本文涵蓋工作站和伺服器的 Windows 審核策略設定和Microsoft基準和進階建議。 其提供指引,可協助系統管理員根據其組織需求選擇適當的審核策略。
此處顯示的安全性合規性管理員 (SCM) 基準建議,以及協助偵測系統入侵的建議設定,僅供系統管理員使用。 每個組織都必須就其面臨的威脅、可接受的風險承受度,以及應啟用的稽核原則類別或子類別,自行做出本身的決策。 鼓勵沒有深思熟慮的審核策略的系統管理員從此處建議的設定開始,然後在生產環境中實作之前先進行修改和測試。
這些建議適用於企業級電腦,這是 Microsoft 定義為具有一般安全性需求、且需要高階操作功能的電腦。 需要較高安全性需求的實體,應考慮採用更積極的稽核原則。
對於不知是否正受到執著的對手或惡意軟體積極且成功攻擊的一般安全性計算機,建議使用下列基準稽核政策設定。
依操作系統建議的系統稽核政策
本節包含數據表,列出適用於客戶端和伺服器之 Windows作系統 (OS) 的稽核設定建議。
系統審核策略數據表圖例
| 標記法 | 建議 |
|---|---|
| 是的 | 在一般案例中啟用 |
| 不 | 在一般案例中不要啟用 |
| 如果 | 在特定案例中視需要啟用,或在機器上安裝了需要稽核的角色或功能時啟用 |
| 直流 | 在網域控制站上啟用 |
| [空白] | 不推薦 |
這些表格包含 Windows 預設設定、基準配置建議,以及針對您正在執行的作業系統平台的更強的建議。
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 帳戶登入 | |||
| 稽核認證驗證 | No | No |
Yes | No |
Yes | Yes |
| 稽核 Kerberos 驗證服務 | Yes | Yes |
||
| 稽核 Kerberos 服務票證的作業 | Yes | Yes |
||
| 稽核其他帳戶登入事件 | Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 帳戶管理 | |||
| 稽核應用程式群組管理 | |||
| 審核電腦帳戶管理 | Yes | No |
Yes | Yes |
|
| 稽核分發群組管理 | |||
| 稽核其他帳戶管理事件 | Yes | No |
Yes | Yes |
|
| 稽核安全性群組管理 | Yes | No |
Yes | Yes |
|
| 稽核使用者帳戶管理 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 詳細追蹤 | |||
| 稽核 DPAPI 活動 | Yes | Yes |
||
| 建立稽核程序 | Yes | No |
Yes | Yes |
|
| 稽核程序終止 | |||
| 稽核 RPC 事件 |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| DS 存取 | |||
| 審核詳細的目錄服務複製 | |||
| 稽核目錄服務存取 | |||
| 稽核目錄服務變更 | |||
| 稽核目錄服務複寫 |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 登入和登出 | |||
| 稽核帳戶鎖定 | Yes | No |
Yes | No |
|
| 稽核使用者/裝置宣告 | |||
| 稽核 IPsec 延伸模式 | |||
| 稽核 IPsec 主要模式 | IF | IF |
||
| 稽核 IPsec 快速模式 | |||
| 稽核登出 | Yes | No |
Yes | No |
Yes | No |
| 稽核登入 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 審核網路策略伺服器 | Yes | Yes |
||
| 稽核其他登入/登出事件 | |||
| 稽核特殊登入 | Yes | No |
Yes | No |
Yes | Yes |
1 從 Windows 10 1809 版開始,根據預設,「成功」和「失敗」都會啟用稽核登入。 在舊版的 Windows 中,依預設只會啟用「成功」。
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 物件存取 | |||
| 已產生稽核應用程式 | |||
| 稽核認證服務 | |||
| 稽核詳細檔案共用 | |||
| 稽核檔案共享 | |||
| 稽核檔案系統 | |||
| 稽核篩選平台連線 | |||
| 審核篩選平台封包丟棄 | |||
| 稽核處理操作 | |||
| 稽核核心物件 | |||
| 稽核其他物件存取事件 | |||
| 稽核登記 | |||
| 審核可移除儲存裝置 | |||
| 稽核 SAM | |||
| 稽核中央存取政策測試階段 |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 原則變更 | |||
| 稽核稽核原則變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核驗證原則變更 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核授權原則變更 | |||
| 稽核篩選平台原則變更 | |||
| 稽核 MPSSVC 規則層級原則變更 | Yes |
||
| 稽核其他原則變更事件 |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 權限使用 | |||
| 稽核非機密特殊權限使用情況 | |||
| 稽核其他特殊權限使用事件 | |||
| 稽核機密特殊權限使用情況 |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 系統 | |||
| 稽核 IPsec 驅動程式 | Yes | Yes |
Yes | Yes |
|
| 稽核其他系統事件 | Yes | Yes |
||
| 稽核安全性狀態變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 審計安全系統擴展 | Yes | Yes |
Yes | Yes |
|
| 稽核系統整合性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值Success | Failure |
基準建議Success | Failure |
更強烈的建議Success | Failure |
|---|---|---|---|
| 全域物件存取稽核 | |||
| 稽核 IPsec 驅動程式 | |||
| 稽核其他系統事件 | |||
| 稽核安全性狀態變更 | |||
| 審計安全系統擴展 | |||
| 稽核系統整合性 |
在工作站和伺服器上設定審核策略
有效的事件記錄檔管理需要監視工作站和伺服器。 專注於伺服器或網域控制站(DC)是常見的疏忽,因為惡意活動的初始跡象通常會出現在工作站上。 藉由在監控策略中納入工作站,您可以獲得關鍵的早期受損指標。
在生產環境中部署任何審核策略之前,系統管理員應該仔細檢閱、測試及驗證原則,以確保其符合組織安全性和作業需求。
要監視的事件
理想情況下,產生安全性警示的事件識別碼應包含下列屬性:
發生時很可能表示有未經授權的活動
假陽性數量低
發生時應會產生調查/鑑識回應
應監視和發出警示的事件有兩種:
發生某些事件時,該事件明顯顯示未經授權或可疑活動的跡象。
超過預期和已接受基準的事件累積。
第一個事件的範例如下:
如果禁止網域管理員登錄非 DC 的電腦,只要有網域管理員成員登入終端使用者工作站,就應該產生警報並進行調查。 這種類型的警示很容易使用稽核特殊登入事件 4964 產生(特殊群組已指派給新的登入)。 單一實例警示的其他範例包括:
如果 伺服器 A 不應該連線到 伺服器 B,請在彼此連線時發出警示。
如果標準用戶帳戶意外新增至特殊許可權或敏感性安全組,請發出警示。
如果 工廠位置 A 中的員工永遠不會在夜間工作,當使用者在夜間登入時發出警示。
如果 DC 上安裝未經授權的服務,請發出警示。
調查一般終端使用者是否嘗試直接登入 SQL Server,他們沒有明確的理由這樣做。
如果您的網域管理員群組中沒有成員,而有人將自己添加到此群組中,請立即檢查。
第二個事件的範例如下:
大量失敗的登入嘗試可能會發出密碼猜測攻擊的訊號。 為了偵測到此情況,組織應該先判斷其環境中失敗的正常登入率。 然後,當超過該基準時,可以觸發警示。
如需監視入侵跡象時應包含之事件的完整清單,請參閱 附錄 L:要監視的事件。
要監視的 Active Directory 對象和屬性
以下說明您應監視哪些帳戶、群組和屬性,以利偵測嘗試入侵 Active Directory Domain Services 安裝的行為。
停用或移除防毒和反惡意程式碼軟體的系統(手動停用時自動重新啟動保護)
系統管理員帳戶進行未經授權的變更
使用特殊權限帳戶執行的活動(當可疑活動完成或分配的時間過期時,自動移除帳戶)
AD DS 中的特殊權限帳戶和 VIP 帳戶。 監視 [帳戶] 索引標籤上屬性的變更,例如:
中國
名稱
sAMAccountName (使用者帳戶名稱)
用戶主名稱
用戶帳戶控制
除了監視帳戶以外,請將可修改帳戶的人員限定為盡可能少的一組系統管理使用者。 請參閱附錄 L:要監視的事件,以取得要監視的建議事件清單、其嚴重性評等,以及事件訊息摘要。
您也可以依工作負載分類將伺服器分成群組,以快速識別最須嚴密監控並嚴格設定的伺服器
變更下列 AD DS 群組的屬性和成員資格:
管理員
網域管理員
企業管理員
架構管理員
已停用特殊權限帳戶 (例如 Active Directory 和成員系統中的內建 Administrator 帳戶),以便啟用這些帳戶。
管理帳戶以記錄所有對帳戶的寫入操作
內建安全性設定精靈設定服務、登錄、稽核和防火牆設定,以減少伺服器的受攻擊面。 如果您在系統管理主機策略中實作跳躍伺服器,請使用此精靈。
監視 AD DS 的其他資訊
如需關於監視 AD DS 的其他資訊,請檢閱下列連結:
建議的安全性事件 ID 緊急程度
所有事件識別碼建議都附有嚴重性評等,如下所示:
| 評級 | 說明 |
|---|---|
| 高 | 具高度嚴重性評級的事件標識碼應立即發出警報並進行調查。 |
| 中度 | 具有中等嚴重性評等的事件標識符可能表示惡意活動,但必須伴隨一些其他異常。 例如,可能包含在特定時間週期中發生的異常數位、非預期的發生次數,或通常不會記錄事件的計算機上發生次數。 中等關鍵性事件也可能收集為指標,並隨時間進行比較。 |
| 低 | 且具有低嚴重性事件的事件標識碼不應引起注意或造成警示,除非與中或高嚴重性事件相互關聯。 |
這些建議旨在為系統管理員提供基準指南。 在生產環境中實作之前,必須先徹底檢閱所有建議。