За замовчуванням Microsoft Windows і Базові рекомендації, взятими з засіб Microsoft Security Compliance Manager.
Наступні параметри політики аудиту базові рекомендуються для системи безпеки комп'ютерів, які не відомі як активних, успішну атаку визначено супротивників або шкідливих програм.
Цей розділ містить таблиці, в якій перераховані рекомендовані параметри аудиту, які застосовуються для наступних операційних систем:
Ці таблиці містять Windows за замовчуванням, Базові рекомендації і більш надійні рекомендації для цих операційних систем.
Умовні позначення таблиці політики аудиту
Всі плани управління журналу подій слід відстежувати робочі станції і сервери. Дуже часто зустрічається тільки моніторинг серверів або контролерів домену. Через часто спочатку шкідливої атаки на робочих станціях, моніторинг робочих станцій не пропускає кращі і раннє джерело інформації.
Ідеальний Подіями для створення попередження системи безпеки повинна містити наступні атрибути:
Є висока ймовірність того, виникнення свідчить несанкціоновані дії
невелике число помилкових спрацьовувань;
Входження має привести у відповіді розслідування і розслідувань
Необхідно оцінити і оповіщення два типи подій:
Ці події, в яких один раз вказує несанкціоновані дії
Накопичення кількості подій вище очікуваних і допустимих базових показників.
Прикладом перша подія є:
Якщо сервер A повинен ніколи не підключатися до сервера B, попередження, коли вони підключаються один до одного.
Якщо співробітників в розташування фабрики A не зможе працювати вночі, попередження при вході користувача в систему опівночі.
Якщо ви не мають членів в групі DA, а хтось додає себе існує, перевірте її негайно.
Приклад друга подія -:
Помилкове кількість помилок входу може вказувати атаки підбору пароля. Для підприємства для забезпечення оповіщення незвично велику кількість невдалих входів в систему їх необхідно розуміти звичайний рівні помилок входу в корпоративному середовищі перед подією захисту від шкідливих програм.
Повний список подій, які слід включати не вдається відстежити на знаки розкриття см. В розділі Додаток м: монітор подій.
Нижче наведені облікові записи, групи і атрибути, які необхідно відстежувати для виявлення спроб поставити під загрозу установки доменних служб Active Directory.
Системи для відключення або видалення програм від вірусів і шкідливих програм (автоматично перезапуску захисту при вручну відключений)
Облікові записи адміністратора для несанкціонованих змін
Дії, що виконуються за допомогою привілейованих облікових записів (автоматичне видалення облікового запису при завершенні або виділений час підозрілі дії закінчився)
Групи серверів за класифікацією робочих навантажень, який дозволяє швидко визначити сервери, які повинні бути точніше спостережуваних і найбільш жорстко налаштований
Зміни властивостей і членство в наступні групи AD DS: Адміністратори підприємства (EA), адміністраторів домену (DA), адміністраторів (BA) і адміністраторів схеми (SA)
Відключені привілейованих облікових записів (наприклад, вбудованих адміністратора облікових записів в Active Directory, а також в системах член) для включення облікових записів
Служба захисту в журнал всі операції запису для облікового запису
Вбудований майстер настройки безпеки для настройки служби, реєстру, аудиту і настройки брандмауера для зменшення контактної зони. Майстер реалізації переходу серверів як частина стратегії адміністрування вузла.
Всі події з кодом рекомендації супроводжуються важливості, оцінка наступним чином:
Високий: ідентифікатори подій з високою важливості небажаної пошти, слід завжди і відразу ж оповіщення та вивчення.
Середній: ідентифікатор події з оцінкою середньої важливості може означати шкідливих дій, але він повинен супроводжуватися деякі інші abnormality (наприклад, незвичайні номер в певний період часу, непередбачений входжень або примірників на комп'ютері, який зазвичай не очікується подій в.). Подія середній важливості може також r, що збираються в якості показника і в порівнянні з часом.
Низьким: і ідентифікатор події з подіями низькою важливості не привертають уваги або викликати оповіщення, якщо не пов'язані з подіями, середнього або високого рівня важливості.
Ці рекомендації призначені для надання базових керівництво для адміністратора. Всі рекомендації повинні ретельно перевірені перед впровадженням у виробничому середовищі.