Поделиться через


Рекомендации по политике аудита системы

В этой статье рассматриваются параметры политики аудита Windows, базовые и расширенные рекомендации майкрософт для рабочих станций и серверов. Он предоставляет рекомендации по выбору соответствующих политик аудита администраторам в зависимости от потребностей организации.

Базовые рекомендации диспетчера соответствия требованиям безопасности (SCM), показанные здесь, а также рекомендуемые параметры, помогающие обнаружить компрометацию системы, предназначены только для запуска базового руководства для администраторов. Каждая организация должна принимать собственные решения по поводу угроз, с которыми они сталкиваются, их допустимых уровней рисков, а также какие категории или подкатегории политики аудита следует включить. Администраторы без тщательной политики аудита рекомендуется начать с параметров, рекомендуемых здесь, а затем изменить и проверить перед реализацией в рабочей среде.

Рекомендации предназначены для компьютеров корпоративного класса, которые Корпорация Майкрософт определяет как компьютеры, имеющие средние требования к безопасности и требующие высокого уровня функциональных возможностей. Организации с более высокими требованиями к безопасности должны учитывать более строгие политики аудита.

Следующие базовые параметры политики аудита рекомендуется использовать для обычных компьютеров с нормальной безопасностью, которые, как известно, не находятся под активной, успешной атакой целенаправленных злоумышленников или вредоносных программ.

В этом разделе содержатся таблицы, которые перечисляют рекомендации по настройке аудита, применяемые к операционной системе Windows (ОС) как для клиента, так и для сервера.

Условные обозначения таблицы политики аудита системы

Notation Recommendation
Yes Включите в общих сценариях
No Не включать в обычных сценариях
If Включите, если это необходимо для конкретного сценария, или если роль или функция, для которой требуется аудит, установлена на компьютере.
DC Включите на контроллерах домена
[Blank] No recommendation

Эти таблицы содержат параметры Windows по умолчанию, базовые рекомендации и более строгие рекомендации в зависимости от того, какую платформу ОС вы используете.

Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Account Logon
Аудит валидации учетных данных No | No Yes | No Yes | Yes
Аудит службы проверки подлинности Kerberos Yes | Yes
Аудит операций с билетами службы Kerberos Yes | Yes
Аудит других событий входа учетных записей Yes | Yes
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Account Management
Аудит управления группами приложений
Аудит управления учетными записями компьютеров Yes | No Yes | Yes
Аудит управления группами распространения
Аудит других событий управления учетными записями Yes | No Yes | Yes
Аудит управления группами безопасности Yes | No Yes | Yes
Аудит управления учетными записями пользователей Yes | No Yes | No Yes | Yes
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Detailed Tracking
Аудит активности DPAPI Yes | Yes
Аудит создания процессов Yes | No Yes | Yes
Завершение процесса аудита
Аудит событий RPC
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
DS Access
Аудит детализированной репликации службы каталогов
Аудит доступа к службе каталогов
Аудит изменений службы каталогов
Аудит репликации службы каталогов
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Вход и выход
Аудит блокировки учетных записей Yes | No Yes | No
Аудит заявок пользователей или устройств на доступ
Аудит расширенного режима IPsec
Аудит основного режима IPsec IF | IF
Аудит быстрого режима IPsec
Audit Logoff Yes | No Yes | No Yes | No
Audit Logon 1 Yes | Yes Yes | Yes Yes | Yes
Аудит сервера политики сети Yes | Yes
Аудит других событий входа и выхода
Аудит специального входа Yes | No Yes | No Yes | Yes

1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. В предыдущих версиях Windows по умолчанию был включен только параметр "Успех".

Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Object Access
Аудит событий, создаваемых приложениями
Аудит служб сертификации
Детализированный аудит общего файлового доступа
Аудит общего файлового ресурса
Аудит файловой системы
Аудит подключения платформы фильтрации
Аудит отбрасывания пакетов платформой фильтрации
Аудит работы с дескрипторами
Аудит объектов ядра
Аудит других событий доступа к объектам
Audit Registry
Аудит съемных устройств
Audit SAM
Аудит промежуточного этапа централизованной политики доступа
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Policy Change
Аудит изменения политики аудита Yes | No Yes | Yes Yes | Yes
Аудит изменения политики проверки подлинности Yes | No Yes | No Yes | Yes
Аудит изменения политики авторизации
Аудит изменения политики платформы фильтрации
Аудит изменения политики на уровне правил MPSSVC Yes
Аудит других событий изменения политики
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Privilege Use
Аудит использования привилегий, не затрагивающих конфиденциальные данные
Аудит других событий использования привилегий
Аудит использования чувствительных привилегий
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
System
Аудит драйвера IPsec Yes | Yes Yes | Yes
Аудит других системных событий Yes | Yes
Аудит изменения состояния безопасности Yes | No Yes | Yes Yes | Yes
Аудит расширения системы безопасности Yes | Yes Yes | Yes
Аудит целостности системы Yes | Yes Yes | Yes Yes | Yes
Категория политики аудита или подкатегория Windows Default
Success | Failure
Baseline Recommendation
Success | Failure
Stronger Recommendation
Success | Failure
Аудит доступа к глобальным объектам
Аудит драйвера IPsec
Аудит других системных событий
Аудит изменения состояния безопасности
Аудит расширения системы безопасности
Аудит целостности системы

Настройка политики аудита на рабочих станциях и серверах

Для эффективного управления журналами событий требуется мониторинг рабочих станций и серверов. Сосредоточение исключительно на серверах или контроллерах домена (DC) является распространённым упущением, так как начальные признаки вредоносной активности часто проявляются на рабочих станциях. Включив рабочие станции в стратегию мониторинга, вы получаете доступ к критическим ранним индикаторам компрометации.

Перед развертыванием любой политики аудита в рабочей среде администраторы должны тщательно проверять, тестировать и проверять политику, чтобы обеспечить соответствие требованиям безопасности организации и эксплуатации.

События для мониторинга

Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты:

  • Высокая вероятность того, что случай указывает на несанкционированную активность

  • небольшое число ложных срабатываний;

  • Инцидент должен привести к расследованию или судебно-экспертному отклику.

Следует отслеживать и оповещать два типа событий:

  • События, где происшествие является сильным индикатором несанкционированной или подозрительной активности.

  • Совокупность событий сверх ожидаемого и принятого уровня.

Пример первого события:

Если администраторам домена запрещено входить на компьютеры, которые не являются контроллерами домена, единственный случай входа члена администратора домена на рабочую станцию конечного пользователя должен вызвать тревогу и быть расследован. Этот тип оповещения легко создать с помощью события "Аудит специальной авторизации" 4964 (специальные группы были назначены новой авторизации). К другим примерам оповещений одиночного экземпляра относятся:

  • If Server A should never connect to Server B, alert when they connect to each other.

  • Оповещение, если стандартная учетная запись пользователя неожиданно добавляется в привилегированную или конфиденциальную группу безопасности.

  • Если сотрудники в расположении фабрики A никогда не работают ночью, оповещайте, когда пользователь входит в систему ночью.

  • Оповещение, если несанкционированная служба установлена на контроллере домена.

  • Проверьте, пытается ли обычный конечный пользователь напрямую войти в SQL Server, для которого у них нет четкой причины для этого.

  • Если у вас нет участников в группе администрирования домена, и кто-то добавляет себя туда, немедленно проверьте его.

Примером второго события является:

Большое количество неудачных попыток входа может сигнализировать о атаке на угадывание паролей. Чтобы обнаружить это, организации должны сначала определить, что такое обычный уровень неудачных входов в свою среду. Затем оповещения можно активировать при превышении этого базового уровня.

Полный список событий, которые следует включить при мониторинге признаков компрометации, см. в приложении L: События для мониторинга.

Объекты и атрибуты Active Directory для мониторинга

Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь вам обнаружить попытки компрометации установки домен Active Directory Services.

  • Системы для отключения или удаления антивирусного и антивредоносного программного обеспечения (автоматически перезапустите защиту при отключении вручную)

  • Учетные записи администратора для несанкционированных изменений

  • Действия, выполняемые с помощью привилегированных учетных записей (автоматически удаляются при завершении подозрительных действий или истечении срока действия).

  • Привилегированные и VIP учетные записи в AD DS. Отслеживайте изменения атрибутов на вкладке "Учетная запись", например:

    • cn

    • name

    • sAMAccountName

    • userPrincipalName

    • userAccountControl

    Помимо мониторинга учетных записей, ограничьте круг тех, кто может изменять их, как можно меньшим количеством административных пользователей. См. приложение L: События для мониторинга для списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.

  • Группировать серверы по классификации рабочих нагрузок, что позволяет быстро определить серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее строго настроенными.

  • Изменения в свойствах и членстве следующих групп AD DS:

    • Administrators

    • Domain Admins

    • Enterprise Admins

    • Schema Admins

  • Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и на рабочих станциях) для управления этими учетными записями.

  • Учетные записи управления для записи всех записей в учетную запись

  • Встроенный мастер настройки безопасности для настройки службы, реестра, аудита и брандмауэра для уменьшения области атаки сервера. Используйте этот мастер, если вы реализуете прыжковые серверы в рамках вашей стратегии управления административными узлами.

Дополнительная информация для мониторинга AD DS

Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:

Критические особенности рекомендаций по идентификатору событий безопасности

Все рекомендации по идентификатору события сопровождаются оценкой критической важности следующим образом:

Rating Description
High Идентификаторы событий с высокой критической оценкой должны всегда и немедленно быть оповещены и расследованы.
Medium Идентификатор события со средней критической оценкой может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими аномалиями. Примером может быть необычное количество событий, происходящих в определённый период времени, неожиданные события или случаи, когда на компьютере фиксируются события, которые обычно не должны регистрироваться. Событие средней важности также может быть собрано как метрика, а затем сравнивается с течением времени.
Low Идентификатор события с низкой критичностью не должен привлекать внимание или вызывать оповещения, если он не связан со средними или высококритичными событиями.

Эти рекомендации предназначены для предоставления базового руководства администратора. Перед реализацией в рабочей среде необходимо тщательно проверить все рекомендации.

See also