Рекомендации по настройке политик аудита
В этом разделе рассматриваются параметры политики аудита Windows по умолчанию, базовые рекомендуемые параметры политики аудита и более агрессивные рекомендации корпорации Майкрософт для рабочих станций и серверных продуктов.
Базовые рекомендации по SCM, показанные здесь, а также параметры, которые мы рекомендуем помочь обнаружить компромисс, предназначены только для запуска базового руководства для администраторов. Каждая организация должна принимать собственные решения по поводу угроз, которые они сталкиваются, их допустимые допустимости рисков, а также какие категории политики аудита или подкатегории, которые они должны включить. Дополнительные сведения об угрозах см. в руководстве по угрозам и контрмерам. Администраторы без тщательной политики аудита рекомендуется начать с параметров, рекомендуемых здесь, а затем изменять и тестировать перед реализацией в рабочей среде.
Рекомендации предназначены для компьютеров корпоративного класса, которые Корпорация Майкрософт определяет как компьютеры, имеющие средние требования к безопасности и требующие высокого уровня функциональных возможностей. Сущности, требующие более высоких требований к безопасности, должны учитывать более агрессивные политики аудита.
Примечание.
Microsoft Windows по умолчанию и базовые рекомендации были взяты из средства Microsoft Security Compliance Manager.
Следующие базовые параметры политики аудита рекомендуются для обычных компьютеров безопасности, которые, как известно, находятся под активной, успешной атакой определенных злоумышленников или вредоносных программ.
Рекомендуемые политики аудита по операционной системе
В этом разделе содержатся таблицы, которые перечисляют рекомендации по настройке аудита, которые применяются к следующим операционным системам:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Эти таблицы содержат параметры Windows по умолчанию, базовые рекомендации и более строгие рекомендации для этих операционных систем.
Условные обозначения таблиц политик аудита
| Нотация | Рекомендация |
|---|---|
| Да | Включение в общих сценариях |
| No | Не включать в общих сценариях |
| If | Включите, если это необходимо для определенного сценария, или роль или компонент, для которого требуется аудит, установлен на компьютере. |
| DC | Включение на контроллерах домена |
| [Пусто] | Нет рекомендации |
Рекомендации по аудиту Windows 10, Windows 8 и Windows 7
Политика аудита
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Вход в учетную запись | |||
| Аудит проверки учетных данных | No | No |
Yes | No |
Yes | Yes |
| Аудит службы проверки подлинности Kerberos | Yes | Yes |
||
| Аудит операций с билетами службы Kerberos | Yes | Yes |
||
| Аудит других событий входа учетных записей | Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| управление учетными записями; | |||
| Аудит управления группами приложений | |||
| Аудит управления учетными записями компьютеров | Yes | No |
Yes | Yes |
|
| Аудит управления группами распространения | |||
| Аудит других событий управления учетными записями | Yes | No |
Yes | Yes |
|
| Аудит управления группами безопасности | Yes | No |
Yes | Yes |
|
| Аудит управления учетными записями пользователей | Yes | No |
Yes | No |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Подробное отслеживание | |||
| Аудит активности DPAPI | Yes | Yes |
||
| Аудит создания процессов | Yes | No |
Yes | Yes |
|
| Аудит завершения процессов | |||
| Аудит событий RPC |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| DS Access | |||
| Аудит подробной репликации службы каталогов | |||
| Аудит доступа к службе каталогов | |||
| Аудит изменения службы каталогов | |||
| Аудит репликации службы каталогов |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Вход и выход | |||
| Аудит блокировки учетных записей | Yes | No |
Yes | No |
|
| Аудит заявок пользователей или устройств на доступ | |||
| Аудит расширенного режима IPsec | |||
| Аудит основного режима IPsec | IF | IF |
||
| Аудит быстрого режима IPsec | |||
| Аудит выхода из системы | Yes | No |
Yes | No |
Yes | No |
| Аудит входа 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Аудит сервера политики сети | Yes | Yes |
||
| Аудит других событий входа и выхода | |||
| Аудит специального входа | Yes | No |
Yes | No |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Доступ к объектам | |||
| Аудит событий, создаваемых приложениями | |||
| Аудит служб сертификации | |||
| Аудит сведений об общем файловом ресурсе | |||
| Аудит общего файлового ресурса | |||
| Аудит файловой системы | |||
| Аудит подключения платформы фильтрации | |||
| Аудит отбрасывания пакетов платформой фильтрации | |||
| Аудит работы с дескрипторами | |||
| Аудит объектов ядра | |||
| Аудит других событий доступа к объектам | |||
| Аудит реестра | |||
| Аудит съемного носителя | |||
| Аудит диспетчера учетных записей безопасности | |||
| Аудит сверки с централизованной политикой доступа |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Изменение политики | |||
| Аудит изменения политики аудита | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит изменения политики проверки подлинности | Yes | No |
Yes | No |
Yes | Yes |
| Аудит изменения политики авторизации | |||
| Аудит изменения политики платформы фильтрации | |||
| Аудит изменения политики на уровне правил MPSSVC | Yes |
||
| Аудит других событий изменения политики |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Использование привилегий | |||
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | |||
| Аудит других событий использования привилегий | |||
| Аудит использования привилегий, затрагивающих конфиденциальные данные |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Системные | |||
| Аудит драйвера IPsec | Yes | Yes |
Yes | Yes |
|
| Аудит других системных событий | Yes | Yes |
||
| Аудит изменения состояния безопасности | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит расширения системы безопасности | Yes | Yes |
Yes | Yes |
|
| Аудит целостности системы | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Аудит доступа к глобальным объектам | |||
| Аудит драйвера IPsec | |||
| Аудит других системных событий | |||
| Аудит изменения состояния безопасности | |||
| Аудит расширения системы безопасности | |||
| Аудит целостности системы |
1 Начиная с Windows 10 версии 1809, вход аудита включен по умолчанию как для успешного выполнения, так и для сбоя. В предыдущих версиях Windows по умолчанию включена только успешность.
Рекомендации по параметрам аудита Windows Server 2016, Windows Server 2012, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Вход в учетную запись | |||
| Аудит проверки учетных данных | No | No |
Yes | Yes |
Yes | Yes |
| Аудит службы проверки подлинности Kerberos | Yes | Yes |
||
| Аудит операций с билетами службы Kerberos | Yes | Yes |
||
| Аудит других событий входа учетных записей | Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| управление учетными записями; | |||
| Аудит управления группами приложений | |||
| Аудит управления учетными записями компьютеров | Yes | DC |
Yes | Yes |
|
| Аудит управления группами распространения | |||
| Аудит других событий управления учетными записями | Yes | Yes |
Yes | Yes |
|
| Аудит управления группами безопасности | Yes | Yes |
Yes | Yes |
|
| Аудит управления учетными записями пользователей | Yes | No |
Yes | Yes |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Подробное отслеживание | |||
| Аудит активности DPAPI | Yes | Yes |
||
| Аудит создания процессов | Yes | No |
Yes | Yes |
|
| Аудит завершения процессов | |||
| Аудит событий RPC |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| DS Access | |||
| Аудит подробной репликации службы каталогов | |||
| Аудит доступа к службе каталогов | DC | DC |
DC | DC |
|
| Аудит изменения службы каталогов | DC | DC |
DC | DC |
|
| Аудит репликации службы каталогов |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Вход и выход | |||
| Аудит блокировки учетных записей | Yes | No |
Yes | No |
|
| Аудит заявок пользователей или устройств на доступ | |||
| Аудит расширенного режима IPsec | |||
| Аудит основного режима IPsec | IF | IF |
||
| Аудит быстрого режима IPsec | |||
| Аудит выхода из системы | Yes | No |
Yes | No |
Yes | No |
| Аудит входа в систему | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Аудит сервера политики сети | Yes | Yes |
||
| Аудит других событий входа и выхода | Yes | Yes |
||
| Аудит специального входа | Yes | No |
Yes | No |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Доступ к объектам | |||
| Аудит событий, создаваемых приложениями | |||
| Аудит служб сертификации | |||
| Аудит сведений об общем файловом ресурсе | |||
| Аудит общего файлового ресурса | |||
| Аудит файловой системы | |||
| Аудит подключения платформы фильтрации | |||
| Аудит отбрасывания пакетов платформой фильтрации | |||
| Аудит работы с дескрипторами | |||
| Аудит объектов ядра | |||
| Аудит других событий доступа к объектам | |||
| Аудит реестра | |||
| Аудит съемного носителя | |||
| Аудит диспетчера учетных записей безопасности | |||
| Аудит сверки с централизованной политикой доступа |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Изменение политики | |||
| Аудит изменения политики аудита | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит изменения политики проверки подлинности | Yes | No |
Yes | No |
Yes | Yes |
| Аудит изменения политики авторизации | |||
| Аудит изменения политики платформы фильтрации | |||
| Аудит изменения политики на уровне правил MPSSVC | Yes |
||
| Аудит других событий изменения политики |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Использование привилегий | |||
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | |||
| Аудит других событий использования привилегий | |||
| Аудит использования привилегий, затрагивающих конфиденциальные данные |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Системные | |||
| Аудит драйвера IPsec | Yes | Yes |
Yes | Yes |
|
| Аудит других системных событий | Yes | Yes |
||
| Аудит изменения состояния безопасности | Yes | No |
Yes | Yes |
Yes | Yes |
| Аудит расширения системы безопасности | Yes | Yes |
Yes | Yes |
|
| Аудит целостности системы | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Категория политики аудита или подкатегория | Windows по умолчанию
|
Базовая рекомендация
|
Более надежная рекомендация
|
|---|---|---|---|
| Аудит доступа к глобальным объектам | |||
| Аудит драйвера IPsec | |||
| Аудит других системных событий | |||
| Аудит изменения состояния безопасности | |||
| Аудит расширения системы безопасности | |||
| Аудит целостности системы |
Настройка политики аудита на рабочих станциях и серверах
Все планы управления журналами событий должны отслеживать рабочие станции и серверы. Распространенная ошибка заключается только в мониторинге серверов или контроллеров домена. Так как вредоносные взлома часто возникают на рабочих станциях, а не мониторинг рабочих станций игнорирует лучший и самый ранний источник информации.
Администраторы должны тщательно проверять и проверять любую политику аудита перед реализацией в рабочей среде.
События для мониторинга
Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты:
Высокая вероятность того, что вхождение указывает на несанкционированное действие
небольшое число ложных срабатываний;
Вхождение должно привести к ответу на расследование или судебно-медицинскую экспертизу
Следует отслеживать и оповещать два типа событий:
Эти события, в которых даже одно вхождение указывает на несанкционированное действие
Накопление количества событий выше ожидаемых и допустимых базовых показателей.
Пример первого события:
Если администраторы домена (DAs) запрещены входить на компьютеры, которые не являются контроллерами домена, одно вхождение члена DA на рабочую станцию конечного пользователя должно создать оповещение и исследоваться. Этот тип оповещения легко создать с помощью события "Аудит специального входа" 4964 (специальные группы были назначены новому входу). К другим примерам оповещений одного экземпляра относятся:
Если сервер A никогда не должен подключаться к серверу B, оповещение при подключении друг к другу.
Оповещение, если обычная учетная запись пользователя неожиданно добавляется в группу конфиденциальной безопасности.
Если сотрудники в расположении фабрики A никогда не работают ночью, оповещайте, когда пользователь входит в систему в полночь.
Оповещение, если несанкционированная служба установлена на контроллере домена.
Проверьте, пытается ли обычный конечный пользователь напрямую войти в SQL Server, для которого у них нет четкой причины этого.
Если у вас нет участников в группе DA, и кто-то добавляет себя туда, проверьте его немедленно.
Примером второго события является:
Аберрантное число неудачных входов может указывать на атаку с угадыванием паролей. Чтобы предприятие предоставило оповещение для необычно большого количества неудачных входов, они должны сначала понять обычные уровни неудачных входов в пределах своей среды перед вредоносным событием безопасности.
Полный список событий, которые следует включить при мониторинге признаков компрометации, см . в приложении L: События для мониторинга.
Объекты и атрибуты Active Directory для мониторинга
Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь вам обнаружить попытки компрометации установки домен Active Directory Services.
Системы для отключения или удаления антивирусного и антивредоносного программного обеспечения (автоматически перезапускается при отключении вручную)
Учетные записи администратора для несанкционированных изменений
Действия, выполняемые с помощью привилегированных учетных записей (автоматически удаляются при завершении подозрительных действий или истечении срока действия).
Привилегированные и ВИРТУАЛЬНЫе учетные записи в AD DS. Отслеживайте изменения, особенно изменения атрибутов на вкладке "Учетная запись" (например, cn, name, sAMAccountName, userPrincipalName или userAccountControl). Помимо мониторинга учетных записей, укажите, кто может изменить учетные записи как можно меньшему набору административных пользователей.
См. приложение L. События для мониторинга списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.
Группировать серверы по классификации рабочих нагрузок, что позволяет быстро определить серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее строго настроенными.
Изменения свойств и членства в следующих группах AD DS: корпоративные администраторы (EA), администраторы домена (DA), администраторы (BA) и администраторы схемы (SA)
Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и в системах-членах) для включения учетных записей
Учетные записи управления для записи всех записей в учетную запись
Встроенный мастер настройки безопасности для настройки службы, реестра, аудита и брандмауэра для уменьшения области атаки сервера. Используйте этот мастер, если вы реализуете серверы переходов в рамках стратегии административного узла.
Дополнительные сведения о службах мониторинга домен Active Directory
Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:
Глобальный аудит доступа к объектам — магическая информация о настройке и использовании конфигурации расширенной политики аудита, добавленной в Windows 7 и Windows Server 2008 R2.
Введение изменений аудита в Windows 2008 — представляет изменения аудита, внесенные в Windows 2008 .
Прохладные рекомендации по аудиту в Vista и 2008 — объясняет интересные новые возможности аудита в Windows Vista и Windows Server 2008 , которые можно использовать для устранения неполадок или просмотра того, что происходит в вашей среде.
Пошаговое руководство по аудиту AD DS— описывает новую функцию аудита служб домен Active Directory (AD DS) в Windows Server 2008. Он также предоставляет процедуры для реализации этой новой функции.
Общий список критических сведений о рекомендациях по идентификатору событий безопасности
Все рекомендации по идентификатору события сопровождаются оценкой критической важности следующим образом:
Высокий: идентификаторы событий с высокой критической оценкой должны всегда и немедленно быть оповещены и расследованы.
Средний: идентификатор события со средней критической оценкой может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими аномалиями (например, необычным числом, происходящим в определенный период времени, непредвиденными вхождениями или вхождениями на компьютере, который обычно не будет ожидать журнал события.). Событие средней важности также может собираться как метрика и сравниваться с течением времени.
Низкий: И идентификатор события с низкой критичностью не должны получать внимание или вызывать оповещения, если не связаны со средними или высокими критическими событиями.
Эти рекомендации предназначены для предоставления базового руководства для администратора. Перед реализацией в рабочей среде необходимо тщательно проверить все рекомендации.
См. приложение L. События для мониторинга списка рекомендуемых событий для отслеживания, их оценки критической важности и сводки сообщения о событии.