Även om den lokala säkerhetspolicyn (SecPol.MSC) inte är ett direkt "intrångsdetekteringssystem", kan det ge värdefulla ledtrådar och hjälpa dig att undersöka potentiella hackförsök på användarkonton. Så här kan det användas och dess begränsningar:
Hur lokal säkerhetspolicy kan hjälpa (ledtrådar att leta efter):
* Account Lockout Policy:
* Framgång och misslyckande revisionsloggning: Aktivera revision för inloggningshändelser. Detta är avgörande! Du kan hitta dessa inställningar under:
* `Säkerhetsinställningar -> Lokala policyer -> Revisionspolicy -> Logga in inloggning av revision
* Account Lockout Threshold: Om du har en lågkonto -lockout -tröskel (t.ex. 3 ogiltiga inloggningsförsök) kommer upprepade misslyckade inloggningsförsök att låsa kontot. En hög lockout -tröskel skyddar dig inte mot attacker för gissning av lösenord. Detta är ett tecken på att någon försöker gissa lösenordet.
* Konto Lockout Varaktighet: Ju längre låsningstiden, desto mer störande är det. En balans behövs.
* Återställ kontolåsningsräknare efter: Detta definierar den period varefter räknaren för ogiltiga inloggningsförsök återställs.
* Vad man ska leta efter i händelselogs: När du har konfigurerat kontolockpolicyn och aktiverat revisionsloggning använder du händelsevisaren och filtrerar för händelser relaterade till:
* Event ID 4776 (Kerberos Authentication): Felhändelser här kan indikera att någon försöker brute-kraft Kerberos-lösenord.
* Event ID 4625 (ett konto misslyckades med att logga in): Detta är händelsen "misslyckad inloggning". Undersök "kontonamn", "källarbetsstation", "inloggningstyp" och "felinformation" -information inom händelsen. Upprepade fel från samma källa IP -adress eller arbetsstation är misstänkta.
* Event ID 4740 (ett användarkonto var låst ut): Detta är en avgörande indikator på att kontolåsningspolicyn har utlösts på grund av för många misslyckade försök. Händelseloggen berättar vilket konto som var låst ut.
* revisionspolicy:
* Aktivera revision: Förutom inloggningshändelser, överväg att aktivera revision för andra evenemang som:
* Åtkomst för revisionsobjekt: Spåra fil och mappåtkomst. Om ett konto komprometteras kan angriparen komma åt känslig data.
* Revision Privilege Användning: Spåra när användare utövar speciella privilegier (t.ex. administratörsrättigheter). Ovanligt privilegiumanvändning av en användare kan vara ett tecken på kompromiss.
* Revisionssystemhändelser: Spårsystemändringar, omstarter etc. Förändringar i systemkonfigurationen kan indikera en skadlig skådespelare.
* Händelselogstorlek: Öka storleken på din säkerhetshändelselogg för att förhindra att den lindas för snabbt. Om loggen är för liten förlorar du viktiga historiska data.
* Lösenordspolicy:
* verkställa lösenordshistorik: Förhindra användare från att återanvända gamla lösenord.
* Maximal lösenordsålder: Tvinga användare att ändra lösenord regelbundet.
* Minsta lösenordsålder: Förhindra användare från att ändra lösenord för ofta (t.ex. för att kringgå lösenordshistoriken).
* Minsta lösenordslängd: Tvinga fram starka lösenord.
* Lösenord måste uppfylla komplexitetskraven: Kräva en blandning av versaler, små bokstäver, siffror och symboler.
* Account Lockout Policy Om kontot är inlåst är det det första tecknet.
* Användarrättigheter:
* Granska noggrant vem som har administrativa rättigheter i systemet. Begränsa administrativ tillgång till endast de som verkligen behöver det. Leta efter konton som oväntat har fått administrativa privilegier.
Hur man hittar information i evenemangsvisaren:
1. Open Event Viewer: Skriv "EventVWR" i Windows -sökfältet och tryck på Enter.
2. navigera till säkerhetsloggar: I den vänstra rutan expanderar du "Windows Logs" och klickar på "Säkerhet".
3. Filterhändelser: Klicka på "Filtrera strömlogg" Filtrera strömlogg. Använd följande filter:
* Event -ID: Använd evenemangs -ID:er som nämns ovan (4776, 4625, 4740, etc.).
* Nyckelord: Filtrera för nyckelord som "Failure Audit", "Account Lockout", "Logonfel."
* Användare: Filtrera för det specifika användarnamnet du undersöker.
* Evenemangskälla: Filtrera med händelsekällan för att se om det hjälper dig att hitta händelser från en specifik tjänst.
Begränsningar:
* reaktiv, inte proaktiv: Lokal säkerhetspolicy är främst reaktiv. Det hjälper dig att undersöka * efter * en potentiell attack, inte nödvändigtvis förhindra det i realtid.
* Begränsat omfattning: Lokal säkerhetspolicy påverkar endast den * lokala * maskinen. Det ger inte en centraliserad vy över flera system i en domän. Om en angripare försöker kompromissa med konton i ditt nätverk kommer den lokala säkerhetspolicyn på en enda maskin inte att ge dig hela bilden.
* inte en ersättning för säkerhetsprogramvara: Lokal säkerhetspolicy är inte en ersättning för antivirusprogramvara, brandväggar, intrångsdetekteringssystem (ID) eller andra säkerhetsverktyg.
* loggning: En skicklig angripare som har fått administrativ åtkomst kan potentiellt rensa eller ändra händelselogs, vilket gör det svårt att upptäcka sin verksamhet.
* Falska positiva: Misslyckade inloggningsförsök kan ibland vara legitima (t.ex. användare som misstar sitt lösenord). Du måste undersöka sammanhanget för händelserna för att avgöra om de verkligen är skadliga.
Bättre alternativ för övervakning av nätverksomfattande:
För omfattande säkerhetsövervakning i ett nätverk, tänk på dessa alternativ:
* Windows Security Log vidarebefordran: Konfigurera Windows för att vidarebefordra säkerhetsloggar till en central log -server (t.ex. med Windows Event Collector eller en SIEM). Detta gör att du kan analysera händelser från alla maskiner på ett ställe.
* Security Information and Event Management (SIEM) Systems: SIEM samlar in loggar från olika källor (servrar, brandväggar, nätverksenheter, etc.) och ger avancerad analys, korrelation och varningsfunktioner. Exempel inkluderar:
* Splunk
* Qradar
* Microsoft Sentinel
* Alienvault
* Intrusion Detection Systems (IDS) och Intrusion Prevention Systems (IPS): Dessa system övervakar nätverkstrafik och systemaktivitet för skadliga mönster och kan automatiskt blockera eller varna för misstänkt aktivitet.
Sammanfattningsvis:
Lokal säkerhetspolicy kan vara ett användbart verktyg för att undersöka potentiella hackförsök på en * lokal * maskin. Det är emellertid viktigt att förstå dess begränsningar och använda den i samband med andra säkerhetsåtgärder för omfattande skydd. Fokusera på att aktivera revision, noggrant konfigurera CONTO LOCKOUT -policyer och regelbundet granska säkerhetshändelseloggarna. För en nätverksövergripande vy och mer avancerad hotdetektering, överväg att använda logg vidarebefordran, SIEM-system och IDS/IPS-lösningar.
