规划和部署高级安全审核策略
本主题面向 IT 专业人员介绍了安全策略规划人员必须考虑的选项以及他们要在包括高级安全审核策略的网络中部署有效的安全审核策略所必须完成的任务。
组织会将大部分信息技术预算投入到安全应用程序和服务(例如反恶意软件、防火墙和加密)中。但无论你部署了多少安全硬件或软件、无论控制用户权限的严格程度如何、或无论配置数据安全权限的仔细程度如何,你都不应认为这份工作已完成,除非你具有完善定义且及时的审核策略来跟踪防御有效性并标识尝试绕过它们的行为。
若要实现完善定义且及时的审核策略,它必须提供关于组织的最重要资源、关键行为和潜在风险的有用跟踪数据。随着组织数量越来越多,它还必须提供 IT 操作符合公司和法规要求的绝对证据。
遗憾的是,没有组织拥有在网络上监视每个资源和活动的无限资源。如果不合理规划,你的审核策略将可能出现漏洞。但是,如果尝试审核每个资源和活动,你可能会发现自己拥有过多的监视数据,包括数千个良性审核项目,这些审核项目需要经分析师筛选从而确定可保证进一步检查的较小项目集。这可能会造成延迟,甚至阻止审核员识别可疑活动。因此,监视过多与监视不足一样会使组织易受攻击。
以下是一些有助于你集中精力的功能:
高级审核策略设置。你可以通过组策略应用和管理详细的审核策略设置。
“访问原因”审核。你可以指定和标识用于生成特定对象访问安全事件的权限。
全局对象访问审核。你可以为整个计算机文件系统或注册表定义系统访问控制列表 (SACL)。
若要部署这些功能并规划有效的安全审核策略,你需要:
标识需要跟踪的最关键资源和最重要活动。
标识可用于跟踪这些活动的审核设置。
评估与每项策略关联的优点和潜在成本。
测试这些设置以验证选择。
制定部署和管理审核策略的规划。
关于本指南
本文档将指导你完成规划使用 Windows 审核功能的安全审核策略所需的步骤。此策略必须确定并解决重要的业务需求,包括:
网络可靠性
法规要求
组织数据和知识产权保护
用户,包括员工、承包商、合作伙伴和客户
客户端计算机和应用程序
服务器以及在这些服务器上运行的应用程序和服务
审核策略还必须确定在记录审核数据后对其进行管理的过程,包括:
收集、评估和检查审核数据
存储和处理(如需要)审核数据
通过仔细规划、设计、测试和部署基于组织业务要求的解决方案,你可以提供组织需要的标准化功能、安全和管理控制。
了解安全审核策略设计过程
设计和部署 Windows 安全审核策略的过程包括以下任务,本文档将对这些任务进行极为详细地介绍:
确定 Windows 安全审核策略部署目标
本部分有助于定义可以指导 Windows 安全审核策略的业务目标。它还有助于定义将成为安全审核中心的资源、用户和计算机。
将安全审核策略映射到组织中的用户组、计算机组和资源组。
本部分介绍了如何将安全审核策略设置与用于不同组的用户、计算机和资源的域组策略设置集成。除此之外,如果你的网络包括多个版本的 Windows 客户端和服务器操作系统,它还会介绍何时使用基本审核策略设置以及何时使用高级安全审核策略设置。
将安全审核目标映射到安全审核策略配置
本部分介绍了可用的 Windows 安全审核设置类别。它还标识了对解决审核方案具有特定价值的单独 Windows 安全审核策略设置。
规划安全审核监视和管理
本部分可帮助你规划收集、分析和存储 Windows 审核数据。根据计算机数和你想要审核的活动类型,Windows 事件日志可以快速填充。此外,本部分还介绍了审核员如何访问和聚合多台服务器和台式计算机的事件数据。它还介绍了如何解决存储要求,包括要存储多少审核数据以及必须要如何存储这些数据。
部署安全审核策略
本部分提供有效部署 Windows 安全审核策略的建议和指南。在测试实验室环境中配置和部署 Windows 审核策略设置可帮助你确认所选设置是否将生成所需的审核数据类型。但是,仅仔细安排的试点和基于域和组织单位 (OU) 结构的增量部署可支持你确认生成的审核数据是否受到监视以及是否符合组织的审核需求。
确定 Windows 安全审核策略部署目标
安全审核策略必须支持组织的总体安全设计和框架,并且是其中重要且集成的内容。
每个组织都具有一组独特的数据和网络资源(例如客户和财务数据以及商业机密)、物理资源(例如台式计算机、便携计算机和服务器)以及用户(这可能包括财务和营销等各个内部组以及合作伙伴、客户和网站上的匿名用户等外部组)。这些资源和用户并非都能解释审核成本的合理性。你的任务是确定哪些资源和用户最能够提供作为安全审核中心的理由。
若要创建 Windows 安全审核计划,请首先确定以下内容:
总体网络环境,包括域、OU 和安全组。
网络上的资源、这些资源的用户以及如何使用这些资源。
法规要求。
网络环境
组织的域和 OU 结构提供了基本起始点以供你考虑如何应用安全审核策略,因为它可能提供组策略对象 (GPO) 的基础和有关用于应用所选审核设置的资源和活动的逻辑分组。域和 OU 结构的某些部分也可能已提供用户、资源和活动的逻辑组,这些逻辑组解释了审核它们所需的时间和资源。有关如何将安全审核策略与域和 OU 结构集成的信息,请参阅本文档后面的将安全审核策略映射到组织中的用户组、计算机组和资源组。
除域模型外,还应查明组织是否创建和维护系统风险模型。良好的风险模型可帮助你发现对基础结构中关键组件的威胁,以便你可以定义和应用审核设置来增强组织发现和应对这些威胁的能力。
要点
将审核纳入组织的安全计划也可以在实现最有效审核的区域安排资源预算。
有关如何完成所有这些步骤以及如何准备详细风险模型的详细信息,请下载 IT 基础结构风险模型指南。
数据和资源
对于数据和资源审核,你需要确定最重要的数据和资源(例如病历、计帐数据或营销计划)类型,以便从 Windows 审核能够提供的更密切监视中受益。这些数据资源中的一部分可能已经通过 Microsoft SQL Server 和 Exchange Server 等产品中的审核功能受到监视。如果情况如此,你需要考虑 Windows 审核功能可以如何增强现有审核策略。对于之前所讨论的域和 OU 结构,安全审核应聚焦于最关键的资源。你还必须考虑能够管理的审核数据量。
你可以记录这些资源是具有高业务影响、中等业务影响还是低业务影响,在未经授权的用户访问这些数据资源时组织的成本以及此次访问给组织带来的风险。用户访问类型(例如读取、修改或复制)也会给组织带来不同级别的风险 。
数据访问和使用逐渐受到法规管理,并且违约会导致严重处罚和组织的信誉损失。如果管理数据的方式中存在法规遵从,请确保也记录下此信息。
下表提供组织资源分析的示例。
资源类 | 存储位置 | 组织单位 | 业务影响 | 安全或法规要求 |
---|---|---|---|---|
工资单数据 |
Corp-Finance-1 |
计帐:在 Corp-Finance-1 上读取/写入 部门工资单管理器:仅在 Corp-Finance-1 上写入 |
高 |
财务完整性和员工隐私 |
病人的病历 |
MedRec-2 |
医生和护士:在 Med/Rec-2 上读取/写入 实验室助手:仅在 MedRec-2 上写入 计帐:仅在 MedRec-2 上读取 |
高 |
严格的法律和法规标准 |
消费者健康信息 |
Web-Ext-1 |
公共关系 Web 内容创建者:在 Web-Ext-1 上读取/写入 公共:仅在 Web-Ext-1 上读取 |
低 |
公共教育和企业形象 |
用户
许多组织发现对现有用户进行分类并将权限建立在此分类的基础上非常有用。此相同分类可帮助你确定应该作为安全审核主题的用户活动以及它们会生成的审核数据量。
组织可创建基于用户执行其作业所需的权限类型的区别。例如,在“管理员”分类下,较大的组织可能会为一台电脑、特定应用程序(例如 Exchange Server 或 SQL Server)或整个域分配本地管理员职责。在“用户”下,权限和组策略设置可应用到与组织中所有用户数一样多的用户,也可应用到与给定部门的员工子集一样少的用户。
另外,如果组织遵守法规要求,用户活动(例如访问病历或财务数据)可能需要审核以验证你是否遵守这些要求。
若要有效审核用户活动,请首先列出组织中不同类型的用户和他们需要访问的数据类型(除不应访问的数据之外)。
另外,如果外部用户可以访问任何组织数据,请确保标识他们,包括他们是属于业务合作伙伴、客户还是一般用户,他们有权访问的数据以及他们访问该数据的权限。
下表介绍了某个网络上的用户分析。虽然我们的示例包含标题为“可能的审核注意事项”的单个列,但你可能需要创建其他列以区分不同类型的网络活动,例如登录时间和权限使用。
组 | 数据 | 可能的审核注意事项 |
---|---|---|
帐户管理员 |
用户帐户和安全组 |
帐户管理员具有创建新用户帐户、重置密码和修改安全组成员身份的完整权限。我们需要监视这些更改的机制。 |
财务 OU 成员 |
财务记录 |
“财务”中的用户具有对关键财务记录的读取/写入访问权限,但无法在这些资源上更改权限。这些财务记录遵循政府法规遵从要求。 |
外部合作伙伴 |
项目 Z |
合作伙伴组织的员工对某些与项目 Z 相关的项目数据和服务器具有读取/写入访问权限,但无法访问网络上的其他服务器或数据。 |
计算机
安全和审核要求以及审核事件量可能因组织中不同类型的计算机而大不相同。这些要求可以建立在以下内容的基础之上:
如果计算机是服务器、台式计算机或便携计算机。
计算机运行的重要应用程序,例如 Exchange Server、SQL Server 或 Forefront Identity Manager。
注意
如果服务器应用程序(包括 Exchange Server 和 SQL Server)具有审核设置。有关在 Exchange Server 中审核的详细信息,请参阅 Exchange 2010 安全指南。有关在 SQL Server 2008 中审核的详细信息,请参阅审核(数据库引擎)。对于 SQL Server 2012,请参阅 SQL Server 审核(数据库引擎)。
操作系统版本。
注意
操作系统版本确定可用的审核选项和审核事件数据量。
数据的业务价值。
例如,外部用户访问的 Web 服务器要求不同于根证书颁发机构 (CA) 的审核设置,该设置从不向公共 Internet 甚至组织网络上的常规用户公布。
下表介绍了组织中的计算机分析。
计算机和应用程序的类型 | 操作系统版本 | 所处位置 |
---|---|---|
托管 Exchange Server 的服务器 |
Windows Server 2008 R2 |
ExchangeSrv OU |
文件服务器 |
Windows Server 2012 |
按部门划分和(在某些情况下)按位置划分的独立资源 OU |
便携计算机 |
Windows Vista 和 Windows 7 |
按部门划分和(在某些情况下)按位置划分的独立便携计算机 |
Web 服务器 |
Windows Server 2008 R2 |
WebSrv OU |
法规要求
许多行业和场所对网络操作和保护资源的方式具有严格和特定的要求。例如,医疗保健和金融业对于有权访问记录的用户以及使用这些记录的方式具有严格的准则。许多国家/地区具有严格的隐私规则。若要确定法规要求,请与组织的法律部门和其他负责这些要求的部门合作。然后考虑可用于遵守这些法规的安全配置和审核选项,并验证是否遵守了这些法规。
有关详细信息,请参阅适用于 IT GRC 的系统中心过程包。
将安全审核策略映射到组织中的用户组、计算机组和资源组。
通过使用组策略,你可以将安全审核策略应用到定义的用户组、计算机组和资源组。若要在组织中将安全审核策略映射到这些已定义的组,你应了解以下使用组策略的注意事项,以应用安全审核策略设置:
可通过使用一项或多项 GPO 来应用你确定的策略设置。若要创建和编辑 GPO,请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选择的 Active Directory 站点、域和 OU,你可以将 GPO 中的策略设置应用到这些 Active Directory 对象中的用户和计算机。OU 是你可以向其分配组策略设置的最低级别的 Active Directory 容器。
对于所选择的每项策略设置,你需要决定它应在组织中强制执行,还是应仅应用于选定的用户或计算机。然后,你可以将这些审核策略设置合并到 GPO,并将它们链接到相应的 Active Directory 容器。
默认情况下,GPO 中的选项集会链接到较高级别的 Active Directory 站点、域和 OU,并由较低级别的所有 OU 继承。但是,在较低级别链接的 GPO 可以覆盖继承的策略。
例如,你可能使用某个域 GPO 分配整个组织内的一组审核设置,但是希望某些 OU 获取一组定义的其他设置。若要实现此目的,你可以将第二个 GPO 链接到这一特定的较低级别的 OU。因此,在 OU 级别应用的登录审核设置会覆盖在域级别应用的冲突登录审核设置(除非你已采取特殊步骤来应用组策略环回处理)。
审核策略是计算机策略。因此,它们必须通过已应用的 GPO 来应用到计算机 OU,而非用户 OU。但是,在大多数情况下,你可以通过在相关对象上配置 SACL 来应用仅适用于特定资源和用户组的审核设置。此操作支持审核仅包含你指定用户的安全组。
例如,你可以为记帐服务器 1 上名为“工资单数据”的文件夹配置 SACL。这可以审核“工资单处理器 OU”的成员从此文件夹删除对象的尝试。对象访问\审核文件系统审核策略设置应用于记帐服务器 1,但是因为它需要相应的资源 SACL,因此只有“工资单数据”文件夹上的“工资单处理器 OU”的成员才能生成审核事件。
高级安全审核策略设置在 Windows Server 2008 R2 或 Windows 7 中引进,并可用于这些操作系统以及更高版本。这些高级审核策略仅可通过使用组策略来应用。
要点
无论是通过使用组策略还是通过使用登录脚本来应用高级审核策略,既不要使用“本地策略\审核策略”下的基本审核策略设置,也不要使用“安全设置\高级审核策略配置”****下的高级设置。同时使用基本和高级审核策略设置会使审核报告中出现意外的结果。
如果使用“高级审核策略配置”设置或使用登录脚本应用高级审核策略,请务必启用“本地策略\安全选项”****下的“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”。通过强制忽略基本安全审核,这将会阻止相似设置之间发生冲突。
以下是审核策略可如何应用到组织 OU 结构的示例:
将数据活动设置应用到包含文件服务器的 OU。如果你的组织具有包含极其敏感数据的服务器,请考虑将它们放置在单独的 OU 中以便为这些服务器配置和应用更精确的审核策略。
在组织中将用户活动审核策略应用到包含所有计算机的 OU。如果你的组织基于所在工作部门在 OU 中放置用户,请考虑为关键资源配置和应用更详细的安全权限,这些关键资源由工作在更为敏感区域(例如网络管理员或法律部门)的员工访问。
将网络和系统活动审核策略应用到包含组织的最关键服务器(例如域控制器、CA、电子邮件服务器或数据库服务器)的 OU 中。
将安全审核目标映射到安全审核策略配置。
确定安全审核目标后,你可以开始将它们映射到安全审核策略配置。此审核策略配置必须实现最关键的安全审核目标,但也必须实现组织约束,例如需要监视的计算机数量、想要审核的活动数量、所需审核配置将生成的审核事件数量以及可用于分析和处理审核数据的管理员数量。
若要创建审核策略配置,你需要:
浏览所有可用于解决你的需求的审核策略设置。
选择能够最有效解决在之前部分中确定的审核要求的审核设置。
确认所选设置是否与运行在要监视的计算机上的操作系统兼容。
确定要用于审核设置的配置选项(成功、失败、或成功和失败)。
在实验室或测试环境中部署审核设置,以验证它们是否满足量、支持性和综合性方面的期望结果。然后在试点生产环境中部署审核设置,以确保对于审核计划将生成多少审核数据的评估切合实际并且你可以管理此数据。
浏览审核策略选项
受支持的 Windows 版本中的安全审核策略设置可在以下位置查看和配置:
安全设置\本地策略\审核策略。
安全设置\本地策略\安全选项。
安全设置\高级审核策略配置。有关详细信息,请参阅高级安全审核策略设置。
选择要使用的审核设置
根据你的目标,不同组的审核设置可能对于你具有特定价值。例如,安全设置\高级审核策略配置下的一些设置可用于监视以下类型的活动:
数据和资源
用户
网络
要点
“参考”中所述的设置可能还会提供有关其他设置所审核活动的宝贵信息。例如,用于监视用户活动和网络活动的设置明显与保护数据资源有关。同样地,尝试泄露数据资源对总体网络状态影响巨大,并潜在影响在网络上管理用户活动的情况。
数据和资源活动
对于许多组织而言,泄露组织数据资源除了会损失声誉和承担法律责任外,还会造成巨大的财务损失。如果你的组织具有需要阻止任何违约的关键数据资源,以下设置可提供非常有价值的监视和司法数据:
对象访问\审核文件共享。此策略设置使你能够跟踪已访问的内容,请求的源(IP 地址和端口)以及用于访问的用户帐户。此设置生成的事件数据量将各不相同,具体取决于尝试访问文件共享的客户端计算机数量。在文件服务器或域控制器上,事件数据量可能会很高,因为客户端计算机在执行策略处理时需要进行 SYSVOL 访问。如果你不需要记录具有文件共享权限的客户端计算机的例程访问,你可能需要仅为访问文件共享失败的尝试记录审核事件。
对象访问\审核文件系统。此策略设置确定操作系统是否审核用户访问文件系统对象的尝试。审核事件仅为配置了 SACL 的对象(例如文件和文件夹)生成,并且仅在请求的访问类型(例如写入、读取或修改)和提出请求的帐户与 SACL 中的设置相匹配时才会生成。
如果启用了成功审核,任何帐户每次成功访问具有匹配 SACL 的文件系统对象时都将生成审核项。如果启用了失败审核,任何帐户每次未成功访问具有匹配 SACL 的文件系统对象时都将生成审核项。“审核文件系统”策略设置生成的审核数据量会大不相同,具体取决于配置为接受监视的对象数。
注意
若要在计算机上审核用户尝试访问所有文件系统对象的行为,请使用全局对象访问审核设置注册表(全局对象访问审核)或文件系统(全局对象访问审核)。
对象访问\审核句柄操作。此策略设置确定在对象句柄打开或关闭时操作系统是否会生成审核事件。仅配置了 SACL 的对象才会生成这些事件,并且仅在尝试的句柄操作匹配 SACL 时才会生成。
事件量可能较高,具体取决于如何配置 SACL。在与“审核文件系统”或“审核注册表”****策略设置一起使用时,“审核句柄操作”策略设置可以向管理员提供有用的“访问原因”审核数据,该数据详细介绍了审核事件所基于的精确权限。例如,如果文件配置为只读资源但用户尝试将更改保存到该文件,则审核事件不仅会记录该事件,还会记录用于(或尝试用于)保存文件更改的权限。
全局对象访问审核。越来越多的组织使用安全审核以遵守管理数据安全和隐私的法规要求。但演示要强制执行的严格控制极其困难。为解决此问题,受支持的 Windows 版本包括两种“全局对象访问审核”策略设置,一种用于注册表,一种用于文件系统。在配置这些设置时,它们将在系统的所有该类对象上应用全局系统访问控制 SACL,它无法被替代和绕过。
要点
“全局对象访问审核”策略设置必须在“对象访问”****类别中与“审核文件系统”和“审核注册表”****审核策略设置一起进行配置和应用。有关使用“全局对象访问审核”策略设置的详细信息,请参阅高级安全审核演练。
用户活动
之前部分中的设置与涉及到文件、文件夹以及存储在网络上的网络共享的活动有关,而本部分中的设置聚焦于可能尝试访问这些资源的用户,包括员工、合作伙伴和客户。
在大多数情况下,这些尝试具有合法性,并且网络需要使合法用户能够轻松使用重要数据。但在其他情况下,员工、合作伙伴和其他用户可能会尝试访问他们没有合法理由访问的资源。安全审核可用于在特定计算机上跟踪各种用户活动以诊断和解决合法用户的问题,并发现和解决非法活动。以下是一些你应该评估的重要设置,以便在网络上跟踪用户活动:
帐户登录\审核凭据验证。这是一项极其重要的策略设置,因为它使你可以跟踪显示用户登录凭据的成功和失败尝试。特别是失败的尝试模式可能指明用户或应用程序使用了无效凭据,或尝试连续使用各种凭据以期其中一次尝试将最终成功。这些事件发生在对凭据具有权威的计算机上。对于域帐户,域控制器是权威方。对于本地帐户,本地计算机是权威方。
DS 访问\审核目录服务访问和 DS 访问\审核目录服务更改。这些策略设置提供了有关在 Active Directory 域服务 (AD DS) 中尝试创建、修改、删除、移动或撤消删除对象的详细审核跟踪。仅域管理员有权修改 AD DS 对象,因此识别修改这些对象的恶意尝试极其重要。除此之外,虽然域管理员应该是组织最受信任的员工之一,但使用“审核目录服务访问”****和“审核目录服务更改”设置允许你监视和验证针对 AD DS 所做更改是否仅是经批准的更改。这些审核事件仅记录在域控制器上。
登录/注销\审核帐户锁定。其他常见安全方案发生在用户尝试使用已锁定的帐户登录时。请务必识别这些事件,并确定使用锁定帐户的尝试是否为恶意。
登录/注销\审核注销和登录/注销\审核登录。登录和注销事件对于跟踪用户活动和检测潜在攻击至关重要。登录事件与登录会话的创建相关,并且它们发生在所访问的计算机上。对于交互式登录,事件在要登录的计算机上生成。对于网络登录(例如访问共享资源),将在托管已访问过资源的计算机上生成事件。注销事件在登录会话终止时生成。
注意
注销活动中没有失败事件,因为失败的注销(例如:当系统突然关闭时)不生成审核记录。注销事件并非完全可靠。例如,即使没有正确注销和关机,计算机也可以关闭,并且不会生成注销事件。
登录/注销\审核特殊登录。特殊登录具有与管理员等效的权利,并可用于将过程提升到更高的级别。建议跟踪这些类型的登录。有关此功能的详细信息,请参阅 Microsoft 知识库中的文章 947223。
对象访问\审核认证服务。此策略设置允许你在托管 Active Directory 证书服务 (AD CS) 角色服务的计算机上跟踪和监视各种活动,以确保仅授权用户在执行或尝试执行这些任务,并且仅执行授权任务或所需任务。
对象访问\审核句柄操作。此策略设置以及在提供“访问原因”审核数据方面所起的作用在之前的部分中已做过介绍。
对象访问\审核注册表。管理员确保恶意用户无法更改基本计算机设置的最关键方法之一是监视注册表更改。审核事件仅为配置了 SACL 的对象而生成,并且仅在请求的访问类型(例如写入、读取或修改)和提出请求的帐户与 SACL 中的设置相匹配时才会生成。
要点
在需要跟踪所有更改注册表设置的尝试的关键系统上,你可以将“审核注册表”策略设置与“全局对象访问审核”****策略设置结合在一起,从而确保跟踪所有在计算机上修改注册表设置的尝试。
对象访问\审核 SAM。安全帐户管理器 (SAM) 是一个数据库,在运行 Windows 的计算机上提供,用于将用户的用户帐户和安全描述符存储在本地计算机上。对用户和组对象的更改由“帐户管理”审核类别跟踪。但是,具有正确用户权限的用户帐户可能会更改帐户和密码信息存储在系统中的文件,以此绕过任何“帐户管理”****事件。
特权使用\审核敏感特权使用。“特权使用”策略设置和审核事件允许跟踪某些权限在一个或多个系统上的使用情况。如果配置此策略设置,审核事件将在提出敏感权限请求时生成。
网络活动
以下网络活动策略设置允许你监视与安全有关的问题,这些问题不一定涵盖在数据或用户活动类别中,但对于网络状态和保护而言却同等重要。
帐户管理。此类别中的策略设置可用于跟踪创建、删除或修改用户或计算机帐户、安全组或分配组的尝试。监视这些活动补充了你在用户活动和数据活动部分中选择的监视策略。
帐户登录\审核 Kerberos 身份验证服务和帐户登录\审核 Kerberos 服务票证操作。“帐户登录”类别中的审核策略设置监视与使用域帐户凭据相关的活动。这些策略设置补充了“登录/注销”****类别中的策略设置。“审核 Kerberos 身份验证服务”策略设置允许你监视 Kerberos 服务的状态以及对该服务的潜在威胁。“审核 Kerberos 服务票证操作”****策略设置允许你监视 Kerberos 服务票证的使用情况。
注意
“帐户登录”策略设置仅应用于特定域帐户活动(不考虑所访问的计算机),而“登录/注销”****策略设置则应用于托管接受访问的资源的计算机。
帐户登录\审核其他帐户登录事件。此策略设置可用于跟踪许多不同的网络活动,包括尝试创建远程桌面连接、有线网络连接和无线连接。
DS 访问。此类别中的策略设置允许你监视 AD DS 角色服务,可提供帐户数据、验证登录、维护网络访问权限以及提供其他对于安全和正确运行网络至关重要的服务。因此,审核访问和修改域控制器配置的权限可帮助组织维护安全可靠的网络。此外,在域控制器之间复制数据是 AD DS 执行的关键任务之一。
登录/注销\审核 IPsec 扩展模式、登录/注销\审核 IPsec 主模式和登录/注销\审核 IPsec 快速模式。许多网络支持大量外部用户,包括远程员工和合作伙伴。由于这些用户不在组织的网络边界内,所以 IPsec 常用于帮助保护 Internet 通信,方法是启用网络级别的对等身份验证、数据源身份验证、数据完整性、数据保密性(加密)和对重播攻击的防御。你可以使用这些设置确保 IPsec 服务正常运行。
登录/注销\审核网络策略服务器。使用 RADIUS (IAS) 和网络访问保护 (NAP) 设置和维护外部用户的安全要求的组织可使用此策略设置监视这些策略的效率以及确定是否有人尝试绕过这些保护。
策略更改。这些策略设置和事件允许你跟踪本地计算机或网络上的重要安全策略的更改。由于策略通常是由管理员为了保护网络资源而建立,所以对这些策略的任何更改或者更改尝试都是网络安全管理的重要方面。
策略更改\审核审核策略更改。此策略设置允许你监视审核策略的更改。如果恶意用户获取域管理员凭据,他们可以暂时禁用基本安全审核策略设置,这样他们在网络上的其他活动将不会经过检测。
策略更改\审核筛选平台策略更改。此策略设置可用于监视各种对组织 IPsec 策略的更改。
策略更改\审核 MPSSVC 规则级别的策略更改。此策略设置确定操作系统是否在 Microsoft Protection Service (MPSSVC.exe)(由 Windows 防火墙使用)策略规则更改时生成审核事件。对防火墙规则的更改对于理解计算机的安全状态和它防御网络攻击的程度至关重要。
确认操作系统版本兼容性
并非所有版本的 Windows 都支持高级审核策略设置或使用组策略应用和管理这些设置。有关详细信息,请参阅哪些 Windows 版本支持高级审核策略配置。
本地策略\审核策略下的审核策略设置与安全设置\高级审核策略配置下的审核策略设置重叠。但是,高级审核策略类别和子类别使你能够将审核精力集中在最关键的活动上,同时减少对组织不太重要的审核数据量。
例如,本地策略\审核策略包含一项名为审核帐户登录事件的设置。配置此设置后,它会生成至少 10 种审核事件。
相较而言,安全设置\高级审核策略配置下的帐户登录类别提供以下高级设置以支持你重点关注审核:
凭据验证
Kerberos 身份验证服务
Kerberos 服务票证操作
其他帐户登录事件
这些设置允许你对生成事件数据的活动或事件执行更严格的控制。某些活动和事件对组织的重要性更大,因此尽可能缩小安全审核策略的定义范围。
成功、失败或二者兼有
无论你在计划中包括了哪些事件设置,还必须确定是否是在活动失败、成功还是成功和失败兼有时记录事件。这是一个重要的问题,答案将根据事件的关键性和有关事件量的决策含义而定。
例如,在合法用户经常访问的文件服务器上,你可能有意记录仅在尝试访问数据失败时发生的事件,因为这可能证明出现了未经授权的用户或恶意用户。并且在此实例中,记录访问服务器的成功尝试将快速使用良性事件填充事件日志。
另一方面,如果文件共享具有极其敏感且有价值的信息(例如商业机密),你可能需要记录每次访问尝试(无论是否成功),以便获取每个访问资源的用户的审核跟踪。
规划安全审核监视和管理
网络可以包含数以百计的运行关键服务或存储关键数据的服务器,所有这些服务器都要受到监视。网络上的客户端计算机数量可轻易达到几十甚至成千上万台。这可能不会是什么问题,前提是每个管理员的服务器或客户端计算机比率较低。即使负责审核安全和性能问题的管理员要监视的计算机相对较少,你也需要决定管理员如何获取要查看的事件数据。以下是一些获取事件数据的选项。
你是否将在管理员登录以查看事件数据之前在本地计算机上保留此数据?如果是,管理员便需要拥有针对每台客户端计算机或服务器的事件查看器的物理或远程访问权限,并且每台客户端计算机或服务器上的远程访问和防火墙设置都需要配置为启用此访问。此外,你需要决定管理员可以访问每台计算机的频率,并调整审核日志大小,以便在日志达到其最大容量时不会删除关键信息。
你是否将收集事件数据以便从中央控制台查看?如果是,可以使用大量计算机管理产品收集和筛选事件数据,例如 Operations Manager 2007 和 Operations Manager 2012 中的审核收集服务。假定此解决方案支持单个管理员能够比使用本地存储选项时查看更多的数据。但在某些情况下,这会更加难以检测在一台计算机上发生的相关事件的群集。
此外,无论你是选择将审核数据放置在单台计算机上还是选择将其合并在中心位置,你都必须确定日志文件应该有多大以及在日志达到其最大容量时应发生什么。若要配置这些选项,请打开“事件查看器”、展开“Windows 日志”、右键单击“安全”****,然后单击“属性”。你可以配置下列属性:
按需要覆盖事件(最早事件优先)。这是默认选项,而在大多数情况下这是可接受的解决方案。
容量已满时存档日志,不覆盖事件。此选项可在所有日志数据都需要保存时使用,但它也提示你可能未经常查看审核数据。
不要覆盖事件(手动清除日志)。此选项在日志文件达到其最大容量时阻止收集审核数据。为保留旧数据就要舍弃最近的审核事件。仅在你不想失去任何审核数据、不想创建事件日志存档并努力在达到最大日志容量之前查看数据时,使用此选项。
你还可以使用组策略设置配置审核日志大小和其他关键管理选项。你可以在 GPMC 的以下位置中配置事件日志设置:“计算机配置\管理模板\Windows 组件\事件日志服务\安全”。这些选项包括:
最大日志大小(KB)。此策略设置指定日志文件大小上限。本地组策略编辑器和事件查看器中的用户界面允许你输入最大 2 TB 的值。如果此设置未配置,事件日志将拥有 20 兆字节的默认大小上限。
日志访问。此策略设置确定可访问日志文件的用户帐户和授予的使用权限。
保留旧事件。此策略设置控制事件日志在日志文件达到最大容量时的行为。在启用此策略设置并且日志文件达到其最大容量时,新事件不会写入日志进而丢失。在禁用此策略设置并且日志文件达到其最大容量时,新事件将覆盖旧事件。
已满时自动备份日志。此策略设置控制事件日志在日志文件达到其最大容量时的行为,并仅在启用“保留旧事件”策略设置时生效。如果启用这些策略设置,事件日志文件将自动关闭并在容量已满时重命名。进而启动新文件。如果禁用或未配置此策略设置并且启用了“保留旧事件”****策略设置,将舍弃新事件而保留旧事件。
此外,越来越多的组织需要将存档日志文件存储数年时间。你应该咨询组织中制定法律规章的人员以确定是否要将此类指南应用到组织。有关详细信息,请参阅 IT 合规性管理指南。
部署安全审核策略
在生产环境中部署审核策略之前,请务必确定所配置策略设置的效果。
评估审核策略部署的第一步是在实验室中创建测试环境并将其用于模拟你所确定的各种使用方案,从而确认所选择的审核设置配置正确并且生成期望的结果类型。有关设置测试安全审核策略的实验室环境的详细信息,请参阅高级安全审核演练。
但是,除非你能够将网络使用模式模拟得相当逼真,否则实验室设置将无法向你提供有关所选审核策略设置生成的审核数据量和监视审核数据的计划有效性的准确信息。若要提供此类信息,你需要执行一项或多项试点部署。这些试点部署可涉及:
包含关键数据服务器的单个 OU 或在指定位置包含所有台式计算机的 OU。
一组有限的安全审核策略设置,例如“登录/注销”和“帐户登录”****。
有限 OU 和审核策略设置的组合,例如仅位于具有“对象访问”策略设置的帐户 OU 中的目标服务器。
在成功完成一项或多项受限制的部署后,你应确认收集的审核数据是否可以通过管理工具和管理员进行管理。在确认试点部署有效后,你需要确认在生产部署完成之前,你是否拥有必要的工具和员工以将部署扩展为包含其他 OU 和审核策略设置组。