Suggerimenti per i criteri di controllo
Questa sezione illustra le impostazioni dei criteri di controllo predefinite di Windows, le impostazioni consigliate per i criteri di controllo di base e le raccomandazioni più aggressive di Microsoft per i prodotti workstation e server.
Le raccomandazioni della baseline SCM illustrate di seguito, insieme alle impostazioni consigliate per rilevare la compromissione, sono destinate solo a una guida di base iniziale agli amministratori. Ogni organizzazione deve prendere le proprie decisioni relative alle minacce che devono affrontare, alle loro tolleranze di rischio accettabili e alle categorie di criteri di controllo o alle sottocategorie che devono abilitare. Per altre informazioni sulle minacce, vedere la guida minacce e contromisure. Gli amministratori senza criteri di controllo ponderati sono invitati a iniziare con le impostazioni consigliate qui e quindi per modificare e testare, prima di implementare nell'ambiente di produzione.
I consigli sono per i computer di livello aziendale, che Microsoft definisce come computer con requisiti di sicurezza medi e richiedono un livello elevato di funzionalità operative. Le entità che richiedono requisiti di sicurezza più elevati devono considerare criteri di controllo più aggressivi.
Nota
Le impostazioni predefinite di Microsoft Windows e le raccomandazioni di base sono state ricavate dallo strumento Microsoft Security Compliance Manager.
Le seguenti impostazioni dei criteri di verifica di base sono consigliate per i computer con impostazioni di sicurezza normali, che non sono noti per essere sotto attacco attivo e riuscito da parte di avversari determinati o malware.
Criteri di controllo consigliati per sistema operativo
Questa sezione contiene tabelle che elencano le raccomandazioni relative alle impostazioni di controllo applicabili ai sistemi operativi seguenti:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Queste tabelle contengono l'impostazione predefinita di Windows, le raccomandazioni di base e le raccomandazioni più avanzate per questi sistemi operativi.
Legenda delle tabelle dei criteri di controllo
| Notazione | Raccomandazione |
|---|---|
| Sì | Abilitare in scenari generali |
| No | Non abilitare in scenari generali |
| Se | Abilitare se necessario per uno scenario specifico o se nel computer è installato un ruolo o una funzionalità per cui è necessario il controllo |
| Controller di dominio | Abilitare nei controller di dominio |
| [Vuoto] | Nessuna raccomandazione |
Le raccomandazioni relative alle impostazioni di controllo di Windows 10, Windows 8 e Windows 7
Criteri di controllo
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso account | |||
| Verificare la convalida delle credenziali | No | No |
Yes | No |
Yes | Yes |
| Controllo del servizio di autenticazione Kerberos | Yes | Yes |
||
| Controllo delle operazioni dei ticket di servizio Kerberos | Yes | Yes |
||
| Verifica altri eventi di accesso dell'account | Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Gestione dell'account | |||
| Verifica Gestione Gruppi di Applicazioni | |||
| Controllo della gestione degli account del computer | Yes | No |
Yes | Yes |
|
| Verifica gestione gruppi di distribuzione | |||
| Controllo di altri eventi di gestione degli account | Yes | No |
Yes | Yes |
|
| Verifica della Gestione dei Gruppi di Sicurezza | Yes | No |
Yes | Yes |
|
| Controllo della Gestione Account Utente | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Rilevamento dettagliato | |||
| Controlla Attività DPAPI | Yes | Yes |
||
| Verifica creazione di processi | Yes | No |
Yes | Yes |
|
| Controllo della terminazione dei processi | |||
| Controlla Eventi RPC |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| DS Access | |||
| Verifica dettagliata della replica del servizio di directory | |||
| Verifica dell'accesso al servizio directory | |||
| Controllo delle modifiche ai Servizi di Directory | |||
| Verifica replica del servizio directory |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso e disconnessione | |||
| Controlla Blocco account | Yes | No |
Yes | No |
|
| Controllo delle attestazioni utente/dispositivo | |||
| Controlla Modalità estesa IPsec | |||
| Controlla Modalità principale IPsec | IF | IF |
||
| Controllo della modalità rapida IPsec | |||
| Registro Disconnessione | Yes | No |
Yes | No |
Yes | No |
| Verifica Accesso 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Controlla Server dei criteri di rete | Yes | Yes |
||
| Controllo di altri eventi di accesso/disconnessione | |||
| Controlla Accesso speciale | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso agli oggetti | |||
| Verifica Applicazione Generata | |||
| Controllo dei servizi di certificazione | |||
| Controllo dettagliato della condivisione file | |||
| Controllo della condivisione file | |||
| Controllo del file system | |||
| Verifica della connessione della piattaforma di filtraggio | |||
| Audit del rilascio dei pacchetti della piattaforma di filtro | |||
| Verifica della manipolazione dei handle | |||
| Verifica dell'oggetto del kernel | |||
| Controllo di altri eventi di accesso a oggetti | |||
| Controllo del Registro di sistema | |||
| Controllo di archivi rimovibili | |||
| Verifica SAM | |||
| Verifica Criteri di Accesso Centrali in Fase di Prova |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Modifica dei criteri | |||
| Controllo modifica ai criteri di audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo della modifica alla politica di autenticazione | Yes | No |
Yes | No |
Yes | Yes |
| Verifica della modifica della politica di autorizzazione | |||
| Modifica della politica della piattaforma di filtro di controllo | |||
| Verifica modifica della politica a livello di regola MPSSVC | Yes |
||
| Verifica altri eventi di modifica delle politiche |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Utilizzo dei privilegi | |||
| verifica l'utilizzo dei privilegi non sensibili | |||
| Controlla Altri eventi di utilizzo dei privilegi | |||
| Verifica l'utilizzo dei privilegi sensibili |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Sistema | |||
| Controlla Driver IPSec | Yes | Yes |
Yes | Yes |
|
| Controllo di altri eventi di sistema | Yes | Yes |
||
| Controllo della modifica allo stato di sicurezza | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo dell’estensione del sistema di sicurezza | Yes | Yes |
Yes | Yes |
|
| Verifica dell'integrità del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Verifica dell'accesso agli oggetti globali | |||
| Controlla Driver IPSec | |||
| Controllo di altri eventi di sistema | |||
| Controllo della modifica allo stato di sicurezza | |||
| Controllo dell’estensione del sistema di sicurezza | |||
| Controlla l'integrità del sistema |
1 A partire da Windows 10 versione 1809, l'accesso al controllo è abilitato per impostazione predefinita sia per operazione riuscita che per errore. Nelle versioni precedenti di Windows, solo Success è abilitato per impostazione predefinita.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008 Raccomandazioni per le impostazioni di audit
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso account | |||
| Controllare la convalida delle credenziali | No | No |
Yes | Yes |
Yes | Yes |
| Controllo del servizio di autenticazione Kerberos | Yes | Yes |
||
| Controllo delle operazioni dei ticket di servizio Kerberos | Yes | Yes |
||
| Verifica Eventi di accesso ad altri account | Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Gestione dell'account | |||
| Revisione della gestione dei gruppi di applicazioni | |||
| Controllo della gestione degli account del computer | Yes | DC |
Yes | Yes |
|
| Verifica della gestione dei gruppi di distribuzione | |||
| Revisione di altri eventi di gestione account | Yes | Yes |
Yes | Yes |
|
| Audit della gestione dei gruppi di sicurezza | Yes | Yes |
Yes | Yes |
|
| Revisione della gestione degli account utente | Yes | No |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Rilevamento dettagliato | |||
| Controlla Attività DPAPI | Yes | Yes |
||
| Verifica del Processo di Creazione | Yes | No |
Yes | Yes |
|
| Terminazione del processo di audit | |||
| Controlla Eventi RPC |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso DS | |||
| Verifica dettagliata della replica del servizio di directory | |||
| Verifica dell'accesso ai servizi di directory | DC | DC |
DC | DC |
|
| Verifica delle modifiche al servizio directory | DC | DC |
DC | DC |
|
| Verifica replica del servizio di directory |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso e disconnessione | |||
| Verifica Blocco Account | Yes | No |
Yes | No |
|
| Controllo delle attestazioni utente/dispositivo | |||
| Controlla Modalità estesa IPsec | |||
| Controlla Modalità principale IPsec | IF | IF |
||
| Controllo della modalità rapida IPsec | |||
| Controlla Fine sessione | Yes | No |
Yes | No |
Yes | No |
| Controllo dell’accesso | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Controlla Server dei criteri di rete | Yes | Yes |
||
| Controllo di altri eventi di accesso/disconnessione | Yes | Yes |
||
| Controlla Accesso speciale | Yes | No |
Yes | No |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Accesso oggetto | |||
| Controlla Generato dall'applicazione | |||
| Controllo dei servizi di certificazione | |||
| Controllo della condivisione file dettagliata | |||
| Controllo della condivisione file | |||
| Controllo del file system | |||
| Controllo della connessione della piattaforma filtro | |||
| Controllo del rilascio del pacchetto della piattaforma filtro | |||
| Verifica della manipolazione degli handle | |||
| Controllo dell’oggetto kernel | |||
| Controllo di altri eventi di accesso a oggetti | |||
| Verifica del Registro di sistema | |||
| Controllo di archivi rimovibili | |||
| Controllo SAM | |||
| Controlla Gestione temporanea Criteri di accesso centrale |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Modifica dei criteri | |||
| Revisione modifica dei criteri | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo della modifica ai criteri di autenticazione | Yes | No |
Yes | No |
Yes | Yes |
| Modifica della politica di autorizzazione della verifica | |||
| Controllo della modifica ai criteri della piattaforma filtro | |||
| Verifica modifica criteri di livello della regola MPSSVC | Yes |
||
| Verifica altri eventi di modifica delle politiche |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Utilizzo dei privilegi | |||
| Verifica dell'utilizzo di privilegi non sensibili | |||
| Controlla Altri eventi di utilizzo dei privilegi | |||
| Controllo dell'uso di privilegi sensibili |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Di sistema | |||
| Controlla Driver IPSec | Yes | Yes |
Yes | Yes |
|
| Controllo di altri eventi di sistema | Yes | Yes |
||
| Controllo della modifica allo stato di sicurezza | Yes | No |
Yes | Yes |
Yes | Yes |
| Controllo dell’estensione del sistema di sicurezza | Yes | Yes |
Yes | Yes |
|
| Verifica l'integrità del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria di criteri di controllo o sottocategoria | Impostazioni predefinite di Windows
|
Raccomandazione di base
|
Raccomandazione avanzata
|
|---|---|---|---|
| Controllo dell'accesso oggetti globali | |||
| Controlla Driver IPSec | |||
| Controllo di altri eventi di sistema | |||
| Controllo della modifica allo stato di sicurezza | |||
| Controllo dell’estensione del sistema di sicurezza | |||
| Verifica l'integrità del sistema |
Impostare i criteri di controllo su workstation e server
Tutti i piani di gestione del registro eventi devono monitorare workstation e server. Un errore comune consiste nel monitorare solo i server o i controller di dominio. Poiché l'hacking dannoso avviene spesso inizialmente sulle workstation, il mancato monitoraggio delle workstation rappresenta un'ignoranza della migliore e più precoce fonte di informazioni.
Gli amministratori devono esaminare e testare in modo ponderato i criteri di controllo prima dell'implementazione nell'ambiente di produzione.
Eventi da monitorare
Un ID evento perfetto per generare un avviso di sicurezza deve contenere gli attributi seguenti:
Probabilità elevata che l'occorrenza indichi un'attività non autorizzata
Numero ridotto di falsi positivi
L'occorrenza dovrebbe comportare una risposta investigativa/forense
È consigliabile monitorare e avvisare due tipi di eventi:
Gli eventi in cui anche una singola occorrenza indica un'attività non autorizzata
Accumularsi di eventi oltre una baseline prevista e accettata
Un esempio del primo evento è:
Se gli amministratori di dominio (DA) non sono autorizzati ad accedere a computer che non sono controller di dominio, una singola occorrenza di un membro DA che accede a una workstation dell'utente finale deve generare un avviso ed essere analizzata. Questo tipo di avviso è facile da generare usando l'evento Audit Special Logon 4964 (i gruppi speciali sono stati assegnati a un nuovo accesso). Altri esempi di avvisi a istanza singola includono:
Se server A non deve mai connettersi al server B, avvisare quando si connettono tra loro.
Avvisa se un normale account utente finale viene aggiunto in modo imprevisto a un gruppo di sicurezza sensibile.
Se i dipendenti nella sede della fabbrica non lavorano mai di notte, avvisa quando un utente accede alle mezzanotte.
Avvisa se un servizio non autorizzato è installato in un controller di dominio.
Esaminare se un utente finale normale tenta di accedere direttamente a un SQL Server senza avere un valido motivo per farlo.
Nel caso in cui non ci siano membri nel gruppo DA e qualcuno si aggiunge da solo, verificarlo immediatamente.
Un esempio del secondo evento è:
Un numero aberrante di accessi non riusciti potrebbe indicare un attacco di rilevamento delle password. Affinché un'azienda fornisca un avviso per un numero insolitamente elevato di accessi non riusciti, deve prima comprendere i normali livelli di accessi non riusciti all'interno del proprio ambiente prima di un evento di sicurezza dannoso.
Per un elenco completo degli eventi da includere quando si monitorano i segni di compromissione, vedere Appendice L: Eventi da monitorare.
Oggetti e attributi di Active Directory da monitorare
Di seguito sono riportati gli account, i gruppi e gli attributi da monitorare per rilevare i tentativi di compromissione dell'installazione di Active Directory Domain Services.
Sistemi per la disabilitazione o la rimozione di software antivirus e antimalware (riavviare automaticamente la protezione quando è disabilitato manualmente)
Account amministratore per modifiche non autorizzate
Attività eseguite tramite account con privilegi (rimuovere automaticamente l'account quando vengono rilevate attività sospette o il tempo assegnato è scaduto)
Account con privilegi e vip in Servizi di dominio Active Directory. Monitorare le modifiche, in particolare le modifiche apportate agli attributi nella scheda Account, ad esempio cn, name, sAMAccountName, userPrincipalName o userAccountControl. Oltre a monitorare gli account, limitare gli utenti autorizzati a modificare gli account in un set di utenti amministratori il più piccolo possibile.
Fare riferimento all'Appendice L: Eventi da monitorare per un elenco di eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.
Raggruppare i server in base alla classificazione dei carichi di lavoro, in modo da identificare rapidamente i server che devono essere i più monitorati e configurati in modo più rigoroso
Modifiche alle proprietà e all'appartenenza ai gruppi di Active Directory Domain Services seguenti: Enterprise Admins (EA), Domain Admins (DA), Administrators (BA) e Schema Admins (SA)
Account con privilegi disabilitati (ad esempio account amministratore predefiniti in Active Directory e nei sistemi membri) per abilitare gli account
Account di gestione per registrare tutte le scritture nell'account
Configurazione guidata di sicurezza integrata per configurare le impostazioni del servizio, del Registro di sistema, dell'audit e del firewall per ridurre la superficie di attacco del server. Usare questa procedura guidata se si implementa un *jump server* come parte della strategia relativa agli host amministrativi.
Informazioni aggiuntive per il monitoraggio di Active Directory Domain Services
Per altre informazioni sul monitoraggio di Active Directory Domain Services, vedere i collegamenti seguenti:
Controllo dell'accesso agli oggetti globali è Magic - Fornisce informazioni sulla configurazione e sull'uso della configurazione avanzata dei criteri di controllo aggiunti a Windows 7 e Windows Server 2008 R2.
Introduzione di modifiche di controllo in Windows 2008 - Introduce le modifiche di controllo apportate in Windows 2008.
Trucchi interessanti di auditing in Vista e 2008 - Illustra le nuove funzionalità di auditing in Windows Vista e Windows Server 2008 che possono essere usate per la risoluzione dei problemi o per vedere cosa accade nel tuo ambiente.
Punto di accesso centralizzato per il controllo in Windows Server 2008 e Windows Vista - Contiene una raccolta di informazioni e funzionalità di controllo di Windows Server 2008 e Windows Vista.
Guida dettagliata al controllo di Active Directory Domain Services - Descrive la nuova funzionalità di controllo di Active Directory Domain Services in Windows Server 2008. Fornisce inoltre procedure per implementare questa nuova funzionalità.
Elenco generale delle criticità relative alle raccomandazioni relative all'ID evento di sicurezza
Tutte le raccomandazioni relative all'ID evento sono accompagnate da una classificazione di criticità come indicato di seguito:
Alta: gli ID evento con una classificazione di criticità elevata devono sempre essere segnalati ed esaminati immediatamente.
Media: un ID evento con una classificazione di criticità media potrebbe indicare attività dannose, ma deve essere accompagnato da un'altra anomalia (ad esempio, un numero insolito che si verifica in un determinato periodo di tempo, occorrenze impreviste o occorrenze in un computer che normalmente non dovrebbe registrare l'evento). Un evento di media criticità può anche essere raccolto come metrica e confrontato nel tempo.
Bassa: e l'ID evento con eventi di bassa criticità non devono raccogliere attenzione o causare avvisi, a meno che non siano correlati a eventi di criticità medio o alta.
Queste raccomandazioni sono progettate per fornire una guida di base per l'amministratore. Tutte le raccomandazioni devono essere esaminate attentamente prima dell'implementazione in un ambiente di produzione.
Fare riferimento a Appendice L: Eventi da monitorare per un elenco degli eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.