Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Ako môže pomôcť miestna bezpečnostná politika (stopy po hľadaní):
* Zásady blokovania účtu:
* Protokolovanie auditu úspechu a neúspechu: Povoľte audit pre udalosti prihlasovania účtov. To je rozhodujúce! Tieto nastavenia nájdete pod:
* `Nastavenia zabezpečenia -> Lokálne politiky -> Pravidlá auditu -> Audit Logon Events`
* Prany výluku účtu: Ak máte nízku prahovú hodnotu blokovania účtu (napr. 3 neplatné pokusy o prihlásenie), opakované neúspešné pokusy o prihlásenie uzamknú účet. Vysoký prah blokovania vás nebude chrániť pred útokmi na hádanie hesla. Toto je znak niekoho, kto sa snaží uhádnuť heslo.
* Trvanie výluka účtu: Čím dlhšie trvanie blokovania, tým je rušivejšia. Je potrebná rovnováha.
* Reset counter counter: Toto definuje obdobie, po ktorom sa resetuje počítadlo neplatných pokusov o prihlasovanie.
* Čo hľadať v denníku udalostí: Po konfigurácii politiky blokovania účtu a povolení protokolovania auditu použite prehliadač udalostí a filter pre udalosti týkajúce sa:
* ID udalostí 4776 (autentifikácia Kerberos): Udalosti zlyhania tu môžu naznačovať, že sa niekto snaží Brute-Force Kerberos Heslá.
* ID udalostí 4625 (účet sa nepodarilo prihlásiť): Toto je všeobecná udalosť „neúspešná prihláska“. V rámci udalosti preskúmajte „Názov účtu“, „Source Workstation“, „Typ logon“ a „Informácie o zlyhaní“. Opakované zlyhania z tej istej zdrojovej adresy IP alebo pracovnej stanice sú podozrivé.
* ID udalostí 4740 (používateľský účet bol uzamknutý): Toto je kľúčový ukazovateľ, že politika blokovania účtu bola spustená z dôvodu príliš veľkého množstva neúspešných pokusov. Protokol udalostí vám povie, ktorý účet bol uzamknutý.
* Audit politiky:
* Povoľte audit: Okrem udalostí prihlasovania účtov zvážte povolenie auditu pre ďalšie udalosti, ako napríklad:
* Audit objektov prístup: Sledujte prístup k súboru a priečinka. Ak je účet ohrozený, útočník môže mať prístup k citlivým údajom.
* Audit Privilege Použite: Sledujte, keď používatelia vykonávajú špeciálne privilégiá (napr. Práva správcov). Nezvyčajné privilégium, ktoré užívateľ používa, by mohlo byť znakom kompromisu.
* Audit systémové udalosti: Zmeny systému, reštarty atď. Zmeny v konfigurácii systému by mohli naznačovať škodlivého herca.
* Veľkosť protokolu udalostí: Zvýšte veľkosť denníka bezpečnostných udalostí, aby ste zabránili príliš rýchlemu zabaleniu. Ak je denník príliš malý, stratíte dôležité historické údaje.
* Pravidlá hesla:
* Vymáhať históriu hesiel: Zabráňte používateľom v opätovnom použití starých hesiel.
* maximálny vek hesla: Núťte používateľov pravidelne meniť heslá.
* Minimálny vek hesla: Zabráňte používateľom v príliš často meniť heslá (napr. Na obchádzanie histórie hesiel).
* Minimálna dĺžka hesla: Presadzovať silné heslá.
* Heslo musí spĺňať požiadavky na zložitosť: Vyžadujte zmes veľkých, malých písmen, čísel a symbolov.
* Zásady uzamknutia účtu Ak je účet uzamknutý, je to prvé znamenie.
* Priradenie práv používateľov:
* Starostlivo preskúmajte, kto má administratívne práva v systéme. Obmedzte administratívny prístup iba tým, ktorí to skutočne potrebujú. Vyhľadajte účty, ktoré neočakávane získali administratívne oprávnenia.
Ako nájsť informácie v prehliadači udalostí:
1. Otvorená prehliadač udalostí: Do vyhľadávacieho panela Windows zadajte „EventVWR“ a stlačte kláves Enter.
2. Preveďte protokoly zabezpečenia: V ľavom table rozšírite „Protokoly Windows“ a kliknite na „Security“.
3. Filter udalosti: Na pravej tabuľke kliknite na tlačidlo „Aktuálny denník filtra“. Použite nasledujúce filtre:
* ID udalostí: Použite vyššie uvedené ID udalostí (4776, 4625, 4740 atď.).
* Kľúčové slová: Filter pre kľúčové slová ako „Audit zlyhania“, „blokovanie účtu“, „zlyhanie prihlasovania“.
* User: Filter pre konkrétne používateľské meno, ktoré vyšetrujete.
* Zdroj udalostí: Filtrujte podľa zdroja udalostí a zistite, či vám to pomôže nájsť udalosti zo konkrétnej služby.
Obmedzenia:
* reaktívne, nie proaktívne: Politika miestnej bezpečnosti je predovšetkým reaktívna. Pomáha vám vyšetriť * po * potenciálnom útoku, nemusí mu nevyhnutne zabrániť v reálnom čase.
* Obmedzený rozsah: Politika miestnej bezpečnosti ovplyvňuje iba * miestny * stroj. Neposkytuje centralizovaný pohľad vo viacerých systémoch v doméne. Ak sa útočník snaží ohroziť účty vo vašej sieti, miestna politika bezpečnosti na jednom počítači vám nedá úplný obraz.
* nie je náhrada za bezpečnostný softvér: Politika miestnej bezpečnosti nenahrádza antivírusový softvér, brány firewall, systémy detekcie narušenia (ID) alebo iné bezpečnostné nástroje.
* LOG TAMPERING: Kvalifikovaný útočník, ktorý získal administratívny prístup, môže potenciálne vyčistiť alebo upraviť denníky udalostí, čo sťažuje odhalenie ich činností.
* False pozitíva: Neúspešné pokusy o prihlasovanie môžu byť niekedy legitímne (napr. Užívateľ pomýlia ich heslo). Musíte preskúmať kontext udalostí, aby ste zistili, či sú skutočne škodlivé.
Lepšie alternatívy pre celú sieť monitorovania:
Pre komplexné monitorovanie bezpečnosti v sieti zvážte tieto alternatívy:
* Preposielanie protokolov zabezpečenia systému Windows: Konfigurujte systém Windows tak, aby preposlal denníky zabezpečenia na centrálny protokolový server (napr. Používanie Windows Event Collector alebo SIEM). To vám umožní analyzovať udalosti zo všetkých strojov na jednom mieste.
* Systémy bezpečnostných informácií a správy udalostí (SIEM): SIEMS zhromažďuje protokoly z rôznych zdrojov (servery, brány firewall, sieťové zariadenia atď.) A poskytujú pokročilé analýzy, koreláciu a varovanie. Príklady zahŕňajú:
* Splunk
* Qradar
* Microsoft Sentinel
* Cudzí
* systémy detekcie vniknutia (IDS) a systémy prevencie vniknutia (IPS): Tieto systémy monitorujú sieťovú prenos a systémovú aktivitu pre škodlivé vzory a môžu automaticky blokovať alebo upozorniť na podozrivú aktivitu.
v súhrne:
Politika miestnej bezpečnosti môže byť užitočným nástrojom na vyšetrenie potenciálnych pokusov o hackovanie na * lokálnom * stroji. Je však nevyhnutné porozumieť jeho obmedzeniam a používať ich v spojení s inými bezpečnostnými opatreniami na komplexnú ochranu. Zamerajte sa na povolenie auditu, starostlivú konfiguráciu politík blokovania účtu a pravidelnú kontrolu protokolov bezpečnostných udalostí. Pre pohľad na celú sieť a pokročilejšiu detekciu hrozieb zvážte použitie presmerovania protokolov, systémov SIEM a riešení ID/IPS.