Övervaka Active Directory för tecken på kompromisser

Lag nummer fem: Evig vaksamhet är priset för säkerhet. - 10 Oföränderliga lagar för säkerhetsadministration

Ett stabilt system för övervakning av händelseloggar är en viktig del av en säker Active Directory-design. Många datasäkerhetskompromisser kan upptäckas tidigt i händelse av att målen har genomfört lämplig övervakning och avisering av händelseloggar. Oberoende rapporter har länge stött denna slutsats. Till exempel säger 2009 Verizon Data Breach Report :

"Den uppenbara ineffektiviteten i händelseövervakning och logganalys fortsätter att vara något av en gåta. Identifieringsmöjligheten finns där. utredare noterade att 66 procent av offren hade tillräckliga bevis tillgängliga i sina loggar för att upptäcka överträdelsen om de hade varit mer flitiga med att analysera sådana resurser."

Denna brist på övervakning av aktiva händelseloggar är fortfarande en konsekvent svaghet i många företags säkerhetsförsvarsplaner. Verizon Data Breach-rapporten från 2012 fann att även om 85 procent av överträdelserna tog flera veckor att märka, hade 84 procent av offren bevis för överträdelsen i sina händelseloggar.

Windows-granskningsprincip

Följande är länkar till Microsofts officiella företagssupportblogg. Innehållet i dessa bloggar ger råd, vägledning och rekommendationer om granskning för att hjälpa dig att förbättra säkerheten för din Active Directory-infrastruktur och är en värdefull resurs när du utformar en granskningsprincip.

• Global objektåtkomstgranskning är Magisk – beskriver en kontrollmekanism som kallas Avancerad granskningsprincipkonfiguration som lagts till i Windows 7 och Windows Server 2008 R2 som låter dig ange vilka typer av data som du enkelt vill granska utan att behöva jonglera skript och auditpol.exe.
• Introduktion till granskningsändringar i Windows 2008 – Introducerar granskningsändringar som gjorts i Windows Server 2008.
• Cool Auditing Tricks i Vista och 2008 – Förklarar intressanta granskningsfunktioner i Windows Vista och Windows Server 2008 som kan användas för att felsöka problem eller se vad som händer i din miljö.
• One-Stop Shop for Auditing i Windows Server 2008 och Windows Vista – innehåller en sammanställning av granskningsfunktioner och information som finns i Windows Server 2008 och Windows Vista.

Följande länkar innehåller information om förbättringar av Windows-granskning i Windows 8 och Windows Server 2012 och information om AD DS-granskning i Windows Server 2008.

• Nyheter i säkerhetsgranskning – Ger en översikt över nya säkerhetsgranskningsfunktioner i Windows 8 och Windows Server 2012.
• Steg-för-steg-guide för AD DS-granskning – Beskriver den nya granskningsfunktionen för Active Directory Domain Services (AD DS) i Windows Server 2008. Innehåller även procedurer för att implementera den här nya funktionen.

Windows-granskningskategorier

Före Windows Vista och Windows Server 2008 hade Windows bara nio principkategorier för granskning av händelseloggar:

• Kontoinloggningshändelser
• Kontohantering
• Åtkomst till katalogtjänst
• Inloggningshändelser
• Objektåtkomst
• Principändring
• Behörighetsanvändning
• Processspårning
• Systemhändelser

Dessa nio traditionella granskningskategorier utgör en granskningsprincip. Varje revisionspolicykategori kan aktiveras för händelser som lyckas, misslyckas eller både lyckas och misslyckas. Deras beskrivningar ingår i nästa avsnitt.

Beskrivningar av granskningsprincipkategori

Granskningsprincipkategorierna aktiverar följande typer av händelseloggmeddelanden.

Granska kontoinloggningshändelser

Revisionskonto inloggningshändelser rapporterar varje situation av ett säkerhetsobjekt (till exempel användare, dator eller tjänstkonto) som loggar in på eller loggar ut från en dator när en annan dator används för att verifiera kontot. Kontoinloggningshändelser genereras när ett domänsäkerhetsprincipalkonto autentiseras på en domänkontrollant. Autentisering av en lokal användare på en lokal dator genererar en inloggningshändelse som loggas i den lokala säkerhetsloggen. Inga kontologgningshändelser loggas.

Den här kategorin genererar mycket "brus" eftersom Windows ständigt har konton som loggar in på och av de lokala datorerna och fjärrdatorerna under den normala verksamheten. Trots denna olägenhet bör varje säkerhetsplan inkludera framgång och misslyckande för den här granskningskategorin.

Revidera kontohantering

Den här granskningsinställningen avgör om du vill spåra hantering av användare och grupper. Användare och grupper bör till exempel spåras när ett användar- eller datorkonto, en säkerhetsgrupp eller en distributionsgrupp skapas, ändras eller tas bort. Användare och grupper bör också spåras när ett användar- eller datorkonto har bytt namn, inaktiverats eller aktiverats och när ett användar- eller datorlösenord ändras. En händelse kan genereras för användare eller grupper som läggs till i eller tas bort från andra grupper.

Granska katalogtjänståtkomst

Den här principinställningen avgör om säkerhetsprincipalens åtkomst till ett Active Directory-objekt som har en egen angiven lista för systemåtkomstkontroll (SACL) ska granskas. I allmänhet bör den här kategorin endast aktiveras på domänkontrollanter. Den här inställningen genererar mycket "brus" om den är aktiverad.

Granska inloggningshändelser

Inloggningshändelser genereras när ett lokalt säkerhetsobjekt autentiseras på en lokal dator. Inloggningshändelser registrerar domäninloggningar som inträffar på den lokala datorn. Händelser för kontoutloggning genereras inte. När det är aktiverat genererar inloggningshändelser mycket "brus", men den här principen bör ändå aktiveras som standard i alla säkerhetsgranskningsplaner.

Granska objektåtkomst

Objektåtkomst kan generera händelser när senare definierade objekt med granskning aktiverat används (till exempel Öppnat, Läst, Bytt namn, Borttaget eller Stängt). När huvudgranskningskategorin har aktiverats måste administratören individuellt definiera vilka objekt som ska ha granskning aktiverat. Många Windows-systemobjekt har granskning aktiverat, så om du aktiverar den här kategorin börjar du vanligtvis generera händelser innan administratören har definierat några.

Den här kategorin är mycket "bullrig" och genererar fem till tio händelser för varje objektåtkomst. Det kan vara svårt för administratörer som är nybörjare på objektgranskning att få användbar information. Den bör endast aktiveras när det behövs.

Ändring av granskningsprincip

Den här principinställningen avgör om du vill granska varje förekomst av en ändring av principer för tilldelning av användarrättigheter, Windows-brandväggsprinciper, Förtroendeprinciper eller ändringar av granskningsprincipen. Den här kategorin ska vara aktiverad på alla datorer. Det genererar väldigt lite "brus".

Granska användningen av behörigheter

Det finns dussintals användarrättigheter och behörigheter i Windows (till exempel Inloggning som ett Batch-jobb och Agera som en del av operativsystemet). Den här principinställningen avgör om du vill granska varje instans av ett säkerhetsobjekt genom att utöva en användarrätt eller behörighet. Aktivering av den här kategorin resulterar i mycket "brus", men det kan vara bra att spåra konton för säkerhetsobjekt med utökade privilegier.

Spårning av granskningsprocess

Den här principinställningen avgör om du vill granska detaljerad processspårningsinformation för händelser som programaktivering, processavslut, hantera duplicering och indirekt objektåtkomst. Det är användbart för att spåra skadliga användare och de program som de använder.

Aktivering av spårning av granskningsprocesser genererar ett stort antal händelser, så vanligtvis är det inställt på Ingen granskning. Den här inställningen kan dock ge en stor fördel under ett incidentsvar från den detaljerade loggen för de processer som startats och den tid då de startades. För domänkontrollanter och andra infrastrukturservrar med en roll kan den här kategorin aktiveras på ett säkert sätt hela tiden. Servrar med en roll genererar inte mycket processspårningstrafik under det normala arbetet. Därför kan de aktiveras för att samla in obehöriga händelser om de inträffar.

Granskning av systemhändelser

Systemhändelser är nästan en allmän catch-all-kategori som registrerar olika händelser som påverkar datorn, dess systemsäkerhet eller säkerhetsloggen. Den innehåller händelser för datoravstängningar och omstarter, strömavbrott, systemtidsändringar, initieringar av autentiseringspaket, granskningsloggrensningar, personifieringsproblem och en mängd andra allmänna händelser. I allmänhet genererar aktivering av den här granskningskategorin mycket "brus", men det genererar tillräckligt med mycket användbara händelser som det är svårt att någonsin rekommendera att inte aktivera den.

Avancerade granskningsprinciper

Från och med Windows Vista och Windows Server 2008 förbättrade Microsoft hur kategorival för händelseloggar kan göras genom att skapa underkategorier under varje huvudgranskningskategori. Med underkategorier kan granskning vara mycket mer detaljerad än vad den annars skulle kunna göra med hjälp av huvudkategorierna. Med hjälp av underkategorier kan du bara aktivera delar av en viss huvudkategori och hoppa över att generera händelser som inte är användbara. Varje underkategori i granskningspolicyn kan aktiveras för händelser av framgång, misslyckande, eller både framgång och misslyckande.

Om du vill visa en lista över alla tillgängliga granskningsunderkategorier granskar du containern Avancerad granskningsprincip i ett grupprincipobjekt eller skriver följande kommando på en dator som kör Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 eller Windows Vista:

auditpol /list /subcategory:*

Om du vill hämta en lista över för närvarande konfigurerade granskningsunderkategorier på en dator som kör Windows Server 2012, Windows Server 2008 R2 eller Windows 2008 skriver du följande kommando:

auditpol /get /category:*

Följande skärmbild visar ett exempel på auditpol.exe-listan över den aktuella revisionspolicyn.

Varje huvudkategori har flera underkategorier. Nedan visas en lista över kategorier, deras underkategorier och beskrivningar av deras funktioner.

Beskrivningar av granskningsunderkategorier

Underkategorier för granskningsprinciper aktiverar följande typer av händelseloggmeddelanden:

Kontoinloggning

Validering av autentiseringsuppgifter

Den här underkategorin rapporterar resultatet av valideringstester för autentiseringsuppgifter som skickats för en inloggningsbegäran för användarkonto. Dessa händelser inträffar på den dator som är auktoritativ för autentiseringsuppgifterna. För domänkonton är domänkontrollanten auktoritativ. för lokala konton är den lokala datorn auktoritativ.

I domänmiljöer loggas de flesta kontoinloggningshändelserna i säkerhetsloggen för de domänkontrollanter som är auktoritativa för domänkontona. Dessa händelser kan dock inträffa på andra datorer i organisationen när lokala konton används för att logga in.

Åtgärder för Kerberos-tjänstbiljetter

Den här underkategorin rapporterar händelser som genereras av Kerberos-biljettbegärandeprocesser på den domänkontrollant som är auktoritär för domänkontot.

Kerberos-autentiseringstjänst

Den här underkategorin rapporterar händelser som genereras av Kerberos-autentiseringstjänsten. Dessa händelser inträffar på den dator som är auktoritativ för autentiseringsuppgifterna.

Andra kontoinloggningshändelser

Den här underkategorin rapporterar de händelser som inträffar som svar på autentiseringsuppgifter som skickats för en inloggningsbegäran för användarkonto som inte är relaterade till validering av autentiseringsuppgifter eller Kerberos-biljetter. Dessa händelser inträffar på den dator som är auktoritativ för autentiseringsuppgifterna. För domänkonton är domänkontrollanten auktoritativ, medan den lokala datorn är auktoritativ för lokala konton.

I domänmiljöer loggas de flesta kontoinloggningshändelser i säkerhetsloggen för de domänkontrollanter som är auktoritativa för domänkontona. Dessa händelser kan dock inträffa på andra datorer i organisationen när lokala konton används för att logga in. Exempel kan vara följande:

• Frånkopplingar av fjärrskrivbordstjänsters sessioner
• Nya sessioner för fjärrskrivbordstjänster
• Låsa och låsa upp en arbetsstation
• Anropa en skärmsläckare
• Stänga en skärmsläckare
• Identifiering av en Kerberos-reprisattack, där en Kerberos-begäran med identisk information tas emot två gånger
• Åtkomst till ett trådlöst nätverk som beviljats ett användar- eller datorkonto
• Åtkomst till ett kabelanslutet 802.1x-nätverk som beviljats till ett användar- eller datorkonto

Kontohantering

Hantering av användarkonton

Den här underkategorin rapporterar varje händelse av hantering av användarkonton, till exempel:

• Användarkonto som skapats, ändrats eller tagits bort
• Användarkontot har bytt namn, inaktiverats eller aktiverats
• Lösenordsuppsättning eller ändring

Om den här inställningen för granskningsprinciper är aktiverad kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av användarkonton.

Hantering av datorkonto

Den här underkategorin rapporterar varje händelse av datorkontohantering, till exempel när ett datorkonto skapas, ändras, tas bort, byt namn, inaktiveras eller aktiveras.

Hantering av säkerhetsgrupper

Den här underkategorin rapporterar varje händelse av hantering av säkerhetsgrupper, till exempel när en säkerhetsgrupp skapas, ändras eller tas bort eller när en medlem läggs till i eller tas bort från en säkerhetsgrupp. Om den här inställningen för granskningsprinciper är aktiverad kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av säkerhetsgruppskonton.

Hantering av distributionsgrupp

Den här underkategorin rapporterar varje händelse av hantering av distributionsgrupper, till exempel när en distributionsgrupp skapas, ändras eller tas bort eller när en medlem läggs till i eller tas bort från en distributionsgrupp. Om den här inställningen för granskningsprinciper är aktiverad kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av gruppkonton.

Hantering av programgrupp

Den här underkategorin rapporterar varje händelse av programgruppshantering på en dator, till exempel när en programgrupp skapas, ändras eller tas bort eller när en medlem läggs till i eller tas bort från en programgrupp. Om den här inställningen för granskningsprinciper är aktiverad kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av programgruppskonton.

Andra kontohanteringshändelser

Den här underkategorin rapporterar andra kontohanteringshändelser.

Detaljerad processspårning

Detaljerad övervakning av processspårning omfattar både skapande och avslutning av processer.

Skapa process

Den här underkategorin rapporterar skapandet av en process och namnet på den användare eller det program som skapade den.

Processavslut

Den här underkategorin rapporterar när en process avslutas.

DPAPI-aktivitet

Den här underkategorin rapporterar anrop för att kryptera eller dekryptera till dataskyddsprogrammets gränssnitt (DPAPI). DPAPI används för att skydda hemlig information, till exempel lagrat lösenord och nyckelinformation.

RPC-händelser

Den här underkategorin rapporterar RPC-anslutningshändelser (Remote Procedure Call).

Åtkomst till katalogtjänst

Åtkomst till katalogtjänst

Den här underkategorin rapporterar när ett AD DS-objekt används. Endast objekt med konfigurerade SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar SACL-posterna. Dessa händelser liknar åtkomsthändelserna för katalogtjänsten i tidigare versioner av Windows Server. Den här underkategorin gäller endast för domänkontrollanter.

Katalogtjänständringar

Den här underkategorin rapporterar ändringar i objekt i AD DS. De typer av ändringar som rapporteras är skapa, ändra, flytta och ta bort åtgärder som utförs på ett objekt. Ändringsgranskning av katalogtjänsten anger i förekommande fall de gamla och nya värdena för de ändrade egenskaperna för de objekt som har ändrats. Endast objekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL-poster. Vissa objekt och egenskaper orsakar inte att granskningshändelser genereras på grund av inställningarna för objektklassen i schemat. Den här underkategorin gäller endast för domänkontrollanter.

Replikering av katalogtjänst

Den här underkategorin rapporterar när replikeringen mellan två domänkontrollanter börjar och slutar.

Detaljerad katalogtjänstreplikering

Den här underkategorin rapporterar detaljerad information om den information som replikeras mellan domänkontrollanter. Dessa händelser kan vara mycket höga i volym.

Logon/Logoff

Logon

Den här underkategorin rapporterar när en användare försöker logga in på systemet. Dessa händelser inträffar på den anslutna datorn. För interaktiva inloggningar sker genereringen av dessa händelser på den dator som användaren är inloggad på. Om en nätverksinloggning sker för att komma åt en resurs genereras dessa händelser på den dator som är värd för den använda resursen. Om den här inställningen har konfigurerats till Ingen granskning är det svårt eller omöjligt att avgöra vilken användare som har använt eller försökt komma åt organisationens datorer.

Nätverkspolicyserver

Den här underkategorin rapporterar händelser som genereras av RADIUS-användaråtkomstbegäranden (IAS) och Network Access Protection (NAP). Dessa begäranden kan vara Bevilja, Neka, Ignorera, Karantän, Lås och Lås upp. Om du granskar den här inställningen kommer det att resultera i en medelhög eller hög volym av loggar på NPS- och IAS-servrar.

Huvudläge för IPsec

Den här underkategorin rapporterar resultatet av IKE-protokollet (Internet Key Exchange) och AuthIP (Authenticated Internet Protocol) under main mode-förhandlingarna.

Utökat IPsec-läge

Den här underkategorin rapporterar resultatet av AuthIP under förhandlingar i förlängt läge.

Andra inloggnings-/utloggningshändelser

Den här underkategorin rapporterar andra inloggnings- och utloggningsrelaterade händelser, till exempel sessioner för fjärrskrivbordstjänster som kopplas från och återansluts, att använda RunAs för att köra processer under ett annat konto, samt att låsa och låsa upp en arbetsstation.

Logoff

Den här underkategorin rapporterar när en användare loggar ut från systemet. Dessa händelser inträffar på den anslutna datorn. För interaktiva inloggningar sker genereringen av dessa händelser på den dator som användaren är inloggad på. Om en nätverksinloggning sker för att komma åt en resurs genereras dessa händelser på den dator som är värd för den använda resursen. Om den här inställningen har konfigurerats till Ingen granskning är det svårt eller omöjligt att avgöra vilken användare som har använt eller försökt komma åt organisationens datorer.

Kontoutelåsning

Den här underkategorin rapporterar när en användares konto är utelåst på grund av för många misslyckade inloggningsförsök.

Snabbläge för IPsec

Den här underkategorin rapporterar resultatet av IKE-protokollet och AuthIP under snabblägesförhandlingarna.

Särskild inloggning

Den här underkategorin rapporterar när en särskild inloggning används. En särskild inloggning är en inloggning som har administratörsekvivalenter och kan användas för att höja en process till en högre nivå.

Principändring

Ändring av granskningsprincip

Den här underkategorin rapporterar ändringar i granskningsprincipen, inklusive SACL-ändringar.

Ändring av autentiseringsprincip

Den här underkategorin rapporterar ändringar i autentiseringsprincipen.

Ändring av auktoriseringsprincip

Den här underkategorin rapporterar ändringar i auktoriseringsprincipen, inklusive ändringar av behörigheter (DACL).

Principändring för MPSSVC Rule-Level

Den här underkategorin rapporterar ändringar i principregler som används av Microsoft Protection Service (MPSSVC.exe). Den här tjänsten används av Windows-brandväggen.

Ändring av filtreringsplattformsprincip

Den här underkategorin rapporterar tillägg och borttagning av objekt från WFP, inklusive startfilter. Dessa händelser kan vara mycket höga i volym.

Andra principändringshändelser

Den här underkategorin rapporterar andra typer av ändringar av säkerhetsprinciper, till exempel konfiguration av TPM (Trusted Platform Module) eller kryptografiska providers.

Behörighetsanvändning

Privilege Use omfattar både känsliga och meningslösa privilegier.

Användning av känslig behörighet

Den här underkategorin rapporterar när ett användarkonto eller en tjänst använder en känslig behörighet. En känslig behörighet omfattar följande användarrättigheter:

• Agera som en del av operativsystemet
• Säkerhetskopiera filer och kataloger
• Skapa ett tokenobjekt, felsöka program
• Gör dator- och användarkonton betrodda för delegering
• Generera säkerhetsgranskningar, personifiera en klient efter autentisering
• Läsa in och ta bort drivrutiner
• Hantera granskning- och säkerhetsloggar
• Ändra maskinvarumiljö
• Ersätt en token på processnivå, återställa filer och kataloger
• Ta över ägarskapet för filer eller andra objekt.

Om du granskar den här underkategorin skapas en stor mängd händelser.

Ickekänslig användning av privilegier

Den här underkategorin rapporterar när ett användarkonto eller en tjänst använder ett meningslöst privilegium. Ett meningslöst privilegium omfattar följande användarrättigheter:

• Åtkomst Autentiseringshanteraren som en betrodd anropare
• Få åtkomst till den här datorn från nätverket
• Lägga till arbetsstationer i domänen
• Justera minneskvoter för en process
• Tillåt lokal inloggning
• Tillåt inloggning genom Fjärrskrivbordstjänster
• Kringgå bläddringskontroll
• Ändra datorns tid
• Skapa en växlingsfil
• Skapa globala objekt
• Skapa permanent delade objekt
• Skapa symboliska länkar
• Neka åtkomst till den här datorn från nätverket
• Neka inloggning som batchjobb
• Neka inloggning som en tjänst
• Neka inloggning lokalt
• Neka inloggning via Fjärrskrivbordstjänster
• Tvångsavsluta från ett fjärrsystem
• Öka en process arbetsmängd
• Öka schemaläggning prioritet
• Låsa sidor i minnet
• Logga in för ett batchjobb
• Logga in som en tjänst
• Ändra etikett för ett objekt
• Utföra volymunderhållsuppgifter
• Profilera enskild process
• Profilera systemprestanda
• Ta bort datorn från dockningsstation
• Stänga av systemet
• Synkronisera katalogtjänstdata.

En granskning av den här underkategorin kommer att generera en mycket stor mängd händelser.

Andra behörighetsanvändningshändelser

Den här inställningen för säkerhetsprinciper används inte för närvarande.

Objektåtkomst

Kategorin Objektåtkomst innehåller underkategorier för filsystem och register.

Filsystem

Den här underkategorin rapporterar när filsystemobjekt används. Endast filsystemobjekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL-poster. Den här principinställningen leder i sig inte till granskning av några händelser. Den avgör om du vill granska händelsen för en användare som har åtkomst till ett filsystemobjekt som har en angiven lista över systemåtkomstkontroll (SACL), vilket effektivt möjliggör granskning.

Om åtkomstinställningen för granskningsobjekt har konfigurerats till Lyckades genereras en granskningspost varje gång en användare har åtkomst till ett objekt med en angiven SACL. Om den här principinställningen är konfigurerad till Fel genereras en granskningspost varje gång en användare misslyckas i ett försök att komma åt ett objekt med en angiven SACL.

Registry

Den här underkategorin rapporterar när registerobjekt används. Endast registerobjekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL-poster. Den här principinställningen leder i sig inte till granskning av några händelser.

Kernel-objekt

Den här underkategorin rapporterar när kernelobjekt som processer och mutexer används. Endast kernelobjekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL-poster. Normalt får kernelobjekt endast SACL:er om granskningsalternativen AuditBaseObjects eller AuditBaseDirectories är aktiverade.

SAM

Den här underkategorin rapporterar när lokala SAM-autentiseringsdatabasobjekt (Security Accounts Manager) används.

Certifieringstjänster

Den här underkategorin rapporterar när certifieringstjänster utförs.

Program som genererats

Den här underkategorin rapporterar när program försöker generera granskningshändelser med hjälp av API:er (Windows Auditing Application Programming Interfaces).

Hantera manipulering

Den här underkategorin rapporterar när ett handtag till ett objekt öppnas eller stängs. Endast objekt med SACL:er gör att dessa händelser genereras och endast om åtgärden för försök till handtag matchar SACL-posterna. Hantera manipulationshändelser genereras endast för objekttyper där motsvarande underkategori för objektåtkomst är aktiverad (till exempel filsystem eller register).

Filresurs

Den här underkategorin rapporterar när en filresurs används. Den här principinställningen leder i sig inte till granskning av några händelser. Den avgör om du vill granska händelsen för en användare som har åtkomst till ett filresursobjekt som har en angiven lista över systemåtkomstkontroll (SACL), vilket effektivt möjliggör granskning.

Filtrering av plattformspaket

Den här underkategorin rapporterar när paket tas bort av Windows Filtering Platform (WFP). Dessa händelser kan vara mycket höga i volym.

Filtreringsplattformsanslutning

Den här underkategorin rapporterar när anslutningar tillåts eller blockeras av WFP. Dessa händelser kan vara höga i volym.

Andra objektåtkomsthändelser

Den här underkategorin rapporterar andra objektåtkomstrelaterade händelser, till exempel Schemaläggarjobb och COM+-objekt.

System

Ändra säkerhetstillstånd

Den här underkategorin rapporterar ändringar i systemets säkerhetstillstånd, till exempel när säkerhetsundersystemet startar och stoppas.

Säkerhetssystemtillägg

Den här underkategorin rapporterar inläsningen av tilläggskoden, till exempel autentiseringspaket av säkerhetsundersystemet.

Systemintegritet

Den här underkategorin rapporterar om överträdelser av integriteten i säkerhetsundersystemet.

IPsec-drivrutin

Den här underkategorin rapporterar om aktiviteterna för IPsec-drivrutinen (Internet Protocol Security).

Andra systemhändelser

Den här underkategorin rapporterar om andra systemhändelser.

Mer information om underkategoribeskrivningarna finns i Microsoft Security Compliance Manager-verktyget.

Varje organisation bör granska de tidigare kategorierna och underkategorierna och aktivera de kategorier som passar bäst för deras miljö. Ändringar i granskningsprincipen bör alltid testas före distributionen i en produktionsmiljö.

Konfigurera Windows-granskningsprincip

Windows granskningsprincip kan anges med hjälp av grupprinciper, auditpol.exe, API:er eller registerredigeringar. De rekommenderade metoderna för att konfigurera granskningsprinciper för de flesta företag är grupprincip eller auditpol.exe. Om du ställer in ett systems granskningsprincip krävs kontobehörigheter på administratörsnivå eller lämpliga delegerade behörigheter.

Ange Windows-granskningsprincip med hjälp av grupprincip

Om du vill ange granskningsprincip med hjälp av grupprinciper konfigurerar du lämpliga granskningskategorier under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Granskningsprincip (se följande skärmbild för ett exempel från Redigeraren för lokal grupprincip (gpedit.msc)). Varje granskningsprincipkategori kan aktiveras för händelser som lyckades, misslyckades eller lyckades och misslyckades.

Avancerad granskningsprincip kan anges med hjälp av Active Directory eller lokala grupprinciper. Om du vill ange Avancerad granskningsprincip konfigurerar du lämpliga underkategorier som finns under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincip (se följande skärmbild för ett exempel från redigeraren för lokal grupprincip (gpedit.msc)). Varje underkategori för granskningsprinciper kan aktiveras för händelser som lyckades, misslyckades eller lyckades och misslyckades .

Ange Windows-granskningsprincip med hjälp av Auditpol.exe

Auditpol.exe (för att ange Windows-granskningsprincip) introducerades i Windows Server 2008 och Windows Vista. Inledningsvis kan endast auditpol.exe användas för att ange avancerad granskningsprincip, men grupprincip kan användas i Windows Server 2012, Windows Server 2008 R2 eller Windows Server 2008, Windows 8 och Windows 7.

Auditpol.exe är ett kommandoradsverktyg. Syntaxen är följande:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe syntax exempel:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Skriptgranskningspol

Microsoft tillhandahåller ett exempelskript för administratörer som vill ange avancerad granskningsprincip med hjälp av ett skript i stället för att manuellt skriva in varje auditpol.exe kommando.

Not Grupprincipen rapporterar inte alltid statusen för alla aktiverade granskningsprinciper, medan auditpol.exe gör det. Mer information finns i Hämta effektiv granskningsprincip i Windows 7 och Windows 2008 R2 .

Andra Auditpol-kommandon

Auditpol.exe kan användas för att spara och återställa en lokal granskningsprincip och för att visa andra granskningsrelaterade kommandon. Här är de andra auditpol-kommandona .

auditpol /clear – Används för att rensa och återställa lokala granskningsprinciper

auditpol /backup /file:<filename> – Används för att säkerhetskopiera en aktuell lokal granskningsprincip till en binär fil

auditpol /restore /file:<filename> – Används för att importera en tidigare sparad granskningsprincipfil till en lokal granskningsprincip

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> – Om den här inställningen för granskningsprinciper är aktiverad stoppas systemet omedelbart (med STOP: C0000244 {Audit Failed}-meddelande) om en säkerhetsgranskning inte kan loggas av någon anledning. En händelse loggas vanligtvis inte när säkerhetsgranskningsloggen är full och kvarhållningsmetoden som anges för säkerhetsloggen är Skriv inte över händelser eller Skriv över händelser efter dagar. Vanligtvis är den här principen endast aktiverad i miljöer som behöver högre säkerhet för att säkerhetsloggen loggas. Om det är aktiverat måste administratörer noga övervaka säkerhetsloggens storlek och rotera loggarna efter behov. Det kan också anges med grupprincip genom att ändra säkerhetsalternativet Granska: Stäng av systemet omedelbart om det inte går att logga säkerhetsgranskningar (standard=inaktiverad).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Den här inställningen för granskningsprinciper avgör om du vill granska åtkomsten för globala systemobjekt. Om den här principen är aktiverad gör den att systemobjekt, till exempel mutexes, händelser, semaphores och DOS-enheter skapas med en standardlista för systemåtkomstkontroll (SACL). De flesta administratörer anser att granskning av globala systemobjekt är för "bullrigt", och de aktiverar det bara om skadlig hackning misstänks. Endast namngivna objekt får en SACL. Om granskningsobjektets granskningsprincip (eller granskningsunderkategori för kernelobjekt) också är aktiverad granskas åtkomsten till dessa systemobjekt. När du konfigurerar den här säkerhetsinställningen börjar ändringen inte gälla förrän du startar om Windows. Den här principen kan också anges med grupprincip genom att ändra säkerhetsalternativet Granska åtkomsten till globala systemobjekt (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> – Den här inställningen för granskningsprinciper anger att namngivna kernelobjekt (till exempel mutexes och semaphores) ska ges SACL:er när de skapas. AuditBaseDirectories påverkar containerobjekt medan AuditBaseObjects påverkar objekt som inte kan innehålla andra objekt.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> – Den här inställningen för granskningsprinciper anger om klienten genererar en händelse när en eller flera av följande behörigheter tilldelas till en användarsäkerhetstoken:

• AssignPrimaryTokenPrivilege
• AuditPrivilege
• BackupPrivilege
• CreateTokenPrivilege
• DebugPrivilege
• EnableDelegationPrivilege
• ImpersonatePrivilege
• LoadDriverPrivilege
• RestorePrivilege
• SecurityPrivilege
• SystemEnvironmentPrivilege
• TakeOwnershipPrivilege
• TcbPrivilege.

Om det här alternativet inte är aktiverat (default=Disabled) registreras inte behörigheterna BackupPrivilege och RestorePrivilege. Om du aktiverar det här alternativet kan det göra säkerhetsloggen mycket bullrig (ibland hundratals händelser per sekund) under en säkerhetskopieringsåtgärd. Den här policyn kan också anges med Grupppolicy genom att ändra säkerhetsalternativet Granska: Granska användningen av behörigheten Säkerhetskopiering och återställning.

Framtvinga traditionell granskning eller avancerad granskning

I Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 och Windows Vista kan administratörer välja att aktivera de nio traditionella kategorierna eller använda underkategorierna. Det är ett binärt val som måste göras i varje Windows-system. Antingen kan huvudkategorierna aktiveras eller underkategorierna. Det kan inte vara både och.

För att förhindra att den äldre traditionella kategoripolicyn skriver över underkategorier för granskningspolicyer måste du aktivera policyn Tvångsinställningar för granskningspolicyunderkategorier (Windows Vista eller senare) för att åsidosätta inställningarna för granskningspolicyns kategorier, som finns under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ.

Vi rekommenderar att underkategorierna aktiveras och konfigureras i stället för de nio huvudkategorierna. Detta kräver att en grupprincipinställning aktiveras (för att tillåta att underkategorier åsidosätter granskningskategorierna) tillsammans med att konfigurera de olika underkategorier som stöder granskningsprinciper.

Granskningsunderkategorier kan konfigureras med hjälp av flera metoder, inklusive grupprincip och kommandoradsprogrammet auditpol.exe.

Nästa steg

• Granskning och efterlevnad i Windows Server 2008

• Använda grupprincip för att konfigurera detaljerade säkerhetsgranskningsinställningar för Windows Vista-baserade och Windows Server 2008-baserade datorer i en Windows Server 2008-domän, i en Windows Server 2003-domän eller i en Windows 2000-domän

• Steg-för-steg-guide för avancerad säkerhetsgranskningsprincip