Come può aiutare la politica di sicurezza locale (indizi da cercare):
* Politica di blocco dell'account:
* Registrazione dell'audit di successo e fallimento: Abilita l'auditing per gli eventi di accesso dell'account. Questo è cruciale! Puoi trovare queste impostazioni sotto:
* `Impostazioni di sicurezza -> Politiche locali -> Politica di audit -> Audit Account Logon Events`
* Soglia di blocco dell'account: Se si dispone di una soglia di blocco dell'account basso (ad esempio, 3 tentativi di accesso non validi), i tentativi di accesso non riusciti bloccano l'account. Una soglia di blocco elevata non ti proteggerà dagli attacchi di indovini password. Questo è un segno di qualcuno che cerca di indovinare la password.
* Durata del blocco dell'account: Più lunga è la durata del blocco, più è dirompente. È necessario un equilibrio.
* Ripristina il contatore di blocco dell'account dopo: Ciò definisce il periodo in cui viene ripristinato il contatore di tentativi di accesso non validi.
* Cosa cercare nei registri degli eventi: Dopo aver configurato il criterio di blocco dell'account e abilitato la registrazione di audit, utilizzare il visualizzatore di eventi e il filtro per gli eventi relativi a:
* ID evento 4776 (autenticazione Kerberos): Gli eventi di fallimento qui potrebbero indicare che qualcuno sta cercando di forzare le password di Kerberos.
* ID evento 4625 (un account non è stato effettuato l'accesso): Questo è l'evento generale di "accesso non riuscito". Esamina il "nome dell'account", "Workstation di origine", "Tipo di accesso" e "Informazioni di errore" nei dettagli all'interno dell'evento. I guasti ripetuti dalla stessa sorgente IP o workstation sono sospetti.
* ID evento 4740 (un account utente è stato bloccato): Questo è un indicatore cruciale che la politica di blocco dell'account è stata attivata a causa di troppi tentativi falliti. Il registro degli eventi ti dirà quale account è stato bloccato.
* Politica di audit:
* Abilita auditing: Oltre agli eventi di accesso all'account, considera di abilitare l'auditing per altri eventi come:
* Accesso agli oggetti di controllo: Tracciare l'accesso al file e alla cartella. Se un account è compromesso, l'attaccante potrebbe accedere a dati sensibili.
* Audit Privilege Usa: Traccia quando gli utenti esercitano privilegi speciali (ad es. Diritti dell'amministratore). L'uso insolito dei privilegi da parte di un utente potrebbe essere un segno di compromesso.
* Eventi di sistema di audit: Tracciare le modifiche del sistema, il riavvio, ecc. Le modifiche nella configurazione del sistema potrebbero indicare un attore dannoso.
* Dimensione del registro degli eventi: Aumenta le dimensioni del registro degli eventi di sicurezza per impedirgli di avvolgere troppo rapidamente. Se il registro è troppo piccolo, perderai importanti dati storici.
* Politica password:
* Applica la cronologia delle password: Impedire agli utenti di riutilizzare le vecchie password.
* Età della password massima: Costringere gli utenti a modificare le password regolarmente.
* Età della password minima: Impedire agli utenti di cambiare le password troppo frequentemente (ad esempio, per aggirare la cronologia delle password).
* Lunghezza minima della password: Imporre password forti.
* La password deve soddisfare i requisiti di complessità: Richiedi un mix di maiuscolo, minuscolo, numeri e simboli.
* Politica di blocco dell'account Se l'account è bloccato, questo è il primo segno.
* Assegnazione dei diritti degli utenti:
* Esamina attentamente chi ha diritti amministrativi sul sistema. Limitare l'accesso amministrativo solo a coloro che ne hanno veramente bisogno. Cerca account che abbiano inaspettatamente ottenuto privilegi amministrativi.
Come trovare informazioni nello spettatore eventi:
1. Open Event Viewer: Digita "eventvwr" nella barra di ricerca di Windows e premere Invio.
2. Passare ai registri di sicurezza: Nel riquadro di sinistra, espandi i "registri di Windows" e fai clic su "Sicurezza".
3. Eventi del filtro: Nel riquadro destro, fare clic su "Filtro corrente corrente". Usa i seguenti filtri:
* ID eventi: Utilizzare gli ID eventi sopra menzionati (4776, 4625, 4740, ecc.).
* Parole chiave: Filtro per parole chiave come "Audit di errore", "Lockout dell'account", "Errore di accesso".
* Utente: Filtro per il nome utente specifico che stai indagando.
* Fonte evento: Filtra dalla fonte dell'evento per vedere se questo ti aiuta a trovare eventi da un servizio specifico.
Limitazioni:
* reattivo, non proattivo: La politica di sicurezza locale è principalmente reattiva. Ti aiuta a indagare * dopo * un potenziale attacco, non necessariamente a impedirlo in tempo reale.
* Ambito limitato: La politica di sicurezza locale influisce solo sulla macchina * locale *. Non fornisce una visione centralizzata su più sistemi in un dominio. Se un utente malintenzionato sta cercando di compromettere gli account in tutta la rete, la politica di sicurezza locale su una singola macchina non ti darà il quadro completo.
* Non un sostituto per il software di sicurezza: La politica di sicurezza locale non sostituisce software antivirus, firewall, sistemi di rilevamento delle intrusioni (ID) o altri strumenti di sicurezza.
* Manomissione del registro: Un utente malintenzionato che ha ottenuto l'accesso amministrativo può potenzialmente cancellare o modificare i registri degli eventi, rendendo difficile rilevare le loro attività.
* Falsi positivi: I tentativi di accesso non riusciti a volte possono essere legittimi (ad esempio, l'utente che morpita la password). Devi indagare sul contesto degli eventi per determinare se sono veramente dannosi.
Alternative migliori per il monitoraggio a livello di rete:
Per un monitoraggio completo della sicurezza attraverso una rete, considerare queste alternative:
* Forwarding del registro di sicurezza Windows: Configurare Windows per inoltrare i registri di sicurezza su un server di registro centrale (ad esempio, utilizzando Windows Event Collector o un SIEM). Ciò consente di analizzare gli eventi di tutte le macchine in un unico posto.
* Sistemi di informazioni sulla sicurezza e gestione degli eventi (SIEM): I SIEM raccolgono tronchi da varie fonti (server, firewall, dispositivi di rete, ecc.) E forniscono analisi avanzate, correlazione e capacità di avviso. Esempi includono:
* Splunk
* Qradar
* Microsoft Sentinel
* Alienvault
* Sistemi di rilevamento delle intrusioni (ID) e sistemi di prevenzione delle intrusioni (IPS): Questi sistemi monitorano il traffico di rete e l'attività del sistema per modelli dannosi e possono bloccare o avvisare automaticamente attività sospette.
In sintesi:
La politica di sicurezza locale può essere uno strumento utile per studiare i potenziali tentativi di hacking su una macchina * locale *. Tuttavia, è essenziale comprendere i suoi limiti e utilizzarli insieme ad altre misure di sicurezza per la protezione completa. Contra Per una visione a livello di rete e un rilevamento delle minacce più avanzato, prendi in considerazione l'utilizzo di soluzioni SIEM, sistemi SIEM e IDS/IPS.
networking © www.354353.com