- Как включить аудит доступа к файлам Windows в картинках
- Запускаем редактор групповых политик
- Настраиваем политику
- Настраиваем аудит для файлов и папок
- Рекомендации по политике аудита Audit Policy Recommendations
- Рекомендуемые политики аудита по операционной системе Recommended Audit Policies by Operating System
- Установка политики аудита на рабочих станциях и серверах Set Audit Policy on Workstations and Servers
- События для мониторинга Events to Monitor
- Active Directory объекты и атрибуты для отслеживания Active Directory Objects and Attributes to Monitor
- Дополнительные сведения для мониторинга домен Active Directory служб Additional Information for Monitoring Active Directory Domain Services
- Общий список критических рекомендаций по ИД событий безопасности General List of Security Event ID Recommendation Criticalities
Как включить аудит доступа к файлам Windows в картинках
Запускаем редактор групповых политик
Для этого в Windows 10 или Server 2012 R2 кликаем правой кнопкой мыши по Пуск и нажимаем Панель управления:
В более ранних версиях Windows кликаем по Пуск и выбираем Панель управления:
Теперь открываем Система и безопасность:
И выбираем Локальная политика безопасности:
* Совет: редактор групповых политик можно открыть через командную строку командой gpedit.msc.
* Нюанс: в доменной среде с сервером Active Directory необходимо открывать групповые политики на стороне контроллера домена и применять их к серверам или компьютерам компании.
Настраиваем политику
Раскрываем Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Политика аудита:
В окне справа кликаем дважды по Аудит доступа к объектам:
В открывшемся окне ставим галочки на Успех и Отказ:
Нажимаем OK и закрываем редактор управления групповыми политиками.
Настраиваем аудит для файлов и папок
Кликаем правой кнопкой мыши по папке, для которой нужно настроить аудит и выбираем Свойства:
Переходим на вкладку Безопасность:
Нажимаем по Дополнительно:
В открывшемся окне переходим на вкладку Аудит и нажимаем Продолжить:
Кликаем по Выберите субьект:
и выбираем учетную запись или группу пользователей, для которых необходимо установить аудит, например, все:
Нажимаем OK и выставляем галочки напротив действий, для которых система будет протоколировать события:
Рекомендации по политике аудита Audit Policy Recommendations
Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7
В этом разделе рассматриваются параметры политики аудита Windows по умолчанию, базовые Рекомендуемые параметры политики аудита и более агрессивные рекомендации от Майкрософт для рабочих станций и серверных продуктов. This section addresses the Windows default audit policy settings, baseline recommended audit policy settings, and the more aggressive recommendations from Microsoft, for workstation and server products.
Основные рекомендации SCM, приведенные здесь, а также параметры, которые рекомендуется использовать для обнаружения компромиссов, предназначены только для запуска в качестве базовых руководств администраторов. The SCM baseline recommendations shown here, along with the settings we recommend to help detect compromise, are intended only to be a starting baseline guide to administrators. Каждая организация должна принимать собственные решения о возможных угрозах, их приемлемых допустимых рисках и категориях или подкатегориях политики аудита, которые они должны включить. Each organization must make its own decisions regarding the threats they face, their acceptable risk tolerances, and what audit policy categories or subcategories they should enable. Дополнительные сведения об угрозах см. в руководстве по угрозам и контрмерам. For further information about threats, refer to the Threats and Countermeasures Guide. Администраторам без продуманной политики аудита рекомендуется начинать с рекомендуемых здесь параметров, а затем изменять и тестировать их до реализации в рабочей среде. Administrators without a thoughtful audit policy in place are encouraged to start with the settings recommended here, and then to modify and test, prior to implementing in their production environment.
Рекомендации предназначены для компьютеров корпоративного класса, которые корпорация Майкрософт определяет как компьютеры с средними требованиями к безопасности и требует высокого уровня функциональности. The recommendations are for enterprise-class computers, which Microsoft defines as computers that have average security requirements and require a high level of operational functionality. Сущности, которым требуются более высокие требования к безопасности, должны учитывать более агрессивные политики аудита. Entities needing higher security requirements should consider more aggressive audit policies.
Microsoft Windows по умолчанию и рекомендации базовых показателей были взяты из средства Microsoft Security соответствию Manager. Microsoft Windows defaults and baseline recommendations were taken from the Microsoft Security Compliance Manager tool.
Следующие базовые параметры политики аудита рекомендуются для обычных компьютеров безопасности, которые не находятся в активном состоянии и успешно атакуются определенными злоумышленников или вредоносными программами. The following baseline audit policy settings are recommended for normal security computers that are not known to be under active, successful attack by determined adversaries or malware.
Рекомендуемые политики аудита по операционной системе Recommended Audit Policies by Operating System
Этот раздел содержит таблицы, в которых перечислены рекомендации по настройке аудита, применимые к следующим операционным системам: This section contains tables that list the audit setting recommendations that apply to the following operating systems:
- Windows Server 2016 Windows Server 2016
- Windows Server 2012 Windows Server 2012
- Windows Server 2012 R2 Windows Server 2012 R2
- Windows Server 2008 Windows Server 2008
- Windows 10 Windows 10
- Windows 8.1 Windows 8.1
- Windows 7 Windows 7
Эти таблицы содержат настройки Windows по умолчанию, базовые рекомендации и более строгие рекомендации для этих операционных систем. These tables contain the Windows default setting, the baseline recommendations, and the stronger recommendations for these operating systems.
Условные обозначения таблиц политики аудита Audit Policy Tables Legend
| Notation Notation | Рекомендация Recommendation |
|---|---|
| YES YES | Включить в общих сценариях Enable in general scenarios |
| NO NO | Не включайте в общих сценариях Do not enable in general scenarios |
| IF IF | Включить, если это необходимо, в конкретном сценарии или на компьютере установлены роль или компонент, для которых требуется аудит. Enable if needed for a specific scenario, or if a role or feature for which auditing is desired is installed on the machine |
| DC DC | Включить на контроллерах домена Enable on domain controllers |
| Свобод [Blank] | Рекомендации отсутствуют No recommendation |
Рекомендации по параметрам аудита Windows 10, Windows 8 и Windows 7 Windows 10, Windows 8, and Windows 7 Audit Settings Recommendations
Политика аудита Audit Policy
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Вход учетной записи Account Logon | ||||||
| Аудит проверки учетных данных Audit Credential Validation | No \ | No | Yes \ | No | Yes \ | Yes | |||
| Аудит службы проверки подлинности Kerberos Audit Kerberos Authentication Service | Yes \ | Yes | |||||
| Аудит операций с билетами службы Kerberos Audit Kerberos Service Ticket Operations | Yes \ | Yes | |||||
| Аудит других событий входа учетных записей Audit Other Account Logon Events | Yes \ | Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Управление учетными записями Account Management | ||||||
| Аудит управления группами приложений Audit Application Group Management | ||||||
| Аудит управления учетными записями компьютеров Audit Computer Account Management | Yes \| No | Yes \| Yes | ||||
| Аудит управления группами распространения Audit Distribution Group Management | ||||||
| Аудит других событий управления учетными записями Audit Other Account Management Events | Yes \| No | Yes \| Yes | ||||
| Аудит управления группами безопасности Audit Security Group Management | Yes \| No | Yes \| Yes | ||||
| Аудит управления учетными записями пользователей Audit User Account Management | Yes \| No | Yes \| No | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Подробное отслеживание Detailed Tracking | ||||||
| Аудит активности DPAPI Audit DPAPI Activity | Yes \| Yes | |||||
| Аудит создания процессов Audit Process Creation | Yes \| No | Yes \| Yes | ||||
| Аудит завершения процессов Audit Process Termination | ||||||
| Аудит событий RPC Audit RPC Events |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Доступ к DS DS Access | ||||||
| Аудит подробной репликации службы каталогов Audit Detailed Directory Service Replication | ||||||
| Аудит доступа к службе каталогов Audit Directory Service Access | ||||||
| Аудит изменения службы каталогов Audit Directory Service Changes | ||||||
| Аудит репликации службы каталогов Audit Directory Service Replication |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Вход и выход из системы Logon and Logoff | ||||||
| Аудит блокировки учетных записей Audit Account Lockout | Yes \| No | Yes \| No | ||||
| Аудит заявок пользователей или устройств на доступ Audit User/Device Claims | ||||||
| Аудит расширенного режима IPsec Audit IPsec Extended Mode | ||||||
| Аудит основного режима IPsec Audit IPsec Main Mode | IF \| IF | |||||
| Аудит быстрого режима IPsec Audit IPsec Quick Mode | ||||||
| Аудит выхода из системы Audit Logoff | Yes \| No | Yes \| No | Yes \| No | |||
| Аудит входа 1 Audit Logon 1 | Yes \| Yes | Yes \| Yes | Yes \| Yes | |||
| Аудит сервера политики сети Audit Network Policy Server | Yes \| Yes | |||||
| Аудит других событий входа и выхода Audit Other Logon/Logoff Events | ||||||
| Аудит специального входа Audit Special Logon | Yes \| No | Yes \| No | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Доступ к объектам Object Access | ||||||
| Аудит событий, создаваемых приложениями Audit Application Generated | ||||||
| Аудит служб сертификации Audit Certification Services | ||||||
| Аудит сведений об общем файловом ресурсе Audit Detailed File Share | ||||||
| Аудит общего файлового ресурса Audit File Share | ||||||
| Аудит файловой системы Audit File System | ||||||
| Аудит подключения платформы фильтрации Audit Filtering Platform Connection | ||||||
| Аудит отбрасывания пакетов платформой фильтрации Audit Filtering Platform Packet Drop | ||||||
| Аудит работы с дескрипторами Audit Handle Manipulation | ||||||
| Аудит объектов ядра Audit Kernel Object | ||||||
| Аудит других событий доступа к объектам Audit Other Object Access Events | ||||||
| Аудит реестра Audit Registry | ||||||
| Аудит съемного носителя Audit Removable Storage | ||||||
| Аудит диспетчера учетных записей безопасности Audit SAM | ||||||
| Аудит сверки с централизованной политикой доступа Audit Central Access Policy Staging |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Изменение политики Policy Change | ||||||
| Аудит изменения политики аудита Audit Audit Policy Change | Yes \| No | Yes \| Yes | Yes \| Yes | |||
| Аудит изменения политики проверки подлинности Audit Authentication Policy Change | Yes \| No | Yes \| No | Yes \| Yes | |||
| Аудит изменения политики авторизации Audit Authorization Policy Change | ||||||
| Аудит изменения политики платформы фильтрации Audit Filtering Platform Policy Change | ||||||
| Аудит изменения политики на уровне правил MPSSVC Audit MPSSVC Rule-Level Policy Change | Да Yes | |||||
| Аудит других событий изменения политики Audit Other Policy Change Events |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Использование привилегий Privilege Use | ||||||
| Аудит использования привилегий, не затрагивающих конфиденциальные данные Audit Non Sensitive Privilege Use | ||||||
| Аудит других событий использования привилегий Audit Other Privilege Use Events | ||||||
| Аудит использования привилегий, затрагивающих конфиденциальные данные Audit Sensitive Privilege Use |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Системные функции System | ||||||
| Аудит драйвера IPsec Audit IPsec Driver | Yes \| Yes | Yes \| Yes | ||||
| Аудит других системных событий Audit Other System Events | Yes \| Yes | |||||
| Аудит изменения состояния безопасности Audit Security State Change | Yes \| No | Yes \| Yes | Yes \| Yes | |||
| Аудит расширения системы безопасности Audit Security System Extension | Yes \| Yes | Yes \| Yes | ||||
| Аудит целостности системы Audit System Integrity | Yes \| Yes | Yes \| Yes | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Аудит доступа к глобальным объектам Global Object Access Auditing | ||||||
| Аудит драйвера IPsec Audit IPsec Driver | ||||||
| Аудит других системных событий Audit Other System Events | ||||||
| Аудит изменения состояния безопасности Audit Security State Change | ||||||
| Аудит расширения системы безопасности Audit Security System Extension | ||||||
| Аудит целостности системы Audit System Integrity |
1 начиная с Windows 10 версии 1809, аудит входа включен по умолчанию как для успешного выполнения, так и для сбоя. 1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. В предыдущих версиях Windows по умолчанию включено только успешное выполнение. In previous versions of Windows, only Success is enabled by default.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 рекомендации по настройке аудита Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008 Audit Settings Recommendations
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Вход учетной записи Account Logon | ||||||
| Аудит проверки учетных данных Audit Credential Validation | No \| No | Yes \| Yes | Yes \| Yes | |||
| Аудит службы проверки подлинности Kerberos Audit Kerberos Authentication Service | Yes \| Yes | |||||
| Аудит операций с билетами службы Kerberos Audit Kerberos Service Ticket Operations | Yes \| Yes | |||||
| Аудит других событий входа учетных записей Audit Other Account Logon Events | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Управление учетными записями Account Management | ||||||
| Аудит управления группами приложений Audit Application Group Management | ||||||
| Аудит управления учетными записями компьютеров Audit Computer Account Management | Yes \| DC | Yes \| Yes | ||||
| Аудит управления группами распространения Audit Distribution Group Management | ||||||
| Аудит других событий управления учетными записями Audit Other Account Management Events | Yes \| Yes | Yes \| Yes | ||||
| Аудит управления группами безопасности Audit Security Group Management | Yes \| Yes | Yes \| Yes | ||||
| Аудит управления учетными записями пользователей Audit User Account Management | Yes \| No | Yes \| Yes | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Подробное отслеживание Detailed Tracking | ||||||
| Аудит активности DPAPI Audit DPAPI Activity | Yes \| Yes | |||||
| Аудит создания процессов Audit Process Creation | Yes \| No | Yes \| Yes | ||||
| Аудит завершения процессов Audit Process Termination | ||||||
| Аудит событий RPC Audit RPC Events |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Доступ к DS DS Access | ||||||
| Аудит подробной репликации службы каталогов Audit Detailed Directory Service Replication | ||||||
| Аудит доступа к службе каталогов Audit Directory Service Access | DC \| DC | DC \| DC | ||||
| Аудит изменения службы каталогов Audit Directory Service Changes | DC \| DC | DC \| DC | ||||
| Аудит репликации службы каталогов Audit Directory Service Replication |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Вход и выход из системы Logon and Logoff | ||||||
| Аудит блокировки учетных записей Audit Account Lockout | Yes \| No | Yes \| No | ||||
| Аудит заявок пользователей или устройств на доступ Audit User/Device Claims | ||||||
| Аудит расширенного режима IPsec Audit IPsec Extended Mode | ||||||
| Аудит основного режима IPsec Audit IPsec Main Mode | IF \| IF | |||||
| Аудит быстрого режима IPsec Audit IPsec Quick Mode | ||||||
| Аудит выхода из системы Audit Logoff | Yes \| No | Yes \| No | Yes \| No | |||
| Аудит входа в систему Audit Logon | Yes \| Yes | Yes \| Yes | Yes \| Yes | |||
| Аудит сервера политики сети Audit Network Policy Server | Yes \| Yes | |||||
| Аудит других событий входа и выхода Audit Other Logon/Logoff Events | Yes \| Yes | |||||
| Аудит специального входа Audit Special Logon | Yes \| No | Yes \| No | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Доступ к объектам Object Access | ||||||
| Аудит событий, создаваемых приложениями Audit Application Generated | ||||||
| Аудит служб сертификации Audit Certification Services | ||||||
| Аудит сведений об общем файловом ресурсе Audit Detailed File Share | ||||||
| Аудит общего файлового ресурса Audit File Share | ||||||
| Аудит файловой системы Audit File System | ||||||
| Аудит подключения платформы фильтрации Audit Filtering Platform Connection | ||||||
| Аудит отбрасывания пакетов платформой фильтрации Audit Filtering Platform Packet Drop | ||||||
| Аудит работы с дескрипторами Audit Handle Manipulation | ||||||
| Аудит объектов ядра Audit Kernel Object | ||||||
| Аудит других событий доступа к объектам Audit Other Object Access Events | ||||||
| Аудит реестра Audit Registry | ||||||
| Аудит съемного носителя Audit Removable Storage | ||||||
| Аудит диспетчера учетных записей безопасности Audit SAM | ||||||
| Аудит сверки с централизованной политикой доступа Audit Central Access Policy Staging |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Изменение политики Policy Change | ||||||
| Аудит изменения политики аудита Audit Audit Policy Change | Yes \| No | Yes \| Yes | Yes \| Yes | |||
| Аудит изменения политики проверки подлинности Audit Authentication Policy Change | Yes \| No | Yes \| No | Yes \| Yes | |||
| Аудит изменения политики авторизации Audit Authorization Policy Change | ||||||
| Аудит изменения политики платформы фильтрации Audit Filtering Platform Policy Change | ||||||
| Аудит изменения политики на уровне правил MPSSVC Audit MPSSVC Rule-Level Policy Change | Да Yes | |||||
| Аудит других событий изменения политики Audit Other Policy Change Events |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Использование привилегий Privilege Use | ||||||
| Аудит использования привилегий, не затрагивающих конфиденциальные данные Audit Non Sensitive Privilege Use | ||||||
| Аудит других событий использования привилегий Audit Other Privilege Use Events | ||||||
| Аудит использования привилегий, затрагивающих конфиденциальные данные Audit Sensitive Privilege Use |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Системные функции System | ||||||
| Аудит драйвера IPsec Audit IPsec Driver | Yes \| Yes | Yes \| Yes | ||||
| Аудит других системных событий Audit Other System Events | Yes \| Yes | |||||
| Аудит изменения состояния безопасности Audit Security State Change | Yes \| No | Yes \| Yes | Yes \| Yes | |||
| Аудит расширения системы безопасности Audit Security System Extension | Yes \| Yes | Yes \| Yes | ||||
| Аудит целостности системы Audit System Integrity | Yes \| Yes | Yes \| Yes | Yes \| Yes |
| Категория или подкатегория политики аудита Audit Policy Category or Subcategory | Windows по умолчанию Windows Default Загрузоч `Success | Состояние Failure` | Рекомендация по базовому плану Baseline Recommendation Загрузоч `Success | Состояние Failure` | Более надежная рекомендация Stronger Recommendation Загрузоч `Success | Состояние Failure` |
|---|---|---|---|---|---|---|
| Аудит доступа к глобальным объектам Global Object Access Auditing | ||||||
| Аудит драйвера IPsec Audit IPsec Driver | ||||||
| Аудит других системных событий Audit Other System Events | ||||||
| Аудит изменения состояния безопасности Audit Security State Change | ||||||
| Аудит расширения системы безопасности Audit Security System Extension | ||||||
| Аудит целостности системы Audit System Integrity |
Установка политики аудита на рабочих станциях и серверах Set Audit Policy on Workstations and Servers
Все планы управления журналами событий должны отслеживать рабочие станции и серверы. All event log management plans should monitor workstations and servers. Распространенной ошибкой является мониторинг только серверов или контроллеров домена. A common mistake is to only monitor servers or domain controllers. Так как вредоносные атаки часто происходят на рабочих станциях, отсутствие мониторинга рабочих станций пропускает самый лучший и самый ранний источник информации. Because malicious hacking often initially occurs on workstations, not monitoring workstations is ignoring the best and earliest source of information.
Администраторы должны внимательно изучить и протестировать политику аудита перед реализацией в своей рабочей среде. Administrators should thoughtfully review and test any audit policy prior to implementation in their production environment.
События для мониторинга Events to Monitor
Идеальный идентификатор события для создания оповещения системы безопасности должен содержать следующие атрибуты: A perfect event ID to generate a security alert should contain the following attributes:
Высокая вероятность того, что событие указывает на несанкционированную деятельность High likelihood that occurrence indicates unauthorized activity
небольшое число ложных срабатываний; Low number of false positives
Это должно привести к отклику на исследуемые и судебные результаты Occurrence should result in an investigative/forensics response
Необходимо отслеживать два типа событий и получать оповещения: Two types of events should be monitored and alerted:
События, в которых даже одно событие указывает на несанкционированную деятельность Those events in which even a single occurrence indicates unauthorized activity
Накопление количества событий выше ожидаемых и допустимых базовых показателей. An accumulation of events above an expected and accepted baseline
Пример первого события: An example of the first event is:
Если администраторам домена (DAs) запрещено входить на компьютеры, которые не являются контроллерами домена, одно вхождение участника DA, входящего в систему на рабочей станции конечного пользователя, должно создать оповещение и изучить его. If Domain Admins (DAs) are forbidden from logging on to computers that are not domain controllers, a single occurrence of a DA member logging on to an end-user workstation should generate an alert and be investigated. Этот тип оповещений легко создать с помощью особого события входа в систему аудита 4964 (специальные группы были назначены новому входу в систему). This type of alert is easy to generate by using the Audit Special Logon event 4964 (Special groups have been assigned to a new logon). Ниже приведены другие примеры предупреждений об одном экземпляре. Other examples of single instance alerts include:
Если сервер A никогда не должен подключаться к серверу B, оповещать при подключении друг к другу. If Server A should never connect to Server B, alert when they connect to each other.
Оповещать, если обычная учетная запись конечного пользователя неожиданно добавляется в конфиденциальную группу безопасности. Alert if a normal end-user account is unexpectedly added to a sensitive security group.
Если сотрудники в расположении фабрики никогда не работают ночью, оповещать, когда пользователь входит в полночь. If employees in factory location A never work at night, alert when a user logs on at midnight.
Оповещать, если несанкционированная служба установлена на контроллере домена. Alert if an unauthorized service is installed on a domain controller.
Проверьте, попытается ли обычный пользователь напрямую войти в SQL Server, для которого у них нет ясной причины. Investigate if a regular end-user attempts to directly log on to a SQL Server for which they have no clear reason for doing so.
Если у вас нет участников в группе DA и кто-то добавил их там, проверьте его немедленно. If you have no members in your DA group, and someone adds themselves there, check it immediately.
Пример второго события: An example of the second event is:
Аберрант число неудачных попыток входа может указывать на атаку с подбором пароля. An aberrant number of failed logons could indicate a password guessing attack. Чтобы обеспечить оповещение о необычном числе неудачных попыток входа в систему предприятия, сначала необходимо разобраться с обычными уровнями неудачных попыток входа в среде перед вредоносным событием безопасности. For an enterprise to provide an alert for an unusually high number of failed logons, they must first understand the normal levels of failed logons within their environment prior to a malicious security event.
Полный список событий, которые следует включать при мониторинге подписывания нарушений, см. в приложении L: события для отслеживания. For a comprehensive list of events that you should include when you monitor for signs of compromise, please see Appendix L: Events to Monitor.
Active Directory объекты и атрибуты для отслеживания Active Directory Objects and Attributes to Monitor
Ниже приведены учетные записи, группы и атрибуты, которые следует отслеживать, чтобы помочь выявить попытки нарушения безопасности установки служб домен Active Directory. The following are the accounts, groups, and attributes that you should monitor to help you detect attempts to compromise your Active Directory Domain Services installation.
Системы для отключения или удаления антивирусных и антивредоносных программ (автоматически перезапускают защиту при отключении вручную) Systems for disabling or removal of antivirus and anti-malware software (automatically restart protection when it is manually disabled)
Учетные записи администратора для несанкционированных изменений Administrator accounts for unauthorized changes
Действия, выполняемые с помощью привилегированных учетных записей (автоматическое удаление учетной записи при завершении подозрительных действий или выделенное время истечения срока действия) Activities that are performed by using privileged accounts (automatically remove account when suspicious activities are completed or allotted time has expired)
Учетные записи привилегированных и виртуальных IP-адресов в AD DS. Privileged and VIP accounts in AD DS. Отслеживайте изменения, особенно изменения в атрибутах на вкладке учетной записи (например, CN, Name, sAMAccountName, userPrincipalName или userAccountControl). Monitor for changes, particularly changes to attributes on the Account tab (for example, cn, name, sAMAccountName, userPrincipalName, or userAccountControl). В дополнение к наблюдению за учетными записями Ограничьте круг пользователей, которые могут изменять учетные записи как можно меньшему набору администраторов. In addition to monitoring the accounts, restrict who can modify the accounts to as small a set of administrative users as possible.
Список рекомендуемых событий для отслеживания, их оценки важности и сводки сообщений о событиях см. в приложении L: события для отслеживания . Refer to Appendix L: Events to Monitor for a list of recommended events to monitor, their criticality ratings, and an event message summary.
Сгруппируйте серверы по классификации рабочих нагрузок, что позволяет быстро определять серверы, которые должны быть наиболее тщательно отслеживаемыми и наиболее жестко настроенными Group servers by the classification of their workloads, which allows you to quickly identify the servers that should be the most closely monitored and most stringently configured
Изменения в свойствах и членстве следующих групп AD DS: Администраторы предприятия (EA), Администраторы домена (DA), администраторы (BA) и Администраторы схемы (SA) Changes to the properties and membership of following AD DS groups: Enterprise Admins (EA), Domain Admins (DA), Administrators (BA), and Schema Admins (SA)
Отключенные привилегированные учетные записи (например, встроенные учетные записи администратора в Active Directory и в системах-участниках) для включения учетных записей Disabled privileged accounts (such as built-in Administrator accounts in Active Directory and on member systems) for enabling the accounts
Учетные записи управления для записи в журнал всех операций записи в учетную запись Management accounts to log all writes to the account
Встроенный мастер настройки безопасности, позволяющий настроить службу, реестр, аудит и параметры брандмауэра, чтобы уменьшить контактную зону для атак сервера. Built-in Security Configuration Wizard to configure service, registry, audit, and firewall settings to reduce the server’s attack surface. Этот мастер используется при реализации серверов переходов в рамках стратегии администрирования узла. Use this wizard if you implement jump servers as part of your administrative host strategy.
Дополнительные сведения для мониторинга домен Active Directory служб Additional Information for Monitoring Active Directory Domain Services
Дополнительные сведения о мониторинге AD DS см. по следующим ссылкам: Review the following links for additional information about monitoring AD DS:
Аудит доступа к глобальным объектам — это волшебная информация о настройке и использовании расширенной конфигурации политики аудита, добавленной в Windows 7 и windows Server 2008 R2. Global Object Access Auditing is Magic — Provides information about configuring and using Advanced Audit Policy Configuration that was added to Windows 7 and Windows Server 2008 R2.
Введение в аудит изменений в windows 2008 — введение в аудит изменений, внесенных в Windows 2008. Introducing Auditing Changes in Windows 2008 — Introduces the auditing changes made in Windows 2008.
Полезные Советы по аудиту в Vista и 2008 — объясняются интересные новые функции аудита в Windows Vista и windows Server 2008, которые можно использовать для устранения неполадок или для просмотра данных в вашей среде. Cool Auditing Tricks in Vista and 2008 — Explains interesting new features of auditing in Windows Vista and Windows Server 2008 that can be used for troubleshooting problems or seeing what’s happening in your environment.
Один и тот же магазин для аудита в Windows server 2008 и Windows Vista — содержит компиляцию функций аудита и информации, содержащейся в windows Server 2008 и Windows Vista. One-Stop Shop for Auditing in Windows Server 2008 and Windows Vista — Contains a compilation of auditing features and information contained in Windows Server 2008 and Windows Vista.
AD DS аудит пошаговых руководств. Описание новой функции аудита домен Active Directory Services (AD DS) в Windows Server 2008. AD DS Auditing Step-by-Step Guide — Describes the new Active Directory Domain Services (AD DS) auditing feature in Windows Server 2008. В нем также приводятся процедуры для реализации этой новой функции. It also provides procedures to implement this new feature.
Общий список критических рекомендаций по ИД событий безопасности General List of Security Event ID Recommendation Criticalities
Все рекомендации по ИДЕНТИФИКАТОРам событий сопровождаются оценкой важности, как показано ниже. All Event ID recommendations are accompanied by a criticality rating as follows:
Высокий уровень: Идентификаторы событий с высокой степенью важности должны всегда и немедленно получать оповещения и исследоваться. High: Event IDs with a high criticality rating should always and immediately be alerted and investigated.
Средний уровень: Идентификатор события со средним уровнем важности может указывать на вредоносные действия, но он должен сопровождаться некоторыми другими ненормальными ошибками (например, ненормальным числом, происходящим в определенный период времени, непредвиденными событиями или экземплярами на компьютере, который обычно не должен заносить в журнал событие). Medium: An Event ID with a medium criticality rating could indicate malicious activity, but it must be accompanied by some other abnormality (for example, an unusual number occurring in a particular time period, unexpected occurrences, or occurrences on a computer that normally would not be expected to log the event.). Событие среднего уровня важности также можно собирать в виде метрики и сравнивать с течением времени. A medium-criticality event may also r be collected as a metric and compared over time.
Низкий уровень: И события с низким уровнем важности не должны выискать внимание или вызывать предупреждения, если они не связаны с событиями среднего или высокого уровня важности. Low: And Event ID with a low criticality events should not garner attention or cause alerts, unless correlated with medium or high criticality events.
Эти рекомендации предназначены для создания базовых руководств администратора. These recommendations are meant to provide a baseline guide for the administrator. Все рекомендации должны быть тщательно проверены до реализации в рабочей среде. All recommendations should be thoroughly reviewed prior to implementation in a production environment.
Список рекомендуемых событий для отслеживания, их оценки важности и сводка сообщений о событиях см. в приложении L: события для отслеживания . Refer to Appendix L: Events to Monitor for a list of the recommended events to monitor, their criticality ratings, and an event message summary.
