De aanbevolen methoden voor het configureren van controlebeleid voor de meeste bedrijven zijn Groepsbeleid of auditpol.exe. Voor het instellen van het controlebeleid van een systeem zijn accountmachtigingen op beheerdersniveau of de juiste gedelegeerde machtigingen vereist.
Note
De bevoegdheid Controle en beveiligingslogboek beheren moet worden gegeven aan beveiligingsprinciplen (beheerders hebben deze standaard) om het wijzigen van opties voor objecttoegangscontrole van afzonderlijke resources toe te staan, zoals bestanden, Active Directory-objecten en registersleutels.
Windows-controlebeleid instellen met groepsbeleid
Als u controlebeleid wilt instellen met behulp van groepsbeleid, configureert u de juiste controlecategorieën onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid (zie de volgende schermopname voor een voorbeeld van de editor voor lokaal groepsbeleid (gpedit.msc)). Each audit policy category can be enabled for Success, Failure, or Success and Failure events.
Geavanceerd controlebeleid kan worden ingesteld met Active Directory of lokaal groepsbeleid. Als u Geavanceerd controlebeleid wilt instellen, configureert u de juiste subcategorieën onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Geavanceerd controlebeleid (zie de volgende schermopname voor een voorbeeld van de editor voor lokaal groepsbeleid (gpedit.msc)). Each audit policy subcategory can be enabled for Success, Failure, or Success and Failure events.
Windows-controlebeleid instellen met behulp van Auditpol.exe
Auditpol.exe (voor het instellen van Windows-controlebeleid) is geïntroduceerd in Windows Server 2008 en Windows Vista. In eerste instantie kon alleen auditpol.exe worden gebruikt om Geavanceerd controlebeleid in te stellen, maar groepsbeleid kan worden gebruikt in Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008, Windows 8 en Windows 7.
Auditpol.exe is een opdrachtregelprogramma. De syntaxis is als volgt:
auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>
voorbeelden van Auditpol.exe syntaxis:
auditpol /set /subcategory:"user account management" /success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
Note
Auditpol.exe stelt Geavanceerd controlebeleid lokaal in. Als lokaal beleid conflicteert met Active Directory of lokaal groepsbeleid, hebben groepsbeleidsinstellingen meestal voorrang op auditpol.exe-instellingen. Wanneer er meerdere groepen of lokale beleidsconflicten bestaan, heeft slechts één beleid voorrang (dat wil gezegd, vervangen). Controlebeleid wordt niet samengevoegd.
Scripting Auditpol
Microsoft provides a sample script for administrators who want to set Advanced Audit Policy by using a script instead of manually typing in each auditpol.exe command.
Note Group Policy does not always accurately report the status of all enabled auditing policies, whereas auditpol.exe does. Zie Het effectieve controlebeleid ophalen in Windows 7 en Windows 2008 R2 voor meer informatie.
Andere Auditpol-opdrachten
Auditpol.exe kan worden gebruikt om een lokaal controlebeleid op te slaan en te herstellen en om andere controlegerelateerde opdrachten weer te geven. Here are the other auditpol commands.
auditpol /clear - Wordt gebruikt om lokaal controlebeleid te wissen en opnieuw in te stellen
auditpol /backup /file:<filename> - Wordt gebruikt om een back-up te maken van een actueel lokaal controlebeleid naar een binair bestand
auditpol /restore /file:<filename> - Wordt gebruikt om een eerder opgeslagen controlebeleidsbestand te importeren in een lokaal controlebeleid
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Als deze instelling voor controlebeleid is ingeschakeld, wordt het systeem onmiddellijk gestopt (met STOP: C0000244 {Audit Failed}-bericht) als een beveiligingscontrole om welke reden dan ook niet kan worden geregistreerd. Normaal gesproken kan een gebeurtenis niet worden geregistreerd wanneer het auditlogboek voor beveiliging vol is en de retentiemethode die is opgegeven voor het beveiligingslogboek niet gebeurtenissen overschrijven of gebeurtenissen overschrijven op dagen. Dit beleid wordt meestal alleen ingeschakeld in omgevingen die een hogere zekerheid vereisen dat het beveiligingslogboek correct registreert. Indien ingeschakeld, moeten beheerders de grootte van het beveiligingslogboek nauwkeurig controleren en logboeken naar behoefte roteren. Het kan ook worden ingesteld met Groepsbeleid door de beveiligingsoptie Controleren te wijzigen: sluit het systeem onmiddellijk af als er geen beveiligingscontroles kunnen worden geregistreerd (standaard=uitgeschakeld).
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Deze controlebeleidsinstelling bepaalt of de toegang tot globale systeemobjecten moet worden gecontroleerd. Als dit beleid is ingeschakeld, worden systeemobjecten, zoals mutexes, gebeurtenissen, semaforen en DOS-apparaten gemaakt met een standaardsysteemtoegangsbeheerlijst (SACL). De meeste beheerders beschouwen het auditen van globale systeemobjecten als te veel 'ruis', en ze zullen het alleen inschakelen als ze verdachte hackactiviteiten vermoeden. Alleen benoemde objecten krijgen een SACL. Als het auditbeleid voor controleobjecttoegang (of subcategorie kernelobjectcontrole) ook is ingeschakeld, wordt de toegang tot deze systeemobjecten gecontroleerd. Wanneer u deze beveiligingsinstelling configureert, wordt de wijziging pas van kracht nadat u Windows opnieuw hebt opgestart. Dit beleid kan ook worden ingesteld met Groepsbeleid door de beveiligingsoptie De toegang van globale systeemobjecten controleren te wijzigen (standaard=uitgeschakeld).
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Deze instelling voor het controlebeleid geeft aan dat benoemde kernelobjecten (zoals mutexes en semaphores) SACL's moeten krijgen wanneer ze worden gemaakt. AuditBaseDirectories is van invloed op containerobjecten terwijl AuditBaseObjects objecten beïnvloedt die geen andere objecten kunnen bevatten.
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Deze controlebeleidsinstelling geeft aan of de client een gebeurtenis genereert wanneer een of meer van de volgende bevoegdheden worden toegewezen aan een gebruikersbeveiligingstoken:
- AssignPrimaryTokenPrivilege
- AuditPrivilege
- BackupPrivilege
- CreateTokenPrivilege
- DebugPrivilege
- EnableDelegationPrivilege
- ImpersonatePrivilege
- LoadDriverPrivilege
- RestorePrivilege
- SecurityPrivilege
- SystemEnvironmentPrivilege
- TakeOwnershipPrivilege
- TcbPrivilege.
Als deze optie niet is ingeschakeld (standaard=uitgeschakeld), worden de bevoegdheden BackupPrivilege en RestorePrivilege niet vastgelegd. Als u deze optie inschakelt, kan het beveiligingslogboek extreem veel activiteit vertonen (soms honderden gebeurtenissen per seconde) tijdens een back-upactiviteit. Dit beleid kan ook worden ingesteld met Groepsbeleid door de beveiligingsoptie Controleren te wijzigen: Het gebruik van de bevoegdheden back-up en herstel controleren.
Note
Sommige informatie die hier wordt gegeven, is afkomstig van het Microsoft Auditoptietype en het hulpprogramma Microsoft SCM.
Traditionele of geavanceerde controle afdwingen
In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 en Windows Vista kunnen beheerders ervoor kiezen om de negen traditionele categorieën in te schakelen of de subcategorieën te gebruiken. Het is een binaire keuze die moet worden gemaakt in elk Windows-systeem. De hoofdcategorieën kunnen worden ingeschakeld of de subcategorieën; Het kan niet beide zijn.
Als u wilt voorkomen dat het verouderde traditionele categoriebeleid subcategorieën voor controlebeleid overschrijft, moet u de subcategorieinstellingen voor controlebeleid forceren (Windows Vista of hoger) inschakelen om de beleidsinstelling voor de beleidscategorie controleren te overschrijven onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties.
U wordt aangeraden de subcategorieën in te schakelen en te configureren in plaats van de negen hoofdcategorieën. Hiervoor moet een groepsbeleidsinstelling zijn ingeschakeld (zodat subcategorieën de controlecategorieën kunnen overschrijven) samen met het configureren van de verschillende subcategorieën die ondersteuning bieden voor controlebeleid.
Controlesubcategorieën kunnen worden geconfigureerd met behulp van verschillende methoden, waaronder Groepsbeleid en het opdrachtregelprogramma, auditpol.exe.