审核策略建议

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 10、Windows 8.1、Windows 7

本部分介绍Windows默认审核策略设置、基线建议的审核策略设置,以及 Microsoft 针对工作站和服务器产品的更激进的建议。

此处显示的 SCM 基线建议以及建议用于帮助检测泄露的设置,仅用于管理员的起始基线指南。 每个组织必须就他们面临的威胁、可接受的风险容忍度以及应启用的审核策略类别或子类别做出自己的决策。 有关威胁的详细信息,请参阅 威胁和对策指南。 建议在没有深思熟虑的审核策略的情况下,管理员从此处建议的设置开始,然后在生产环境中实施之前进行修改和测试。

这些建议适用于企业级计算机,Microsoft 将其定义为具有平均安全要求的计算机,并且需要高级别的操作功能。 需要更高安全要求的实体应考虑更积极的审核策略。

注意

Microsoft Windows默认值和基线建议是从 Microsoft 安全合规性管理器工具获取的。

对于已知处于活动、成功的攻击者或恶意软件攻击的正常安全计算机,建议使用以下基线审核策略设置。

本部分包含列出适用于以下操作系统的审核设置建议的表:

  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 2008 Server
  • Windows 10
  • Windows 8.1
  • Windows 7

这些表包含Windows默认设置、基线建议以及针对这些操作系统的更强建议。

审核策略表图例

Notation 建议
YES 在一般情况下启用
在一般情况下 不要 启用
IF 如果特定方案需要,或者需要在计算机上安装审核的角色或功能,请启用
DC 在域控制器上启用
[空白] 无建议

Windows 10、Windows 8 和 Windows 7 审核设置 推荐

审核策略

审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户登录
审核凭据验证 No \ | No Yes \ | No Yes \ | Yes
审核 Kerberos 身份验证服务 Yes \ | Yes
审核 Kerberos 服务票证操作 Yes \ | Yes
审核其他帐户登录事件 Yes \ | Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户管理
审核应用程序组管理
审核计算机帐户管理 Yes \| No Yes \| Yes
审核分发组管理
审核其他帐户管理事件 Yes \| No Yes \| Yes
审核安全组管理 Yes \| No Yes \| Yes
审核用户帐户管理 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

详细跟踪
审核 DPAPI 活动 Yes \| Yes
审核进程创建 Yes \| No Yes \| Yes
审核进程终止
审核 RPC 事件
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

DS 访问
审核详细的目录服务复制
审核目录服务访问
审核目录服务更改
审核目录服务复制
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

登录和注销
审核帐户锁定 Yes \| No Yes \| No
审核用户/设备声明
审核 IPsec 扩展模式
审核 IPsec 主模式 IF \| IF
审核 IPsec 快速模式
审核注销 Yes \| No Yes \| No Yes \| No
审核登录 1 Yes \| Yes Yes \| Yes Yes \| Yes
审核网络策略服务器 Yes \| Yes
审核其他登录/注销事件
审核特殊登录 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

对象访问
审核生成的应用程序
审核证书服务
审核详细的文件共享
审核文件共享
审核文件系统
审核筛选平台连接
审核筛选平台数据包丢弃
审核句柄操作
审核内核对象
审核其他对象访问事件
审核注册表
审核可移动存储
审核 SAM
审核中心访问策略暂存
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

策略更改
审核审核策略更改 Yes \| No Yes \| Yes Yes \| Yes
审核身份验证策略更改 Yes \| No Yes \| No Yes \| Yes
审核授权策略更改
审核筛选平台策略更改
审核 MPSSVC 规则级别策略更改
审核其他策略更改事件
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

特权使用
审核非敏感权限使用
审核其他权限使用事件
审核敏感权限使用
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

系统
审核 IPsec 驱动程序 Yes \| Yes Yes \| Yes
审核其他系统事件 Yes \| Yes
审核安全状态更改 Yes \| No Yes \| Yes Yes \| Yes
审核安全系统扩展 Yes \| Yes Yes \| Yes
审核系统完整性 Yes \| Yes Yes \| Yes Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

全局对象访问审核
审核 IPsec 驱动程序
审核其他系统事件
审核安全状态更改
审核安全系统扩展
审核系统完整性

1 从Windows 10版本 1809 开始,默认情况下,成功和失败都启用审核登录。 在以前版本的Windows中,默认情况下仅启用 Success。

Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 和 Windows Server 2008 审核设置 推荐

审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户登录
审核凭据验证 No \| No Yes \| Yes Yes \| Yes
审核 Kerberos 身份验证服务 Yes \| Yes
审核 Kerberos 服务票证操作 Yes \| Yes
审核其他帐户登录事件 Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户管理
审核应用程序组管理
审核计算机帐户管理 Yes \| DC Yes \| Yes
审核分发组管理
审核其他帐户管理事件 Yes \| Yes Yes \| Yes
审核安全组管理 Yes \| Yes Yes \| Yes
审核用户帐户管理 Yes \| No Yes \| Yes Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

详细跟踪
审核 DPAPI 活动 Yes \| Yes
审核进程创建 Yes \| No Yes \| Yes
审核进程终止
审核 RPC 事件
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

DS 访问
审核详细的目录服务复制
审核目录服务访问 DC \| DC DC \| DC
审核目录服务更改 DC \| DC DC \| DC
审核目录服务复制
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

登录和注销
审核帐户锁定 Yes \| No Yes \| No
审核用户/设备声明
审核 IPsec 扩展模式
审核 IPsec 主模式 IF \| IF
审核 IPsec 快速模式
审核注销 Yes \| No Yes \| No Yes \| No
审核登录 Yes \| Yes Yes \| Yes Yes \| Yes
审核网络策略服务器 Yes \| Yes
审核其他登录/注销事件 Yes \| Yes
审核特殊登录 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

对象访问
审核生成的应用程序
审核证书服务
审核详细的文件共享
审核文件共享
审核文件系统
审核筛选平台连接
审核筛选平台数据包丢弃
审核句柄操作
审核内核对象
审核其他对象访问事件
审核注册表
审核可移动存储
审核 SAM
审核中心访问策略暂存
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

策略更改
审核审核策略更改 Yes \| No Yes \| Yes Yes \| Yes
审核身份验证策略更改 Yes \| No Yes \| No Yes \| Yes
审核授权策略更改
审核筛选平台策略更改
审核 MPSSVC 规则级别策略更改
审核其他策略更改事件
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

特权使用
审核非敏感权限使用
审核其他权限使用事件
审核敏感权限使用
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

系统
审核 IPsec 驱动程序 Yes \| Yes Yes \| Yes
审核其他系统事件 Yes \| Yes
审核安全状态更改 Yes \| No Yes \| Yes Yes \| Yes
审核安全系统扩展 Yes \| Yes Yes \| Yes
审核系统完整性 Yes \| Yes Yes \| Yes Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

全局对象访问审核
审核 IPsec 驱动程序
审核其他系统事件
审核安全状态更改
审核安全系统扩展
审核系统完整性

在工作站和服务器上设置审核策略

所有事件日志管理计划都应监视工作站和服务器。 常见的错误是仅监视服务器或域控制器。 由于恶意黑客攻击通常发生在工作站上,因此不监视工作站会忽略信息的最佳和最早来源。

在生产环境中实施之前,管理员应仔细检查和测试任何审核策略。

要监视的事件

生成安全警报的完美事件 ID 应包含以下属性:

  • 出现的可能性高表示未经授权的活动

  • 误报较少

  • 出现应导致调查/取证响应

应监视和警报两种类型的事件:

  1. 即使发生单个事件也表示未经授权的活动

  2. 高于预期和接受的基线的事件的累积

第一个事件的一个示例是:

如果禁止域管理员 (DAS) 登录到非域控制器的计算机,则登录到最终用户工作站的 DA 成员的单个匹配项应生成警报并受到调查。 使用审核特殊登录事件 4964 (特殊组已分配给新的登录) ,可以轻松生成此类警报。 单个实例警报的其他示例包括:

  • 如果服务器 A 绝不应连接到服务器 B,则当服务器 A 相互连接时发出警报。

  • 如果意外将正常的最终用户帐户添加到敏感安全组,则发出警报。

  • 如果工厂位置 A 的员工在夜间从未工作过,则当用户在午夜登录时发出警报。

  • 在域控制器上安装未经授权的服务时发出警报。

  • 调查常规最终用户是否尝试直接登录到其没有明确原因的SQL Server。

  • 如果你的 DA 组中没有成员,并且有人会在那里添加自己,请立即检查它。

第二个事件的一个示例是:

失败的登录次数可能表示密码猜测攻击。 对于企业为异常数量的失败登录提供警报,他们必须先了解在恶意安全事件之前环境中失败登录的正常级别。

有关监视泄露迹象时应包括的事件的综合列表,请参阅 附录 L:要监视的事件

要监视的 Active Directory 对象和属性

以下是应监视的帐户、组和属性,以帮助你检测尝试入侵Active Directory 域服务安装。

  • 禁用或删除防病毒和反恶意软件的系统 (在手动禁用) 时自动重启保护

  • 未经授权的更改的管理员帐户

  • 当可疑活动完成或分配的时间已过期时,使用特权帐户执行的活动 (自动删除帐户)

  • AD DS 中的特权帐户和 VIP 帐户。 监视更改,尤其是帐户选项卡上的属性更改 (,例如 cn、name、sAMAccountName、userPrincipalName 或 userAccountControl) 。 除了监视帐户之外,还可以限制谁可以尽可能小地将帐户修改为一组管理用户。

请参阅 附录 L:要监视 的推荐事件列表的事件、其严重性分级和事件消息摘要。

  • 按工作负荷分类对服务器进行分组,这样就可以快速识别应受到最密切监视和最严格配置的服务器

  • 更改以下 AD DS 组的属性和成员身份:Enterprise管理员 (EA) 、域管理员 (DA) 、管理员 (BA) ,以及架构管理员 (SA)

  • 禁用的特权帐户 (,例如 Active Directory 中的内置管理员帐户和成员系统) 启用帐户

  • 管理帐户,用于记录对帐户的所有写入

  • 内置安全配置向导,用于配置服务、注册表、审核和防火墙设置,以减少服务器的攻击面。 如果作为管理主机策略的一部分实现跳转服务器,请使用此向导。

监视Active Directory 域服务的其他信息

有关监视 AD DS 的其他信息,请查看以下链接:

安全事件 ID 建议关键性常规列表

所有事件 ID 建议均附带关键性分级,如下所示:

高: 具有高关键性分级的事件 ID 应始终且立即发出警报并进行调查。

中: 具有中等严重性分级的事件 ID 可能表示恶意活动,但它必须伴随着一些其他异常 (,例如,在特定时间段内发生的异常数、意外事件或通常不会记录事件的计算机上的异常次数。) 。 中等关键性事件也可能作为指标收集,并随时间推移进行比较。

低: 具有低严重性事件的事件 ID 不应引起注意或引起警报,除非与中等或高严重性事件相关。

这些建议旨在为管理员提供基线指南。 在生产环境中实施之前,应全面审查所有建议。

请参阅 附录 L:要监视 的推荐事件列表的事件、其严重性分级和事件消息摘要。