Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются параметры политики аудита Windows, базовые и расширенные рекомендации майкрософт для рабочих станций и серверов. Он предоставляет рекомендации по выбору соответствующих политик аудита администраторам в зависимости от потребностей организации.
Базовые рекомендации диспетчера соответствия требованиям безопасности (SCM), показанные здесь, а также рекомендуемые параметры, помогающие обнаружить компрометацию системы, предназначены только для запуска базового руководства для администраторов. Каждая организация должна принимать собственные решения по поводу угроз, с которыми они сталкиваются, их допустимых уровней рисков, а также какие категории или подкатегории политики аудита следует включить. Администраторы без тщательной политики аудита рекомендуется начать с параметров, рекомендуемых здесь, а затем изменить и проверить перед реализацией в рабочей среде.
Рекомендации предназначены для компьютеров корпоративного класса, которые Корпорация Майкрософт определяет как компьютеры, имеющие средние требования к безопасности и требующие высокого уровня функциональных возможностей. Организации с более высокими требованиями к безопасности должны учитывать более строгие политики аудита.
Следующие базовые параметры политики аудита рекомендуется использовать для обычных компьютеров с нормальной безопасностью, которые, как известно, не находятся под активной, успешной атакой целенаправленных злоумышленников или вредоносных программ.
Рекомендуемая политика аудита системы по операционной системе
В этом разделе содержатся таблицы, которые перечисляют рекомендации по настройке аудита, применяемые к операционной системе Windows (ОС) как для клиента, так и для сервера.
Условные обозначения таблицы политики аудита системы
| Notation | Recommendation |
|---|---|
| Yes | Включите в общих сценариях |
| No | Не включать в обычных сценариях |
| If | Включите, если это необходимо для конкретного сценария, или если роль или функция, для которой требуется аудит, установлена на компьютере. |
| DC | Включите на контроллерах домена |
| [Blank] | No recommendation |
Эти таблицы содержат параметры Windows по умолчанию, базовые рекомендации и более строгие рекомендации в зависимости от того, какую платформу ОС вы используете.
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Logon | |||
| Аудит валидации учетных данных | No | No |
Yes | No |
Yes | Yes |
| Аудит службы проверки подлинности Kerberos | Yes | Yes |
||
| Аудит операций с билетами службы Kerberos | Yes | Yes |
||
| Аудит других событий входа учетных записей | Yes | Yes |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Management | |||
| Аудит управления группами приложений | |||
| Аудит управления учетными записями компьютеров | Yes | No |
Yes | Yes |
|
| Аудит управления группами распространения | |||
| Аудит других событий управления учетными записями | Yes | No |
Yes | Yes |
|
| Аудит управления группами безопасности | Yes | No |
Yes | Yes |
|
| Аудит управления учетными записями пользователей | Yes | No |
Yes | No |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Detailed Tracking | |||
| Аудит активности DPAPI | Yes | Yes |
||
| Аудит создания процессов | Yes | No |
Yes | Yes |
|
| Завершение процесса аудита | |||
| Аудит событий RPC |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| DS Access | |||
| Аудит детализированной репликации службы каталогов | |||
| Аудит доступа к службе каталогов | |||
| Аудит изменений службы каталогов | |||
| Аудит репликации службы каталогов |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Вход и выход | |||
| Аудит блокировки учетных записей | Yes | No |
Yes | No |
|
| Аудит заявок пользователей или устройств на доступ | |||
| Аудит расширенного режима IPsec | |||
| Аудит основного режима IPsec | IF | IF |
||
| Аудит быстрого режима IPsec | |||
| Audit Logoff | Yes | No |
Yes | No |
Yes | No |
| Audit Logon 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Аудит сервера политики сети | Yes | Yes |
||
| Аудит других событий входа и выхода | |||
| Аудит специального входа | Yes | No |
Yes | No |
Yes | Yes |
1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. В предыдущих версиях Windows по умолчанию был включен только параметр "Успех".
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Object Access | |||
| Аудит событий, создаваемых приложениями | |||
| Аудит служб сертификации | |||
| Детализированный аудит общего файлового доступа | |||
| Аудит общего файлового ресурса | |||
| Аудит файловой системы | |||
| Аудит подключения платформы фильтрации | |||
| Аудит отбрасывания пакетов платформой фильтрации | |||
| Аудит работы с дескрипторами | |||
| Аудит объектов ядра | |||
| Аудит других событий доступа к объектам | |||
| Audit Registry | |||
| Аудит съемных устройств | |||
| Audit SAM | |||
| Аудит промежуточного этапа централизованной политики доступа |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Policy Change | |||
| Аудит изменения политики аудита | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит изменения политики проверки подлинности | Yes | No |
Yes | No |
Yes | Yes |
| Аудит изменения политики авторизации | |||
| Аудит изменения политики платформы фильтрации | |||
| Аудит изменения политики на уровне правил MPSSVC | Yes |
||
| Аудит других событий изменения политики |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Privilege Use | |||
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | |||
| Аудит других событий использования привилегий | |||
| Аудит использования чувствительных привилегий |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| System | |||
| Аудит драйвера IPsec | Yes | Yes |
Yes | Yes |
|
| Аудит других системных событий | Yes | Yes |
||
| Аудит изменения состояния безопасности | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит расширения системы безопасности | Yes | Yes |
Yes | Yes |
|
| Аудит целостности системы | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Аудит доступа к глобальным объектам | |||
| Аудит драйвера IPsec | |||
| Аудит других системных событий | |||
| Аудит изменения состояния безопасности | |||
| Аудит расширения системы безопасности | |||
| Аудит целостности системы |
Настройка политики аудита на рабочих станциях и серверах
Для эффективного управления журналами событий требуется мониторинг рабочих станций и серверов. Сосредоточение исключительно на серверах или контроллерах домена (DC) является распространённым упущением, так как начальные признаки вредоносной активности часто проявляются на рабочих станциях. Включив рабочие станции в стратегию мониторинга, вы получаете доступ к критическим ранним индикаторам компрометации.
Перед развертыванием любой политики аудита в рабочей среде администраторы должны тщательно проверять, тестировать и проверять политику, чтобы обеспечить соответствие требованиям безопасности организации и эксплуатации.
События для мониторинга
Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты:
Высокая вероятность того, что случай указывает на несанкционированную активность
небольшое число ложных срабатываний;
Инцидент должен привести к расследованию или судебно-экспертному отклику.
Следует отслеживать и оповещать два типа событий:
События, где происшествие является сильным индикатором несанкционированной или подозрительной активности.
Совокупность событий сверх ожидаемого и принятого уровня.
Пример первого события:
Если администраторам домена запрещено входить на компьютеры, которые не являются контроллерами домена, единственный случай входа члена администратора домена на рабочую станцию конечного пользователя должен вызвать тревогу и быть расследован. Этот тип оповещения легко создать с помощью события "Аудит специальной авторизации" 4964 (специальные группы были назначены новой авторизации). К другим примерам оповещений одиночного экземпляра относятся:
If Server A should never connect to Server B, alert when they connect to each other.
Оповещение, если стандартная учетная запись пользователя неожиданно добавляется в привилегированную или конфиденциальную группу безопасности.
Если сотрудники в расположении фабрики A никогда не работают ночью, оповещайте, когда пользователь входит в систему ночью.
Оповещение, если несанкционированная служба установлена на контроллере домена.
Проверьте, пытается ли обычный конечный пользователь напрямую войти в SQL Server, для которого у них нет четкой причины для этого.
Если у вас нет участников в группе администрирования домена, и кто-то добавляет себя туда, немедленно проверьте его.
Примером второго события является:
Большое количество неудачных попыток входа может сигнализировать о атаке на угадывание паролей. Чтобы обнаружить это, организации должны сначала определить, что такое обычный уровень неудачных входов в свою среду. Затем оповещения можно активировать при превышении этого базового уровня.
Полный список событий, которые следует включить при мониторинге признаков компрометации, см. в приложении L: События для мониторинга.
Объекты и атрибуты Active Directory для мониторинга
Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь вам обнаружить попытки компрометации установки домен Active Directory Services.
Системы для отключения или удаления антивирусного и антивредоносного программного обеспечения (автоматически перезапустите защиту при отключении вручную)
Учетные записи администратора для несанкционированных изменений
Действия, выполняемые с помощью привилегированных учетных записей (автоматически удаляются при завершении подозрительных действий или истечении срока действия).
Привилегированные и VIP учетные записи в AD DS. Отслеживайте изменения атрибутов на вкладке "Учетная запись", например:
cn
name
sAMAccountName
userPrincipalName
userAccountControl
Помимо мониторинга учетных записей, ограничьте круг тех, кто может изменять их, как можно меньшим количеством административных пользователей. См. приложение L: События для мониторинга для списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.
Группировать серверы по классификации рабочих нагрузок, что позволяет быстро определить серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее строго настроенными.
Изменения в свойствах и членстве следующих групп AD DS:
Administrators
Domain Admins
Enterprise Admins
Schema Admins
Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и на рабочих станциях) для управления этими учетными записями.
Учетные записи управления для записи всех записей в учетную запись
Встроенный мастер настройки безопасности для настройки службы, реестра, аудита и брандмауэра для уменьшения области атаки сервера. Используйте этот мастер, если вы реализуете прыжковые серверы в рамках вашей стратегии управления административными узлами.
Дополнительная информация для мониторинга AD DS
Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:
Критические особенности рекомендаций по идентификатору событий безопасности
Все рекомендации по идентификатору события сопровождаются оценкой критической важности следующим образом:
| Rating | Description |
|---|---|
| High | Идентификаторы событий с высокой критической оценкой должны всегда и немедленно быть оповещены и расследованы. |
| Medium | Идентификатор события со средней критической оценкой может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими аномалиями. Примером может быть необычное количество событий, происходящих в определённый период времени, неожиданные события или случаи, когда на компьютере фиксируются события, которые обычно не должны регистрироваться. Событие средней важности также может быть собрано как метрика, а затем сравнивается с течением времени. |
| Low | Идентификатор события с низкой критичностью не должен привлекать внимание или вызывать оповещения, если он не связан со средними или высококритичными событиями. |
Эти рекомендации предназначены для предоставления базового руководства администратора. Перед реализацией в рабочей среде необходимо тщательно проверить все рекомендации.