如何監控和審核 Windows Server 的安全事件

教學
Monitoring Windows

如何監控和審核您的 Windows 伺服器安全事件。在IT基礎架構的動態景觀中,保障我們的Windows伺服器環境的完整性和安全性至關重要。有效的監控和審核不僅是積極的措施,它們是警惕的守衛,確保我們的系統抵禦潛在威脅和未經授權訪問。本文探討了在Windows伺服器中監控和審核的基本要素,提供了有價值的見解,以認識和應對安全事件所需的工具和實踐。這樣做有助於加強我們伺服器環境的數位防禦。

也閱讀 Windows Server 安全最佳實踐:保護您的 Windows 伺服器環境

如何監控和審核您的 Windows 伺服器安全事件

組織網路中的每個系統都會產生某種類型的日誌文件。管理和監控這些日誌數據對於發現網路內部發生的問題至關重要。這些日誌作為事故發生時的初步法證來源。除此之外,監控日誌還有助於滿足合規要求。Active Directory(AD)作為大多數企業的身份訪問管理和治理平台,必須定期進行監控。在AD環境(Windows平台)中發生的事件分類並記錄在三個主要類別下:

安全日誌包含有關事件的詳細信息,例如使用者帳戶登入和登出,特權群組的修改,創建、刪除或修改定期任務等等。這些日誌是我們在發生意外時檢查的首要法證之一,以制定時間表並追踪攻擊路徑。持續監控安全事件並分析日誌有助於網絡管理員獲得有關潛在威脅組織IT基礎設施的攻擊路徑並改進安全狀態的見解。

另請參閱 Windows 伺服器硬化:配置 Windows 伺服器的安全設置和策略

不同類型的安全事件日誌

在數字安全領域中,理解各種事件日的细微差異至關重要。本段將深入探討各種類別 —從身份驗證到稽核日誌 — 對於監控和保護系統完整性的重要性。探尋每種日誌類型如何為安全風景提供全面的視野並加強您的网络安全策略。對於本篇文章,我們著重於安全日誌。以下是一些我們在環境中開始監控的關鍵安全事件:

用戶登錄事件

監控用戶登錄事件對於確定何時哪些用戶是活躍的至關重要。在遭受入侵的情況下,識別存取網絡資源的特定用戶是開始調查的一个好地方。以下是一些與用戶登錄事件相關的Windows事件日誌ID:

用戶屬性更改

保養用戶屬性變動非常重要。未經授權的用戶屬性變動可能是帳號被窃取或內神通敌的先兆。以下是一些與關鍵變動事件相關的事件代碼:

    • 用戶更改密碼 – 事件代碼 4723
    • 用戶帐戶被更改 – 事件代碼 4738

帳號鎖定事件

解決員工帳號鎖定問題是IT管理員日常工作之一。稽核帳號鎖定事件有助於識別鎖定的原因並迅速解決問題。以下是一些與帳號鎖定事件相關的事件代碼:

    • 用戶帳號被鎖定事件代碼 4740
    • 用戶帳號被解鎖 – 事件代碼 4767

也閱讀 尝试使用 InfraSOS 活動目錄用戶報告

組管理事件

追踪 活動目錄組成員 變動對於識別未授權存取資源和權限升級至关重要。惡意對組的更改會干擾組織的運作,用戶可能會失去了工作效率所需的資源。以下是一些與關鍵組變動事件相關的事件編號:

    • 用戶被加入到特级組 – 事件編號 4728, 4732, 4756
    • 組成员被加入到標準組 – 事件編號 4728, 4732, 4756, 4761, 4746, 4751
    • 組成員從組中移除 – 事件編號 4729, 4733, 4757, 4762, 4747, 4752

群組原則物件變更

群組原則物件 (GPO) 提供了一個整合平台,用於在Active Directory 環境中配置和管理使用者設定、應用程式和作業系統。密切關注帳戶鎖定和密碼原則變更等重要原則變更是立即檢測和回應惡意活動的關鍵。以下是與關鍵 GPO 變更事件相關的一些事件 ID:

    • 群組原則變更 – 事件 ID 5136
    • 建立 GPO – 事件 ID 5137
    • GPO 刪除 – 事件 ID 5141

特權使用者活動

監控特權使用者的活動可幫助組織保護關鍵資產,發現異常活動並減輕外部和內部威脅。以下是與關鍵特權使用者活動事件相關的事件ID:

    • 目錄服務對象已修改 – 事件ID 5236
    • 嘗試重設帳戶密碼 – 事件ID 4724

也可閱讀 嘗試使用 InfraSOS Active Directory GPO 報告工具

使用 Windows 事件檢視器查看事件

啟用審核後,我們可以通過以下步驟使用事件檢視器查看日誌並調查事件:

  • 點擊 開始 ➔ 管理工具 ➔ 事件檢視器
  • 點擊 Windows 日誌 ,選擇 安全性。我們可以看到安全日誌中記錄的所有事件。
  • 使用 尋找 選項搜索所需的事件 ID,或者 創建自定義檢視 以查找我們需要的事件日誌。

由於 Windows 是大多數企業網絡中佔主導地位的平台,這些平台生成的安全日誌非常龐大。逐個手動處理每條記錄的安全事件以識別異常活動幾乎是不可能的。

同時閱讀 嘗試 InfraSOS Active Directory 使用者登入審核工具

Windows 安全事件記錄最佳實踐

沒有計劃,我們的 Windows 審核策略會生成大量壓倒性的數據。我們應該遵循一些基本策略,有效地使用 Windows 安全事件記錄進行安全和合規性。在最高層次上,我們必須了解需要審核的資源和活動的邏輯分組。

Windows 日誌管理

  1. 啟用相關的審核策略:根據組織的安全需求,確保啟用關鍵的審核策略,包括帳戶登入/登出、特權使用、對象訪問、策略更改和系統事件。
  2. 定期審核和清理日誌:定期審核和清理事件日誌,以防止容量問題。實施自動日誌輪替和歸檔流程,以實現高效的日誌管理。
  3. 集中式日誌記錄:利用 Windows 事件轉發或第三方解決方案等工具,將日誌集中,提供統一的查看、分析和警報功能。
  4. 事件日誌保留策略:遵循法規要求與組織安全標準,建立清晰的事件日誌保留策略。
  5. 實時監控與警示:對關鍵安全事件实施實時監控,並為特定事件ID或模式配置警示,以促進積極發現威脅。
  6. 安全訪問控制:限制對於事件日誌的訪問僅限於授權人員,遵循最小權限的原則,以防止未授權篡改。
  7. 事件日誌備份:定期備份安全事件日誌,以在系統故障或安全事件發生時保留數據。備份對於法医分析至關重要。
  8. 维持系統更新:Microsoft定期為Windows操作系统以及安全性软體更新最新修补程式,以解決已知的脆弱性问题。
  9. 人员培训: 为负责监控和管理安全事件日志的IT人员提供培训。为他们提供关于日常安全事件和适当应对措施的知识。
  10. 与SIEM解决方案集成: 如有必要,将事件注册纳入安全信息和事件管理(SIEM)解决方案,以增强分析、关联和报告能力。

感谢您的阅读。我们总结了文章《如何监控和审计您的Windows服务器的安全事件》。

还可阅读 如何保护Windows服务器:恶意软件、勒索软件、DDoS攻击和其他威胁

如何监控和审计您的Windows服务器的安全事件结论

總的來說,對於Windows Server監控和審計的細緻安排不僅是一種最佳實踐; 在網絡安全中,這是一個戰略性必要。 通過實施強大的監控工具和主動的審計實踐,組織可以建立對潛在安全威脅具有彈性的防禦,確保伺服器環境的持續完整性。 隨著數字環境的演變,通過監控和審計的警惕承諾成為防護和加強安全可靠的Windows Server基礎建設的保障和基

Source:
https://infrasos.com/how-to-monitor-and-audit-your-windows-server-for-security-events/