审核策略建议

审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

帐户登录
审核凭据验证 No \ | No Yes \ | No Yes \ | Yes
审核 Kerberos 身份验证服务 Yes \ | Yes
审核 Kerberos 服务票证操作 Yes \ | Yes
审核其他帐户登录事件 Yes \ | Yes
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

帐户管理
审核应用程序组管理
审核计算机帐户管理 Yes \| No Yes \| Yes
审核分发组管理
审核其他帐户管理事件 Yes \| No Yes \| Yes
审核安全组管理 Yes \| No Yes \| Yes
审核用户帐户管理 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

详细跟踪
审核 DPAPI 活动 Yes \| Yes
审核进程创建 Yes \| No Yes \| Yes
审核进程终止
审核 RPC 事件
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

DS 访问
审核详细的目录服务复制
审核目录服务访问
审核目录服务更改
审核目录服务复制
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

登录和注销
审核帐户锁定 Yes \| No Yes \| No
审核用户/设备声明
审核 IPsec 扩展模式
审核 IPsec 主模式 IF \| IF
审核 IPsec 快速模式
审核注销 Yes \| No Yes \| No Yes \| No
审核登录 1 Yes \| Yes Yes \| Yes Yes \| Yes
审核网络策略服务器 Yes \| Yes
审核其他登录/注销事件
审核特殊登录 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

对象访问
审核生成的应用程序
审核证书服务
审核详细的文件共享
审核文件共享
审核文件系统
审核筛选平台连接
审核筛选平台数据包丢弃
审核句柄操作
审核内核对象
审核其他对象访问事件
审核注册表
审核可移动存储
审核 SAM
审核中心访问策略暂存
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

策略更改
审核审核策略更改 Yes \| No Yes \| Yes Yes \| Yes
审核身份验证策略更改 Yes \| No Yes \| No Yes \| Yes
审核授权策略更改
审核筛选平台策略更改
审核 MPSSVC 规则级别策略更改
审核其他策略更改事件
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

特权使用
审核非敏感权限使用
审核其他权限使用事件
审核敏感权限使用
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

系统
审核 IPsec 驱动程序 Yes \| Yes Yes \| Yes
审核其他系统事件 Yes \| Yes
审核安全状态更改 Yes \| No Yes \| Yes Yes \| Yes
审核安全系统扩展 Yes \| Yes Yes \| Yes
审核系统完整性 Yes \| Yes Yes \| Yes Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

全局对象访问审核
审核 IPsec 驱动程序
审核其他系统事件
审核安全状态更改
审核安全系统扩展
审核系统完整性

1从 Windows 10版本 1809 开始,默认为"成功"和"失败"启用审核登录。 在早期版本的 Windows,默认情况下仅启用 Success。

Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 和 Windows Server 2008 审核设置 推荐

审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户登录
审核凭据验证 No \| No Yes \| Yes Yes \| Yes
审核 Kerberos 身份验证服务 Yes \| Yes
审核 Kerberos 服务票证操作 Yes \| Yes
审核其他帐户登录事件 Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

帐户管理
审核应用程序组管理
审核计算机帐户管理 Yes \| DC Yes \| Yes
审核分发组管理
审核其他帐户管理事件 Yes \| Yes Yes \| Yes
审核安全组管理 Yes \| Yes Yes \| Yes
审核用户帐户管理 Yes \| No Yes \| Yes Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

详细跟踪
审核 DPAPI 活动 Yes \| Yes
审核进程创建 Yes \| No Yes \| Yes
审核进程终止
审核 RPC 事件
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

DS 访问
审核详细的目录服务复制
审核目录服务访问 DC \| DC DC \| DC
审核目录服务更改 DC \| DC DC \| DC
审核目录服务复制
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

登录和注销
审核帐户锁定 Yes \| No Yes \| No
审核用户/设备声明
审核 IPsec 扩展模式
审核 IPsec 主模式 IF \| IF
审核 IPsec 快速模式
审核注销 Yes \| No Yes \| No Yes \| No
审核登录 Yes \| Yes Yes \| Yes Yes \| Yes
审核网络策略服务器 Yes \| Yes
审核其他登录/注销事件 Yes \| Yes
审核特殊登录 Yes \| No Yes \| No Yes \| Yes
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

对象访问
审核生成的应用程序
审核证书服务
审核详细的文件共享
审核文件共享
审核文件系统
审核筛选平台连接
审核筛选平台数据包丢弃
审核句柄操作
审核内核对象
审核其他对象访问事件
审核注册表
审核可移动存储
审核 SAM
审核中心访问策略暂存
审核策略类别或子类别 Windows默认值

Success \ | Failure

基线建议

Success \ | Failure

更强的建议

Success \ | Failure

策略更改
审核审核策略更改 Yes \| No Yes \| Yes Yes \| Yes
审核身份验证策略更改 Yes \| No Yes \| No Yes \| Yes
审核授权策略更改
审核筛选平台策略更改
审核 MPSSVC 规则级别策略更改
审核其他策略更改事件
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

特权使用
审核非敏感权限使用
审核其他权限使用事件
审核敏感权限使用
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

系统
审核 IPsec 驱动程序 Yes \| Yes Yes \| Yes
审核其他系统事件 Yes \| Yes
审核安全状态更改 Yes \| No Yes \| Yes Yes \| Yes
审核安全系统扩展 Yes \| Yes Yes \| Yes
审核系统完整性 Yes \| Yes Yes \| Yes Yes \| Yes
审核策略类别或子类别 默认 Windows

Success \ | Failure

基线建议

Success \ | Failure

更强建议

Success \ | Failure

全局对象访问审核
审核 IPsec 驱动程序
审核其他系统事件
审核安全状态更改
审核安全系统扩展
审核系统完整性

在工作站和服务器上设置审核策略

所有事件日志管理计划都应该监视工作站和服务器。 常见的错误是仅监视服务器或域控制器。 由于恶意黑客最初常常发生在工作站上,因此不监视工作站会忽视最早和最早的信息源。

在生产环境中实施之前,管理员应周全审核并测试任何审核策略。

要监视的事件

用于生成安全警报的理想事件 ID 应该包含以下属性:

  • 出现的可能性很大,指示未经授权的活动

  • 误报较少

  • 出现情况应会导致调查/取证响应

应监视和通知两种类型的事件:

  1. 甚至出现一次的事件指示未经授权的活动

  2. 高于预期和接受的基线的事件的累积

第一个事件的一个示例是:

如果禁止域管理员 (DAs) 登录到不是域控制器的计算机,则出现一次登录到最终用户工作站的 DA 成员应会生成警报并进行调查。 使用 "审核特殊登录事件 4964" 可以轻松生成这种类型的警报 (特殊组已分配给新的登录) 。 单实例警报的其他示例包括:

  • 如果服务器 A 不应连接到服务器 B,请在它们相互连接时发出警报。

  • 如果将正常的最终用户帐户意外添加到敏感安全组,则发出警报。

  • 如果工厂位置 A 中的员工在晚上不起作用,则在用户午夜登录时发出警报。

  • 如果域控制器上安装了未经授权的服务,则发出警报。

  • 调查定期最终用户是否尝试直接登录到其没有明确原因的 SQL Server 中。

  • 如果你没有 DA 组中的成员,并且某人将其添加到了那里,请立即进行检查。

第二个事件的一个示例是:

Aberrant 失败的登录次数可能表明存在密码猜测攻击。 为了使企业能够为发生异常大量失败的登录提供警报,在出现恶意安全事件之前,他们必须首先了解其环境中的失败登录的正常级别。

有关监视泄露迹象时应包括的事件的完整列表,请参阅 附录 L:要监视的事件

要监视的 Active Directory 对象和属性

下面是你应该监视的帐户、组和属性,以帮助检测对 Active Directory 域服务安装的破坏尝试。

  • 禁用或删除防病毒软件和反恶意软件的系统 (在手动禁用时自动重启保护)

  • 管理员帐户进行未经授权的更改

  • 使用特权帐户执行的活动 (在完成可疑活动或分配的时间已过期时自动删除帐户)

  • AD DS 中的特权和 VIP 帐户。 监视更改,尤其是对 "帐户" 选项卡上的属性所做的更改 (例如,cn、name、sAMAccountName、userPrincipalName 或 userAccountControl) 。 除了监视帐户之外,还可以将帐户的修改权限限制为尽可能少的一组管理用户。

有关要监视的建议事件的列表、其重要程度和事件消息摘要,请参阅 附录 L:要监视的事件

  • 按服务器的工作负荷分类对服务器进行分组,这使你能够快速确定应该最密切监视的服务器和最得到配置的服务器

  • 对以下 AD DS 组的属性和成员身份的更改: Enterprise 管理员 (EA) 、域管理员 (DA) 、管理员 (BA) 和架构管理员 (SA

  • 禁用的特权帐户 (例如 Active Directory 和成员系统上的内置管理员帐户) 用于启用帐户

  • 用于将所有写入记录到帐户的管理帐户

  • 内置安全配置向导,用于配置服务、注册表、审核和防火墙设置,以减少服务器的受攻击面。 如果将跳转服务器作为管理主机策略的一部分实现,请使用此向导。

用于监视 Active Directory 域服务的其他信息

查看以下链接,了解有关监视 AD DS 的其他信息:

安全事件 ID 建议重要性的常规列表

所有事件 ID 建议均伴随着严重级别,如下所示:

高: 具有高严重性级别的事件 Id 应始终和立即发出警报并进行调查。

中: 具有中等重要性级别的事件 ID 可能表明存在恶意活动,但它必须附带一些其他异常情况 (例如,在特定时间段内发生的异常数字、意外的发生次数或通常不应记录事件的计算机上出现的错误。 ) 。 在一段时间内,也可以将 r 作为一个指标收集,并进行比较。

低: 具有低关键性事件的事件 ID 不应 garner 关注或导致警报,除非与中型或高严重性事件相关。

这些建议旨在为管理员提供基线指南。 在生产环境中实现之前,应仔细检查所有建议。

请参阅 附录 L:要监视的事件 列表,查看要监视的建议事件的列表、关键程度级别和事件消息摘要。

适用于: Windows server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 10、Windows 8。1Windows 7

本部分介绍了 Windows 的默认审核策略设置、基线建议的审核策略设置,以及 Microsoft 提供的更积极的建议,适用于工作站和服务器产品。

此处所示的 SCM 基线建议,以及建议用于帮助检测折衷的设置,旨在仅成为管理员的入门基线指南。 每个组织都必须自行决定他们所面临的威胁、可接受的风险容差,以及他们应该启用哪些审核策略类别或子类别。 有关威胁的详细信息,请参阅 威胁和对策指南。 建议先使用此处建议的设置,然后在生产环境中实施之前修改和测试,而无需进行周密审核策略的管理员。

建议适用于企业级计算机,Microsoft 将其定义为具有平均安全要求并且需要高级操作功能的计算机。 需要更高安全要求的实体应考虑更严格的审核策略。

注意

microsoft Windows 默认值和基线建议是从microsoft 安全合规管理器工具获取的。

以下基线审核策略设置适用于未知的安全计算机,这些计算机被确定为攻击者或恶意软件,这些计算机处于非活动状态、成功的攻击。

本部分包含的表列出了适用于以下操作系统的审核设置建议:

  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 2008 Server
  • Windows 10
  • Windows 8.1
  • Windows 7

这些表包含 Windows 默认设置、基线建议,以及针对这些操作系统的更强建议。

审核策略表图例

表示法 建议
YES 在一般情况下启用
在一般情况下 启用
IF 对于特定方案,或在计算机上安装了所需审核的角色或功能时启用
DC 在域控制器上启用
空字符 无建议

Windows 10、Windows 8 和 Windows 的审核设置推荐

审核策略