Поделиться через


Рекомендации по настройке политик аудита

В этом разделе рассматриваются параметры политики аудита Windows по умолчанию, базовые рекомендуемые параметры политики аудита и более агрессивные рекомендации корпорации Майкрософт для рабочих станций и серверных продуктов.

Базовые рекомендации по SCM, показанные здесь, а также параметры, которые мы рекомендуем помочь обнаружить компромисс, предназначены только для запуска базового руководства для администраторов. Каждая организация должна принимать собственные решения по поводу угроз, которые они сталкиваются, их допустимые допустимости рисков, а также какие категории политики аудита или подкатегории, которые они должны включить. Дополнительные сведения об угрозах см. в руководстве по угрозам и контрмерам. Администраторы без тщательной политики аудита рекомендуется начать с параметров, рекомендуемых здесь, а затем изменять и тестировать перед реализацией в рабочей среде.

Рекомендации предназначены для компьютеров корпоративного класса, которые Корпорация Майкрософт определяет как компьютеры, имеющие средние требования к безопасности и требующие высокого уровня функциональных возможностей. Сущности, требующие более высоких требований к безопасности, должны учитывать более агрессивные политики аудита.

Примечание.

Microsoft Windows по умолчанию и базовые рекомендации были взяты из средства Microsoft Security Compliance Manager.

Следующие базовые параметры политики аудита рекомендуются для обычных компьютеров безопасности, которые, как известно, находятся под активной, успешной атакой определенных злоумышленников или вредоносных программ.

В этом разделе содержатся таблицы, которые перечисляют рекомендации по настройке аудита, которые применяются к следующим операционным системам:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Эти таблицы содержат параметры Windows по умолчанию, базовые рекомендации и более строгие рекомендации для этих операционных систем.

Условные обозначения таблиц политик аудита

Нотация Рекомендация
Да Включение в общих сценариях
No Не включать в общих сценариях
If Включите, если это необходимо для определенного сценария, или роль или компонент, для которого требуется аудит, установлен на компьютере.
DC Включение на контроллерах домена
[Пусто] Нет рекомендации

Рекомендации по аудиту Windows 10, Windows 8 и Windows 7

Политика аудита

Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Вход в учетную запись
Аудит проверки учетных данных No | No Yes | No Yes | Yes
Аудит службы проверки подлинности Kerberos Yes | Yes
Аудит операций с билетами службы Kerberos Yes | Yes
Аудит других событий входа учетных записей Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

управление учетными записями;
Аудит управления группами приложений
Аудит управления учетными записями компьютеров Yes | No Yes | Yes
Аудит управления группами распространения
Аудит других событий управления учетными записями Yes | No Yes | Yes
Аудит управления группами безопасности Yes | No Yes | Yes
Аудит управления учетными записями пользователей Yes | No Yes | No Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Подробное отслеживание
Аудит активности DPAPI Yes | Yes
Аудит создания процессов Yes | No Yes | Yes
Аудит завершения процессов
Аудит событий RPC
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

DS Access
Аудит подробной репликации службы каталогов
Аудит доступа к службе каталогов
Аудит изменения службы каталогов
Аудит репликации службы каталогов
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Вход и выход
Аудит блокировки учетных записей Yes | No Yes | No
Аудит заявок пользователей или устройств на доступ
Аудит расширенного режима IPsec
Аудит основного режима IPsec IF | IF
Аудит быстрого режима IPsec
Аудит выхода из системы Yes | No Yes | No Yes | No
Аудит входа 1 Yes | Yes Yes | Yes Yes | Yes
Аудит сервера политики сети Yes | Yes
Аудит других событий входа и выхода
Аудит специального входа Yes | No Yes | No Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Доступ к объектам
Аудит событий, создаваемых приложениями
Аудит служб сертификации
Аудит сведений об общем файловом ресурсе
Аудит общего файлового ресурса
Аудит файловой системы
Аудит подключения платформы фильтрации
Аудит отбрасывания пакетов платформой фильтрации
Аудит работы с дескрипторами
Аудит объектов ядра
Аудит других событий доступа к объектам
Аудит реестра
Аудит съемного носителя
Аудит диспетчера учетных записей безопасности
Аудит сверки с централизованной политикой доступа
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Изменение политики
Аудит изменения политики аудита Yes | No Yes | Yes Yes | Yes
Аудит изменения политики проверки подлинности Yes | No Yes | No Yes | Yes
Аудит изменения политики авторизации
Аудит изменения политики платформы фильтрации
Аудит изменения политики на уровне правил MPSSVC Yes
Аудит других событий изменения политики
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Использование привилегий
Аудит использования привилегий, не затрагивающих конфиденциальные данные
Аудит других событий использования привилегий
Аудит использования привилегий, затрагивающих конфиденциальные данные
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Системные
Аудит драйвера IPsec Yes | Yes Yes | Yes
Аудит других системных событий Yes | Yes
Аудит изменения состояния безопасности Yes | No Yes | Yes Yes | Yes
Аудит расширения системы безопасности Yes | Yes Yes | Yes
Аудит целостности системы Yes | Yes Yes | Yes Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Аудит доступа к глобальным объектам
Аудит драйвера IPsec
Аудит других системных событий
Аудит изменения состояния безопасности
Аудит расширения системы безопасности
Аудит целостности системы

1 Начиная с Windows 10 версии 1809, вход аудита включен по умолчанию как для успешного выполнения, так и для сбоя. В предыдущих версиях Windows по умолчанию включена только успешность.

Рекомендации по параметрам аудита Windows Server 2016, Windows Server 2012, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008

Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Вход в учетную запись
Аудит проверки учетных данных No | No Yes | Yes Yes | Yes
Аудит службы проверки подлинности Kerberos Yes | Yes
Аудит операций с билетами службы Kerberos Yes | Yes
Аудит других событий входа учетных записей Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

управление учетными записями;
Аудит управления группами приложений
Аудит управления учетными записями компьютеров Yes | DC Yes | Yes
Аудит управления группами распространения
Аудит других событий управления учетными записями Yes | Yes Yes | Yes
Аудит управления группами безопасности Yes | Yes Yes | Yes
Аудит управления учетными записями пользователей Yes | No Yes | Yes Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Подробное отслеживание
Аудит активности DPAPI Yes | Yes
Аудит создания процессов Yes | No Yes | Yes
Аудит завершения процессов
Аудит событий RPC
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

DS Access
Аудит подробной репликации службы каталогов
Аудит доступа к службе каталогов DC | DC DC | DC
Аудит изменения службы каталогов DC | DC DC | DC
Аудит репликации службы каталогов
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Вход и выход
Аудит блокировки учетных записей Yes | No Yes | No
Аудит заявок пользователей или устройств на доступ
Аудит расширенного режима IPsec
Аудит основного режима IPsec IF | IF
Аудит быстрого режима IPsec
Аудит выхода из системы Yes | No Yes | No Yes | No
Аудит входа в систему Yes | Yes Yes | Yes Yes | Yes
Аудит сервера политики сети Yes | Yes
Аудит других событий входа и выхода Yes | Yes
Аудит специального входа Yes | No Yes | No Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Доступ к объектам
Аудит событий, создаваемых приложениями
Аудит служб сертификации
Аудит сведений об общем файловом ресурсе
Аудит общего файлового ресурса
Аудит файловой системы
Аудит подключения платформы фильтрации
Аудит отбрасывания пакетов платформой фильтрации
Аудит работы с дескрипторами
Аудит объектов ядра
Аудит других событий доступа к объектам
Аудит реестра
Аудит съемного носителя
Аудит диспетчера учетных записей безопасности
Аудит сверки с централизованной политикой доступа
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Изменение политики
Аудит изменения политики аудита Yes | No Yes | Yes Yes | Yes
Аудит изменения политики проверки подлинности Yes | No Yes | No Yes | Yes
Аудит изменения политики авторизации
Аудит изменения политики платформы фильтрации
Аудит изменения политики на уровне правил MPSSVC Yes
Аудит других событий изменения политики
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Использование привилегий
Аудит использования привилегий, не затрагивающих конфиденциальные данные
Аудит других событий использования привилегий
Аудит использования привилегий, затрагивающих конфиденциальные данные
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Системные
Аудит драйвера IPsec Yes | Yes Yes | Yes
Аудит других системных событий Yes | Yes
Аудит изменения состояния безопасности Yes | No Yes | Yes Yes | Yes
Аудит расширения системы безопасности Yes | Yes Yes | Yes
Аудит целостности системы Yes | Yes Yes | Yes Yes | Yes
Категория политики аудита или подкатегория Windows по умолчанию

Success | Failure

Базовая рекомендация

Success | Failure

Более надежная рекомендация

Success | Failure

Аудит доступа к глобальным объектам
Аудит драйвера IPsec
Аудит других системных событий
Аудит изменения состояния безопасности
Аудит расширения системы безопасности
Аудит целостности системы

Настройка политики аудита на рабочих станциях и серверах

Все планы управления журналами событий должны отслеживать рабочие станции и серверы. Распространенная ошибка заключается только в мониторинге серверов или контроллеров домена. Так как вредоносные взлома часто возникают на рабочих станциях, а не мониторинг рабочих станций игнорирует лучший и самый ранний источник информации.

Администраторы должны тщательно проверять и проверять любую политику аудита перед реализацией в рабочей среде.

События для мониторинга

Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты:

  • Высокая вероятность того, что вхождение указывает на несанкционированное действие

  • небольшое число ложных срабатываний;

  • Вхождение должно привести к ответу на расследование или судебно-медицинскую экспертизу

Следует отслеживать и оповещать два типа событий:

  1. Эти события, в которых даже одно вхождение указывает на несанкционированное действие

  2. Накопление количества событий выше ожидаемых и допустимых базовых показателей.

Пример первого события:

Если администраторы домена (DAs) запрещены входить на компьютеры, которые не являются контроллерами домена, одно вхождение члена DA на рабочую станцию конечного пользователя должно создать оповещение и исследоваться. Этот тип оповещения легко создать с помощью события "Аудит специального входа" 4964 (специальные группы были назначены новому входу). К другим примерам оповещений одного экземпляра относятся:

  • Если сервер A никогда не должен подключаться к серверу B, оповещение при подключении друг к другу.

  • Оповещение, если обычная учетная запись пользователя неожиданно добавляется в группу конфиденциальной безопасности.

  • Если сотрудники в расположении фабрики A никогда не работают ночью, оповещайте, когда пользователь входит в систему в полночь.

  • Оповещение, если несанкционированная служба установлена на контроллере домена.

  • Проверьте, пытается ли обычный конечный пользователь напрямую войти в SQL Server, для которого у них нет четкой причины этого.

  • Если у вас нет участников в группе DA, и кто-то добавляет себя туда, проверьте его немедленно.

Примером второго события является:

Аберрантное число неудачных входов может указывать на атаку с угадыванием паролей. Чтобы предприятие предоставило оповещение для необычно большого количества неудачных входов, они должны сначала понять обычные уровни неудачных входов в пределах своей среды перед вредоносным событием безопасности.

Полный список событий, которые следует включить при мониторинге признаков компрометации, см . в приложении L: События для мониторинга.

Объекты и атрибуты Active Directory для мониторинга

Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь вам обнаружить попытки компрометации установки домен Active Directory Services.

  • Системы для отключения или удаления антивирусного и антивредоносного программного обеспечения (автоматически перезапускается при отключении вручную)

  • Учетные записи администратора для несанкционированных изменений

  • Действия, выполняемые с помощью привилегированных учетных записей (автоматически удаляются при завершении подозрительных действий или истечении срока действия).

  • Привилегированные и ВИРТУАЛЬНЫе учетные записи в AD DS. Отслеживайте изменения, особенно изменения атрибутов на вкладке "Учетная запись" (например, cn, name, sAMAccountName, userPrincipalName или userAccountControl). Помимо мониторинга учетных записей, укажите, кто может изменить учетные записи как можно меньшему набору административных пользователей.

См. приложение L. События для мониторинга списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.

  • Группировать серверы по классификации рабочих нагрузок, что позволяет быстро определить серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее строго настроенными.

  • Изменения свойств и членства в следующих группах AD DS: корпоративные администраторы (EA), администраторы домена (DA), администраторы (BA) и администраторы схемы (SA)

  • Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и в системах-членах) для включения учетных записей

  • Учетные записи управления для записи всех записей в учетную запись

  • Встроенный мастер настройки безопасности для настройки службы, реестра, аудита и брандмауэра для уменьшения области атаки сервера. Используйте этот мастер, если вы реализуете серверы переходов в рамках стратегии административного узла.

Дополнительные сведения о службах мониторинга домен Active Directory

Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:

Общий список критических сведений о рекомендациях по идентификатору событий безопасности

Все рекомендации по идентификатору события сопровождаются оценкой критической важности следующим образом:

Высокий: идентификаторы событий с высокой критической оценкой должны всегда и немедленно быть оповещены и расследованы.

Средний: идентификатор события со средней критической оценкой может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими аномалиями (например, необычным числом, происходящим в определенный период времени, непредвиденными вхождениями или вхождениями на компьютере, который обычно не будет ожидать журнал события.). Событие средней важности также может собираться как метрика и сравниваться с течением времени.

Низкий: И идентификатор события с низкой критичностью не должны получать внимание или вызывать оповещения, если не связаны со средними или высокими критическими событиями.

Эти рекомендации предназначены для предоставления базового руководства для администратора. Перед реализацией в рабочей среде необходимо тщательно проверить все рекомендации.

См. приложение L. События для мониторинга списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.