Ajánlások az ellenőrzési politika
Alapértelmezésben, a Microsoft Windows és az alapvető ajánlásokat tett a szerszám Microsoft Security Compliance Manager.
Az alábbi alapvető ellenőrzési politikát beállítások ajánlottak számítógépes biztonsági rendszereket, amelyeket nem ismert, hogy aktív, meghatározva a sikeres támadás ellenfelek és rosszindulatú.
Ez a szakasz tartalmaz egy táblázatot, amely felsorolja az ajánlott ellenőrzési beállítások, amelyek az alábbi operációs rendszerek:
Ezek táblázatok az alapértelmezett Windows alapvető tanácsot és megbízhatóbb útmutatás ezekhez az operációs rendszerekhez.
Szimbólumtáblázat ellenőrzési politika
Minden eseménynapló gazdálkodási tervek nyomon munkaállomásokhoz és szerverekhez. Gyakran már csak a monitor szerverek vagy tartományvezérlőkön. Mivel a kezdetben gyakran rosszindulatú támadás a munkaállomásokon, monitor munkaállomások ne hagyja ki a legjobb és legelső információforrás.
Tökéletes eseményt hozzon létre egy biztonsági figyelmeztetést kell tartalmaznia a következő tulajdonságokkal rendelkezik:
Ennek valószínűsége nagy, azt a megjelenése jogosulatlan tevékenységek
kis számú téves pozitív;
A bejegyzést kell eredményeznie vizsgálat és nyomozás válasz
Kétféle eseményt meg kell mérni, és figyelmeztetés:
Ezek az események, ahol egy időben jelzi a jogosulatlan tevékenységek
A felhalmozódás az események számát felett az elvárt és elfogadható referenciaértékeket.
Egy példa az első esemény:
Ha kiszolgáló A soha nem csatlakozik a szerverhez B, egy figyelmeztető üzenetet, amikor össze van kötve egymással.
Ha a dolgozók a gyár helyét egy nem tud dolgozni éjjel, figyelmeztetés, ha a felhasználó belép a rendszerbe éjfélkor.
Ha nincs tag a DA-csoport, és valaki felvesz maga ott, nézd meg azonnal.
Egy példa a második esemény -:
Bad számú bejelentkezési hibák jelezhetik jelszófeltörő támadást. A vállalkozások számára értesítést szokatlanul nagy számú sikertelen belépési megértéséhez szükséges a szokásos belépési hibaarány a vállalati környezetben az esemény előtt malware védelem.
A teljes lista az események, hogy fel kell venni a nyilvánosságra hozatal nyomkövető jelek, lásd a függelékben. M: egy esemény monitor.
Az alábbiakban a felhasználói fiókok, csoportok és attribútumok figyelni kívánt kimutatására kísérletek behatolhatnak az Active Directory tartományi szolgáltatások beszerelése.
Rendszer letiltani vagy eltávolítani a programokat a vírusok és a rosszindulatú szoftverek (automatikusan újraindul védelmet, amikor manuálisan kikapcsolva)
Administrator fiók a jogosulatlan módosítások
Hozzászólások végezzük kiváltságos számlák (automatikus törlését a számla végén a megadott időben, vagy gyanús viselkedést lejárt)
szerver csoport a besorolás munkaterhelés, amely lehetővé teszi, hogy gyorsan azonosítani szerverek, amelyeket meg kell pontosan figyelemmel kísérhető, és egyre határozottabban beállítva
tulajdonságainak változását és a tagság a következő csoportok AD DS: Enterprise Administrator (EA), a Tartománygazdák (DA), a rendszergazdák (BA) és Sémafelelősök (SA)
Mozgáskorlátozottak kiváltságos számlák (pl beépített Active Directory rendszergazdai fiókok, valamint a rendszer tagjai), hogy a felhasználói fiókok
Számlavezetési valamennyi felvételi műveletek folyóirat számla
Beépített biztonsági konfigurációs varázsló konfigurálja a szolgáltatást, a jegyzék, és az ellenőrzés tűzfal beállításait, hogy csökkentsék az érintkezési területen. Mester végrehajtása az átmeneti szerverek részeként a helyszínen stratégia.
Minden esemény ajánlásainak megfelelően a kódot, majd az értékelés fontosságát a következők szerint:
Magas: azonosítók események nagy jelentőséget anti-spam, és mindig legyen éber, és azonnal tanulmányozni.
Közel: az elért közepes fontosságú esemény ID jelezheti rosszindulatú tevékenységet, de meg kell kísérnie néhány egyéb rendellenesség (pl szokatlan számot egy bizonyos ideig, váratlan események, vagy az esetekben a számítógépen, amelyet általában nem várható eseményeket.). Az esemény is átlagosan fontosságát R, gyűjtött, mint egy index, és időnként összehasonlítjuk.
Alacsony: Event ID és egy alacsony prioritású események nem magára a figyelmet, vagy egy figyelmeztető, ha nem kapcsolódik az események, közepes vagy magas szinten fontos.
Ezek az iránymutatások célja, hogy alapvető iránymutatást az adminisztrátor számára. Minden ajánlások gondosan ellenőrizni kell a végrehajtás előtt a termelési környezetben.