11 个 Windows 审核策略最佳实践

这是 Windows 审核和安全策略设置的终极指南。

在本指南中，我将分享有关审核策略设置、密码和帐户策略设置、监控事件、基准测试等的技巧。

目录：

• 什么是窗口审计
• 使用高级审核策略配置
• 配置 Active Directory 审核策略
• 配置工作站和服务器的审核策略
• 配置事件日志大小和保留设置
• 推荐的密码和帐户锁定政策
• 推荐的审核策略设置
• 监视这些事件以防止泄露
• 集中事件日志
• 审计政策基准
• 规划您的审计政策

什么是 Windows 审核？

Windows 审核是 Active Directory 安全性的重要组成部分，有助于监控网络活动。

Windows 审核策略定义您想要在 Windows 环境中跟踪的事件类型。例如，当用户帐户被锁定或用户输入错误密码时，这些事件将在审核打开时生成日志条目。这些审核日志通常由 AD 审核工具进行分析，以快速发现网络上的任何恶意活动。审核策略对于维护安全、检测安全事件和满足合规性要求非常重要。

使用高级审核策略配置

当您查看审核策略时，您会注意到两个部分：基本审核策略和高级审核策略。如果可能，您应该仅使用位于安全设置\高级审核策略配置下的高级审核策略设置。

Windows Server 2008 中引入了高级审核策略设置，它将审核策略设置从 9 个扩展到 53 个。高级策略设置允许您定义更细粒度的审核策略并仅记录您需要的事件。这很有用，因为某些审核设置会生成大量日志。

重要提示：请勿同时使用基本审核策略设置和位于安全设置\高级审核策略配置下的高级设置。两者同时使用可能会导致问题，因此不建议使用。

Microsoft 提供以下信息。

高级审核策略有以下类别。每个类别都包含一组策略。

• 账户登录
• 帐户管理
• 详细追踪
• DS访问
• 登录/注销
• 对象访问
• 政策变化
• 特权使用
• 系统
• 全局对象访问审核

资源：

威胁与对策指南：高级安全审核策略

配置 Active Directory 审核策略（对于所有域控制器）

默认情况下，为 Active Directory 配置了最低限度的审核策略。您将需要修改默认域控制器策略或创建新策略。

请按照以下步骤启用 Active Directory 审核策略。

步骤1：打开组策略管理控制台

步骤 2：编辑默认域控制器策略

右键单击策略并选择编辑

步骤 3：浏览至高级审核策略配置

现在浏览至高级审核策略配置

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置

第 4 步：定义审核设置

现在，您只需浏览每个审核策略类别并定义要审核的事件。有关建议的设置，请参阅建议的审核策略部分。

在工作站和服务器上配置审核策略

强烈建议您在所有工作站和服务器上启用审核策略。大多数事件都是从客户端设备开始的，如果您不监控这些系统，您可能会错过重要信息。

要为工作站和服务器配置审核策略，您需要创建新的审核策略。这将是与域控制器分开的审核策略。我不会将此策略应用于域的根，最好将所有工作站和服务器放在单独的组织单位中，并将审核策略应用于此 OU。

您可以在下面看到我有一个名为 ADPRO 计算机的组织单位。该组织单位包含部门工作站的子 OU 和所有服务器的服务器 OU。我将在 ADPRO 计算机 OU 上创建一个新的审核策略，该策略将针对此文件夹中的所有设备。

配置事件日志大小和保留设置

定义安全事件日志大小和保留设置非常重要。如果未定义这些设置，您可能会覆盖并丢失重要的审核数据。

重要提示：根据审核策略在服务器和工作站上生成的日志旨在短期保留。要保留历史审核日志数周、数月或数年，您需要建立一个集中式日志系统。请参阅下面的部分以获取建议。

在审核策略中，您可以在计算机配置 -> 策略 -> 安全设置 -> 事件日志中定义事件日志设置

以下是推荐设置

• 最大应用程序日志大小

  • 4,194,240（千字节）

即使配置了日志设置，您仍然可以在短时间内覆盖事件。这完全取决于您的审核策略以及您拥有的用户数量。如果您正在跟踪 2000 个用户的错误密码尝试，那么将生成比 20 个用户更多的事件。

资源：

Windows 中事件日志大小的推荐设置

推荐的密码和帐户锁定策略

要成功审核用户帐户，您需要确保配置了密码和帐户锁定策略。如果您正在审核帐户锁定但没有设置锁定阈值，您将永远不会看到这些事件。

这些设置来自 MS Security 基准 Windows 10 和 Server 2016 文档。

密码政策

GPO 位置：计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略

• 强制执行密码历史记录

  • 24

账户锁定政策

GPO 位置：计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 帐户锁定策略

• 账户锁定时长

  • 15

资源：

微软安全合规工具包

推荐的审核策略设置

这些设置来自 MS Security 基准 Windows 10 和 Server 2016 文档。

推荐的域控制器安全和审核策略设置。

GPO 策略位置：计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置

账户登录

• 审计凭证验证

  • 成功与失败

帐户管理

• 审核申请组管理

  • 未配置

详细追踪

• 审核 DPAPI 活动

  • 未配置

DS访问

• 审核详细的目录服务复制

  • 未配置

登录/注销

• 审计账户锁定

  • 成功与失败

对象访问

• 审核申请已生成

  • 未配置

政策变化

• 审计审计政策变更

  • 成功与失败

特权使用

• 审计非敏感权限的使用

  • 未配置

系统

• 审核 IPsec 驱动程序

  • 成功与失败

全局对象访问审核

• 文件系统

  • 未配置

我建议您下载 Microsoft 安全合规性工具包。它有一个 Excel 文档，其中包含针对 Windows 10、成员服务器和域控制器的建议安全和审核设置。我还创建了一个 AD 审核清单，以便快速参考推荐的审核策略设置。

集中 Windows 事件日志

当您在所有系统上启用安全和审核策略时，这些事件日志将存储在每个系统本地。当您需要调查事件或运行审核报告时，您需要单独查看每台计算机上的每个日志。另一个问题是如果系统崩溃并且您无法访问日志怎么办？

而且……不要忘记这些本地日志是用于短期存储的。在大型环境中，这些本地日志会在短时间内被新事件覆盖。

集中日志可以节省您的时间，确保日志可用，并且可以更轻松地报告和排除安全事件。有许多工具可以集中 Windows 事件日志。

以下是可集中 Windows 事件日志的免费和高级工具的列表。一些免费工具需要一些工作，并且可能需要额外的软件来可视化和报告日志。如果您有预算，我建议您使用高级工具，它们更容易设置并节省您大量时间。

1. SolarWinds Log Analyzer（高级工具，30 天免费试用）
2. Windows 事件收集器（免费，需要额外的工具来可视化和报告数据）
3. ManageEngine Audit Plus -（高级工具）
4. Splunk -（高级工具，一种用于分析各种日志文件的流行工具）
5. Elastic Stack -（免费下载）

监视这些事件以防止泄露

以下是您应该监控和报告的事件列表。

• 登录失败 - 事件 ID 4624、4771
• 成功登录 - 事件 ID 4624
• 由于密码错误而失败 - 事件 ID 4625
• 用户帐户被锁定 - 事件 ID 4740
• 用户帐户已解锁 - 事件 ID 4767
• 用户更改密码 - 事件 ID 4723
• 用户已添加到特权组 - 事件 ID 4728、4732、4756
• 成员已添加到群组 - 事件 ID 4728、4732、4756、4761、4746、4751
• 成员已从群组中删除 - 事件 ID 4729、4733、4757、4762、4747、4752
• 安全日志已清除 - 事件 ID 1102
• 计算已删除 - 事件 ID 4743

审计政策基准

您如何确定您的审核策略是否已应用于您的系统？您的审计政策与行业最佳实践相比如何？在本节中，我将向您展示几种审核您自己的系统的方法。

使用auditpol

auditpol 是一个内置命令，可以设置和获取系统上的审核策略。要查看当前审核，请在本地计算机上运行此命令

auditpol /获取/类别：*

您可以根据组策略中的设置检查这些设置，以验证一切正常。

微软安全工具包

我在推荐设置部分提到了这个工具包，但值得再次提及。它包含一个电子表格，其中包含 Microsoft 推荐的审核和安全策略设置。它还包括 GPO 设置、要安装的脚本和 GPO 报告。对于将您的审核策略与 Microsoft 建议进行比较，这是一个很好的参考。

CIS 基准

CIS 基准测试为 140 多个系统提供配置指南，包括浏览器、操作系统和应用程序。

CIS 基准

CIS CAT 专业版

CIS 提供了一个工具，可以自动检查您的系统设置以及它与基准的比较情况。这是迄今为止根据行业基准测试审计策略的最佳方法。专业版确实需要会员资格，有一个功能有限的免费版本。

CIS-CAT Pro

规划您的审计政策

以下是有效部署审计策略的一些技巧。

确定您的 Windows 审核目标

不要只是去启用所有审核设置，还要了解组织的整体安全目标。启用所有审核规则可能会产生大量噪音，并且可能使您的安全工作变得比应有的更加困难。

了解您的网络环境

了解您的网络、Active Directory 架构、OU 设计和安全组是良好审核策略的基础。如果您不了解您的环境或资源的逻辑分组很差，那么将审核策略部署到特定用户或资产将是一项挑战。

组策略

最好使用组策略来部署审核策略。组策略为您提供了一个集中位置来管理审核设置并将其部署到域内的用户和资产。

您将如何获取事件数据？

您需要决定如何审核事件数据。

• 数据会保存在本地计算机上吗？
• 是否会收集每个系统上的日志并将其放入集中式日志系统中？

资源：

规划和部署高级安全审核策略