Rekomendasi Kebijakan Audit
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7
Bagian ini membahas pengaturan kebijakan audit default Windows, pengaturan kebijakan audit yang direkomendasikan garis besar, dan rekomendasi yang lebih agresif dari Microsoft, untuk produk stasiun kerja dan server.
Rekomendasi garis besar SCM yang ditunjukkan di sini, bersama dengan pengaturan yang kami sarankan untuk membantu mendeteksi penyusupan, hanya dimaksudkan untuk menjadi panduan dasar awal bagi administrator. Setiap organisasi harus membuat keputusan sendiri mengenai ancaman yang mereka hadapi, toleransi risiko yang dapat diterima, dan kategori kebijakan audit atau subkatoner apa yang harus mereka aktifkan. Untuk informasi lebih lanjut tentang ancaman, lihat Panduan Ancaman dan Penanggulangan. Administrator tanpa kebijakan audit yang bijaksana didorong untuk memulai dengan pengaturan yang direkomendasikan di sini, dan kemudian untuk memodifikasi dan menguji, sebelum menerapkan di lingkungan produksi mereka.
Rekomendasinya adalah untuk komputer kelas perusahaan, yang didefinisikan Microsoft sebagai komputer yang memiliki persyaratan keamanan rata-rata dan memerlukan tingkat fungsionalitas operasional yang tinggi. Entitas yang membutuhkan persyaratan keamanan yang lebih tinggi harus mempertimbangkan kebijakan audit yang lebih agresif.
Catatan
Microsoft Windows default dan rekomendasi garis besar diambil dari alat Microsoft Security Compliance Manager.
Pengaturan kebijakan audit garis besar berikut direkomendasikan untuk komputer keamanan normal yang tidak diketahui sedang aktif, berhasil diserang oleh adversaries atau malware yang ditentukan.
Kebijakan Audit yang Direkomendasikan oleh Sistem Operasi
Bagian ini berisi tabel yang mencantumkan rekomendasi pengaturan audit yang berlaku untuk sistem operasi berikut:
- Server Windows 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Tabel ini berisi pengaturan default Windows, rekomendasi garis besar, dan rekomendasi yang lebih kuat untuk sistem operasi ini.
Mengaudit Legenda Tabel Kebijakan
| Notasi | Rekomendasi |
|---|---|
| YA | Aktifkan dalam skenario umum |
| TIDAK | Jangan aktifkan dalam skenario umum |
| JIKA | Aktifkan jika diperlukan untuk skenario tertentu, atau jika peran atau fitur yang diinginkan audit diinstal pada komputer |
| DC | Aktifkan pada pengendali domain |
| [Kosong] | Tidak ada rekomendasi |
Windows 10, Windows 8, dan Pengaturan Rekomendasi Audit Windows 7
Kebijakan Audit
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Logon Akun | |||
| Mengaudit Validasi Informasi Masuk | No \ | No |
Yes \ | No |
Yes \ | Yes |
| Mengaudit Layanan Autentikasi Kerberos | Yes \ | Yes |
||
| Mengaudit Operasi Tiket Layanan Kerberos | Yes \ | Yes |
||
| Mengaudit Peristiwa Masuk Akun Lain | Yes \ | Yes |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Manajemen Akun | |||
| Mengaudit Manajemen Grup Aplikasi | |||
| Mengaudit Manajemen Akun Komputer | Yes \| No |
Yes \| Yes |
|
| Mengaudit Manajemen Grup Distribusi | |||
| Mengaudit Manajemen Akun Lainnya | Yes \| No |
Yes \| Yes |
|
| Mengaudit Manajemen Kelompok Keamanan | Yes \| No |
Yes \| Yes |
|
| Mengaudit Manajemen Akun Pengguna | Yes \| No |
Yes \| No |
Yes \| Yes |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Pelacakan Mendetail | |||
| Mengaudit Aktivitas DPAPI | Yes \| Yes |
||
| Mengaudit Pembuatan Proses | Yes \| No |
Yes \| Yes |
|
| Penghentian Proses Audit | |||
| Mengaudit Peristiwa RPC |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses DS | |||
| Mengaudit Replikasi Layanan Direktori Terperinci | |||
| Mengaudit Akses Layanan Direktori | |||
| Mengaudit Perubahan Layanan Direktori | |||
| Mengaudit Replikasi Layanan Direktori |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk dan Keluar | |||
| Mengaudit Penguncian Akun | Yes \| No |
Yes \| No |
|
| Mengaudit Klaim Pengguna/Perangkat | |||
| Mengaudit Mode Perluasan IPsec | |||
| Mengaudit Mode Utama IPsec | IF \| IF |
||
| Mengaudit Mode Cepat IPsec | |||
| Mengaudit Logoff | Yes \| No |
Yes \| No |
Yes \| No |
| Log Masuk Audit 1 | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Server Kebijakan Jaringan | Yes \| Yes |
||
| Mengaudit Peristiwa Logon/Logoff Lainnya | |||
| Mengaudit Logon Khusus | Yes \| No |
Yes \| No |
Yes \| Yes |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses Objek | |||
| Mengaudit Aplikasi yang Dibuat | |||
| Mengaudit Layanan Sertifikasi | |||
| Mengaudit Berbagi File Terperinci | |||
| Mengaudit Berbagi File | |||
| Mengaudit Sistem File | |||
| Mengaudit Sambungan Platform Pemfilteran | |||
| Mengaudit Pelepasan Paket Platform Pemfilteran | |||
| Manipulasi Handel Audit | |||
| Mengaudit Objek Kernel | |||
| Mengaudit Peristiwa Akses Objek Lainnya | |||
| Mengaudit Registri | |||
| Mengaudit Penyimpanan yang Dapat Dilepas | |||
| Mengaudit SAM | |||
| Mengaudit Penahapan Kebijakan Akses Pusat |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Perubahan Kebijakan | |||
| Mengaudit Perubahan Kebijakan Audit | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Perubahan Kebijakan Autentikasi | Yes \| No |
Yes \| No |
Yes \| Yes |
| Mengaudit Perubahan Kebijakan Otorisasi | |||
| Mengaudit Perubahan Kebijakan Platform Pemfilteran | |||
| Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC | Ya | ||
| Mengaudit Peristiwa Perubahan Kebijakan Lainnya |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Penggunaan Hak Istimewa | |||
| Mengaudit Penggunaan Hak Istimewa Non-Sensitif | |||
| Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya | |||
| Mengaudit Penggunaan Hak Istimewa Sensitif |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Sistem | |||
| Mengaudit Driver IPsec | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Peristiwa Sistem Lainnya | Yes \| Yes |
||
| Mengaudit Perubahan Status Keamanan | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Ekstensi Sistem Keamanan | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Integritas Sistem | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Audit Akses Objek Global | |||
| Mengaudit Driver IPsec | |||
| Mengaudit Peristiwa Sistem Lainnya | |||
| Mengaudit Perubahan Status Keamanan | |||
| Mengaudit Ekstensi Sistem Keamanan | |||
| Mengaudit Integritas Sistem |
1 Dimulai dengan Windows 10 versi 1809, Log Masuk Audit diaktifkan secara default untuk Keberhasilan dan Kegagalan. Di versi Windows sebelumnya, hanya Keberhasilan yang diaktifkan secara default.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, dan Pengaturan Rekomendasi Audit Windows Server 2008
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Logon Akun | |||
| Mengaudit Validasi Informasi Masuk | No \| No |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Layanan Autentikasi Kerberos | Yes \| Yes |
||
| Mengaudit Operasi Tiket Layanan Kerberos | Yes \| Yes |
||
| Mengaudit Peristiwa Masuk Akun Lain | Yes \| Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Manajemen Akun | |||
| Mengaudit Manajemen Grup Aplikasi | |||
| Mengaudit Manajemen Akun Komputer | Yes \| DC |
Yes \| Yes |
|
| Mengaudit Manajemen Grup Distribusi | |||
| Mengaudit Manajemen Akun Lainnya | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Manajemen Kelompok Keamanan | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Manajemen Akun Pengguna | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Pelacakan Mendetail | |||
| Mengaudit Aktivitas DPAPI | Yes \| Yes |
||
| Mengaudit Pembuatan Proses | Yes \| No |
Yes \| Yes |
|
| Penghentian Proses Audit | |||
| Mengaudit Peristiwa RPC |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses DS | |||
| Mengaudit Replikasi Layanan Direktori Terperinci | |||
| Mengaudit Akses Layanan Direktori | DC \| DC |
DC \| DC |
|
| Mengaudit Perubahan Layanan Direktori | DC \| DC |
DC \| DC |
|
| Mengaudit Replikasi Layanan Direktori |
| Kategori Kebijakan Audit atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Masuk dan Keluar | |||
| Mengaudit Penguncian Akun | Yes \| No |
Yes \| No |
|
| Mengaudit Klaim Pengguna/Perangkat | |||
| Mengaudit Mode Perluasan IPsec | |||
| Mengaudit Mode Utama IPsec | IF \| IF |
||
| Mengaudit Mode Cepat IPsec | |||
| Mengaudit Logoff | Yes \| No |
Yes \| No |
Yes \| No |
| Mengaudit Logon | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Server Kebijakan Jaringan | Yes \| Yes |
||
| Mengaudit Peristiwa Logon/Logoff Lainnya | Yes \| Yes |
||
| Mengaudit Logon Khusus | Yes \| No |
Yes \| No |
Yes \| Yes |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Akses Objek | |||
| Mengaudit Aplikasi yang Dibuat | |||
| Mengaudit Layanan Sertifikasi | |||
| Mengaudit Berbagi File Terperinci | |||
| Mengaudit Berbagi File | |||
| Mengaudit Sistem File | |||
| Mengaudit Sambungan Platform Pemfilteran | |||
| Mengaudit Pelepasan Paket Platform Pemfilteran | |||
| Audit Menangani Manipulasi | |||
| Mengaudit Objek Kernel | |||
| Mengaudit Peristiwa Akses Objek Lainnya | |||
| Audit Registri | |||
| Mengaudit Penyimpanan yang Dapat Dilepas | |||
| Mengaudit SAM | |||
| Mengaudit Penahapan Kebijakan Akses Pusat |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Perubahan Kebijakan | |||
| Mengaudit Perubahan Kebijakan Audit | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Perubahan Kebijakan Autentikasi | Yes \| No |
Yes \| No |
Yes \| Yes |
| Mengaudit Perubahan Kebijakan Otorisasi | |||
| Mengaudit Perubahan Kebijakan Platform Pemfilteran | |||
| Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC | Ya | ||
| Mengaudit Peristiwa Perubahan Kebijakan Lainnya |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Penggunaan Hak Istimewa | |||
| Mengaudit Penggunaan Hak Istimewa Non-Sensitif | |||
| Mengaudit Peristiwa Penggunaan Hak Istimewa Lainnya | |||
| Mengaudit Penggunaan Hak Istimewa Sensitif |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Sistem | |||
| Mengaudit Driver IPsec | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Peristiwa Sistem Lainnya | Yes \| Yes |
||
| Mengaudit Perubahan Status Keamanan | Yes \| No |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Ekstensi Sistem Keamanan | Yes \| Yes |
Yes \| Yes |
|
| Mengaudit Integritas Sistem | Yes \| Yes |
Yes \| Yes |
Yes \| Yes |
| Mengaudit Kategori Kebijakan atau Subkategori | Windows Default
|
Rekomendasi Garis Besar
|
Rekomendasi yang Lebih Kuat
|
|---|---|---|---|
| Audit Akses Objek Global | |||
| Mengaudit Driver IPsec | |||
| Mengaudit Peristiwa Sistem Lainnya | |||
| Mengaudit Perubahan Status Keamanan | |||
| Mengaudit Ekstensi Sistem Keamanan | |||
| Mengaudit Integritas Sistem |
Mengatur Kebijakan Audit pada Stasiun Kerja dan Server
Semua rencana manajemen log peristiwa harus memantau stasiun kerja dan server. Kesalahan umum adalah hanya memantau server atau pengendali domain. Karena peretasan berbahaya sering awalnya terjadi di stasiun kerja, tidak memantau stasiun kerja mengabaikan sumber informasi terbaik dan paling awal.
Administrator harus dengan cermat meninjau dan menguji kebijakan audit apa pun sebelum implementasi di lingkungan produksi mereka.
Peristiwa untuk Dipantau
ID peristiwa yang sempurna untuk menghasilkan pemberitahuan keamanan harus berisi atribut berikut:
Kemungkinan tinggi bahwa kejadian menunjukkan aktivitas yang tidak sah
Jumlah rendah positif palsu
Kemunculan harus menghasilkan respons investigasi/forensik
Dua jenis peristiwa harus dipantau dan diberi tahu:
Peristiwa di mana bahkan satu kejadian menunjukkan aktivitas yang tidak sah
Akumulasi peristiwa di atas garis besar yang diharapkan dan diterima
Contoh peristiwa pertama adalah:
Jika Domain Admin (DAs) dilarang masuk ke komputer yang bukan pengendali domain, satu kejadian anggota DA yang masuk ke stasiun kerja pengguna akhir harus menghasilkan pemberitahuan dan diselidiki. Jenis pemberitahuan ini mudah dihasilkan dengan menggunakan peristiwa Audit Special Logon 4964 (Grup khusus telah ditetapkan ke log masuk baru). Contoh lain dari pemberitahuan instans tunggal meliputi:
Jika Server A tidak boleh tersambung ke Server B, waspada saat tersambung satu sama lain.
Pemberitahuan jika akun pengguna akhir normal secara tak terduga ditambahkan ke grup keamanan sensitif.
Jika karyawan di lokasi pabrik A tidak pernah bekerja di malam hari, waspada saat pengguna masuk pada tengah malam.
Pemberitahuan jika layanan yang tidak sah diinstal pada pengendali domain.
Selidiki apakah pengguna akhir reguler mencoba untuk langsung masuk ke SQL Server yang mereka tidak memiliki alasan yang jelas untuk melakukannya.
Jika Anda tidak memiliki anggota di grup DA Anda, dan seseorang menambahkan diri mereka sendiri di sana, segera periksa.
Contoh peristiwa kedua adalah:
Sejumlah log masuk yang gagal dapat menunjukkan serangan tebakan kata sandi. Agar perusahaan dapat memberikan pemberitahuan untuk jumlah logo yang gagal yang luar biasa tinggi, mereka harus terlebih dahulu memahami tingkat normal masuk yang gagal dalam lingkungan mereka sebelum peristiwa keamanan berbahaya.
Untuk daftar lengkap peristiwa yang harus Anda sertakan saat memantau tanda-tanda penyusupan, silakan lihat Lampiran L: Peristiwa untuk Dipantau.
Objek dan Atribut Direktori Aktif untuk Dipantau
Berikut ini adalah akun, grup, dan atribut yang harus Anda pantau untuk membantu Anda mendeteksi upaya untuk membahayakan penginstalan Active Directory Domain Services Anda.
Sistem untuk menonaktifkan atau menghapus perangkat lunak antivirus dan anti-malware (secara otomatis memulai ulang perlindungan ketika dinonaktifkan secara manual)
Akun administrator untuk perubahan yang tidak sah
Aktivitas yang dilakukan dengan menggunakan akun istimewa (secara otomatis menghapus akun ketika aktivitas mencurigakan selesai atau waktu yang dialokasikan telah kedaluwarsa)
Akun istimewa dan VIP di AD DS. Pantau perubahan, terutama perubahan pada atribut pada tab Akun (misalnya, cn, nama, sAMAccountName, userPrincipalName, atau userAccountControl). Selain memantau akun, batasi siapa yang dapat memodifikasi akun menjadi sekecil mungkin sekumpulan pengguna administratif.
Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.
Mengelompokkan server berdasarkan klasifikasi beban kerja mereka, yang memungkinkan Anda mengidentifikasi server yang harus dipantau dengan cepat dan paling ketat dikonfigurasi
Perubahan pada properti dan keanggotaan grup AD DS berikut: Admin Perusahaan (EA), Admin Domain (DA), Administrator (BA), dan Admin Skema (SA)
Menonaktifkan akun istimewa (seperti akun Administrator bawaan di Direktori Aktif dan pada sistem anggota) untuk mengaktifkan akun
Akun manajemen untuk mencatat semua penulisan ke akun
Panduan Konfigurasi Keamanan bawaan untuk mengonfigurasi pengaturan layanan, registri, audit, dan firewall untuk mengurangi permukaan serangan server. Gunakan wizard ini jika Anda menerapkan server lompat sebagai bagian dari strategi host administratif Anda.
Informasi Tambahan untuk Active Directory Domain Services Pemantauan
Tinjau tautan berikut untuk informasi tambahan tentang pemantauan AD DS:
Audit Akses Objek Global adalah Magic - Menyediakan informasi tentang mengonfigurasi dan menggunakan Konfigurasi Kebijakan Audit Tingkat Lanjut yang ditambahkan ke Windows 7 dan Windows Server 2008 R2.
Memperkenalkan Perubahan Audit pada Windows 2008 - Memperkenalkan perubahan audit yang dilakukan pada Windows 2008.
Trik Audit Dingin di Vista dan 2008 - Menjelaskan fitur baru audit yang menarik di Windows Vista dan Windows Server 2008 yang dapat digunakan untuk memecahkan masalah atau melihat apa yang terjadi di lingkungan Anda.
One-Stop Shop untuk Audit di Windows Server 2008 dan Windows Vista - Berisi kompilasi fitur audit dan informasi yang terkandung dalam Windows Server 2008 dan Windows Vista.
Panduan Langkah demi Langkah Audit AD DS - Menjelaskan fitur audit Active Directory Domain Services (AD DS) baru di Windows Server 2008. Ini juga menyediakan prosedur untuk mengimplementasikan fitur baru ini.
Daftar Umum Kritis Rekomendasi ID Peristiwa Keamanan
Semua rekomendasi ID Peristiwa disertai dengan peringkat kekritisan sebagai berikut:
Tinggi: ID peristiwa dengan peringkat kekritisan tinggi harus selalu dan segera diperingatkan dan diselidiki.
Menengah: ID Peristiwa dengan peringkat kekritisan sedang dapat menunjukkan aktivitas berbahaya, tetapi harus disertai dengan beberapa kelainan lain (misalnya, angka yang tidak biasa terjadi dalam periode waktu tertentu, kejadian yang tidak terduga, atau kejadian pada komputer yang biasanya tidak akan diharapkan untuk mencatat peristiwa.). Peristiwa dengan kekritisan sedang juga dapat dikumpulkan sebagai metrik dan dibandingkan dari waktu ke waktu.
Rendah: Dan ID Peristiwa dengan peristiwa kekritisan rendah tidak boleh mengumpulkan perhatian atau menyebabkan pemberitahuan, kecuali berkorelasi dengan peristiwa kekritisan sedang atau tinggi.
Rekomendasi ini dimaksudkan untuk memberikan panduan garis besar bagi administrator. Semua rekomendasi harus ditinjau secara menyeluruh sebelum implementasi di lingkungan produksi.
Lihat Lampiran L: Peristiwa untuk Memantau daftar peristiwa yang direkomendasikan untuk dipantau, peringkat kekritisannya, dan ringkasan pesan peristiwa.