审核策略建议
本部分介绍 Windows 默认审核策略设置、基线建议的审核策略设置,以及 Microsoft 针对工作站和服务器产品的更积极的建议。
此处显示的 SCM 基线建议以及我们建议用于帮助检测泄露的设置,仅作为管理员的初始基线参考。 每个组织必须就面临的威胁、可接受的风险容忍度以及应该事先的审核策略类别或子类别做出自己的决定。 若要进一步了解威胁的相关信息,请参阅威胁和对策指南。 如果管理员尚未制定好完善的审核策略,建议从此处建议的设置入手,然后先进行修改和测试,再在生产环境中实施策略。
这些建议适用于企业级计算机,Microsoft 将其定义为具有中等安全要求且需要高级别操作功能的计算机。 需要更高安全要求的实体应考虑采用更积极的审核策略。
注意
Microsoft Windows 默认值和基线建议来自 Microsoft 安全合规性管理器工具。
对于未遭受已确定的攻击者或恶意软件的有效、成功的攻击的常规安全计算机,建议采用以下基线审核策略设置。
按操作系统提出的建议审核策略
本部分包含的表列出了适用于以下操作系统的审核设置建议:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows 2008 Server
- Windows 10
- Windows 8.1
- Windows 7
这些表包含 Windows 默认设置、基线建议以及针对这些操作系统的更强建议。
审核策略表图例
| 表示法 | 建议 |
|---|---|
| 是 | 在常规方案中启用 |
| 否 | 在常规方案中不启用 |
| 如果 | 如果特定方案需要,或者在计算机上安装了需要审核的角色或功能,则启用 |
| DC | 在域控制器上启用 |
| [空] | 无建议 |
Windows 10、Windows 8 和 Windows 7 审核设置建议
审核策略
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 帐户登录 | |||
| 审核凭据验证 | No | No |
Yes | No |
Yes | Yes |
| 审核 Kerberos 身份验证服务 | Yes | Yes |
||
| 审核 Kerberos 服务票证操作 | Yes | Yes |
||
| 审核其他帐户登录事件 | Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 帐户管理 | |||
| 审核应用程序组管理 | |||
| 审核计算机帐户管理 | Yes | No |
Yes | Yes |
|
| 审核分发组管理 | |||
| 审核其他帐户管理事件 | Yes | No |
Yes | Yes |
|
| 审核安全组管理 | Yes | No |
Yes | Yes |
|
| 审核用户帐户管理 | Yes | No |
Yes | No |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 详细跟踪 | |||
| 审核 DPAPI 活动 | Yes | Yes |
||
| 审核进程创建 | Yes | No |
Yes | Yes |
|
| 审核进程终止 | |||
| 审核 RPC 事件 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| DS 访问 | |||
| 审核详细的目录服务复制 | |||
| 审核目录服务访问 | |||
| 审核目录服务更改 | |||
| 审核目录服务复制 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 登录和注销 | |||
| 审核帐户锁定 | Yes | No |
Yes | No |
|
| 审核用户/设备声明 | |||
| 审核 IPsec 扩展模式 | |||
| 审核 IPsec 主模式 | IF | IF |
||
| 审核 IPsec 快速模式 | |||
| 审核注销 | Yes | No |
Yes | No |
Yes | No |
| 审核登录 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核网络策略服务器 | Yes | Yes |
||
| 审核其他登录/注销事件 | |||
| 审核特殊登录 | Yes | No |
Yes | No |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 对象访问 | |||
| 审核生成的应用程序 | |||
| 审核证书服务 | |||
| 审核详细文件共享 | |||
| 审核文件共享 | |||
| 审核文件系统 | |||
| 审核筛选平台连接 | |||
| 审核筛选平台丢弃包 | |||
| 审核句柄操作 | |||
| 审核内核对象 | |||
| 审核其他对象访问事件 | |||
| 审核注册表 | |||
| 审核可移动存储 | |||
| 审核 SAM | |||
| 审核中心访问策略暂存 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 策略更改 | |||
| 审核审核策略更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核身份验证策略更改 | Yes | No |
Yes | No |
Yes | Yes |
| 审核授权策略更改 | |||
| 审核筛选平台策略更改 | |||
| 审核 MPSSVC 规则级别策略更改 | Yes |
||
| 审核其他策略更改事件 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 特权使用 | |||
| 审核非敏感权限使用 | |||
| 审核其他权限使用事件 | |||
| 审核敏感权限使用 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 系统 | |||
| 审核 IPsec 驱动程序 | Yes | Yes |
Yes | Yes |
|
| 审核其他系统事件 | Yes | Yes |
||
| 审核安全状态更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核安全系统扩展 | Yes | Yes |
Yes | Yes |
|
| 审核系统完整性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 全局对象访问审核 | |||
| 审核 IPsec 驱动程序 | |||
| 审核其他系统事件 | |||
| 审核安全状态更改 | |||
| 审核安全系统扩展 | |||
| 审核系统完整性 |
1 从 Windows 10 版本 1809 开始,默认情况下会启用“成功”和“失败”的审核登录。 在以前版本的 Windows 中,默认情况下仅启用“成功”。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 以及 Windows Server 2008 审核设置建议
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 帐户登录 | |||
| 审核凭据验证 | No | No |
Yes | Yes |
Yes | Yes |
| 审核 Kerberos 身份验证服务 | Yes | Yes |
||
| 审核 Kerberos 服务票证操作 | Yes | Yes |
||
| 审核其他帐户登录事件 | Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 帐户管理 | |||
| 审核应用程序组管理 | |||
| 审核计算机帐户管理 | Yes | DC |
Yes | Yes |
|
| 审核分发组管理 | |||
| 审核其他帐户管理事件 | Yes | Yes |
Yes | Yes |
|
| 审核安全组管理 | Yes | Yes |
Yes | Yes |
|
| 审核用户帐户管理 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 详细跟踪 | |||
| 审核 DPAPI 活动 | Yes | Yes |
||
| 审核进程创建 | Yes | No |
Yes | Yes |
|
| 审核进程终止 | |||
| 审核 RPC 事件 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| DS 访问 | |||
| 审核详细的目录服务复制 | |||
| 审核目录服务访问 | DC | DC |
DC | DC |
|
| 审核目录服务更改 | DC | DC |
DC | DC |
|
| 审核目录服务复制 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 登录和注销 | |||
| 审核帐户锁定 | Yes | No |
Yes | No |
|
| 审核用户/设备声明 | |||
| 审核 IPsec 扩展模式 | |||
| 审核 IPsec 主模式 | IF | IF |
||
| 审核 IPsec 快速模式 | |||
| 审核注销 | Yes | No |
Yes | No |
Yes | No |
| 审核登录 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核网络策略服务器 | Yes | Yes |
||
| 审核其他登录/注销事件 | Yes | Yes |
||
| 审核特殊登录 | Yes | No |
Yes | No |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 对象访问 | |||
| 审核生成的应用程序 | |||
| 审核证书服务 | |||
| 审核详细文件共享 | |||
| 审核文件共享 | |||
| 审核文件系统 | |||
| 审核筛选平台连接 | |||
| 审核筛选平台丢弃包 | |||
| 审核句柄操作 | |||
| 审核内核对象 | |||
| 审核其他对象访问事件 | |||
| 审核注册表 | |||
| 审核可移动存储 | |||
| 审核 SAM | |||
| 审核中心访问策略暂存 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 策略更改 | |||
| 审核审核策略更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核身份验证策略更改 | Yes | No |
Yes | No |
Yes | Yes |
| 审核授权策略更改 | |||
| 审核筛选平台策略更改 | |||
| 审核 MPSSVC 规则级别策略更改 | Yes |
||
| 审核其他策略更改事件 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 特权使用 | |||
| 审核非敏感权限使用 | |||
| 审核其他权限使用事件 | |||
| 审核敏感权限使用 |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 系统 | |||
| 审核 IPsec 驱动程序 | Yes | Yes |
Yes | Yes |
|
| 审核其他系统事件 | Yes | Yes |
||
| 审核安全状态更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核安全系统扩展 | Yes | Yes |
Yes | Yes |
|
| 审核系统完整性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值
|
基线建议
|
更强的建议
|
|---|---|---|---|
| 全局对象访问审核 | |||
| 审核 IPsec 驱动程序 | |||
| 审核其他系统事件 | |||
| 审核安全状态更改 | |||
| 审核安全系统扩展 | |||
| 审核系统完整性 |
在工作站和服务器上设置审核策略
所有事件日志管理计划都应监视工作站和服务器。 一个常见错误是仅监视服务器或域控制器。 由于恶意的黑客攻击最初通常发生在工作站上,因此不监视工作站会忽略最佳且最及时的信息来源。
管理员应先仔细审查和测试审核策略,然后再在生产环境中实施该策略。
要监视的事件
要生成安全警报,一个理想的事件 ID 应包含以下属性:
发生的事件很可能指示存在未经授权的活动
误报较少
发生的事件应触发调查/取证响应
应监视两种类型的事件并发出警报:
即使发生一次也指示未经授权的活动的事件
高于预期和接受的基线的事件的累积
第一个事件的一个示例是:
如果禁止域管理员 (DA) 登录到不是域控制器的计算机,那么在发生一次 DA 成员登录到最终用户的工作中的情况时,应生成警报并予以调查。 通过使用审核特殊登录事件 4964(已分配给新的登录的特殊组)可以轻松生成此类警报。 仅出现一次事件也应发出警报的情况的其他示例包括:
如果服务器 A 绝不应连接到服务器 B,则在它们相互连接时发出警报。
如果意外将普通的最终用户帐户添加到敏感安全组,则发出警报。
如果工厂位置 A 的员工从来不上夜班,则在用户半夜登录时发出警报。
如果在域控制器上安装未经授权的服务,则发出警报。
调查普通最终用户是否在没有明确目的的情况下尝试直接登录到 SQL Server。
如果你的 DA 组中没有成员,而有人将自己添加到该组中,请立即对此进行检查。
第二个事件的一个示例是:
异常次数的失败登录也许表明存在密码猜测攻击。 如果某一企业希望针对异常次数的失败登录提供警报,那么必须先了解发生恶意安全事件之前,企业内正常的失败登录数量。
若要查看在泄露迹象监视方面应该考虑到的全面事件列表,请参阅附录 L:应监视的事件。
要监视的 Active Directory 对象和属性
应监视以下帐户、组和属性,以帮助检测尝试入侵 Active Directory 域服务安装的行为。
针对禁用或删除防病毒和反恶意软件的系统(手动禁用保护时自动重启保护)
未经授权的更改的管理员帐户
使用特权帐户执行的活动(在可疑活动完成时或分配的时间到期时自动删除帐户)
AD DS 中的特权帐户和 VIP 帐户。 在“帐户”选项卡上监视更改,尤其是对属性的更改(例如 cn、name、sAMAccountName、userPrincipalName 或 userAccountControl)。 除了监视帐户外,还请将可以修改帐户的人员限制为尽可能少的一组管理用户。
请参阅附录 L:应监视的事件,了解建议监视的事件列表、其严重性分级和事件消息摘要。
按工作负载分类对服务器进行分组,可以快速识别应受到最密切监视且配置最严格的服务器
对以下 AD DS 组的属性和成员身份的更改:企业管理员 (EA)、域管理员 (DA)、管理员 (BA) 和架构管理员 (SA)
禁用特权帐户(例如 Active Directory 和成员系统中的内置 Administrator 帐户)以启用帐户
用于记录对帐户的所有写入操作的管理帐户
内置安全配置向导,用于配置服务、注册表、审核和防火墙设置,从而减少服务器的攻击面。 如果在管理主机策略中实现跳转服务器,请使用此向导。
有关监视 Active Directory 域服务的其他信息
有关监视 AD DS 的其他信息,请查看以下链接:
全局对象访问审核是非常奇妙的 - 介绍如何配置和使用已添加到 Windows 7 和 Windows Server 2008 R2 的高级审核策略配置。
Windows 2008 中的审核更改简介 - 介绍在 Windows 2008 中进行的审核更改。
Vista 和 2008 中有趣的审核技巧 - 介绍 Windows Vista 和 Windows Server 2008 中有趣的审核新功能,这些功能可用于排查问题或了解环境中发生的情况。
Windows Server 2008 和 Windows Vista 中有关审核的一站式商店 - 包含 Windows Server 2008 和 Windows Vista 中包含的审核功能和信息的汇编。
AD DS 审核分步指南 - 介绍 Windows Server 2008 中新的 Active Directory 域服务 (AD DS) 审核功能。 其中还介绍实现此新功能的过程。
安全事件 ID 建议严重性的常规列表
所有事件 ID 建议都带有严重性分级,如下所示:
高:应始终即时对具有高严重性分级的事件 ID 发出警报并进行调查。
中等:具有中等严重性分级的事件 ID 可能指示的是恶意活动,但它必须伴有一些其他异常(例如在特定时间段内发生的异常数量、意外的发生情况或者在意外的计算机上出现,从而产生日志记录)。 中等严重性事件也可以作为指标收集,并能对不同时间的此类事件进行比对。
低:低严重性事件的事件 ID 不应引起关注或产生警报,除非其与中等严重性或高严重性的事件相关。
这些建议旨在为管理员提供基线指南。 应该先全面审查所有建议,再在生产环境中进行实施。
请参阅附录 L:应监视的事件,了解建议监视的事件列表、其严重性分级和事件消息摘要。