Настройка аудита в Windows для полноценного SOC-мониторинга

Как настроить политики аудита Windows таким образом, чтобы охват мониторинга SOC был полноценным? Рассмотрим оптимальный список политик, а также выделим самое необходимое, отсеяв лишнее.

Причины ошибок Центра обновления Windows 10, 1, Server 2012

При установке обновлений Windows по различным причинам могут возникнуть повреждения системных файлов, ключей реестра необходимые для корректной установки обновлений и как следствие возникают различные ошибки. В результате нарушается работа центра обновлений и один или несколько пакетов обновлений не могут быть установлены. Причин повреждения может быть масса — повреждение пакета при скачивании, проблемы с жестким диском, оперативной памятью, ошибки файловой системы, внезапное и некорректное завершение работы компьютера и некоторые другие. Если в целом компьютер работает нормально, то логично предположить что причина в повреждении системных файлов, которое можно устранить, если есть и другие проблемы в его работе (зависает, тормозит, перегружается и т. п.), то возможно стоит начать с их решения, и только затем исправлять работу центра обновлений.

Установка и настройка Windows Server R2

Приобрести Windows Server 2012 R2 с установкой и настройкой в любой точке Москвы, Тулы и других городов Центрального региона России вы можете в компании «СофтЭксперт». Мы оказываем полный комплекс услуг по построению и поддержке информационной системы предприятия на базе данного программного решения:

  • проектирование серверной инфраструктуры (подбор оптимального для решения IT-задач компании программного и аппаратного решения);
  • первичную настройку основных служб и компонентов Windows Server 2012 R2;
  • построение систем виртуализации на базе технологии Microsoft Hyper-V;
  • настройку систем резервного копирования серверных данных;
  • абонентское обслуживание Windows Server и физических серверов компании;
  • установку дополнительных служб на ранее внедрённый сервер;
  • настройку безопасности Microsoft Windows Server 2012 R2 (активацию защиты сервера от скачков напряжения и несанкционированных подключений, распределение прав доступа к корпоративным ресурсам).

Не упустите возможность вывести свою компанию на новый технологический уровень — закажите Windows Server прямо сейчас!

За справками и индивидуальной консультацией обращайтесь по телефону: 8(4872)70-02-70 + доб. 121 или электронной почте [email protected]

 Отключение перенаправленных устройств

Настройка с помощью GPO находится в:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Удаленный узел сеансов рабочего стола → Перенаправление устройств и ресурсов.

Здесь можно включить или отключить параметры перенаправления для клиентских устройств. В том числе – видеозахват, воспроизведение и запись звука, буфер обмена, перенаправление com портов, перенаправление LPT-портов, локальных дисков, самонастраивающихся устройств, устройств чтения смарт карт и перенаправления часового пояса.

Чем больше перенаправленных устройств используется, тем больше пропускной способности сети сервера они поглощают.

Перенаправленные принтеры и устройства Plug & Play потребляют ресурсы процессора также при входе в сеанс RDP.

Перенаправление звука создает устойчивый сетевой трафик. Приложения, использующие перенаправление звука, могут потреблять значительные ресурсы процессора.

Активация TS

Для начала нужно установить источник, с помощью которого будет происходить активация.

  1. Диалог «Средства» (Tools) — Terminal Services — «Средство диагностики лицензирования…» (Remote Desktop LD). 
  2. Разрешений пока нет в наличии, так как не задан их источник и режим проведения активации. Нужно задать источник в Локальных ГП. В окне «Выполнить» введите:
  1. В каталоге слева последовательно разверните пункты:

«Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удалённых РС» — «Узел сеансов удалённых РС» — «Лицензирование».

Активация TS
  1. В конечном пункте «Лицензирование» откройте «Использовать указанные серверы лицензирования УРС» (двойной клик по названию).
  2. Переключите опцию в положение «Включено». Здесь же укажите IP-адрес или имя в сети для источника лицензий. 
  3. Измените установки политики «Задать режим лицензирования УРС» — «Включено». А также укажите режим из двух вариантов:
  • «На пользователя». Будет ограничено количество одновременно подключаемых компьютеров.
  • «На устройство». Вводит ограничения на количество пользователей, которые могут совершать действия в одно время.
Активация TS

После редактирования и самопроверки редактор политик можно закрыть. Вернитесь в Remote Desktop LD. Скорее всего, здесь возникнет ошибка — licensing server задан, но не активен. Теперь нам нужно запустить его:

  1. Вкладка «Средства» — Terminal Services — RDLM.
  2. Вызовите меню правым кликом мыши. Выберите Activate Server. 
  3. В открывшемся Мастере сразу нажмите «Далее». Начнётся настройка параметров.
  4. Оставьте настройку «Авто» в следующем поле.
  5. Введите параметры организации. Их необходимо задать полностью
  6. Дополнительные сведения в следующем окне вводить необязательно.
  7. Сейчас нужно инсталлировать сами лицензии. Нажмите «Далее» при активном флаге «Запустить мастер установки…».
  8. В Windows Server 2012 R2 запустится соответствующий Мастер. Можете сразу выбрать нужную программу лицензирования. Мы рассматриваем инструкцию на примере с вариантом Enterprise Agreement. 
  9. В следующих диалогах введите параметры, важные для Соглашения. В итоге вы получите подтверждение, что всё прошло хорошо.
Активация TS

А теперь проверьте правильность параметров активации в «Диспетчере лицензирования…». Убедитесь, функционирует ли сервер. Вместе с тем вы можете перейти в Remote Desktop Licensing Diagnoser и проверить параметры на отсутствие ошибок. Убедитесь, что количество лицензий соответствует нужному. 

Читайте также:  Hyper-V: технология виртуализации для Windows Server 2008

На этом активацию терминального сервера в Windows Server 2012 R2 можно считать завершённой.

Активация TS

Теперь вы способны без проблем выполнять соединение, используя стандартную функцию Windows «Подключение к удалённому РС». Чтобы пользователь смог подключиться, его параметры должны быть определены в группе «Пользователи удалённого рабочего стола».

Выводы

Настройка необходимых для мониторинга политик аудита, локальное долговременное хранение журналов, протоколирование запуска процессов и команд PowerShell позволит не упустить важные события безопасности и тщательно расследовать инциденты. Это — один из ключевых этапов в построении процессов непрерывного мониторинга, снижения рисков ИБ и повышения уровня защищённости.

В дальнейшем важно будет обеспечить централизованный сбор и хранение журналов в SIEM-системе, настройку корреляционных правил, киберразведку (Threat Intelligence), проведение активных испытаний безопасности в формате Red / Blue Team.

#– Предсказуемость конфигурации системы

Успешность большинства атак объясняется высокой предсказуемостью конфигурации системы в установке по умолчанию.

В мире открытых исходных текстов администратор может (и должен!) перекомпилировать все и вся, чтобы никакой хакер ни за что не догадался, по каким адресам лежат интересующие его функции. С Windows в этом плане ситуация намного сложнее, но не полностью безнадежна. Переименование ядра – эффективный способ борьбы с rootkit’ами, определяющими адреса функций путем вызова функции LoadLibrary(«») без проверки реального имени ядра, задаваемого через ключ «/kernel=» файла Рекомендуется переименовать ядро, например, в , а вместо положить ядро от другой версии системы, чтобы адреса экспортируемых функций отличались.

Те rootkit’ы, что правят файл непосредственно на диске, уйдут лесом, не достигнув желаемой цели (ведь уже никак не используется). Те же rootkit’ы, что осуществляют перехват в оперативной памяти, залезут совсем не в ту степь и вызовут BSOD, что хоть и неприятно, но успешное внедрение rootkit’а было бы еще хуже.

Естественно, после переименования ядра его необходимо обновить в кэше утилиты (иначе она немедленно его восстановит), а перед установкой пакетов обновлений – выполнить откат назад, поскольку пакеты обновлений (как и rootkit’ы) не проверяют реального имени ядра.

Установка системы на диск, отличный от С:, также уменьшает вероятность успешной атаки – большинство зловредных программ слишком бестолковы, а их создатели слишком ленивы, чтобы проверить переменные окружения, вот они и используют фиксированные абсолютные пути.