Suggerimenti per i criteri di controllo
Questa sezione illustra le impostazioni dei criteri di controllo predefinite di Windows, le impostazioni consigliate per i criteri di controllo di base e le raccomandazioni più aggressive di Microsoft per i prodotti workstation e server.
Le raccomandazioni della baseline SCM illustrate di seguito, insieme alle impostazioni consigliate per rilevare la compromissione, sono destinate solo a una guida di base iniziale agli amministratori. Ogni organizzazione deve prendere le proprie decisioni relative alle minacce che devono affrontare, alle loro tolleranze di rischio accettabili e alle categorie di criteri di controllo o alle sottocategorie che devono abilitare. Per altre informazioni sulle minacce, vedere la guida minacce e contromisure. Gli amministratori senza criteri di controllo ponderati sono invitati a iniziare con le impostazioni consigliate qui e quindi per modificare e testare, prima di implementare nell'ambiente di produzione.
I consigli sono per i computer di livello aziendale, che Microsoft definisce come computer con requisiti di sicurezza medi e richiedono un livello elevato di funzionalità operative. Le entità che richiedono requisiti di sicurezza più elevati devono considerare criteri di controllo più aggressivi.
Nota
Le impostazioni predefinite di Microsoft Windows e le raccomandazioni di base sono state ricavate dallo strumento Microsoft Security Compliance Manager.
Le seguenti impostazioni dei criteri di controllo di base sono consigliate per i normali computer di sicurezza che non sono noti per essere attivi, attacco riuscito da avversari determinati o malware.
Criteri di controllo consigliati per sistema operativo
Questa sezione contiene tabelle che elencano le raccomandazioni relative alle impostazioni di controllo applicabili ai sistemi operativi seguenti:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Queste tabelle contengono l'impostazione predefinita di Windows, le raccomandazioni di base e le raccomandazioni più avanzate per questi sistemi operativi.
Legenda tabelle dei criteri di controllo
| Notazione | Consiglio |
|---|---|
| Sì | Abilitare in scenari generali |
| No | Non abilitare in scenari generali |
| If | Abilitare se necessario per uno scenario specifico o se nel computer è installato un ruolo o una funzionalità per cui è necessario il controllo |
| Controller di dominio | Abilitare nei controller di dominio |
| [Vuoto] | Nessuna raccomandazione |
Le raccomandazioni relative alle impostazioni di controllo di Windows 10, Windows 8 e Windows 7
Criteri di controllo
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso account | |||
| Controllare la convalida delle credenziali | No | No |
Yes | No |
Yes | Yes |
| Controllo del servizio di autenticazione Kerberos | Yes | Yes |
||
| Controlla Operazioni ticket di servizio Kerberos | Yes | Yes |
||
| Controlla Altri eventi di accesso account | Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Gestione dell'account | |||
| Controlla Gestione gruppi di applicazioni | |||
| Controllo della gestione degli account del computer | Yes | No |
Yes | Yes |
|
| Controlla Gestione gruppi di distribuzione | |||
| Controllo Altri eventi di gestione account | Yes | No |
Yes | Yes |
|
| Controllo Gestione gruppi di sicurezza | Yes | No |
Yes | Yes |
|
| Controllo della Gestione account utente | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Rilevamento dettagliato | |||
| Controlla Attività DPAPI | Yes | Yes |
||
| Controlla Creazione di processi | Yes | No |
Yes | Yes |
|
| Controllo della terminazione dei processi | |||
| Controlla Eventi RPC |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso DS | |||
| Controlla Replica dettagliata servizio directory | |||
| Controllo dell'accesso al servizio directory | |||
| Controllo delle modifiche al servizio directory | |||
| Controlla Replica servizio directory |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso e disconnessione | |||
| Controlla Blocco account | Yes | No |
Yes | No |
|
| Controllo delle attestazioni utente/dispositivo | |||
| Controlla Modalità estesa IPsec | |||
| Controlla Modalità principale IPsec | IF | IF |
||
| Controllo della modalità rapida IPsec | |||
| Controlla Fine sessione | Yes | No |
Yes | No |
Yes | No |
| Controlla Accesso 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Controlla Server dei criteri di rete | Yes | Yes |
||
| Controllo di altri eventi di accesso/disconnessione | |||
| Controlla Accesso speciale | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso oggetto | |||
| Controlla Generato dall'applicazione | |||
| Controllo dei servizi di certificazione | |||
| Controllo della condivisione file dettagliata | |||
| Controllo della condivisione file | |||
| Controllo del file system | |||
| Controllo della connessione della piattaforma filtro | |||
| Controllo del rilascio del pacchetto della piattaforma filtro | |||
| Controllo della manipolazione handle | |||
| Controllo dell’oggetto kernel | |||
| Controllo di altri eventi di accesso a oggetti | |||
| Controllo del Registro di sistema | |||
| Controllo di archivi rimovibili | |||
| Controllo SAM | |||
| Controlla Gestione temporanea Criteri di accesso centrale |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Modifica dei criteri | |||
| Controlla Controlla modifica ai criteri | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo della modifica ai criteri di autenticazione | Yes | No |
Yes | No |
Yes | Yes |
| Controllo della modifica ai criteri di autorizzazione | |||
| Controllo della modifica ai criteri della piattaforma filtro | |||
| Controlla Modifica criteri a livello di regola MPSSVC | Yes |
||
| Controlla Altri eventi di modifica criteri |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Utilizzo dei privilegi | |||
| Controlla Utilizzo privilegi non sensibili | |||
| Controlla Altri eventi di utilizzo dei privilegi | |||
| Controlla Utilizzo privilegi sensibili |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Di sistema | |||
| Controlla Driver IPSec | Yes | Yes |
Yes | Yes |
|
| Controllo di altri eventi di sistema | Yes | Yes |
||
| Controllo della modifica allo stato di sicurezza | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo dell’estensione del sistema di sicurezza | Yes | Yes |
Yes | Yes |
|
| Controlla Integrità sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Controllo dell'accesso oggetti globali | |||
| Controlla Driver IPSec | |||
| Controllo di altri eventi di sistema | |||
| Controllo della modifica allo stato di sicurezza | |||
| Controllo dell’estensione del sistema di sicurezza | |||
| Controlla Integrità sistema |
1 A partire da Windows 10 versione 1809, l'accesso al controllo è abilitato per impostazione predefinita sia per operazione riuscita che per errore. Nelle versioni precedenti di Windows, solo Success è abilitato per impostazione predefinita.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008 Audit Settings Recommendations
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso account | |||
| Controllare la convalida delle credenziali | No | No |
Yes | Yes |
Yes | Yes |
| Controllo del servizio di autenticazione Kerberos | Yes | Yes |
||
| Controlla Operazioni ticket di servizio Kerberos | Yes | Yes |
||
| Controlla Altri eventi di accesso account | Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Gestione dell'account | |||
| Controlla Gestione gruppi di applicazioni | |||
| Controllo della gestione degli account del computer | Yes | DC |
Yes | Yes |
|
| Controlla Gestione gruppi di distribuzione | |||
| Controllo Altri eventi di gestione account | Yes | Yes |
Yes | Yes |
|
| Controllo Gestione gruppi di sicurezza | Yes | Yes |
Yes | Yes |
|
| Controllo della Gestione account utente | Yes | No |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Rilevamento dettagliato | |||
| Controlla Attività DPAPI | Yes | Yes |
||
| Controlla Creazione di processi | Yes | No |
Yes | Yes |
|
| Controllo della terminazione dei processi | |||
| Controlla Eventi RPC |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso DS | |||
| Controlla Replica dettagliata servizio directory | |||
| Controllo dell'accesso al servizio directory | DC | DC |
DC | DC |
|
| Controllo delle modifiche al servizio directory | DC | DC |
DC | DC |
|
| Controlla Replica servizio directory |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso e disconnessione | |||
| Controlla Blocco account | Yes | No |
Yes | No |
|
| Controllo delle attestazioni utente/dispositivo | |||
| Controlla Modalità estesa IPsec | |||
| Controlla Modalità principale IPsec | IF | IF |
||
| Controllo della modalità rapida IPsec | |||
| Controllo della disconnessione | Yes | No |
Yes | No |
Yes | No |
| Controllo dell’accesso | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Controlla Server dei criteri di rete | Yes | Yes |
||
| Controllo di altri eventi di accesso/disconnessione | Yes | Yes |
||
| Controlla Accesso speciale | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso oggetto | |||
| Controlla Generato dall'applicazione | |||
| Controllo dei servizi di certificazione | |||
| Controllo della condivisione file dettagliata | |||
| Controllo della condivisione file | |||
| Controllo del file system | |||
| Controllo della connessione della piattaforma filtro | |||
| Controllo del rilascio del pacchetto della piattaforma filtro | |||
| Controllo della manipolazione handle | |||
| Controllo dell’oggetto kernel | |||
| Controllo di altri eventi di accesso a oggetti | |||
| Controllo del Registro di sistema | |||
| Controllo di archivi rimovibili | |||
| Controllo SAM | |||
| Controlla Gestione temporanea Criteri di accesso centrale |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Modifica dei criteri | |||
| Controlla Controlla modifica ai criteri | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo della modifica ai criteri di autenticazione | Yes | No |
Yes | No |
Yes | Yes |
| Controllo della modifica ai criteri di autorizzazione | |||
| Controllo della modifica ai criteri della piattaforma filtro | |||
| Controlla Modifica criteri a livello di regola MPSSVC | Yes |
||
| Controlla Altri eventi di modifica criteri |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Utilizzo dei privilegi | |||
| Controlla Utilizzo privilegi non sensibili | |||
| Controlla Altri eventi di utilizzo dei privilegi | |||
| Controlla Utilizzo privilegi sensibili |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Di sistema | |||
| Controlla Driver IPSec | Yes | Yes |
Yes | Yes |
|
| Controllo di altri eventi di sistema | Yes | Yes |
||
| Controllo della modifica allo stato di sicurezza | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo dell’estensione del sistema di sicurezza | Yes | Yes |
Yes | Yes |
|
| Controlla Integrità sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Controllo dell'accesso oggetti globali | |||
| Controlla Driver IPSec | |||
| Controllo di altri eventi di sistema | |||
| Controllo della modifica allo stato di sicurezza | |||
| Controllo dell’estensione del sistema di sicurezza | |||
| Controlla Integrità sistema |
Impostare i criteri di controllo su workstation e server
Tutti i piani di gestione del registro eventi devono monitorare workstation e server. Un errore comune consiste nel monitorare solo i server o i controller di dominio. Poiché l'hacking dannoso spesso si verifica inizialmente nelle workstation, non monitorando le workstation ignora la migliore e la prima fonte di informazioni.
Gli amministratori devono esaminare e testare in modo ponderato i criteri di controllo prima dell'implementazione nell'ambiente di produzione.
Eventi da monitorare
Un ID evento perfetto per generare un avviso di sicurezza deve contenere gli attributi seguenti:
Probabilità elevata che l'occorrenza indichi un'attività non autorizzata
Numero ridotto di falsi positivi
L'occorrenza dovrebbe comportare una risposta investigativa/forense
È consigliabile monitorare e avvisare due tipi di eventi:
Gli eventi in cui anche una singola occorrenza indica un'attività non autorizzata
Accumularsi di eventi oltre una baseline prevista e accettata
Un esempio del primo evento è:
Se gli amministratori di dominio (DA) non sono autorizzati ad accedere a computer che non sono controller di dominio, una singola occorrenza di un membro DA che accede a una workstation dell'utente finale deve generare un avviso ed essere analizzata. Questo tipo di avviso è facile da generare usando l'evento Audit Special Logon 4964 (i gruppi speciali sono stati assegnati a un nuovo accesso). Altri esempi di avvisi a istanza singola includono:
Se server A non deve mai connettersi al server B, avvisare quando si connettono tra loro.
Avvisa se un normale account utente finale viene aggiunto in modo imprevisto a un gruppo di sicurezza sensibile.
Se i dipendenti nella posizione della fabbrica Non lavorano mai di notte, avvisare quando un utente accede a mezzanotte.
Avvisa se un servizio non autorizzato è installato in un controller di dominio.
Esaminare se un utente finale normale tenta di accedere direttamente a un'istanza di SQL Server per cui non ha un motivo chiaro per farlo.
Se non si dispone di membri nel gruppo DA e qualcuno si aggiunge lì, controllarlo immediatamente.
Un esempio del secondo evento è:
Un numero aberrante di accessi non riusciti potrebbe indicare un attacco di rilevamento delle password. Affinché un'azienda fornisca un avviso per un numero insolitamente elevato di accessi non riusciti, deve prima comprendere i normali livelli di accessi non riusciti all'interno del proprio ambiente prima di un evento di sicurezza dannoso.
Per un elenco completo degli eventi da includere quando si monitorano i segni di compromissione, vedere Appendice L: Eventi da monitorare.
Oggetti e attributi di Active Directory da monitorare
Di seguito sono riportati gli account, i gruppi e gli attributi da monitorare per rilevare i tentativi di compromissione dell'installazione di Active Directory Domain Services.
Sistemi per la disabilitazione o la rimozione di software antivirus e antimalware (riavviare automaticamente la protezione quando è disabilitato manualmente)
Account amministratore per modifiche non autorizzate
Attività eseguite tramite account con privilegi (rimuovere automaticamente l'account quando vengono completate o assegnate attività sospette scadute)
Account con privilegi e vip in Servizi di dominio Active Directory. Monitorare le modifiche, in particolare le modifiche apportate agli attributi nella scheda Account, ad esempio cn, name, sAMAccountName, userPrincipalName o userAccountControl. Oltre a monitorare gli account, limitare gli utenti autorizzati a modificare gli account in un set di utenti amministratori il più piccolo possibile.
Fare riferimento all'Appendice L: Eventi da monitorare per un elenco di eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.
Raggruppare i server in base alla classificazione dei carichi di lavoro, in modo da identificare rapidamente i server che devono essere i più monitorati e configurati in modo più rigoroso
Modifiche alle proprietà e all'appartenenza ai gruppi di Active Directory Domain Services seguenti: Enterprise Admins (EA), Domain Admins (DA), Administrators (BA) e Schema Admins (SA)
Account con privilegi disabilitati (ad esempio account amministratore predefiniti in Active Directory e nei sistemi membri) per abilitare gli account
Account di gestione per registrare tutte le scritture nell'account
Configurazione guidata sicurezza predefinita per configurare le impostazioni del servizio, del Registro di sistema, del controllo e del firewall per ridurre la superficie di attacco del server. Usare questa procedura guidata se si implementano jump server come parte della strategia dell'host amministrativo.
Informazioni aggiuntive per il monitoraggio di Active Directory Domain Services
Per altre informazioni sul monitoraggio di Active Directory Domain Services, vedere i collegamenti seguenti:
Controllo dell'accesso agli oggetti globali è Magic - Fornisce informazioni sulla configurazione e sull'uso della configurazione avanzata dei criteri di controllo aggiunti a Windows 7 e Windows Server 2008 R2.
Introduzione di modifiche di controllo in Windows 2008 - Introduce le modifiche di controllo apportate in Windows 2008.
Trucchi di controllo ad accesso sporadico in Vista e 2008 - Illustra le nuove funzionalità interessanti del controllo in Windows Vista e Windows Server 2008 che possono essere usate per la risoluzione dei problemi o per vedere cosa accade nell'ambiente in uso.
Punto di accesso centralizzato per il controllo in Windows Server 2008 e Windows Vista - Contiene una raccolta di informazioni e funzionalità di controllo di Windows Server 2008 e Windows Vista.
Guida dettagliata al controllo di Active Directory Domain Services - Descrive la nuova funzionalità di controllo di Active Directory Domain Services in Windows Server 2008. Fornisce inoltre procedure per implementare questa nuova funzionalità.
Elenco generale delle criticità relative alle raccomandazioni relative all'ID evento di sicurezza
Tutte le raccomandazioni relative all'ID evento sono accompagnate da una classificazione di criticità come indicato di seguito:
Alta: gli ID evento con una classificazione di criticità elevata devono sempre essere avvisati e esaminati immediatamente.
Media: un ID evento con una classificazione di criticità media potrebbe indicare attività dannose, ma deve essere accompagnato da un'altra anomalia (ad esempio, un numero insolito che si verifica in un determinato periodo di tempo, occorrenze impreviste o occorrenze in un computer che normalmente non dovrebbe registrare l'evento). Un evento di media criticità può anche essere raccolto come metrica e confrontato nel tempo.
Bassa: e l'ID evento con eventi di bassa criticità non devono raccogliere attenzione o causare avvisi, a meno che non siano correlati a eventi di criticità medio o alta.
Queste raccomandazioni sono progettate per fornire una guida di base per l'amministratore. Tutte le raccomandazioni devono essere esaminate attentamente prima dell'implementazione in un ambiente di produzione.
Fare riferimento a Appendice L: Eventi da monitorare per un elenco degli eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.