当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] Windows 审核解释

作者:精品下载站 日期:2024-12-14 06:10:15 浏览:11 分类:玩电脑

Windows 审核解释


持续审核网络中的活动是最关键的安全最佳实践之一,因为它可以帮助您尽早发现潜在的恶意活动,以便采取行动并防止数据泄露、系统停机和合规性失败。 Windows 审核的主要方法包括:

  • 事件日志和事件日志转发
  • 审计和高级审计
  • 审计收集服务
  • Windows PowerShell 日志记录

事件日志和事件日志转发

事件日志记录特定计算机上的活动。当您正确配置审核时,

几乎所有具有安全意义的事件都记录在事件查看器中。这使得事件日志成为 IT 安全调查期间首先要查看的内容。这里有两个重要提示::

  • 将事件日志大小配置为最大 (4GB),以最大程度地减少由于日志已满而导致事件被覆盖的可能性。
  • 存档您的事件日志,因此,如果您确实检测到攻击,您可以查看较旧的事件日志,以准确了解攻击者何时以及如何危害系统。

事件日志转发

您还应该定期将事件日志从计算机上移走,因为攻击者经常清除事件日志以逃避检测。 Windows 事件日志转发功能使您能够自动将事件日志从所有计算机转发到安全存储所有日志的指定计算机(事件收集器)。事件订阅有两种类型:

  • 源启动的订阅允许您在事件收集器计算机上定义事件订阅,而无需定义源计算机。然后,您使用组策略来控制哪些源计算机将事件转发到事件收集器。
  • 收集器启动的订阅允许您创建指定将转发事件日志的源计算机的事件订阅。

您可以通过阅读本文了解有关如何配置事件日志转发的更多信息。

审计和高级审计

审核策略使您能够将各种活动记录到 Windows 安全日志中。然后,您可以检查这些审核日志以确定需要进一步调查的问题。审核成功的活动可提供更改文档,以便您可以排除哪些更改导致失败或违规。记录失败的尝试可以发现恶意黑客或未经授权的用户访问企业资源。

您的审核策略指定您要审核的安全相关事件的类别。要配置策略设置,请转至组策略计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略。以下是基本设置以及打开它们后会发生什么:

  • 审核帐户登录事件 - 当用户或计算机尝试使用 Active Directory 帐户进行身份验证时创建事件。
  • 审核帐户管理 - 审核用户、组或计算机帐户的创建、删除或修改以及用户密码重置等事件。
  • 审核目录服务访问 - 审核系统访问控制列表中指定的事件,例如权限。
  • 审核登录事件 - 当用户以交互方式(本地)或通过网络(远程)登录到计算机时创建事件。
  • 审核对象访问 - 审核对具有自己的 SACL 的对象(例如文件、文件夹、注册表项和打印机)的访问。
  • 审核策略更改 - 审核用户权限分配策略、审核策略和信任策略的更改。
  • 审核权限使用 - 审核尝试使用权限或用户权限。您可以选择是否审核成功的尝试、失败的尝试或两者。
  • 审核进程跟踪 - 审核与进程相关的事件,例如进程创建、进程终止、句柄复制和间接对象访问。
  • 审核系统事件 - 审核系统重新启动和关闭以及影响系统或安全日志的更改。

高级审核政策

管理员可以使用组策略计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略中的高级审核策略设置来审核更具体的事件。可以使用以下类别:

  • 帐户登录 - 这些设置控制对凭据验证以及其他特定于 Kerberos 的身份验证和票证操作事件的审核。
  • 帐户管理 - 这些策略设置与用户帐户、计算机帐户的修改、组成员身份更改以及密码更改事件的记录相关。
  • 详细跟踪 - 这些设置控制对加密事件、Windows 进程创建和终止事件以及远程过程调用 (RPC) 事件的审核。
  • DS 访问 — 这些策略设置确定是否跟踪对 AD 的访问、AD 更改和复制。
  • 登录/注销 - 这组设置控制标准登录和注销事件的审核。
  • 对象访问 - 这些设置涵盖对 AD、注册表、应用程序和文件存储的访问。
  • 策略更改 - 这些设置控制对策略设置更改的跟踪。
  • 权限使用 - 这些设置确定是否审核 Windows 环境中的权限使用尝试。
  • 系统。这些设置用于审核安全子系统状态的更改。
  • 全局对象访问审核。这些设置用于控制一台或多台计算机上所有对象的 SACL 设置。

您可以通过阅读审核策略最佳实践来了解如何正确配置 Windows Server 审核。

审计收集服务

Windows 提供了一种工具,用于将安全日志从运行 Windows Server 的服务器提取到集中位置,以简化安全审核和日志分析 - 审核收集服务 (ACS)。 ACS 是一种基于代理的实用程序,可将日志聚合到 Microsoft SQL Server 数据库中。

默认情况下,当在基于 Windows 的计算机上实施审核策略时,该计算机会自动将审核策略生成的所有事件保存到其本地安全日志中。使用 ACS,组织可以将所有这些单独的安全日志整合到集中管理的数据库中,然后使用 Microsoft SQL Server 中的数据分析和报告工具过滤和分析事件。

Windows PowerShell 日志记录

管理员可以使用 Windows PowerShell 在 Windows PowerShell 模块级别启用或禁用日志记录。默认情况下,Windows PowerShell 中的所有日志记录均处于禁用状态。您可以通过将“LogPipelineExecutionDetails”属性设置为“$true”来启用它;要再次禁用它,请将属性设置回“$false”。

Windows PowerShell 还提供详细的脚本跟踪功能,可以对系统上 Windows PowerShell 脚本的使用情况进行详细跟踪和分析。如果启用详细脚本跟踪,Windows PowerShell 会将所有脚本块记录到“Microsoft-Windows-PowerShell/Operational”路径中的 Windows 事件跟踪 (ETW) 事件日志中。

概括

启用 Windows 审核对于调查安全事件、解决问题和优化 IT 环境至关重要。请务必根据最佳实践进行配置,以减少无用日志数据量。

第三方工具可以提高 Windows 审核的质量并自动执行许多审核任务。例如,适用于 Windows Server 的 Netwrix Auditor 可以让您全面了解 Windows Server 环境中发生的情况。

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯