稽核原則建議
適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 10、Windows 8.1、Windows 7
本節說明Windows預設稽核原則設定、基準建議的稽核原則設定,以及 Microsoft 針對工作站和伺服器產品提供更積極的建議。
此處顯示的 SCM 基準建議,以及我們建議用來協助偵測入侵的設定,僅做為系統管理員的起始基準指南。 每個組織都必須自行決定他們所面臨的威脅、可接受的風險承受度,以及應啟用哪些稽核原則類別或子類別。 如需威脅的詳細資訊,請參閱 威脅和因應措施指南。 建議您先從此處建議的設定開始,然後在實際執行環境中實作之前,先修改和測試系統管理員,而不需要經過仔細考慮的稽核原則。
建議適用于企業級電腦,Microsoft 會將其定義為具有平均安全性需求且需要高階操作功能的電腦。 需要較高安全性需求的實體應該考慮更積極的稽核原則。
注意
Microsoft Windows預設值和基準建議取自Microsoft 安全性合規性管理員工具。
建議針對已知處於作用中、成功攻擊的正常安全性電腦,建議使用下列基準稽核原則設定。
依作業系統建議的稽核原則
本節包含列出適用于下列作業系統的稽核設定建議的資料表:
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
這些資料表包含Windows預設設定、基準建議,以及這些作業系統的更強建議。
稽核原則資料表圖例
| 表示法 | 建議 |
|---|---|
| YES | 在一般案例中啟用 |
| 否 | 一般情況下 請勿 啟用 |
| IF | 針對特定案例,或需要稽核的角色或功能安裝在機器上,請啟用 |
| DC | 在網域控制站上啟用 |
| [空白] | 不推薦 |
Windows 10、Windows 8和 Windows 7 稽核設定 建議
稽核原則
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 帳戶登入 | |||
| 稽核認證驗證 | No \ | No |
Yes \ | No |
Yes \ | Yes |
| Kerbero 驗證的新功能 | Yes \ | Yes |
||
| 稽核 Kerberos 服務票證作業 | Yes \ | Yes |
||
| 稽核其他帳戶登入事件 | Yes \ | Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 帳戶管理 | |||
| 稽核應用程式群組管理 | |||
| 稽核電腦帳戶管理 | Yes \| No |
Yes \| Yes |
|
| 稽核通訊群組管理 | |||
| 稽核其他帳戶管理事件 | Yes \| No |
Yes \| Yes |
|
| 稽核安全性群組管理 | Yes \| No |
Yes \| Yes |
|
| 稽核使用者帳戶管理 | Yes \| No |
Yes \| No |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 詳細追蹤 | |||
| 稽核 DPAPI 活動 | Yes \| Yes |
||
| 稽核程序建立 | Yes \| No |
Yes \| Yes |
|
| 稽核程序終止 | |||
| 稽核 RPC 事件 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| DS 存取 | |||
| 稽核詳細目錄服務複寫 | |||
| 稽核目錄服務存取 | |||
| 稽核目錄服務變更 | |||
| 稽核目錄服務複寫 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 登入和登出 | |||
| 稽核帳戶鎖定 | Yes \| No |
Yes \| No |
|
| 稽核使用者/裝置宣告 | |||
| 稽核 IPsec 延伸模式 | |||
| 稽核 IPsec 主要模式 | IF \| IF |
||
| 稽核 IPsec 快速模式 | |||
| 稽核登出 | Yes \| No |
Yes \| No |
Yes \| No |
| 稽核登入 1 | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| 稽核網路原則伺服器 | Yes \| Yes |
||
| 稽核其他登入/登出事件 | |||
| 稽核特殊登入 | Yes \| No |
Yes \| No |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 物件存取 | |||
| 稽核已產生的應用程式 | |||
| 稽核憑證服務 | |||
| 稽核詳細檔案共用 | |||
| 稽核檔案共用 | |||
| 稽核檔案系統 | |||
| 稽核篩選平台連線 | |||
| 稽核篩選平台封包丟棄 | |||
| 稽核控制碼操作 | |||
| 稽核核心物件 | |||
| 稽核其他物件存取事件 | |||
| 稽核登錄 | |||
| 稽核抽取式存放裝置 | |||
| 稽核 SAM | |||
| 稽核中央存取原則階段 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 原則變更 | |||
| 稽核稽核原則變更 | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| 稽核驗證原則變更 | Yes \| No |
Yes \| No |
Yes \| Yes |
| 稽核授權原則變更 | |||
| 稽核篩選平台原則變更 | |||
| 稽核 MPSSVC 規則層級原則變更 | 是 | ||
| 稽核其他原則變更事件 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 特殊權限使用 | |||
| 稽核非機密特殊權限使用情況 | |||
| 稽核其他特殊權限使用事件 | |||
| 稽核機密特殊權限使用 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 系統 | |||
| 稽核 IPSec 驅動程式 | Yes \| Yes |
Yes \| Yes |
|
| 稽核其他系統事件 | Yes \| Yes |
||
| 稽核安全性狀態變更 | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| 稽核安全性系統延伸 | Yes \| Yes |
Yes \| Yes |
|
| 稽核系統整合性 | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 全域物件存取稽核 | |||
| 稽核 IPSec 驅動程式 | |||
| 稽核其他系統事件 | |||
| 稽核安全性狀態變更 | |||
| 稽核安全性系統延伸 | |||
| 稽核系統整合性 |
1從 Windows 10 1809 版開始,預設會針對 [成功] 和 [失敗] 啟用稽核登入。 在舊版的 Windows中,預設只會啟用 [成功]。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 和 Windows Server 2008 稽核設定 建議
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 帳戶登入 | |||
| 稽核認證驗證 | No \| No |
Yes \| Yes |
Yes \| Yes |
| Kerbero 驗證的新功能 | Yes \| Yes |
||
| 稽核 Kerberos 服務票證作業 | Yes \| Yes |
||
| 稽核其他帳戶登入事件 | Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 帳戶管理 | |||
| 稽核應用程式群組管理 | |||
| 稽核電腦帳戶管理 | Yes \| DC |
Yes \| Yes |
|
| 稽核通訊群組管理 | |||
| 稽核其他帳戶管理事件 | Yes \| Yes |
Yes \| Yes |
|
| 稽核安全性群組管理 | Yes \| Yes |
Yes \| Yes |
|
| 稽核使用者帳戶管理 | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 詳細追蹤 | |||
| 稽核 DPAPI 活動 | Yes \| Yes |
||
| 稽核程序建立 | Yes \| No |
Yes \| Yes |
|
| 稽核程序終止 | |||
| 稽核 RPC 事件 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| DS 存取 | |||
| 稽核詳細目錄服務複寫 | |||
| 稽核目錄服務存取 | DC \| DC |
DC \| DC |
|
| 稽核目錄服務變更 | DC \| DC |
DC \| DC |
|
| 稽核目錄服務複寫 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強的建議
|
|---|---|---|---|
| 登入和登出 | |||
| 稽核帳戶鎖定 | Yes \| No |
Yes \| No |
|
| 稽核使用者/裝置宣告 | |||
| 稽核 IPsec 延伸模式 | |||
| 稽核 IPsec 主要模式 | IF \| IF |
||
| 稽核 IPsec 快速模式 | |||
| 稽核登出 | Yes \| No |
Yes \| No |
Yes \| No |
| 稽核登入 | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| 稽核網路原則伺服器 | Yes \| Yes |
||
| 稽核其他登入/登出事件 | Yes \| Yes |
||
| 稽核特殊登入 | Yes \| No |
Yes \| No |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 物件存取 | |||
| 稽核已產生的應用程式 | |||
| 稽核憑證服務 | |||
| 稽核詳細檔案共用 | |||
| 稽核檔案共用 | |||
| 稽核檔案系統 | |||
| 稽核篩選平台連線 | |||
| 稽核篩選平台封包丟棄 | |||
| 稽核控制碼操作 | |||
| 稽核核心物件 | |||
| 稽核其他物件存取事件 | |||
| 稽核登錄 | |||
| 稽核抽取式存放裝置 | |||
| 稽核 SAM | |||
| 稽核中央存取原則階段 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 原則變更 | |||
| 稽核稽核原則變更 | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| 稽核驗證原則變更 | Yes \| No |
Yes \| No |
Yes \| Yes |
| 稽核授權原則變更 | |||
| 稽核篩選平台原則變更 | |||
| 稽核 MPSSVC 規則層級原則變更 | 是 | ||
| 稽核其他原則變更事件 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 特殊權限使用 | |||
| 稽核非機密特殊權限使用情況 | |||
| 稽核其他特殊權限使用事件 | |||
| 稽核機密特殊權限使用 |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 系統 | |||
| 稽核 IPSec 驅動程式 | Yes \| Yes |
Yes \| Yes |
|
| 稽核其他系統事件 | Yes \| Yes |
||
| 稽核安全性狀態變更 | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| 稽核安全性系統延伸 | Yes \| Yes |
Yes \| Yes |
|
| 稽核系統整合性 | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| 稽核原則類別或子類別 | Windows預設值
|
基準建議
|
更強大的建議
|
|---|---|---|---|
| 全域物件存取稽核 | |||
| 稽核 IPSec 驅動程式 | |||
| 稽核其他系統事件 | |||
| 稽核安全性狀態變更 | |||
| 稽核安全性系統延伸 | |||
| 稽核系統整合性 |
在工作站和伺服器上設定稽核原則
所有事件記錄管理計畫都應該監視工作站和伺服器。 常見的錯誤是只監視伺服器或網域控制站。 因為惡意入侵一開始通常會發生在工作站上,所以不會監視工作站會忽略最佳且最早的資訊來源。
系統管理員應該在實際執行環境中實作之前仔細檢閱及測試任何稽核原則。
要監視的事件
產生安全性警示的理想事件識別碼應該包含下列屬性:
發生的可能性很高,表示未經授權的活動
誤判數字低
發生時應該會產生調查/鑒識回應
應監視和警示兩種類型的事件:
即使發生單一事件,也會指出未經授權的活動
累積的事件高於預期和接受的基準
第一個事件的範例如下:
如果 Domain Admins (DA) 禁止登入非網域控制站的電腦,則登入使用者工作站的單一 DA 成員應該會產生警示並受到調查。 使用稽核特殊登入事件 4964 (特殊群組指派給新的登入) ,即可輕鬆產生這種類型的警示。 單一實例警示的其他範例包括:
如果伺服器 A 不應該連線到伺服器 B,請在彼此連線時發出警示。
如果非預期地將一般使用者帳戶新增至敏感性安全性群組,則發出警示。
如果工廠位置中的員工 A 永遠不會在夜間工作,當使用者在午夜登入時發出警示。
在網域控制站上安裝未經授權的服務時發出警示。
調查一般使用者是否嘗試直接登入沒有明確原因的SQL Server。
如果您的 DA 群組中沒有成員,且有人在該處新增自己,請立即加以檢查。
第二個事件的範例如下:
失敗的登入次數可能表示密碼猜測攻擊。 若要讓企業提供異常大量失敗登入的警示,他們必須先瞭解其環境中失敗的正常層級,再發生惡意安全性事件。
如需監視入侵徵兆時應包含之事件的完整清單,請參閱 附錄 L:要監視的事件。
要監視的 Active Directory 物件和屬性
以下是您應該監視的帳戶、群組和屬性,可協助您偵測嘗試入侵Active Directory 網域服務安裝。
停用或移除防毒和反惡意程式碼軟體的系統, (手動停用時自動重新開機保護)
未經授權變更的系統管理員帳戶
使用特殊許可權帳戶執行的活動 (在可疑活動完成或分配的時間已過期時自動移除帳戶)
AD DS 中的特殊許可權和 VIP 帳戶。 監視變更,特別是帳戶索引標籤上屬性的變更 (,例如 cn、name、sAMAccountName、userPrincipalName 或 userAccountControl) 。 除了監視帳戶之外,請限制誰可以盡可能將帳戶修改為一組小型的系統管理使用者。
請參閱 附錄 L:要監視的事件 ,以取得要監視的建議事件清單、其重要性評等,以及事件訊息摘要。
依工作負載分類將伺服器分組,可讓您快速識別應該最密切監視且最嚴格設定的伺服器
下列 AD DS 群組的屬性和成員資格變更:Enterprise ADMINs (EA) 、Domain Admins (DA) 、Administrators (BA) ,以及架構系統管理員 (SA)
停用特殊許可權帳戶 (,例如 Active Directory 中的內建系統管理員帳戶,以及在成員系統上啟用帳戶)
管理帳戶以記錄帳戶的所有寫入
內建安全性設定精靈可設定服務、登錄、稽核和防火牆設定,以減少伺服器的受攻擊面。 如果您實作跳板伺服器作為系統管理主機策略的一部分,請使用此精靈。
監視Active Directory 網域服務的其他資訊
如需監視 AD DS 的其他資訊,請檢閱下列連結:
全域物件存取稽核是 Magic - 提供設定和使用已新增至 Windows 7 和 Windows Server 2008 R2 的進階稽核原則組態的相關資訊。
Windows 2008 中的稽核變更簡介- 引進Windows 2008 中所做的稽核變更。
Vista 和 2008 中的非經常性稽核技巧- 說明在 Windows Vista 和 Windows Server 2008 中稽核的有趣新功能,可用於疑難排解問題或查看環境中發生的情況。
Windows Server 2008 和 Windows Vista 中的一次性稽核商店 - 包含Windows Server 2008和 Windows Vista 中包含的稽核功能和資訊的編譯。
AD DS 稽核逐步指南- 說明 Windows Server 2008 中新的Active Directory 網域服務 (AD DS) 稽核功能。 它也提供實作這項新功能的程式。
安全性事件識別碼建議重大性的一般清單
所有事件識別碼建議都會伴隨重要性評等,如下所示:
高: 具有高重要性評等的事件識別碼應該一律會立即發出警示並調查。
中: 具有中等嚴重性評等的事件識別碼可能表示惡意活動,但必須伴隨一些其他異常 (例如,特定時段發生異常數目、非預期發生次數,或通常不會記錄事件的電腦上發生次數。) 。 中關鍵性事件也可以收集為計量,並隨著時間進行比較。
低: 而且具有低嚴重性事件的事件識別碼不應注意或造成警示,除非與中或高嚴重性事件相互關聯。
這些建議旨在為系統管理員提供基準指南。 在生產環境中實作之前,應該徹底檢閱所有建議。
請參閱 附錄 L:要監視的事件 ,以取得要監視的建議事件清單、其重要性評等,以及事件訊息摘要。