Windows Server安全规则9:检测和通知

2020年12月31日19:43:44 发表评论 104 次浏览
ms_logo_grey
ms_logo_grey
你可以从这份文件中得到什么:

本文档介绍了一些基本的安全性最佳实践, 这些最佳实践如果与其他安全性措施结合使用, 将有助于提高系统的整体安全性。

有什么威胁?

尽快发现潜在的安全问题, 例如操作异常和安全事件, 这一点很重要。设法破坏服务器的攻击者可能严重损害系统的完整性以及数据的机密性和可用性。

这些只是潜在损坏的几个例子:

  • 攻击者可以使用你的服务器分发恶意软件或非法软件。
  • 你的服务器可用于攻击其他系统, 因此法律上的隐患可能指向你作为服务器的操作员和管理员。
  • 攻击者可以窃取和出售存储在系统中的客户数据。
建议的任务和有用的提示:
1.了解并监视你的安全日志条目

Microsoft提供Windows Server 2012中的安全事件的概述和说明这里。仔细监视这些事件将有助于你及时发现任何异常情况。

2.了解并监视你的防火墙日志

Microsoft提供了有关如何进行操作的有用文档监控Windows防火墙和视图防火墙日志。这些将为你提供有关穿越防火墙的流量的性质的信息。

3.监视事件

建议监视安全事件的列表这里.

此外, NSA还提供了有关如何检测潜在威胁的有用指南。在你的日志文件中.

4.通过电子邮件通知

不幸的是, 不赞成使用Windows 2012R2中的电子邮件通知功能。

但是, 这可以在PowerShell中实现。

如何为事件配置通知:

假设你想在每次创建用户帐户时收到通知。在安全日志中, 指示创建用户帐户的ID为4720。

在开始配置过程之前, 你必须创建本地用户你自己

  • 过滤安全日志以找到相关的ID(在我们的示例中为4720)。为此, 请在PowerShell中运行以下命令:
  • Get-WinEvent -FilterHashtable @ {LogName =" Security"; ID = 4720}
  • 单击本地安全策略菜单项

过滤日志以选择所需的属性:

Get-WinEvent -FilterHashtable @ {LogName =" Security"; ID = 4720} |选择TimeCreated, @ {n ="帐户创建者"; e = {([xml] $ _。ToXml())。Event.EventData.Data | ? {$ _。Name -eq" SubjectUserName"} |%{$ _。'#text'}}}, @ {n ="用户帐户"; e = {([xml] $ _。ToXml())。Event .EventData.Data | ? {$ _。Name –eq" SamAccountName"}} | %{$ _。’#text’}}}

创建以下脚本以提供电子邮件通知功能:

$ Subject ="已创建用户帐户"#邮件主题$ Server =" your.smtp.server"#SMTP服务器$ From =" From@domain.com"#我们向谁发送电子邮件$ To =" To @ domain"。 com"#我们要发送给谁$ Pwd = ConvertTo-SecureString"密码" -AsPlainText -Force#发送者帐户密码(警告!使用非常严格的帐户作为发送者, 因为存储在脚本中的密码不会被加密) Cred =新对象System.Management.Automation.PSCredential("帐户名", $ Pwd)#发件人帐户凭据$ encoding = [System.Text.Encoding] :: UTF8#设置编码为UTF8以显示正确的消息#Powershell命令过滤有关已创建的用户帐户事件$ Body = Get-WinEvent -FilterHashtable @ {LogName =" Security"; ID = 4720}的安全日志|选择TimeCreated, @ {n ="帐户创建者"; e = {([xml] $ _。ToXml())。Event.EventData.Data | ? {$ _。Name -eq" SubjectUserName"} |%{$ _。'#text'}}}, @ {n ="用户帐户"; e = {([xml] $ _。ToXml())。Event .EventData.Data | ? {$ _。Name -eq" SamAccountName"}} | %{$ _。’#text’}}} | select-object -first 1#发送电子邮件。 Send-MailMessage-从$ From-到$ To -SmtpServer $ Server -Body" $ Body" -Subject $ Subject -Credential $ Cred -Encoding $ encoding

根据需要编辑以下值:

your.smtp.server From@domain.com To@domain.com"密码"-为...

重要:由于此类电子邮件包含敏感的日志数据, 因此应通过安全通道(至少是带TLS的SMTP)进行发送。

将脚本另存为email-notification.ps1

每次创建帐户后必须触发此脚本。为此, 请打开"任务计划程序", 创建一个新的计划并为其命名。然后转到"触发器"选项卡。在"触发器"选项卡中, 使用以下选项创建触发器:

在事件上开始任务

日志–安全性

来源–空白

EventID – 4720

要验证通知是否正确发送:创建测试帐户并检查是否收到电子邮件通知。

最后, 请确保删除测试用户。

其他建议:

你可以为多个安全事件添加通知事件。可用的安全事件列表这里。还可以考虑启用高级审核。

可以找到一个监视日志中是否存在安全漏洞的好起点这里.

提供有关如何应对安全事件的其他指导意见这里.

有关监视和检测安全事件的其他信息:
  • Windows Server 2012R2安全事件:https://www.microsoft.com/en-us/download/details.aspx?id=35753
  • 查看Windows防火墙日志文件:https://technet.microsoft.com/zh-CN/library/cc736373(v=ws.10).aspx
  • 监视Windows防火墙:https://technet.microsoft.com/zh-CN/library/dd421717(v=ws.10).aspx
  • 建议监视的安全事件列表:https://technet.microsoft.com/en-us/library/dn535498.aspx
  • 安全事件调查:https://www.nsa.gov/ia/_files/app/spotting_the_adversary_with_windows_event_log_monitoring.pdf
  • 监视日志中是否存在安全漏洞:https://www.petri.com/monitoring-windows-event-logs-for-security-breaches
  • 应对安全事件:https://technet.microsoft.com/en-us/library/cc700825.aspx

Microsoft提供的内容旨在用于一般信息目的, 内容按原样提供, 对准确性, 正确性或可靠性不作任何明示或暗示的保证。所提供的信息不保证适用于特定目的。信息经过精心整理, 但是在此方面不承担任何责任, 特别是对于没有错误, 关于特定知识状态的时事性或用作用户负责任决策的基础。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: