Rekomendasi Kebijakan Audit

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7

Bagian ini membahas pengaturan kebijakan audit default Windows, pengaturan kebijakan audit yang direkomendasikan garis besar, dan rekomendasi yang lebih agresif dari Microsoft, untuk produk stasiun kerja dan server.

Rekomendasi garis besar SCM yang ditunjukkan di sini, bersama dengan pengaturan yang kami sarankan untuk membantu mendeteksi penyusupan, hanya dimaksudkan untuk menjadi panduan dasar awal bagi administrator. Setiap organisasi harus membuat keputusan sendiri mengenai ancaman yang mereka hadapi, toleransi risiko yang dapat diterima, dan kategori kebijakan audit atau subkatoner apa yang harus mereka aktifkan. Untuk informasi lebih lanjut tentang ancaman, lihat Panduan Ancaman dan Penanggulangan. Administrator tanpa kebijakan audit yang bijaksana didorong untuk memulai dengan pengaturan yang direkomendasikan di sini, dan kemudian untuk memodifikasi dan menguji, sebelum menerapkan di lingkungan produksi mereka.

Rekomendasinya adalah untuk komputer kelas perusahaan, yang didefinisikan Microsoft sebagai komputer yang memiliki persyaratan keamanan rata-rata dan memerlukan tingkat fungsionalitas operasional yang tinggi. Entitas yang membutuhkan persyaratan keamanan yang lebih tinggi harus mempertimbangkan kebijakan audit yang lebih agresif.

Catatan

Microsoft Windows default dan rekomendasi garis besar diambil dari alat Microsoft Security Compliance Manager.

Pengaturan kebijakan audit garis besar berikut direkomendasikan untuk komputer keamanan normal yang tidak diketahui sedang aktif, berhasil diserang oleh adversaries atau malware yang ditentukan.

Bagian ini berisi tabel yang mencantumkan rekomendasi pengaturan audit yang berlaku untuk sistem operasi berikut:

  • Server Windows 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Tabel ini berisi pengaturan default Windows, rekomendasi garis besar, dan rekomendasi yang lebih kuat untuk sistem operasi ini.

Mengaudit Legenda Tabel Kebijakan

Notasi Rekomendasi
YA Aktifkan dalam skenario umum
TIDAK Jangan aktifkan dalam skenario umum
JIKA Aktifkan jika diperlukan untuk skenario tertentu, atau jika peran atau fitur yang diinginkan audit diinstal pada komputer
DC Aktifkan pada pengendali domain
[Kosong] Tidak ada rekomendasi

Windows 10, Windows 8, dan Pengaturan Rekomendasi Audit Windows 7

Kebijakan Audit

Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Logon Akun
Mengaudit Validasi Informasi Masuk No \ | No Yes \ | No Yes \ | Yes
Mengaudit Layanan Autentikasi Kerberos Yes \ | Yes
Mengaudit Operasi Tiket Layanan Kerberos Yes \ | Yes
Mengaudit Peristiwa Masuk Akun Lain Yes \ | Yes
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Manajemen Akun
Mengaudit Manajemen Grup Aplikasi
Mengaudit Manajemen Akun Komputer Yes \| No Yes \| Yes
Mengaudit Manajemen Grup Distribusi
Mengaudit Manajemen Akun Lainnya Yes \| No Yes \| Yes
Mengaudit Manajemen Kelompok Keamanan Yes \| No Yes \| Yes
Mengaudit Manajemen Akun Pengguna Yes \| No Yes \| No Yes \| Yes
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Pelacakan Mendetail
Mengaudit Aktivitas DPAPI Yes \| Yes
Mengaudit Pembuatan Proses Yes \| No Yes \| Yes
Penghentian Proses Audit
Mengaudit Peristiwa RPC
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Akses DS
Mengaudit Replikasi Layanan Direktori Terperinci
Mengaudit Akses Layanan Direktori
Mengaudit Perubahan Layanan Direktori
Mengaudit Replikasi Layanan Direktori
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Masuk dan Keluar
Mengaudit Penguncian Akun Yes \| No Yes \| No
Mengaudit Klaim Pengguna/Perangkat
Mengaudit Mode Perluasan IPsec
Mengaudit Mode Utama IPsec IF \| IF
Mengaudit Mode Cepat IPsec
Mengaudit Logoff Yes \| No Yes \| No Yes \| No
Log Masuk Audit 1 Yes \| Yes Yes \| Yes Yes \| Yes
Mengaudit Server Kebijakan Jaringan Yes \| Yes
Mengaudit Peristiwa Logon/Logoff Lainnya
Mengaudit Logon Khusus Yes \| No Yes \| No Yes \| Yes
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Akses Objek
Mengaudit Aplikasi yang Dibuat
Mengaudit Layanan Sertifikasi
Mengaudit Berbagi File Terperinci
Mengaudit Berbagi File
Mengaudit Sistem File
Mengaudit Sambungan Platform Pemfilteran
Mengaudit Pelepasan Paket Platform Pemfilteran
Manipulasi Handel Audit
Mengaudit Objek Kernel
Mengaudit Peristiwa Akses Objek Lainnya
Mengaudit Registri
Mengaudit Penyimpanan yang Dapat Dilepas
Mengaudit SAM
Mengaudit Penahapan Kebijakan Akses Pusat
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Perubahan Kebijakan
Mengaudit Perubahan Kebijakan Audit Yes \| No Yes \| Yes Yes \| Yes
Mengaudit Perubahan Kebijakan Autentikasi Yes \| No Yes \| No Yes \| Yes
Mengaudit Perubahan Kebijakan Otorisasi
Mengaudit Perubahan Kebijakan Platform Pemfilteran
Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC Ya
Mengaudit Peristiwa Perubahan Kebijakan Lainnya
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Penggunaan Hak Istimewa
Mengaudit Penggunaan Hak Istimewa Non-Sensitif
Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya
Mengaudit Penggunaan Hak Istimewa Sensitif
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Sistem
Mengaudit Driver IPsec Yes \| Yes Yes \| Yes
Mengaudit Peristiwa Sistem Lainnya Yes \| Yes
Mengaudit Perubahan Status Keamanan Yes \| No Yes \| Yes Yes \| Yes
Mengaudit Ekstensi Sistem Keamanan Yes \| Yes Yes \| Yes
Mengaudit Integritas Sistem Yes \| Yes Yes \| Yes Yes \| Yes
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Audit Akses Objek Global
Mengaudit Driver IPsec
Mengaudit Peristiwa Sistem Lainnya
Mengaudit Perubahan Status Keamanan
Mengaudit Ekstensi Sistem Keamanan
Mengaudit Integritas Sistem

1 Dimulai dengan Windows 10 versi 1809, Log Masuk Audit diaktifkan secara default untuk Keberhasilan dan Kegagalan. Di versi Windows sebelumnya, hanya Keberhasilan yang diaktifkan secara default.

Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, dan Pengaturan Rekomendasi Audit Windows Server 2008

Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Logon Akun
Mengaudit Validasi Informasi Masuk No \| No Yes \| Yes Yes \| Yes
Mengaudit Layanan Autentikasi Kerberos Yes \| Yes
Mengaudit Operasi Tiket Layanan Kerberos Yes \| Yes
Mengaudit Peristiwa Masuk Akun Lain Yes \| Yes
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Manajemen Akun
Mengaudit Manajemen Grup Aplikasi
Mengaudit Manajemen Akun Komputer Yes \| DC Yes \| Yes
Mengaudit Manajemen Grup Distribusi
Mengaudit Manajemen Akun Lainnya Yes \| Yes Yes \| Yes
Mengaudit Manajemen Kelompok Keamanan Yes \| Yes Yes \| Yes
Mengaudit Manajemen Akun Pengguna Yes \| No Yes \| Yes Yes \| Yes
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Pelacakan Mendetail
Mengaudit Aktivitas DPAPI Yes \| Yes
Mengaudit Pembuatan Proses Yes \| No Yes \| Yes
Penghentian Proses Audit
Mengaudit Peristiwa RPC
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Akses DS
Mengaudit Replikasi Layanan Direktori Terperinci
Mengaudit Akses Layanan Direktori DC \| DC DC \| DC
Mengaudit Perubahan Layanan Direktori DC \| DC DC \| DC
Mengaudit Replikasi Layanan Direktori
Kategori Kebijakan Audit atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Masuk dan Keluar
Mengaudit Penguncian Akun Yes \| No Yes \| No
Mengaudit Klaim Pengguna/Perangkat
Mengaudit Mode Perluasan IPsec
Mengaudit Mode Utama IPsec IF \| IF
Mengaudit Mode Cepat IPsec
Mengaudit Logoff Yes \| No Yes \| No Yes \| No
Mengaudit Logon Yes \| Yes Yes \| Yes Yes \| Yes
Mengaudit Server Kebijakan Jaringan Yes \| Yes
Mengaudit Peristiwa Logon/Logoff Lainnya Yes \| Yes
Mengaudit Logon Khusus Yes \| No Yes \| No Yes \| Yes
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Akses Objek
Mengaudit Aplikasi yang Dibuat
Mengaudit Layanan Sertifikasi
Mengaudit Berbagi File Terperinci
Mengaudit Berbagi File
Mengaudit Sistem File
Mengaudit Sambungan Platform Pemfilteran
Mengaudit Pelepasan Paket Platform Pemfilteran
Audit Menangani Manipulasi
Mengaudit Objek Kernel
Mengaudit Peristiwa Akses Objek Lainnya
Audit Registri
Mengaudit Penyimpanan yang Dapat Dilepas
Mengaudit SAM
Mengaudit Penahapan Kebijakan Akses Pusat
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Perubahan Kebijakan
Mengaudit Perubahan Kebijakan Audit Yes \| No Yes \| Yes Yes \| Yes
Mengaudit Perubahan Kebijakan Autentikasi Yes \| No Yes \| No Yes \| Yes
Mengaudit Perubahan Kebijakan Otorisasi
Mengaudit Perubahan Kebijakan Platform Pemfilteran
Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC Ya
Mengaudit Peristiwa Perubahan Kebijakan Lainnya
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Penggunaan Hak Istimewa
Mengaudit Penggunaan Hak Istimewa Non-Sensitif
Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya
Mengaudit Penggunaan Hak Istimewa Sensitif
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Sistem
Mengaudit Driver IPsec Yes \| Yes Yes \| Yes
Mengaudit Peristiwa Sistem Lainnya Yes \| Yes
Mengaudit Perubahan Status Keamanan Yes \| No Yes \| Yes Yes \| Yes
Mengaudit Ekstensi Sistem Keamanan Yes \| Yes Yes \| Yes
Mengaudit Integritas Sistem Yes \| Yes Yes \| Yes Yes \| Yes
Mengaudit Kategori Kebijakan atau Subkategori Windows Default

Success \ | Failure

Rekomendasi Garis Besar

Success \ | Failure

Rekomendasi yang Lebih Kuat

Success \ | Failure

Audit Akses Objek Global
Mengaudit Driver IPsec
Mengaudit Peristiwa Sistem Lainnya
Mengaudit Perubahan Status Keamanan
Mengaudit Ekstensi Sistem Keamanan
Mengaudit Integritas Sistem

Mengatur Kebijakan Audit pada Stasiun Kerja dan Server

Semua rencana manajemen log peristiwa harus memantau stasiun kerja dan server. Kesalahan umum adalah hanya memantau server atau pengendali domain. Karena peretasan berbahaya sering awalnya terjadi di stasiun kerja, tidak memantau stasiun kerja mengabaikan sumber informasi terbaik dan paling awal.

Administrator harus dengan cermat meninjau dan menguji kebijakan audit apa pun sebelum implementasi di lingkungan produksi mereka.

Peristiwa untuk Dipantau

ID peristiwa yang sempurna untuk menghasilkan pemberitahuan keamanan harus berisi atribut berikut:

  • Kemungkinan tinggi bahwa kejadian menunjukkan aktivitas yang tidak sah

  • Jumlah rendah positif palsu

  • Kemunculan harus menghasilkan respons investigasi/forensik

Dua jenis peristiwa harus dipantau dan diberi tahu:

  1. Peristiwa di mana bahkan satu kejadian menunjukkan aktivitas yang tidak sah

  2. Akumulasi peristiwa di atas garis besar yang diharapkan dan diterima

Contoh peristiwa pertama adalah:

Jika Domain Admin (DAs) dilarang masuk ke komputer yang bukan pengendali domain, satu kejadian anggota DA yang masuk ke stasiun kerja pengguna akhir harus menghasilkan pemberitahuan dan diselidiki. Jenis pemberitahuan ini mudah dihasilkan dengan menggunakan peristiwa Audit Special Logon 4964 (Grup khusus telah ditetapkan ke log masuk baru). Contoh lain dari pemberitahuan instans tunggal meliputi:

  • Jika Server A tidak boleh tersambung ke Server B, waspada saat tersambung satu sama lain.

  • Pemberitahuan jika akun pengguna akhir normal secara tak terduga ditambahkan ke grup keamanan sensitif.

  • Jika karyawan di lokasi pabrik A tidak pernah bekerja di malam hari, waspada saat pengguna masuk pada tengah malam.

  • Pemberitahuan jika layanan yang tidak sah diinstal pada pengendali domain.

  • Selidiki apakah pengguna akhir reguler mencoba untuk langsung masuk ke SQL Server yang mereka tidak memiliki alasan yang jelas untuk melakukannya.

  • Jika Anda tidak memiliki anggota di grup DA Anda, dan seseorang menambahkan diri mereka sendiri di sana, segera periksa.

Contoh peristiwa kedua adalah:

Sejumlah log masuk yang gagal dapat menunjukkan serangan tebakan kata sandi. Agar perusahaan dapat memberikan pemberitahuan untuk jumlah logo yang gagal yang luar biasa tinggi, mereka harus terlebih dahulu memahami tingkat normal masuk yang gagal dalam lingkungan mereka sebelum peristiwa keamanan berbahaya.

Untuk daftar lengkap peristiwa yang harus Anda sertakan saat memantau tanda-tanda penyusupan, silakan lihat Lampiran L: Peristiwa untuk Dipantau.

Objek dan Atribut Direktori Aktif untuk Dipantau

Berikut ini adalah akun, grup, dan atribut yang harus Anda pantau untuk membantu Anda mendeteksi upaya untuk membahayakan penginstalan Active Directory Domain Services Anda.

  • Sistem untuk menonaktifkan atau menghapus perangkat lunak antivirus dan anti-malware (secara otomatis memulai ulang perlindungan ketika dinonaktifkan secara manual)

  • Akun administrator untuk perubahan yang tidak sah

  • Aktivitas yang dilakukan dengan menggunakan akun istimewa (secara otomatis menghapus akun ketika aktivitas mencurigakan selesai atau waktu yang dialokasikan telah kedaluwarsa)

  • Akun istimewa dan VIP di AD DS. Pantau perubahan, terutama perubahan pada atribut pada tab Akun (misalnya, cn, nama, sAMAccountName, userPrincipalName, atau userAccountControl). Selain memantau akun, batasi siapa yang dapat memodifikasi akun menjadi sekecil mungkin sekumpulan pengguna administratif.

Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.

  • Mengelompokkan server berdasarkan klasifikasi beban kerja mereka, yang memungkinkan Anda mengidentifikasi server yang harus dipantau dengan cepat dan paling ketat dikonfigurasi

  • Perubahan pada properti dan keanggotaan grup AD DS berikut: Admin Perusahaan (EA), Admin Domain (DA), Administrator (BA), dan Admin Skema (SA)

  • Menonaktifkan akun istimewa (seperti akun Administrator bawaan di Direktori Aktif dan pada sistem anggota) untuk mengaktifkan akun

  • Akun manajemen untuk mencatat semua penulisan ke akun

  • Panduan Konfigurasi Keamanan bawaan untuk mengonfigurasi pengaturan layanan, registri, audit, dan firewall untuk mengurangi permukaan serangan server. Gunakan wizard ini jika Anda menerapkan server lompat sebagai bagian dari strategi host administratif Anda.

Informasi Tambahan untuk Active Directory Domain Services Pemantauan

Tinjau tautan berikut untuk informasi tambahan tentang pemantauan AD DS:

Daftar Umum Kritis Rekomendasi ID Peristiwa Keamanan

Semua rekomendasi ID Peristiwa disertai dengan peringkat kekritisan sebagai berikut:

Tinggi: ID peristiwa dengan peringkat kekritisan tinggi harus selalu dan segera diperingatkan dan diselidiki.

Menengah: ID Peristiwa dengan peringkat kekritisan sedang dapat menunjukkan aktivitas berbahaya, tetapi harus disertai dengan beberapa kelainan lain (misalnya, angka yang tidak biasa terjadi dalam periode waktu tertentu, kejadian yang tidak terduga, atau kejadian pada komputer yang biasanya tidak akan diharapkan untuk mencatat peristiwa.). Peristiwa dengan kekritisan sedang juga dapat dikumpulkan sebagai metrik dan dibandingkan dari waktu ke waktu.

Rendah: Dan ID Peristiwa dengan peristiwa kekritisan rendah tidak boleh mengumpulkan perhatian atau menyebabkan pemberitahuan, kecuali berkorelasi dengan peristiwa kekritisan sedang atau tinggi.

Rekomendasi ini dimaksudkan untuk memberikan panduan garis besar bagi administrator. Semua rekomendasi harus ditinjau secara menyeluruh sebelum implementasi di lingkungan produksi.

Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.