Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le impostazioni dei criteri di controllo di Windows e le indicazioni di base e avanzate di Microsoft per workstation e server. Fornisce indicazioni per aiutare gli amministratori a scegliere i criteri di controllo appropriati in base alle esigenze dell'organizzazione.
Le raccomandazioni di base di Security Compliance Manager (SCM) illustrate di seguito, insieme alle impostazioni consigliate per rilevare la compromissione del sistema, sono destinate solo a una guida di base iniziale agli amministratori. Ogni organizzazione deve prendere le proprie decisioni relative alle minacce che devono affrontare, alle loro tolleranze di rischio accettabili e alle categorie di criteri di controllo o alle sottocategorie che devono abilitare. Gli amministratori senza criteri di controllo ponderati sono invitati a iniziare con le impostazioni consigliate qui e quindi modificare e testare prima di implementare nell'ambiente di produzione.
I consigli sono per i computer di livello aziendale, che Microsoft definisce come computer con requisiti di sicurezza medi e richiedono un livello elevato di funzionalità operative. Le entità che richiedono requisiti di sicurezza più elevati devono considerare criteri di controllo più aggressivi.
Le seguenti impostazioni dei criteri di controllo di base sono consigliate per i computer con normale sicurezza che non sono noti per essere sotto un attacco attivo e riuscito da parte di avversari determinati o malware.
Criteri di controllo del sistema consigliati per sistema operativo
Questa sezione contiene tabelle che elencano le raccomandazioni relative alle impostazioni di controllo che si applicano al sistema operativo Windows per client e server.
Legenda della tabella dei criteri di controllo sistema
| Notation | Recommendation |
|---|---|
| Yes | Abilitare in scenari generali |
| No | Non abilitare in situazioni generali |
| If | Abilitare se necessario per uno scenario specifico o se nel computer è installato un ruolo o una funzionalità per cui è necessario il controllo |
| DC | Abilitare nei controller di dominio |
| [Blank] | Nessuna raccomandazione |
Queste tabelle contengono l'impostazione predefinita di Windows, le raccomandazioni di base e le raccomandazioni più avanzate per la piattaforma del sistema operativo in esecuzione.
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Accesso account | |||
| Verificare la convalida delle credenziali | No | No |
Yes | No |
Yes | Yes |
| Controllo del servizio di autenticazione Kerberos | Yes | Yes |
||
| Controllo delle operazioni dei ticket di servizio Kerberos | Yes | Yes |
||
| Verifica altri eventi di accesso dell'account | Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Gestione account | |||
| Verifica Gestione Gruppi di Applicazioni | |||
| Controllo della gestione degli account del computer | Yes | No |
Yes | Yes |
|
| Verifica gestione gruppi di distribuzione | |||
| Controllo di altri eventi di gestione degli account | Yes | No |
Yes | Yes |
|
| Verifica della Gestione dei Gruppi di Sicurezza | Yes | No |
Yes | Yes |
|
| Controllo della Gestione Account Utente | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Rilevamento dettagliato | |||
| Controlla Attività DPAPI | Yes | Yes |
||
| Verifica creazione di processi | Yes | No |
Yes | Yes |
|
| Controllo della terminazione dei processi | |||
| Controlla Eventi RPC |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Accesso DS | |||
| Verifica dettagliata della replica del servizio di directory | |||
| Verifica dell'accesso al servizio directory | |||
| Controllo delle modifiche ai Servizi di Directory | |||
| Verifica replica del servizio directory |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Accesso e disconnessione | |||
| Controlla Blocco account | Yes | No |
Yes | No |
|
| Controllo delle attestazioni utente/dispositivo | |||
| Controlla Modalità estesa IPsec | |||
| Controlla Modalità principale IPsec | IF | IF |
||
| Controllo della modalità rapida IPsec | |||
| Controlla disconnessione | Yes | No |
Yes | No |
Yes | No |
| Controlla accesso 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Controlla Server dei criteri di rete | Yes | Yes |
||
| Controllo di altri eventi di accesso/disconnessione | |||
| Controlla Accesso speciale | Yes | No |
Yes | No |
Yes | Yes |
1 A partire da Windows 10 versione 1809, l'accesso di controllo è abilitato per impostazione predefinita sia per operazione riuscita che per errore. Nelle versioni precedenti di Windows, solo Success è abilitato per impostazione predefinita.
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Accesso a oggetti | |||
| Verifica Applicazione Generata | |||
| Controllo dei servizi di certificazione | |||
| Controllo dettagliato della condivisione file | |||
| Controllo della condivisione file | |||
| Controllo del file system | |||
| Verifica della connessione della piattaforma di filtraggio | |||
| Audit del rilascio dei pacchetti della piattaforma di filtro | |||
| Verifica della manipolazione dei handle | |||
| Verifica dell'oggetto del kernel | |||
| Controllo di altri eventi di accesso a oggetti | |||
| Registro di controllo | |||
| Controllo di archivi rimovibili | |||
| Controlla SAM | |||
| Verifica Criteri di Accesso Centrali in Fase di Prova |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Modifica dei criteri | |||
| Controllo modifica ai criteri di audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo della modifica alla politica di autenticazione | Yes | No |
Yes | No |
Yes | Yes |
| Verifica della modifica della politica di autorizzazione | |||
| Modifica della politica della piattaforma di filtro di controllo | |||
| Verifica modifica della politica a livello di regola MPSSVC | Yes |
||
| Verifica altri eventi di modifica delle politiche |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Utilizzo dei privilegi | |||
| verifica l'utilizzo dei privilegi non sensibili | |||
| Controlla Altri eventi di utilizzo dei privilegi | |||
| Verifica l'utilizzo dei privilegi sensibili |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| System | |||
| Controlla Driver IPSec | Yes | Yes |
Yes | Yes |
|
| Controllo di altri eventi di sistema | Yes | Yes |
||
| Controllo della modifica allo stato di sicurezza | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo dell’estensione del sistema di sicurezza | Yes | Yes |
Yes | Yes |
|
| Verifica dell'integrità del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazione predefinita di WindowsSuccess | Failure |
Raccomandazione di baseSuccess | Failure |
Raccomandazione più forteSuccess | Failure |
|---|---|---|---|
| Verifica dell'accesso agli oggetti globali | |||
| Controlla Driver IPSec | |||
| Controllo di altri eventi di sistema | |||
| Controllo della modifica allo stato di sicurezza | |||
| Controllo dell’estensione del sistema di sicurezza | |||
| Verifica dell'integrità del sistema |
Impostare criteri di controllo su workstation e server
Una gestione efficace del registro eventi richiede il monitoraggio sia delle workstation che dei server. Concentrarsi esclusivamente su server o controller di dominio (DC) è un errore comune, poiché i segni iniziali di attività dannose vengono spesso visualizzati sulle workstation. Includendo le workstation nella strategia di monitoraggio, si ottiene l'accesso agli indicatori iniziali critici di compromissione.
Prima di distribuire i criteri di controllo in un ambiente di produzione, gli amministratori devono esaminare, testare e convalidare attentamente i criteri per assicurarsi che soddisfi i requisiti operativi e di sicurezza dell'organizzazione.
Eventi da monitorare
Un ID evento perfetto per generare un avviso di sicurezza deve contenere gli attributi seguenti:
Probabilità elevata che l'occorrenza indichi un'attività non autorizzata
Numero ridotto di falsi positivi
L'occorrenza dovrebbe comportare una risposta investigativa/forense
È consigliabile monitorare e avvisare due tipi di eventi:
Eventi in cui un'occorrenza è un indicatore forte di attività non autorizzate o sospette.
Accumulo di eventi al di sopra di una baseline prevista e accettata.
Un esempio del primo evento è:
Se gli amministratori di dominio non possono accedere ai computer che non sono controller di dominio, una singola occorrenza di un membro amministratore di dominio che accede a una workstation dell'utente finale deve generare un avviso ed essere analizzata. Questo tipo di avviso è facile da generare usando l'evento Audit Special Logon 4964 (i gruppi speciali sono stati assegnati a un nuovo accesso). Altri esempi di avvisi a istanza singola includono:
Se server A non deve mai connettersi al server B, avvisare quando si connettono tra loro.
Avvisa se un account utente standard viene aggiunto in modo imprevisto a un gruppo di sicurezza con privilegi o sensibili.
Se i dipendenti nella sede della fabbrica A non lavorano mai di notte, avvisare quando un utente effettua l'accesso di notte.
Segnala se un servizio non autorizzato è installato su un controller di dominio.
Verificare se un utente comune tenta di accedere direttamente a un'istanza di SQL Server senza avere un motivo chiaro.
Se non si hanno membri nel gruppo Amministratore di dominio e qualcuno si aggiunge al gruppo, controllalo immediatamente.
Un esempio del secondo evento è:
Un numero elevato di tentativi di accesso non riusciti potrebbe segnalare un attacco di indovinamento delle password. Per rilevare questo problema, le organizzazioni devono prima determinare qual è la frequenza normale di accessi non riusciti nel proprio ambiente. Gli avvisi possono quindi essere attivati quando viene superata la baseline.
Per un elenco completo degli eventi da includere quando si monitorano i segni di compromissione, vedere Appendice L: Eventi da monitorare.
Oggetti e attributi di Active Directory da monitorare
Di seguito sono riportati gli account, i gruppi e gli attributi da monitorare per rilevare i tentativi di compromissione dell'installazione di Active Directory Domain Services.
Sistemi per la disabilitazione o la rimozione di software antivirus e antimalware (riavvia automaticamente la protezione quando è disabilitata manualmente)
Account amministratore per modifiche non autorizzate
Attività eseguite tramite account con privilegi (rimuovere automaticamente l'account quando vengono completate le attività sospette o il tempo assegnato scaduto)
Account con privilegi e vip in Servizi di dominio Active Directory. Monitorare le modifiche apportate agli attributi nella scheda Account, ad esempio:
cn
name
sAMAccountName
userPrincipalName
userAccountControl
Oltre a monitorare gli account, limitare gli utenti autorizzati a modificare gli account in un set di utenti amministratori il più piccolo possibile. Fare riferimento all'Appendice L: Eventi da monitorare per un elenco di eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.
Raggruppare i server in base alla classificazione dei carichi di lavoro, in modo da identificare rapidamente i server che devono essere i più monitorati e configurati in modo più rigoroso
Modifiche alle proprietà e all'appartenenza dei gruppi di Active Directory Domain Services seguenti:
Administrators
Amministratori di dominio
Enterprise Admins
Amministratori dello schema
Account con privilegi disabilitati (ad esempio account amministratore predefiniti in Active Directory e nei sistemi membri) per abilitare gli account
Account di gestione per registrare tutte le scritture nell'account
Configurazione guidata di sicurezza integrata per configurare le impostazioni del servizio, del Registro di sistema, dell'audit e del firewall per ridurre la superficie di attacco del server. Usare questa procedura guidata se si implementa un *jump server* come parte della strategia relativa agli host amministrativi.
Informazioni aggiuntive per il monitoraggio di Active Directory Domain Services
Per altre informazioni sul monitoraggio di Active Directory Domain Services, vedere i collegamenti seguenti:
One-Stop Acquisti per auditing in Windows Server 2008 e Windows Vista
Guida dettagliata al controllo di Active Directory Domain Services
Criticità relative alle raccomandazioni relative all'ID evento di sicurezza
Tutte le raccomandazioni relative all'ID evento sono accompagnate da una classificazione di criticità come indicato di seguito:
| Rating | Description |
|---|---|
| High | Gli ID evento con una classificazione di criticità elevata devono essere sempre e immediatamente avvisati e esaminati. |
| Medium | Un ID evento con una classificazione di criticità media potrebbe indicare attività dannose, ma deve essere accompagnato da un'altra anomalia. Un esempio può includere un numero insolito che si verifica in un determinato periodo di tempo, occorrenze impreviste o occorrenze in un computer che normalmente non dovrebbe registrare l'evento. Un evento di media criticità può anche essere raccolto come metrica e quindi confrontato nel tempo. |
| Low | E l'ID evento con eventi di criticità bassa non deve raccogliere attenzione o causare avvisi, a meno che non siano correlati a eventi di criticità medio o alta. |
Queste raccomandazioni sono progettate per fornire una guida di base per un amministratore. Tutte le raccomandazioni devono essere esaminate attentamente prima dell'implementazione in un ambiente di produzione.