Что нового в аудите безопасности?

  • Статья

Аудит безопасности является одним из наиболее мощных средств, которые можно выбрать для поддержания целостности вашей системы. В качестве компонента общей стратегии обеспечения безопасности следует определить уровень аудита, который наилучшим образом подходит для вашей среды. Аудит должен выявлять атаки (успешные или нет), которые представляют угрозу для вашей сети, а также атаки на ресурсы, которые вы определили как ценные при анализе рисков.

Новые возможности в Windows 10 версии 1511

  • Поставщики служб конфигурации WindowsSecurityAuditing и Reporting позволяют добавлять политики аудита безопасности на мобильные устройства.

Новые компоненты Windows 10

В Windows 10 реализован ряд улучшений аудита безопасности:

  • новые подкатегории аудита;
  • дополнительные сведения для имеющихся событий аудита.

Новые подкатегории аудита

В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита.

  • Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс.

    Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.

  • Подкатегория PNP-действие аудита, расположенная в категории "Подробное отслеживание", позволяет отслеживать обнаружение внешнего устройства Plug and Play.

    Для этой категории записываются только успешные операции аудита. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play.

    Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. Список идентификаторов поставщиков оборудования включается в событие.

Дополнительные сведения для имеющихся событий аудита

В Windows 10 мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. Дополнены следующие события аудита:

  • изменена политика аудита ядра по умолчанию;

  • процесс SACL по умолчанию добавлен в LSASS.exe;

  • добавлены новые поля в событие входа;

  • добавлены новые поля в событие создания процесса;

  • добавлены новые события диспетчера учетных записей безопасности;

  • добавлены новые события BCD;

  • добавлены новые события PNP.

Изменение политики аудита ядра по умолчанию

В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA.

Добавление процесса SACL по умолчанию в LSASS.exe

В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. Этот SACL — L"S:(AU;SAFA;0x0010;;;WD)". Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра.

Это помогает определить атаки, которые крадут учетные данные из памяти процесса.

Новые поля в событии входа

Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4624 добавлены следующие поля.

  1. Строка MachineLogon: да или нет

    Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». В противном случае — «нет».

  2. Строка ElevatedToken: да или нет

    Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». В противном случае — «нет». Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION).

  3. Строка TargetOutboundUserName

    Строка TargetOutboundUserDomain

    Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика.

  4. Строка VirtualAccount: да или нет

    Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». В противном случае — «нет».

  5. Строка GroupMembership

    Список всех групп в маркере пользователя.

  6. Строка RestrictedAdminMode: да или нет

    Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да».

    Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола.

Новые поля в событии создания процесса

Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. В событие 4688 добавлены следующие поля.

  1. Строка TargetUserSid

    Идентификатор безопасности целевого субъекта.

  2. Строка TargetUserName

    Имя учетной записи целевого пользователя.

  3. Строка TargetDomainName

    Домен целевого пользователя.

  4. Строка TargetLogonId

    Идентификатор входа целевого пользователя.

  5. Строка ParentProcessName

    Имя процесса-автора.

  6. Строка ParentProcessId

    Указатель на фактический родительский процесс, если он отличается от процесса-автора.

Новые события диспетчера учетных записей безопасности

В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. В предыдущих версиях Windows отслеживались только операции записи. Новые события — 4798 и 4799. Теперь отслеживаются следующие интерфейсы API:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Новые события BCD

Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD):

  • Параметры DEP/NEX
  • Тестовая подпись
  • Эмуляция PCAT SB
  • Отладка
  • Отладка загрузки
  • Integrity Services
  • Отключение меню отладки Winload

Новые события PNP

Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена.

Узнайте, как управлять политиками аудита безопасности в организации.