Condividi tramite


Suggerimenti per i criteri di controllo

Questa sezione illustra le impostazioni dei criteri di controllo predefinite di Windows, le impostazioni consigliate per i criteri di controllo di base e le raccomandazioni più aggressive di Microsoft per i prodotti workstation e server.

Le raccomandazioni della baseline SCM illustrate di seguito, insieme alle impostazioni consigliate per rilevare la compromissione, sono destinate solo a una guida di base iniziale agli amministratori. Ogni organizzazione deve prendere le proprie decisioni relative alle minacce che devono affrontare, alle loro tolleranze di rischio accettabili e alle categorie di criteri di controllo o alle sottocategorie che devono abilitare. Per altre informazioni sulle minacce, vedere la guida minacce e contromisure. Gli amministratori senza criteri di controllo ponderati sono invitati a iniziare con le impostazioni consigliate qui e quindi per modificare e testare, prima di implementare nell'ambiente di produzione.

I consigli sono per i computer di livello aziendale, che Microsoft definisce come computer con requisiti di sicurezza medi e richiedono un livello elevato di funzionalità operative. Le entità che richiedono requisiti di sicurezza più elevati devono considerare criteri di controllo più aggressivi.

Nota

Le impostazioni predefinite di Microsoft Windows e le raccomandazioni di base sono state ricavate dallo strumento Microsoft Security Compliance Manager.

Le seguenti impostazioni dei criteri di controllo di base sono consigliate per i normali computer di sicurezza che non sono noti per essere attivi, attacco riuscito da avversari determinati o malware.

Questa sezione contiene tabelle che elencano le raccomandazioni relative alle impostazioni di controllo applicabili ai sistemi operativi seguenti:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Queste tabelle contengono l'impostazione predefinita di Windows, le raccomandazioni di base e le raccomandazioni più avanzate per questi sistemi operativi.

Legenda tabelle dei criteri di controllo

Notazione Consiglio
Abilitare in scenari generali
No Non abilitare in scenari generali
If Abilitare se necessario per uno scenario specifico o se nel computer è installato un ruolo o una funzionalità per cui è necessario il controllo
Controller di dominio Abilitare nei controller di dominio
[Vuoto] Nessuna raccomandazione

Le raccomandazioni relative alle impostazioni di controllo di Windows 10, Windows 8 e Windows 7

Criteri di controllo

Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso account
Controllare la convalida delle credenziali No | No Yes | No Yes | Yes
Controllo del servizio di autenticazione Kerberos Yes | Yes
Controlla Operazioni ticket di servizio Kerberos Yes | Yes
Controlla Altri eventi di accesso account Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Gestione dell'account
Controlla Gestione gruppi di applicazioni
Controllo della gestione degli account del computer Yes | No Yes | Yes
Controlla Gestione gruppi di distribuzione
Controllo Altri eventi di gestione account Yes | No Yes | Yes
Controllo Gestione gruppi di sicurezza Yes | No Yes | Yes
Controllo della Gestione account utente Yes | No Yes | No Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Rilevamento dettagliato
Controlla Attività DPAPI Yes | Yes
Controlla Creazione di processi Yes | No Yes | Yes
Controllo della terminazione dei processi
Controlla Eventi RPC
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso DS
Controlla Replica dettagliata servizio directory
Controllo dell'accesso al servizio directory
Controllo delle modifiche al servizio directory
Controlla Replica servizio directory
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso e disconnessione
Controlla Blocco account Yes | No Yes | No
Controllo delle attestazioni utente/dispositivo
Controlla Modalità estesa IPsec
Controlla Modalità principale IPsec IF | IF
Controllo della modalità rapida IPsec
Controlla Fine sessione Yes | No Yes | No Yes | No
Controlla Accesso 1 Yes | Yes Yes | Yes Yes | Yes
Controlla Server dei criteri di rete Yes | Yes
Controllo di altri eventi di accesso/disconnessione
Controlla Accesso speciale Yes | No Yes | No Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso oggetto
Controlla Generato dall'applicazione
Controllo dei servizi di certificazione
Controllo della condivisione file dettagliata
Controllo della condivisione file
Controllo del file system
Controllo della connessione della piattaforma filtro
Controllo del rilascio del pacchetto della piattaforma filtro
Controllo della manipolazione handle
Controllo dell’oggetto kernel
Controllo di altri eventi di accesso a oggetti
Controllo del Registro di sistema
Controllo di archivi rimovibili
Controllo SAM
Controlla Gestione temporanea Criteri di accesso centrale
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Modifica dei criteri
Controlla Controlla modifica ai criteri Yes | No Yes | Yes Yes | Yes
Controllo della modifica ai criteri di autenticazione Yes | No Yes | No Yes | Yes
Controllo della modifica ai criteri di autorizzazione
Controllo della modifica ai criteri della piattaforma filtro
Controlla Modifica criteri a livello di regola MPSSVC Yes
Controlla Altri eventi di modifica criteri
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Utilizzo dei privilegi
Controlla Utilizzo privilegi non sensibili
Controlla Altri eventi di utilizzo dei privilegi
Controlla Utilizzo privilegi sensibili
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Di sistema
Controlla Driver IPSec Yes | Yes Yes | Yes
Controllo di altri eventi di sistema Yes | Yes
Controllo della modifica allo stato di sicurezza Yes | No Yes | Yes Yes | Yes
Controllo dell’estensione del sistema di sicurezza Yes | Yes Yes | Yes
Controlla Integrità sistema Yes | Yes Yes | Yes Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Controllo dell'accesso oggetti globali
Controlla Driver IPSec
Controllo di altri eventi di sistema
Controllo della modifica allo stato di sicurezza
Controllo dell’estensione del sistema di sicurezza
Controlla Integrità sistema

1 A partire da Windows 10 versione 1809, l'accesso al controllo è abilitato per impostazione predefinita sia per operazione riuscita che per errore. Nelle versioni precedenti di Windows, solo Success è abilitato per impostazione predefinita.

Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008 Audit Settings Recommendations

Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso account
Controllare la convalida delle credenziali No | No Yes | Yes Yes | Yes
Controllo del servizio di autenticazione Kerberos Yes | Yes
Controlla Operazioni ticket di servizio Kerberos Yes | Yes
Controlla Altri eventi di accesso account Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Gestione dell'account
Controlla Gestione gruppi di applicazioni
Controllo della gestione degli account del computer Yes | DC Yes | Yes
Controlla Gestione gruppi di distribuzione
Controllo Altri eventi di gestione account Yes | Yes Yes | Yes
Controllo Gestione gruppi di sicurezza Yes | Yes Yes | Yes
Controllo della Gestione account utente Yes | No Yes | Yes Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Rilevamento dettagliato
Controlla Attività DPAPI Yes | Yes
Controlla Creazione di processi Yes | No Yes | Yes
Controllo della terminazione dei processi
Controlla Eventi RPC
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso DS
Controlla Replica dettagliata servizio directory
Controllo dell'accesso al servizio directory DC | DC DC | DC
Controllo delle modifiche al servizio directory DC | DC DC | DC
Controlla Replica servizio directory
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso e disconnessione
Controlla Blocco account Yes | No Yes | No
Controllo delle attestazioni utente/dispositivo
Controlla Modalità estesa IPsec
Controlla Modalità principale IPsec IF | IF
Controllo della modalità rapida IPsec
Controllo della disconnessione Yes | No Yes | No Yes | No
Controllo dell’accesso Yes | Yes Yes | Yes Yes | Yes
Controlla Server dei criteri di rete Yes | Yes
Controllo di altri eventi di accesso/disconnessione Yes | Yes
Controlla Accesso speciale Yes | No Yes | No Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Accesso oggetto
Controlla Generato dall'applicazione
Controllo dei servizi di certificazione
Controllo della condivisione file dettagliata
Controllo della condivisione file
Controllo del file system
Controllo della connessione della piattaforma filtro
Controllo del rilascio del pacchetto della piattaforma filtro
Controllo della manipolazione handle
Controllo dell’oggetto kernel
Controllo di altri eventi di accesso a oggetti
Controllo del Registro di sistema
Controllo di archivi rimovibili
Controllo SAM
Controlla Gestione temporanea Criteri di accesso centrale
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Modifica dei criteri
Controlla Controlla modifica ai criteri Yes | No Yes | Yes Yes | Yes
Controllo della modifica ai criteri di autenticazione Yes | No Yes | No Yes | Yes
Controllo della modifica ai criteri di autorizzazione
Controllo della modifica ai criteri della piattaforma filtro
Controlla Modifica criteri a livello di regola MPSSVC Yes
Controlla Altri eventi di modifica criteri
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Utilizzo dei privilegi
Controlla Utilizzo privilegi non sensibili
Controlla Altri eventi di utilizzo dei privilegi
Controlla Utilizzo privilegi sensibili
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Di sistema
Controlla Driver IPSec Yes | Yes Yes | Yes
Controllo di altri eventi di sistema Yes | Yes
Controllo della modifica allo stato di sicurezza Yes | No Yes | Yes Yes | Yes
Controllo dell’estensione del sistema di sicurezza Yes | Yes Yes | Yes
Controlla Integrità sistema Yes | Yes Yes | Yes Yes | Yes
Categoria di criteri di controllo o sottocategoria Impostazioni predefinite di Windows

Success | Failure

Raccomandazione di base

Success | Failure

Raccomandazione avanzata

Success | Failure

Controllo dell'accesso oggetti globali
Controlla Driver IPSec
Controllo di altri eventi di sistema
Controllo della modifica allo stato di sicurezza
Controllo dell’estensione del sistema di sicurezza
Controlla Integrità sistema

Impostare i criteri di controllo su workstation e server

Tutti i piani di gestione del registro eventi devono monitorare workstation e server. Un errore comune consiste nel monitorare solo i server o i controller di dominio. Poiché l'hacking dannoso spesso si verifica inizialmente nelle workstation, non monitorando le workstation ignora la migliore e la prima fonte di informazioni.

Gli amministratori devono esaminare e testare in modo ponderato i criteri di controllo prima dell'implementazione nell'ambiente di produzione.

Eventi da monitorare

Un ID evento perfetto per generare un avviso di sicurezza deve contenere gli attributi seguenti:

  • Probabilità elevata che l'occorrenza indichi un'attività non autorizzata

  • Numero ridotto di falsi positivi

  • L'occorrenza dovrebbe comportare una risposta investigativa/forense

È consigliabile monitorare e avvisare due tipi di eventi:

  1. Gli eventi in cui anche una singola occorrenza indica un'attività non autorizzata

  2. Accumularsi di eventi oltre una baseline prevista e accettata

Un esempio del primo evento è:

Se gli amministratori di dominio (DA) non sono autorizzati ad accedere a computer che non sono controller di dominio, una singola occorrenza di un membro DA che accede a una workstation dell'utente finale deve generare un avviso ed essere analizzata. Questo tipo di avviso è facile da generare usando l'evento Audit Special Logon 4964 (i gruppi speciali sono stati assegnati a un nuovo accesso). Altri esempi di avvisi a istanza singola includono:

  • Se server A non deve mai connettersi al server B, avvisare quando si connettono tra loro.

  • Avvisa se un normale account utente finale viene aggiunto in modo imprevisto a un gruppo di sicurezza sensibile.

  • Se i dipendenti nella posizione della fabbrica Non lavorano mai di notte, avvisare quando un utente accede a mezzanotte.

  • Avvisa se un servizio non autorizzato è installato in un controller di dominio.

  • Esaminare se un utente finale normale tenta di accedere direttamente a un'istanza di SQL Server per cui non ha un motivo chiaro per farlo.

  • Se non si dispone di membri nel gruppo DA e qualcuno si aggiunge lì, controllarlo immediatamente.

Un esempio del secondo evento è:

Un numero aberrante di accessi non riusciti potrebbe indicare un attacco di rilevamento delle password. Affinché un'azienda fornisca un avviso per un numero insolitamente elevato di accessi non riusciti, deve prima comprendere i normali livelli di accessi non riusciti all'interno del proprio ambiente prima di un evento di sicurezza dannoso.

Per un elenco completo degli eventi da includere quando si monitorano i segni di compromissione, vedere Appendice L: Eventi da monitorare.

Oggetti e attributi di Active Directory da monitorare

Di seguito sono riportati gli account, i gruppi e gli attributi da monitorare per rilevare i tentativi di compromissione dell'installazione di Active Directory Domain Services.

  • Sistemi per la disabilitazione o la rimozione di software antivirus e antimalware (riavviare automaticamente la protezione quando è disabilitato manualmente)

  • Account amministratore per modifiche non autorizzate

  • Attività eseguite tramite account con privilegi (rimuovere automaticamente l'account quando vengono completate o assegnate attività sospette scadute)

  • Account con privilegi e vip in Servizi di dominio Active Directory. Monitorare le modifiche, in particolare le modifiche apportate agli attributi nella scheda Account, ad esempio cn, name, sAMAccountName, userPrincipalName o userAccountControl. Oltre a monitorare gli account, limitare gli utenti autorizzati a modificare gli account in un set di utenti amministratori il più piccolo possibile.

Fare riferimento all'Appendice L: Eventi da monitorare per un elenco di eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.

  • Raggruppare i server in base alla classificazione dei carichi di lavoro, in modo da identificare rapidamente i server che devono essere i più monitorati e configurati in modo più rigoroso

  • Modifiche alle proprietà e all'appartenenza ai gruppi di Active Directory Domain Services seguenti: Enterprise Admins (EA), Domain Admins (DA), Administrators (BA) e Schema Admins (SA)

  • Account con privilegi disabilitati (ad esempio account amministratore predefiniti in Active Directory e nei sistemi membri) per abilitare gli account

  • Account di gestione per registrare tutte le scritture nell'account

  • Configurazione guidata sicurezza predefinita per configurare le impostazioni del servizio, del Registro di sistema, del controllo e del firewall per ridurre la superficie di attacco del server. Usare questa procedura guidata se si implementano jump server come parte della strategia dell'host amministrativo.

Informazioni aggiuntive per il monitoraggio di Active Directory Domain Services

Per altre informazioni sul monitoraggio di Active Directory Domain Services, vedere i collegamenti seguenti:

Elenco generale delle criticità relative alle raccomandazioni relative all'ID evento di sicurezza

Tutte le raccomandazioni relative all'ID evento sono accompagnate da una classificazione di criticità come indicato di seguito:

Alta: gli ID evento con una classificazione di criticità elevata devono sempre essere avvisati e esaminati immediatamente.

Media: un ID evento con una classificazione di criticità media potrebbe indicare attività dannose, ma deve essere accompagnato da un'altra anomalia (ad esempio, un numero insolito che si verifica in un determinato periodo di tempo, occorrenze impreviste o occorrenze in un computer che normalmente non dovrebbe registrare l'evento). Un evento di media criticità può anche essere raccolto come metrica e confrontato nel tempo.

Bassa: e l'ID evento con eventi di bassa criticità non devono raccogliere attenzione o causare avvisi, a meno che non siano correlati a eventi di criticità medio o alta.

Queste raccomandazioni sono progettate per fornire una guida di base per l'amministratore. Tutte le raccomandazioni devono essere esaminate attentamente prima dell'implementazione in un ambiente di produzione.

Fare riferimento a Appendice L: Eventi da monitorare per un elenco degli eventi consigliati da monitorare, le classificazioni di criticità e un riepilogo dei messaggi di evento.