Что такое политика аудита

Расширенные параметры политики аудита безопасности (Windows 10)

В этом справочнике для ИТ-специалистов содержится информация о:

Параметры политики аудита безопасности в статье Security Параметры\Advanced Audit Policy Configuration могут помочь организации в аудите соблюдения важных правил, связанных с бизнесом и безопасностью, отслеживая точно определенные действия, такие как:

Доступ к этим настройкам политики аудита можно получить с помощью привязки к локальной политике безопасности (secpol.msc) на локальном компьютере или с помощью групповой политики.

Эти расширенные параметры политики аудита позволяют выбирать только те действия, которые необходимо отслеживать. Результаты аудита можно исключить для следующих типов поведения:

Кроме того, поскольку политики аудита безопасности можно применять с помощью объектов групповой политики домена, параметры политики аудита можно изменять, тестировать и развертывать для отдельных пользователей и групп с относительной простотой. Параметры политики аудита в статье Параметры\Advanced Audit Policy Configuration доступны в следующих категориях:

Логон учетной записи

Настройка параметров политики в этой категории поможет документировать попытки проверки подлинности данных учетных записей на контроллере домена или в локальном диспетчере учетных записей безопасности (SAM). В отличие от параметров и событий политики Logon и Logoff, параметры и события учетной записи фокусируется на используемой базе данных учетных записей. В эту категорию входят следующие подкатегории:

Управление учетными записями

Параметры политики аудита безопасности в этой категории можно использовать для мониторинга изменений учетных записей и групп пользователей и компьютеров. В эту категорию входят следующие подкатегории:

Подробный отслеживание

Подробные параметры политики безопасности отслеживания и события аудита можно использовать для следующих целей:

В эту категорию входят следующие подкатегории:

Доступ к DS

Параметры политики аудита безопасности DS Access предоставляют подробный след аудита попыток доступа к объектам в службе доменных служб Active Directory (AD DS) и их изменения. Эти события аудита регистрируются только на контроллерах домена. В эту категорию входят следующие подкатегории:

Logon/Logoff

Параметры политики безопасности Logon/Logoff и события аудита позволяют отслеживать попытки входа на компьютер в интерактивном режиме или через сеть. Эти события особенно полезны для отслеживания активности пользователей и выявления потенциальных атак на сетевые ресурсы. В эту категорию входят следующие подкатегории:

Доступ к объекту

Параметры политики доступа к объектам и события аудита позволяют отслеживать попытки доступа к определенным объектам или типам объектов на сети или компьютере. Для аудита попыток доступа к файлу, каталогу, ключу реестра или любому другому объекту впускаем подкатегорию аудита объектов для успешного и/или неудачного события. Например, необходимо включить подкатегорию файловой системы для аудита операций файлов; Необходимо включить подкатегорию реестра для доступа к реестру аудита.

Доказать, что эти политики аудита являются фактическими для внешнего аудитора, сложнее. Нет простого способа убедиться, что соответствующие SACLs установлены на всех унаследованных объектах. Чтобы решить эту проблему, см. в глобальной проверке доступа к объектам.

В эту категорию входят следующие подкатегории:

Изменение политики

События аудита изменения политики позволяют отслеживать изменения важных политик безопасности в локальной системе или сети. Так как политики обычно устанавливаются администраторами для защиты сетевых ресурсов, отслеживание изменений (или попыток) этих политик является важным аспектом управления безопасностью для сети. В эту категорию входят следующие подкатегории:

Использование привилегий

Пользователям или компьютерам предоставляется разрешение на выполнение определенных задач в сети. Параметры политики безопасности privilege Use и события аудита позволяют отслеживать использование определенных разрешений в одной или более системах. В эту категорию входят следующие подкатегории:

System

Параметры политики безопасности системы и события аудита позволяют отслеживать следующие типы изменений на уровне системы на компьютере:

В эту категорию входят следующие подкатегории:

Аудит глобального доступа к объектам

Параметры политики аудита глобального доступа к объектам позволяют администраторам определять списки управления доступом к компьютерной системе (SACLs) для типа объекта для файловой системы или реестра. Указанный SACL автоматически применяется к каждому объекту этого типа. Аудиторы могут доказать, что каждый ресурс системы защищен политикой аудита. Они могут сделать эту задачу, просмотрев содержимое параметров политики аудита глобального доступа к объектам. Например, если аудиторы видят параметр политики под названием «Отслеживайте все изменения, внесенные администраторами групп», они знают, что эта политика действует.

SACLs ресурсов также полезны для диагностических сценариев. Например, администраторы быстро определяют, какой объект в системе отказывает пользователю в доступе:

Если файл или папка SACL и параметр политики аудита глобального доступа к объекту (или один параметр реестра SACL и параметр глобального аудита доступа к объектам) настроены на компьютере, эффективная SACL будет получена из объединения SACL файла или папки и политики аудита глобального доступа к объектам. Это означает, что событие аудита создается, если действие совпадает с SACL-файлом или папкой или политикой аудита глобального доступа к объектам.

В эту категорию входят следующие подкатегории:

Источник

Рекомендации по политике аудита

Success \ | FailureРекомендация по базовому плану

Success \ | FailureБолее надежная рекомендация

Success \ | FailureВход учетной записиАудит проверки учетных данныхNo \ | NoYes \ | NoYes \ | YesАудит службы проверки подлинности KerberosYes \ | YesАудит операций с билетами службы KerberosYes \ | YesАудит других событий входа учетных записейYes \ | Yes

1 начиная с версии Windows 10 1809, аудит входа включен по умолчанию как для успешного выполнения, так и для сбоя. в предыдущих версиях Windows по умолчанию включено только успешное выполнение.

Windows Server 2016, Windows Server 2012 r2, Windows Server 2012, Windows server 2008 r2 и Windows server 2008 Audit Параметры Рекомендации

Установка политики аудита на рабочих станциях и серверах

Все планы управления журналами событий должны отслеживать рабочие станции и серверы. Распространенной ошибкой является мониторинг только серверов или контроллеров домена. Так как вредоносные атаки часто происходят на рабочих станциях, отсутствие мониторинга рабочих станций пропускает самый лучший и самый ранний источник информации.

Администраторы должны внимательно изучить и протестировать политику аудита перед реализацией в своей рабочей среде.

События для мониторинга

Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты:

Высокая вероятность того, что событие указывает на несанкционированную деятельность

небольшое число ложных срабатываний;

Это должно привести к отклику на исследуемые и судебные результаты

Необходимо отслеживать два типа событий и получать оповещения:

События, в которых даже одно событие указывает на несанкционированную деятельность

Накопление количества событий выше ожидаемых и допустимых базовых показателей.

Пример первого события:

Если администраторам домена (DAs) запрещено входить на компьютеры, которые не являются контроллерами домена, одно вхождение участника DA, входящего в систему на рабочей станции конечного пользователя, должно создать оповещение и изучить его. Этот тип оповещений легко создать с помощью особого события входа в систему аудита 4964 (специальные группы были назначены новому входу в систему). Ниже приведены другие примеры предупреждений об одном экземпляре.

Если сервер A никогда не должен подключаться к серверу B, оповещать при подключении друг к другу.

Оповещать, если обычная учетная запись конечного пользователя неожиданно добавляется в конфиденциальную группу безопасности.

Если сотрудники в расположении фабрики никогда не работают ночью, оповещать, когда пользователь входит в полночь.

Оповещать, если несанкционированная служба установлена на контроллере домена.

проверьте, попытается ли обычный пользователь напрямую войти в SQL Server, для которого у них нет ясной причины.

Если у вас нет участников в группе DA и кто-то добавил их там, проверьте его немедленно.

Пример второго события:

Аберрант число неудачных попыток входа может указывать на атаку с подбором пароля. Чтобы обеспечить оповещение о необычном числе неудачных попыток входа в систему предприятия, сначала необходимо разобраться с обычными уровнями неудачных попыток входа в среде перед вредоносным событием безопасности.

Полный список событий, которые следует включать при мониторинге подписывания нарушений, см. в приложении L: события для отслеживания.

Active Directory объекты и атрибуты для отслеживания

Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь выявить попытки нарушения безопасности установки служб домен Active Directory.

Системы для отключения или удаления антивирусных и антивредоносных программ (автоматически перезапускают защиту при отключении вручную)

Учетные записи администратора для несанкционированных изменений

Действия, выполняемые с помощью привилегированных учетных записей (автоматическое удаление учетной записи при завершении подозрительных действий или выделенное время истечения срока действия)

Учетные записи привилегированных и виртуальных IP-адресов в AD DS. Отслеживайте изменения, особенно изменения в атрибутах на вкладке учетной записи (например, CN, Name, sAMAccountName, userPrincipalName или userAccountControl). В дополнение к наблюдению за учетными записями Ограничьте круг пользователей, которые могут изменять учетные записи как можно меньшему набору администраторов.

Сгруппируйте серверы по классификации рабочих нагрузок, что позволяет быстро определять серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее жестко настроенными

изменения в свойствах и членстве следующих групп AD DS: администраторы Enterprise (EA), администраторы домена (DA), администраторы (BA) и администраторы схемы (SA).

Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и в системах-участниках) для включения учетных записей

Учетные записи управления для записи в журнал всех операций записи в учетную запись

Встроенный мастер настройки безопасности, позволяющий настроить службу, реестр, аудит и параметры брандмауэра, чтобы уменьшить контактную зону для атак сервера. Этот мастер используется при реализации серверов переходов в рамках стратегии администрирования узла.

Дополнительные сведения для мониторинга домен Active Directory служб

Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам:

аудит доступа к глобальным объектам — это волшебная информация о настройке и использовании расширенной конфигурации политики аудита, добавленной в Windows 7 и Windows Server 2008 R2.

введение в аудит изменений в Windows 2008 — введение в аудит изменений, внесенных в Windows 2008.

один и тот же магазин для аудита в Windows server 2008 и Windows vista — содержит компиляцию функций аудита и сведений, содержащихся в Windows Server 2008 и Windows vista.

AD DS аудит пошаговых руководств. описание новой функции аудита домен Active Directory Services (AD DS) в Windows Server 2008. В нем также приводятся процедуры для реализации этой новой функции.

Общий список критических рекомендаций по ИД событий безопасности

Все рекомендации по ИДЕНТИФИКАТОРам событий сопровождаются оценкой важности, как показано ниже.

Высокий уровень: Идентификаторы событий с высокой степенью важности должны всегда и немедленно получать оповещения и исследоваться.

Средний уровень: Идентификатор события со средним уровнем важности может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими ненормальными ошибками (например, ненормальным числом, происходящим в определенный период времени, непредвиденными событиями или экземплярами на компьютере, который обычно не должен заносить в журнал событие). Событие среднего уровня важности также можно собирать в виде метрики и сравнивать с течением времени.

Низкий уровень: И события с низким уровнем важности не должны выискать внимание или вызывать предупреждения, если они не связаны с событиями среднего или высокого уровня важности.

Эти рекомендации предназначены для создания базовых руководств администратора. Все рекомендации должны быть тщательно проверены до реализации в рабочей среде.

область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1 Windows 7

в этом разделе рассматриваются параметры политики аудита Windows по умолчанию, базовые рекомендуемые параметры политики аудита и более агрессивные рекомендации от майкрософт для рабочих станций и серверных продуктов.

Основные рекомендации SCM, приведенные здесь, а также параметры, которые рекомендуется использовать для обнаружения компромиссов, предназначены только для запуска в качестве базовых руководств администраторов. Каждая организация должна принимать собственные решения о возможных угрозах, их приемлемых допустимых рисках и категориях или подкатегориях политики аудита, которые они должны включить. Дополнительные сведения об угрозах см. в руководстве по угрозам и контрмерам. Администраторам без продуманной политики аудита рекомендуется начинать с рекомендуемых здесь параметров, а затем изменять и тестировать их до реализации в рабочей среде.

Рекомендации предназначены для компьютеров корпоративного класса, которые корпорация Майкрософт определяет как компьютеры с средними требованиями к безопасности и требует высокого уровня функциональности. Сущности, которым требуются более высокие требования к безопасности, должны учитывать более агрессивные политики аудита.

microsoft Windows по умолчанию и рекомендации по базовому плану были взяты из средства microsoft Security соответствию Manager.

Следующие базовые параметры политики аудита рекомендуются для обычных компьютеров безопасности, которые не находятся в активном состоянии и успешно атакуются определенными злоумышленников или вредоносными программами.

Рекомендуемые политики аудита по операционной системе

Этот раздел содержит таблицы, в которых перечислены рекомендации по настройке аудита, применимые к следующим операционным системам:

эти таблицы содержат параметры Windows по умолчанию, рекомендации по базовому плану и более строгие рекомендации для этих операционных систем.

Условные обозначения таблиц политики аудита

Параметры аудита Windows 10, Windows 8 и Windows 7 Рекомендации

Источник