稽核原則建議
本節說明 Windows 的預設稽核原則設定、建議的基準稽核原則設定,以及 Microsoft 針對工作站和伺服器產品提出的積極建議。
此處顯示的 SCM 基準建議以及我們建議用來協助偵測入侵的設定,僅供系統管理員作為起始基準指南。 每個組織都必須就其面臨的威脅、可接受的風險承受度,以及應啟用的稽核原則類別或子類別,自行做出本身的決策。 如需關於威脅的詳細資訊,請參閱威脅和對策指南。 系統管理員若尚未擬定稽核原則,建議先從此處建議的設定開始著手,並在修改和測試後,再於生產環境中實作。
這些建議適用於企業級電腦,這是 Microsoft 定義為具有一般安全性需求、且需要高階操作功能的電腦。 需要較高安全性需求的實體,應考慮採用更積極的稽核原則。
注意
Microsoft Windows 預設值和基準建議取自 Microsoft Security Compliance Manager 工具。
一般安全性電腦若未遭到已確認的攻擊者或惡意程式碼的有效成功攻擊,建議使用下列基準稽核原則設定。
依作業系統建議的稽核原則
本節包含多個表格,列出適用於下列作業系統的稽核設定建議:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
這些表格包含各個作業系統的 Windows 預設設定、基準建議,以及更積極的建議。
稽核原則表格圖例
| 標記法 | 建議 |
|---|---|
| Yes | 在一般案例中啟用 |
| No | 在一般案例中不啟用 |
| If | 在特定案例中視需要啟用,或在機器上安裝了需要稽核的角色或功能時啟用 |
| DC | 在網域控制站上啟用 |
| [空白] | 不推薦 |
Windows 10、Windows 8 和 Windows 7 稽核設定建議
稽核原則
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 帳戶登入 | |||
| 稽核認證驗證 | No | No |
Yes | No |
Yes | Yes |
| 稽核 Kerberos 驗證服務 | Yes | Yes |
||
| 稽核 Kerberos 服務票證作業 | Yes | Yes |
||
| 稽核其他帳戶登入事件 | Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 帳戶管理 | |||
| 稽核應用程式群組管理 | |||
| 稽核電腦帳戶管理 | Yes | No |
Yes | Yes |
|
| 稽核通訊群組管理 | |||
| 稽核其他帳戶管理事件 | Yes | No |
Yes | Yes |
|
| 稽核安全性群組管理 | Yes | No |
Yes | Yes |
|
| 稽核使用者帳戶管理 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 詳細追蹤 | |||
| 稽核 DPAPI 活動 | Yes | Yes |
||
| 建立稽核程序 | Yes | No |
Yes | Yes |
|
| 稽核程序終止 | |||
| 稽核 RPC 事件 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| DS 存取 | |||
| 稽核詳細目錄服務複寫 | |||
| 稽核目錄服務存取 | |||
| 稽核目錄服務變更 | |||
| 稽核目錄服務複寫 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 登入和登出 | |||
| 稽核帳戶鎖定 | Yes | No |
Yes | No |
|
| 稽核使用者/裝置宣告 | |||
| 稽核 IPsec 延伸模式 | |||
| 稽核 IPsec 主要模式 | IF | IF |
||
| 稽核 IPsec 快速模式 | |||
| 稽核登出 | Yes | No |
Yes | No |
Yes | No |
| 稽核登入 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 稽核網路原則伺服器 | Yes | Yes |
||
| 稽核其他登入/登出事件 | |||
| 稽核特殊登入 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 物件存取 | |||
| 已產生稽核應用程式 | |||
| 稽核認證服務 | |||
| 稽核詳細檔案共用 | |||
| 稽核檔案共享 | |||
| 稽核檔案系統 | |||
| 稽核篩選平台連線 | |||
| 稽核篩選平台封包卸除 | |||
| 稽核控制代碼操作 | |||
| 稽核核心物件 | |||
| 稽核其他物件存取事件 | |||
| 稽核登錄 | |||
| 稽核卸除式存放裝置 | |||
| 稽核 SAM | |||
| 稽核中央存取原則階段 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 原則變更 | |||
| 稽核稽核原則變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核驗證原則變更 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核授權原則變更 | |||
| 稽核篩選平台原則變更 | |||
| 稽核 MPSSVC 規則層級原則變更 | Yes |
||
| 稽核其他原則變更事件 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 權限使用 | |||
| 稽核非機密特殊權限使用情況 | |||
| 稽核其他特殊權限使用事件 | |||
| 稽核機密特殊權限使用情況 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 系統 | |||
| 稽核 IPsec 驅動程式 | Yes | Yes |
Yes | Yes |
|
| 稽核其他系統事件 | Yes | Yes |
||
| 稽核安全性狀態變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核安全性系統延伸模組 | Yes | Yes |
Yes | Yes |
|
| 稽核系統整合性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 全域物件存取稽核 | |||
| 稽核 IPsec 驅動程式 | |||
| 稽核其他系統事件 | |||
| 稽核安全性狀態變更 | |||
| 稽核安全性系統延伸模組 | |||
| 稽核系統整合性 |
1 從 Windows 10 1809 版開始,根據預設,「成功」和「失敗」都會啟用稽核登入。 在舊版的 Windows 中,依預設只會啟用「成功」。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 和 Windows Server 2008 稽核設定建議
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 帳戶登入 | |||
| 稽核認證驗證 | No | No |
Yes | Yes |
Yes | Yes |
| 稽核 Kerberos 驗證服務 | Yes | Yes |
||
| 稽核 Kerberos 服務票證作業 | Yes | Yes |
||
| 稽核其他帳戶登入事件 | Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 帳戶管理 | |||
| 稽核應用程式群組管理 | |||
| 稽核電腦帳戶管理 | Yes | DC |
Yes | Yes |
|
| 稽核通訊群組管理 | |||
| 稽核其他帳戶管理事件 | Yes | Yes |
Yes | Yes |
|
| 稽核安全性群組管理 | Yes | Yes |
Yes | Yes |
|
| 稽核使用者帳戶管理 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 詳細追蹤 | |||
| 稽核 DPAPI 活動 | Yes | Yes |
||
| 建立稽核程序 | Yes | No |
Yes | Yes |
|
| 稽核程序終止 | |||
| 稽核 RPC 事件 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| DS 存取 | |||
| 稽核詳細目錄服務複寫 | |||
| 稽核目錄服務存取 | DC | DC |
DC | DC |
|
| 稽核目錄服務變更 | DC | DC |
DC | DC |
|
| 稽核目錄服務複寫 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 登入和登出 | |||
| 稽核帳戶鎖定 | Yes | No |
Yes | No |
|
| 稽核使用者/裝置宣告 | |||
| 稽核 IPsec 延伸模式 | |||
| 稽核 IPsec 主要模式 | IF | IF |
||
| 稽核 IPsec 快速模式 | |||
| 稽核登出 | Yes | No |
Yes | No |
Yes | No |
| 稽核登入 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 稽核網路原則伺服器 | Yes | Yes |
||
| 稽核其他登入/登出事件 | Yes | Yes |
||
| 稽核特殊登入 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 物件存取 | |||
| 已產生稽核應用程式 | |||
| 稽核認證服務 | |||
| 稽核詳細檔案共用 | |||
| 稽核檔案共享 | |||
| 稽核檔案系統 | |||
| 稽核篩選平台連線 | |||
| 稽核篩選平台封包卸除 | |||
| 稽核控制代碼操作 | |||
| 稽核核心物件 | |||
| 稽核其他物件存取事件 | |||
| 稽核登錄 | |||
| 稽核卸除式存放裝置 | |||
| 稽核 SAM | |||
| 稽核中央存取原則階段 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 原則變更 | |||
| 稽核稽核原則變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核驗證原則變更 | Yes | No |
Yes | No |
Yes | Yes |
| 稽核授權原則變更 | |||
| 稽核篩選平台原則變更 | |||
| 稽核 MPSSVC 規則層級原則變更 | Yes |
||
| 稽核其他原則變更事件 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 權限使用 | |||
| 稽核非機密特殊權限使用情況 | |||
| 稽核其他特殊權限使用事件 | |||
| 稽核機密特殊權限使用情況 |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 系統 | |||
| 稽核 IPsec 驅動程式 | Yes | Yes |
Yes | Yes |
|
| 稽核其他系統事件 | Yes | Yes |
||
| 稽核安全性狀態變更 | Yes | No |
Yes | Yes |
Yes | Yes |
| 稽核安全性系統延伸模組 | Yes | Yes |
Yes | Yes |
|
| 稽核系統整合性 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 稽核原則類別或子類別 | Windows 預設值
|
基準建議
|
更積極的建議
|
|---|---|---|---|
| 全域物件存取稽核 | |||
| 稽核 IPsec 驅動程式 | |||
| 稽核其他系統事件 | |||
| 稽核安全性狀態變更 | |||
| 稽核安全性系統延伸模組 | |||
| 稽核系統整合性 |
設定工作站和伺服器的稽核原則
所有事件記錄檔管理計劃都應監視工作站和伺服器。 常見的錯誤是僅監視伺服器或網域控制站。 由於惡意駭客攻擊最初往往會在工作站上發生,未監視工作站就錯失了最佳且最早的資訊來源。
對於任何稽核原則,系統管理員均應先仔細檢閱並測試,再將其實作於生產環境中。
要監視的事件
理想情況下,產生安全性警示的事件識別碼應包含下列屬性:
發生時很可能表示有未經授權的活動
誤判數字低
發生時應會產生調查/鑑識回應
應監視和發出警示的事件有兩種:
發生一次即表示有未經授權活動的事件
累積的事件高於預期和接受的基準
第一個事件的範例如下:
如果禁止 Domain Admins (DA) 登入不是網域控制站的電腦,則一旦有任何 DA 成員登入使用者工作站,即應產生警示並受到調查。 使用稽核特殊登入事件 4964 (特殊群組已指派給新的登入),可輕鬆產生此類型的警示。 單一執行個體警示的其他範例包括:
如果伺服器 A 絕不應連線至伺服器 B,則在彼此連線時發出警示。
如果一般使用者帳戶非預期地新增至敏感安全性群組,則發出警示。
如果廠區 A 的員工絕不會在夜間工作,則在使用者於午夜登入時發出警示。
如果網域控制站上安裝未經授權的服務,則發出警示。
如果一般使用者嘗試直接登入他們沒有正當理由需登入的 SQL Server,則加以調查。
如果您的 DA 群組中沒有成員,而有人將自己新增至其中,則立即加以檢查。
第二個事件的範例如下:
若失敗登入次數異常,可能表示有密碼猜測攻擊。 企業若要針對異常偏高的失敗登入次數發出警示,他們必須在惡意安全性事件發生之前先了解其環境中正常的失敗登入次數。
如需在監視入侵跡象時所應包含的完整事件清單,請參閱附錄 L:要監視的事件。
要監視的 Active Directory 物件和屬性
以下說明您應監視哪些帳戶、群組和屬性,以利偵測嘗試入侵 Active Directory Domain Services 安裝的行為。
停用或移除防毒軟體和反惡意程式碼軟體的系統 (在保護手動停用時自動重新啟動)
系統管理員帳戶發生未經授權的變更時
使用特殊權限帳戶執行的活動 (當可疑活動完成或分配的時間結束後自動移除帳戶)
AD DS 中的特殊權限帳戶和 VIP 帳戶。 監視變更,尤其是 [帳戶] 索引標籤上的屬性變更 (例如 cn、name、sAMAccountName、userPrincipalName 或 userAccountControl)。 除了監視帳戶以外,請將可修改帳戶的人員限定為盡可能少的一組系統管理使用者。
請參閱附錄 L:要監視的事件,以取得要監視的建議事件清單、其嚴重性評等,以及事件訊息摘要。
您也可以依工作負載分類將伺服器分成群組,以快速識別最須嚴密監控並嚴格設定的伺服器
變更下列 AD DS 群組的屬性和成員資格:Enterprise Admins (EA)、Domain Admins (DA)、Administrators (BA) 和 Schema Admins (SA)
停用特殊權限帳戶 (例如 Active Directory 和成員系統的內建 Administrator 帳戶) 以啟用帳戶
管理帳戶記錄對帳戶的所有寫入
內建安全性設定精靈設定服務、登錄、稽核和防火牆設定,以減少伺服器的受攻擊面。 如果您在系統管理主機策略中實作跳躍伺服器,請使用此精靈。
關於監視 Active Directory Domain Services 的其他資訊
如需關於監視 AD DS 的其他資訊,請檢閱下列連結:
全域物件存取稽核是魔術 - 說明如何設定和使用已新增至 Windows 7 和 Windows Server 2008 R2 的進階稽核原則設定。
介紹 Windows 2008 中的稽核變更 - 介紹 Windows 2008 中所做的稽核變更。
Vista 和 2008 中的非經常性稽核技巧 - 說明 Windows Vista 和 Windows Server 2008 中有趣的新增稽核功能,可用來對問題進行疑難排解,或查看環境中發生的情況。
Windows Server 2008 和 Windows Vista 中用於稽核的一站式商店 - 包含編譯 Windows Server 2008 和 Windows Vista 中所包含的稽核功能和資訊。
AD DS 稽核逐步指南 - 描述 Windows Server 2008 中新的 Active Directory Domain Services (AD DS) 稽核功能。 此外也提供實作這項新功能的程序。
安全性事件識別碼建議嚴重性的一般清單
所有事件識別碼建議都附有嚴重性評等,如下所示:
高:具有高嚴重性評等的事件識別碼一律應立即發出警示並受到調查。
中等:具有中等嚴重性評等的事件識別碼可能表示惡意活動,但必須伴隨其他某種異常狀況 (例如,在特定時段內發生了異常的次數、非預期地發生,或在通常不會記錄事件的電腦上發生)。 系統也可以收集中等嚴重性事件的計量,並隨著時間的推移加以比較。
低:具有低嚴重性事件的事件識別碼若未與中等或高嚴重性事件相關,則不應引起關注或產生警示。
這些建議旨在為系統管理員提供基準指南。 所有建議在生產環境中實作之前,均應先徹底審視。
請參閱附錄 L:要監視的事件,以取得要監視的建議事件清單、其嚴重性評等,以及事件訊息摘要。