本文介绍 Windows 审核策略设置以及针对工作站和服务器的Microsoft基线和高级建议。 它提供指导,帮助管理员根据组织的需求选择适当的审核策略。
此处所示的安全合规性管理器(SCM)基线建议以及帮助检测系统泄露的建议设置仅用于管理员的起始基线指南。 每个组织必须就其面临的威胁、可接受的风险容忍度以及应该启用的审计策略类别或子类别做出自己的决定。 鼓励没有深思熟虑的审核策略的管理员从此处建议的设置开始,然后在生产环境中实现之前对其进行修改和测试。
这些建议适用于企业级计算机,Microsoft 将其定义为具有中等安全要求且需要高级别操作功能的计算机。 需要更高安全要求的实体应考虑采用更积极的审核策略。
对于未被确定对手或恶意软件活跃且成功攻击的标准安全计算机,建议使用以下基线审核策略设置。
操作系统推荐的系统审核策略
本部分包含列出适用于客户端和服务器的 Windows作系统(OS)的审核设置建议的表。
系统审核策略表图例
| 表示法 | 建议 |
|---|---|
| 是 | 在常规场景中启用 |
| 否 | 在一般情况下不要启用 |
| 如果 | 如果在特定场景中需要,或者计算机上安装了希望进行审核的角色或功能,则启用 |
| 直流 | 在域控制器上启用 |
| [空白] | 无建议 |
这些表包含 Windows 默认设置、基线建议,以及针对正在运行的 OS 平台的更强建议。
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 帐户登录 | |||
| 审核凭据验证 | No | No |
Yes | No |
Yes | Yes |
| 审核 Kerberos 身份验证服务 | Yes | Yes |
||
| 审核 Kerberos 服务票证操作 | Yes | Yes |
||
| 审核其他帐户登录事件 | Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 帐户管理 | |||
| 审计应用程序组管理 | |||
| 审核计算机帐户管理 | Yes | No |
Yes | Yes |
|
| 审核分发组管理 | |||
| 审核其他帐户管理事件 | Yes | No |
Yes | Yes |
|
| 审计安全组管理 | Yes | No |
Yes | Yes |
|
| 审核用户帐户管理 | Yes | No |
Yes | No |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 详细跟踪 | |||
| 审核 DPAPI 活动 | Yes | Yes |
||
| 创建审核流程 | Yes | No |
Yes | Yes |
|
| 审核进程终止 | |||
| 审核 RPC 事件 |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| DS 访问 | |||
| 审核详细的目录服务复制 | |||
| 审核目录服务访问 | |||
| 审核目录服务更改 | |||
| 审核目录服务复制 |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 登录和注销 | |||
| 审核帐户锁定 | Yes | No |
Yes | No |
|
| 审核用户/设备声明 | |||
| 审核 IPsec 扩展模式 | |||
| 审核 IPsec 主模式 | IF | IF |
||
| 审核 IPsec 快速模式 | |||
| 审核注销 | Yes | No |
Yes | No |
Yes | No |
| 审核登录 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核网络策略服务器 | Yes | Yes |
||
| 审核其他登录/注销事件 | |||
| 审核特殊登录 | Yes | No |
Yes | No |
Yes | Yes |
1 从 Windows 10 版本 1809 开始,默认情况下会启用“成功”和“失败”的审核登录。 在以前版本的 Windows 中,默认情况下仅启用“成功”。
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 对象访问 | |||
| 审计应用程序已生成 | |||
| 审核证书服务 | |||
| 审核详细文件共享 | |||
| 审核文件共享 | |||
| 审核文件系统 | |||
| 审核筛选平台连接 | |||
| 审核筛选平台丢弃包 | |||
| 审核句柄操作 | |||
| 审核内核对象 | |||
| 审核其他对象访问事件 | |||
| 审核注册表 | |||
| 审核可移动存储 | |||
| 审核 SAM | |||
| 审核中心访问策略暂存 |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 策略更改 | |||
| 审核审核策略更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核身份验证策略更改 | Yes | No |
Yes | No |
Yes | Yes |
| 审核授权策略更改 | |||
| 审核筛选平台策略更改 | |||
| 审核 MPSSVC 规则级别策略更改 | Yes |
||
| 审核其他策略更改事件 |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 特权使用 | |||
| 审核非敏感权限使用 | |||
| 审核其他权限使用事件 | |||
| 审核敏感权限使用 |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 系统 | |||
| 审核 IPsec 驱动程序 | Yes | Yes |
Yes | Yes |
|
| 审核其他系统事件 | Yes | Yes |
||
| 审核安全状态更改 | Yes | No |
Yes | Yes |
Yes | Yes |
| 审核安全系统扩展 | Yes | Yes |
Yes | Yes |
|
| 审核系统完整性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 审核策略类别或子类别 | Windows 默认值Success | Failure |
基线建议Success | Failure |
更强的建议Success | Failure |
|---|---|---|---|
| 全局对象访问审核 | |||
| 审核 IPsec 驱动程序 | |||
| 审核其他系统事件 | |||
| 审核安全状态更改 | |||
| 审核安全系统扩展 | |||
| 审核系统完整性 |
在工作站和服务器上设置审核策略
有效的事件日志管理需要监视工作站和服务器。 专注于服务器或域控制器(DC)是一种常见的疏忽,因为恶意活动的初始迹象经常出现在工作站上。 通过在监视策略中包含工作站,可以访问关键早期泄露指标。
在生产环境中部署任何审核策略之前,管理员应仔细查看、测试和验证策略,以确保其符合组织安全性和作要求。
要监视的事件
要生成安全警报,一个理想的事件 ID 应包含以下属性:
发生的事件很可能指示存在未经授权的活动
误报较少
发生的事件应触发调查/取证响应
应监视两种类型的事件并发出警报:
在某些事件中,某个现象是未经授权或可疑活动的强烈指示。
超出预期和接受基线的事件累积。
第一个事件的一个示例是:
如果禁止域管理员登录到非 DC 的计算机,则登录到最终用户工作站的域管理员成员的单个事件应生成警报并进行调查。 通过使用审核特殊登录事件4964(为新登录分配了特殊组),可以轻松生成这种类型的警报。 仅出现一次事件也应发出警报的情况的其他示例包括:
如果 服务器 A 不应连接到 服务器 B,那么当它们相互连接时发出警报。
如果意外将标准用户帐户添加到特权或敏感安全组,则发出警报。
如果 工厂位置 A 的员工从不在夜间工作,则当用户在夜间登录时发出警报。
在 DC 上安装未经授权的服务时发出警报。
调查常规最终用户是否尝试直接登录到 SQL Server,他们没有明确理由登录 SQL Server。
如果你的域管理员组中没有成员,并且有人将自己添加到该组中,请立即进行检查。
第二个事件的一个示例是:
大量失败的登录尝试可能会发出密码猜测攻击信号。 为了检测这一点,组织应首先确定环境中失败登录的正常速率。 然后,当超过该基线时,可以触发警报。
有关监视泄露迹象时应包括的事件的综合列表,请参阅 附录 L:要监视的事件。
要监视的 Active Directory 对象和属性
应监视以下帐户、组和属性,以帮助检测尝试入侵 Active Directory 域服务安装的行为。
用于禁用或删除防病毒和反恶意软件的系统(在手动禁用时自动重启保护)
未经授权的更改的管理员帐户
使用特权帐户执行的活动(在完成可疑活动或分配的过期时间时自动删除帐户)
AD DS 中的特权帐户和 VIP 帐户。 监视对“帐户”选项卡上属性的更改,例如:
cn
姓名
sAMAccountName(账户名)
userPrincipalName(“用户主体名称”)
userAccountControl
除了监控帐户,还请尽量减少有权修改帐户的管理用户。 请参阅附录 L:应监视的事件,了解建议监视的事件列表、其严重性分级和事件消息摘要。
按工作负载分类对服务器进行分组,可以快速识别应受到最密切监视且配置最严格的服务器
对以下 AD DS 组的属性和成员身份的更改:
管理员
域管理员
企业管理员
架构管理员
禁用特权帐户(例如 Active Directory 和成员系统中的内置 Administrator 帐户)以启用帐户
管理帐户用于记录帐户的所有写入操作
内置安全配置向导,用于配置服务、注册表、审核和防火墙设置,从而减少服务器的攻击面。 如果在管理主机策略中实现跳转服务器,请使用此向导。
用于监视 AD DS 的其他信息
有关监视 AD DS 的其他信息,请查看以下链接:
安全事件 ID 推荐的危急程度
所有事件 ID 建议都带有严重性分级,如下所示:
| 评级 | DESCRIPTION |
|---|---|
| 高 | 具有高严重性分级的事件 ID 应始终并立即发出警报并进行调查。 |
| 中等 | 具有中等严重性分级的事件 ID 可能表示恶意活动,但必须附带一些其他异常。 例如,可以包括在特定时间段内发生的异常数字、意外事件或计算机上通常不会记录事件的发生次数。 中等关键性事件也可能作为指标收集,然后随时间推移进行比较。 |
| 低 | 具有低严重性事件的事件 ID 不应引起注意或引起警报,除非与中或高严重事件相关。 |
这些建议旨在为管理员提供基线指南。 在生产环境中实施之前,应全面审查所有建议。