Rekommendationer för granskningsprinciper
I det här avsnittet beskrivs standardinställningarna för Windows-granskningsprinciper, rekommenderade inställningar för granskningsprinciper och de mer aggressiva rekommendationerna från Microsoft för arbetsstations- och serverprodukter.
De SCM-baslinjerekommendationer som visas här, tillsammans med de inställningar som vi rekommenderar för att identifiera kompromisser, är endast avsedda att vara en startbaslinjeguide för administratörer. Varje organisation måste fatta sina egna beslut om de hot de står inför, deras acceptabla risktoleranser och vilka granskningsprincipkategorier eller underkategorier de ska aktivera. Mer information om hot finns i guiden Hot och motåtgärder. Administratörer utan en genomtänkt granskningsprincip på plats uppmanas att börja med de inställningar som rekommenderas här och sedan ändra och testa innan de implementerar i sin produktionsmiljö.
Rekommendationerna gäller för datorer i företagsklass, som Microsoft definierar som datorer som har genomsnittliga säkerhetskrav och som kräver en hög driftsfunktionsnivå. Entiteter som behöver högre säkerhetskrav bör överväga mer aggressiva granskningsprinciper.
Anmärkning
Standardvärden för Microsoft Windows och baslinjerekommendationer hämtades från Microsoft Security Compliance Manager-verktyget.
Följande inställningar för baslinjegranskningsprinciper rekommenderas för normala säkerhetsdatorer som inte är kända för att vara under aktiv, lyckad attack av bestämda angripare eller skadlig kod.
Rekommenderade granskningsprinciper efter operativsystem
Det här avsnittet innehåller tabeller som visar de rekommendationer för granskningsinställningar som gäller för följande operativsystem:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Dessa tabeller innehåller Standardinställningen för Windows, baslinjerekommendationerna och de starkare rekommendationerna för dessa operativsystem.
Förklaring av granskningsprinciptabeller
| Notation | Rekommendation |
|---|---|
| Ja | Aktivera i allmänna scenarier |
| Nej | Aktivera inte i allmänna scenarier |
| Om | Aktivera om det behövs för ett specifikt scenario, eller om en roll eller funktion för vilken granskning önskas är installerad på datorn |
| DC | Aktivera på domänkontrollanter |
| [Tom] | Ingen rekommendation |
Rekommendationer för granskningsinställningar för Windows 10, Windows 8 och Windows 7
granskningsprincip
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Kontoinloggning | |||
| Granska verifiering av autentiseringsuppgifter | No | No |
Yes | No |
Yes | Yes |
| Granska Kerberos-autentiseringstjänst | Yes | Yes |
||
| Granska Kerberos Service Ticket Operations | Yes | Yes |
||
| Granska andra kontoinloggningshändelser | Yes | Yes |
| Granska principkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Kontohantering | |||
| Granska programgruppshantering | |||
| Granska hantering av datorkonto | Yes | No |
Yes | Yes |
|
| Granska hantering av distributionsgrupp | |||
| Granska andra kontohanteringshändelser | Yes | No |
Yes | Yes |
|
| Granska hantering av säkerhetsgrupp | Yes | No |
Yes | Yes |
|
| Granska hantering av användarkonto | Yes | No |
Yes | No |
Yes | Yes |
| Revisionsprincipkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Detaljerad spårning | |||
| Granska DPAPI-aktivitet | Yes | Yes |
||
| Revision av processgenerering | Yes | No |
Yes | Yes |
|
| Avslutning av granskningsprocess | |||
| Granska RPC-händelser |
| Revisionspolicykategori eller underkategori | Windows standardinställning
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| DS-åtkomst | |||
| Granska detaljerad katalogtjänstreplikering | |||
| Granska katalogtjänståtkomst | |||
| Granska ändringar av katalogtjänst | |||
| Granska replikering av katalogtjänst |
| Revisionskategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Inloggning och utloggning | |||
| Revidera kontoutelåsning | Yes | No |
Yes | No |
|
| Granska användar-/enhetsanspråk | |||
| Granska utökat IPsec-läge | |||
| Granska huvudläget för IPsec | IF | IF |
||
| Granska snabbläge för IPsec | |||
| Granska utloggning | Yes | No |
Yes | No |
Yes | No |
| Logga revisionsinloggning 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Granska nätverkspolicyserver | Yes | Yes |
||
| Granska andra inloggnings-/utloggningshändelser | |||
| Övervaka specialinloggning | Yes | No |
Yes | No |
Yes | Yes |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Objektåtkomst | |||
| Granska program som genererats | |||
| Revisionscertifieringstjänster | |||
| Granska detaljerad filresurs | |||
| Granska filresurs | |||
| Granska filsystem | |||
| Granska plattformsanslutning för granskningsfiltrering | |||
| Granska filtrering av plattformspaket | |||
| Manipulering av granskningshandtag | |||
| Granska kernelobjekt | |||
| Granska andra objektåtkomsthändelser | |||
| Granskningsregister | |||
| Granska flyttbar lagring | |||
| Granska SAM | |||
| Granska mellanlagring av central åtkomstprincip |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Principändring | |||
| Granska ändring av granskningsprincip | Yes | No |
Yes | Yes |
Yes | Yes |
| Granska ändring av autentiseringsprincip | Yes | No |
Yes | No |
Yes | Yes |
| Granska ändring av auktoriseringsprincip | |||
| Granska principändring för filtreringsplattform | |||
| Granska ändring av MPSSVC-regelnivåprincip | Yes |
||
| Granska andra principändringshändelser |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Behörighetsanvändning | |||
| Granska användning av icke-känslig behörighet | |||
| Granska andra behörighetsanvändningshändelser | |||
| Granska användning av känsliga privilegier |
| Revisionsprincipkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| System | |||
| Revidera IPsec-drivrutin | Yes | Yes |
Yes | Yes |
|
| Granska andra systemhändelser | Yes | Yes |
||
| Granska ändring av säkerhetsstatus | Yes | No |
Yes | Yes |
Yes | Yes |
| Granska utökning av säkerhetssystem | Yes | Yes |
Yes | Yes |
|
| Revidera systemets integritet | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Granskning av global objektåtkomst | |||
| Revidera IPsec-drivrutin | |||
| Granska andra systemhändelser | |||
| Granska ändring av säkerhetsstatus | |||
| Granska utökning av säkerhetssystem | |||
| Granska systemets integritet |
1 Från och med Windows 10 version 1809 aktiveras granskning av inloggning som standard för både framgång och misslyckande. I tidigare versioner av Windows är endast Framgång aktiverat som standardinställning.
Rekommendationer för granskningsinställningar för Windows Server 2016, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2008
| Revisionspolicykategori eller underkategori | Windows-defaultinställningar
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Kontoinloggning | |||
| Granska verifiering av autentiseringsuppgifter | No | No |
Yes | Yes |
Yes | Yes |
| Granska Kerberos-autentiseringstjänst | Yes | Yes |
||
| Granska Kerberos Servicebiljettoperationer | Yes | Yes |
||
| Granska andra kontoinloggningshändelser | Yes | Yes |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Kontohantering | |||
| Granska programgruppshantering | |||
| Granska hantering av datorkonto | Yes | DC |
Yes | Yes |
|
| Granska hantering av distributionsgrupp | |||
| Granska andra kontohanteringshändelser | Yes | Yes |
Yes | Yes |
|
| Granska hantering av säkerhetsgrupp | Yes | Yes |
Yes | Yes |
|
| Granska hantering av användarkonto | Yes | No |
Yes | Yes |
Yes | Yes |
| Granska principkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Detaljerad spårning | |||
| Granska DPAPI-aktivitet | Yes | Yes |
||
| Granska processgenerering | Yes | No |
Yes | Yes |
|
| Avslutning av granskningsprocess | |||
| Granska RPC-händelser |
| Granska principkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| DS-åtkomst | |||
| Granska detaljerad katalogtjänstreplikering | |||
| Granska katalogtjänståtkomst | DC | DC |
DC | DC |
|
| Granska ändringar av katalogtjänst | DC | DC |
DC | DC |
|
| Granska replikering av katalogtjänst |
| Granska principkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Inloggning och utloggning | |||
| Granska kontoutelåsning | Yes | No |
Yes | No |
|
| Granska användar-/enhetsanspråk | |||
| Granska utökat IPsec-läge | |||
| Granska huvudläget för IPsec | IF | IF |
||
| Granska snabbläge för IPsec | |||
| Granska utloggning | Yes | No |
Yes | No |
Yes | No |
| Inloggningsrevision | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Granska nätverkspolicyserver | Yes | Yes |
||
| Granska andra inloggnings-/utloggningshändelser | Yes | Yes |
||
| Granskning av särskild inloggning | Yes | No |
Yes | No |
Yes | Yes |
| Revisionspolitikkategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Objektåtkomst | |||
| Revisionsapplikation genererad | |||
| Revisionscertifieringstjänster | |||
| Granskning av detaljerad fildelning | |||
| Granska filresurs | |||
| Revisionsfilsystem | |||
| Granskningsfiltreringsplattformanslutning | |||
| Granskning av plattformsfiltrering av paketbortfall | |||
| Manipulering av granskningshandtag | |||
| Granska kernelobjekt | |||
| Granska andra objektåtkomsthändelser | |||
| Granskningsregister | |||
| Granska flyttbar lagring | |||
| Granska SAM | |||
| Granska förberedelse av central åtkomstprincip |
| Granskning av policyskategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Principändring | |||
| Revisionspolicyändring | Yes | No |
Yes | Yes |
Yes | Yes |
| Granska ändring av autentiseringsprincip | Yes | No |
Yes | No |
Yes | Yes |
| Granska ändring av auktoriseringsprincip | |||
| Granska principändring för filtreringsplattform | |||
| Granska ändring av MPSSVC-regelnivåprincip | Yes |
||
| Granska andra principändringshändelser |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Behörighetsanvändning | |||
| Granska användning av icke-känslig behörighet | |||
| Granska andra behörighetsanvändningshändelser | |||
| Granska användning av känsliga privilegier |
| Revisionspolicykategori eller underkategori | Windows-standard
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| System | |||
| Revidera IPsec-drivrutin | Yes | Yes |
Yes | Yes |
|
| Granska andra systemhändelser | Yes | Yes |
||
| Granska ändring av säkerhetsstatus | Yes | No |
Yes | Yes |
Yes | Yes |
| Granska utökning av säkerhetssystem | Yes | Yes |
Yes | Yes |
|
| Granska systemintegritet | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Revisionspolitikskategori eller underkategori | Windows standardinställning
|
Rekommendation för baslinje
|
Starkare rekommendation
|
|---|---|---|---|
| Granskning av global objektåtkomst | |||
| Granska IPsec-drivrutin | |||
| Granska andra systemhändelser | |||
| Granska ändring av säkerhetsstatus | |||
| Granska utökning av säkerhetssystem | |||
| Granska systemintegritet |
Ange granskningsprincip på arbetsstationer och servrar
Alla planer för hantering av händelseloggar bör övervaka arbetsstationer och servrar. Ett vanligt misstag är att endast övervaka servrar eller domänkontrollanter. Eftersom skadlig hackning ofta inträffar på arbetsstationer ignoreras den bästa och tidigaste informationskällan om du inte övervakar arbetsstationer.
Administratörer bör granska och testa alla granskningsprinciper före implementeringen i produktionsmiljön.
Händelser som ska övervakas
Ett perfekt händelse-ID för att generera en säkerhetsavisering bör innehålla följande attribut:
Hög sannolikhet att förekomsten indikerar obehörig aktivitet
Lågt antal falska positiva identifieringar
Förekomsten bör resultera i ett undersöknings-/kriminaltekniskt svar
Två typer av händelser bör övervakas och aviseras:
De händelser där även en enskild förekomst indikerar obehörig aktivitet
En ackumulering av händelser över en förväntad och godkänd baslinje
Ett exempel på den första händelsen är:
Om domänadministratörer (DA) är förbjudna att logga in på datorer som inte är domänkontrollanter, bör en enskild förekomst av en DA-medlem som loggar in på en slutanvändararbetsstation generera en avisering och undersökas. Den här typen av avisering är lätt att generera med hjälp av händelsen Granska särskild inloggning 4964 (Specialgrupper har tilldelats till en ny inloggning). Andra exempel på enstaka instansaviseringar är:
Om Server A aldrig ska ansluta till Server B aviserar du när de ansluter till varandra.
Avisering om ett normalt slutanvändarkonto oväntat läggs till i en känslig säkerhetsgrupp.
Om anställda på fabriksplatsen A aldrig arbetar på natten aviserar du när en användare loggar in vid midnatt.
Avisera om en obehörig tjänst är installerad på en domänkontrollant.
Undersök om en vanlig slutanvändare försöker logga in direkt på en SQL Server som de inte har någon tydlig anledning till.
Om du inte har några medlemmar i din DA-grupp och någon lägger till sig där kontrollerar du det direkt.
Ett exempel på den andra händelsen är:
Ett avvikande antal misslyckade inloggningar kan tyda på ett lösenords gissande angrepp. För att ett företag ska kunna tillhandahålla en avisering för ett ovanligt stort antal misslyckade inloggningar måste de först förstå de normala nivåerna av misslyckade inloggningar i sin miljö före en skadlig säkerhetshändelse.
En omfattande lista över händelser som du bör inkludera när du övervakar tecken på kompromiss finns i Bilaga L: Händelser att övervaka.
Active Directory-objekt och attribut att övervaka
Följande är de konton, grupper och attribut som du bör övervaka för att hjälpa dig att identifiera försök att kompromettera installationen av Active Directory Domain Services.
System för inaktivering eller borttagning av antivirusprogram och program mot skadlig kod (automatiskt omstartsskydd när det inaktiveras manuellt)
Administratörskonton för obehöriga ändringar
Aktiviteter som utförs med hjälp av privilegierade konton (ta automatiskt bort kontot när misstänkta aktiviteter har slutförts eller den tilldelade tiden har upphört att gälla)
Privilegierade och VIP-konton i AD DS. Övervaka ändringar, särskilt ändringar av attribut på fliken Konto (till exempel cn, name, sAMAccountName, userPrincipalName eller userAccountControl). Förutom att övervaka kontona begränsar du vem som kan ändra kontona till en så liten uppsättning administrativa användare som möjligt.
Se bilaga L: Händelser till övervaka för en lista över rekommenderade händelser att övervaka, deras klassificeringar av allvarlighetsgrad och en sammanfattning av händelsemeddelanden.
Gruppera servrar efter klassificering av deras arbetsbelastningar, vilket gör att du snabbt kan identifiera de servrar som ska övervakas mest noggrant och konfigureras strikt
Ändringar av egenskaper och medlemskap i följande AD DS-grupper: Företagsadministratörer (EA), domänadministratörer (DA), administratörer (BA) och schemaadministratörer (SA)
Inaktiverade privilegierade konton (till exempel inbyggda administratörskonton i Active Directory och i medlemssystem) för att aktivera kontona
Administratörskonton för att logga alla skrivoperationer till kontot
Inbyggd guide för säkerhetskonfiguration för att konfigurera tjänst-, register-, gransknings- och brandväggsinställningar för att minska serverns attackyta. Använd den här guiden om du implementerar jump-servrar som en del av din administrativa värdstrategi.
Ytterligare information för övervakning av Active Directory Domain Services
Läs följande länkar för ytterligare information om övervakning av AD DS:
Global objektåtkomstgranskning är Magisk – innehåller information om hur du konfigurerar och använder konfiguration av avancerad granskningsprincip som lades till i Windows 7 och Windows Server 2008 R2.
Introduktion till granskningsändringar i Windows 2008 – Introducerar granskningsändringar som gjorts i Windows 2008.
Cool Auditing Tricks i Vista och 2008 – Förklarar intressanta nya funktioner för granskning i Windows Vista och Windows Server 2008 som kan användas för att felsöka problem eller se vad som händer i din miljö.
One-Stop Shop for Auditing i Windows Server 2008 och Windows Vista – innehåller en sammanställning av granskningsfunktioner och information som finns i Windows Server 2008 och Windows Vista.
Steg-för-steg-guide för AD DS-granskning – Beskriver den nya granskningsfunktionen för Active Directory Domain Services (AD DS) i Windows Server 2008. Den innehåller också procedurer för att implementera den här nya funktionen.
Allmän lista över säkerhetshändelse-ID:ers rekommendationer och kritikaliteter
Alla händelse-ID-rekommendationer åtföljs av en allvarlighetsgrad enligt följande:
Hög: Händelse-ID:er med hög allvarlighetsgrad bör alltid och omedelbart aviseras och undersökas.
Medium: Ett händelse-ID med medelhög allvarlighetsgrad kan tyda på skadlig aktivitet, men det måste åtföljas av andra avvikelser (till exempel ett ovanligt antal som inträffar under en viss tidsperiod, oväntade händelser eller förekomster på en dator som normalt inte förväntas logga händelsen.). En medelkritisk händelse kan också samlas in som ett mått och jämföras över tid.
Låg: Händelse-ID med låg allvarlighetsgrad bör inte få uppmärksamhet eller orsaka aviseringar, såvida det inte är korrelerat med händelser med medelhög eller hög kritiskhet.
Dessa rekommendationer är avsedda att tillhandahålla en baslinjeguide för administratören. Alla rekommendationer bör granskas noggrant före implementeringen i en produktionsmiljö.
Se bilaga L: Händelser att övervaka för en lista över de rekommenderade händelser som ska övervakas, deras kritiskhetsklassificeringar och en sammanfattning av händelsemeddelandet.