Share via

安全审核中的新增功能

  • 项目

安全审核是最强大的工具之一,可用于保持系统的完整性。作为总体安全策略的一部分,应确定适用于你的环境的审核级别。审核应识别对你的网络具有威胁的攻击(成功或失败)以及针对已在你的风险评估中确定为有价值的资源的攻击。

Windows 10(版本 1511)中的新增功能

Windows 10 中的新增功能

在 Windows 10 中,安全审核添加了一些改进:

  • 新的审核子类别
  • 向现有审核事件添加了更多信息

新的审核子类别

在 Windows 10 中,高级审核策略配置中添加了两项新的审核子类别以在审核事件中提供更高的精度:

  • 审核组成员身份审核组成员身份子类别可在登录/注销审核类别中找到,它允许你审核用户登录令牌中的组成员身份信息。当枚举组成员身份或在创建登录会话的电脑上查询时,将生成此子类别中的事件。为实现交互式登录,将在用户登录的电脑上生成安全审核事件。为实现网络登录,例如访问网络上的共享文件夹,将在托管资源的电脑上生成安全审核事件。

    在配置此设置时,每次成功登录会生成一项或多项安全审核事件。还必须在 Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff 下启用“审核登录”设置。如果组成员身份信息无法容纳于单个安全审核事件中,将生成多个事件。

  • 审核 PNP 活动审核 PNP 活动子类别可在详细追踪类别下找到,它允许你在即插即用检测到外部设备时进行审核。

    对于此类别,仅记录“成功”审核。 如果未配置此策略设置,则在即插即用检测到外部设备时,将不会生成任何审核事件。

    PnP 审核事件可用于跟踪系统硬件的更改,并将记录在发生更改的电脑上。 该事件包括了硬件供应商 ID 列表。

向现有审核事件添加了更多信息

在 Windows 10 中,我们已向现有审核事件添加了更多信息,以使你能更轻松地将完整审核跟踪进行汇总,并获取保护企业所需的信息。对以下审核事件作了改进:

  • 更改了内核默认审核策略

  • 将默认进程 SACL 添加到了 LSASS.exe

  • 在登录事件中添加了新字段

  • 在进程创建事件中添加了新字段

  • 添加了新的安全帐户管理器事件

  • 添加了新的 BCD 事件

  • 添加了新的 PNP 事件

更改了内核默认审核策略

在以前的版本中,内核依赖于本地安全颁发机构 (LSA) 来检索它的一些事件中的信息。在 Windows 10 中,将自动启用进程创建事件审核策略,直到从 LSA 中接收到了实际审核策略。这将在 LSA 启动前更好地审核可能启动的服务。

将默认进程 SACL 添加到了 LSASS.exe

在 Windows 10 中,默认进程 SACL 添加到了 LSASS.exe,以记录尝试访问 LSASS.exe 的过程。 SACL 即 L"S:(AU;SAFA;0x0010;;;WD)"。你可以在 Advanced Audit Policy Configuration\Object Access\Audit Kernel Object 下启用它。

这可以帮助标识从某一进程的内存中盗取凭据的攻击。

登录事件中的新字段

登录事件 ID 4624 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4624:

  1. MachineLogon 字符串:Yes 或 No

    如果登录到电脑的帐户是计算机帐户,则此字段为“Yes”。否则,此字段为“No”。

  2. ElevatedToken 字符串:Yes 或 No

    如果登录到电脑的帐户是管理登录,则此字段为“Yes”。否则,该字段为“No”。此外,如果这是拆分令牌的一部分,还将显示链接的登录 ID (LSAP_LOGON_SESSION)。

  3. TargetOutboundUserName 字符串

    TargetOutboundUserDomain 字符串

    使用 LogonUser 方法为出站流量创建的用户名和标识域。

  4. VirtualAccount 字符串:Yes 或 No

    如果登录到电脑的帐户是虚拟帐户,则此字段为“Yes”。否则,此字段为“No”。

  5. GroupMembership 字符串

    用户令牌中所有组的列表。

  6. RestrictedAdminMode 字符串:Yes 或 No

    如果用户使用远程桌面登录处于受限管理员模式下的电脑,则此字段将为“Yes”。

    有关受限管理员模式的详细信息,请参阅适用于 RDP 的受限管理员模式

进程创建事件中的新字段

登录事件 ID 4688 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4688:

  1. TargetUserSid 字符串

    目标主体的 SID。

  2. TargetUserName 字符串

    目标用户的帐户名。

  3. TargetDomainName 字符串

    目标用户的域。

  4. TargetLogonId 字符串

    目标用户的登录 ID。

  5. ParentProcessName 字符串

    创建者进程的名称。

  6. ParentProcessId 字符串

    指向实际父进程的指针(如果它不同于创建者进程)。

新安全帐户管理器事件

在 Windows 10 中,添加了新 SAM 事件以包含用于执行读取/查询操作的 SAM API。在以前版本的 Windows 中,仅审核写入操作。新事件为事件 ID 4798 和事件 ID 4799。现在将审核以下 API:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

新 BCD 事件

添加了事件 ID 4826,以便跟踪启动配置数据库 (BCD) 所作的以下更改:

  • DEP/NEX 设置
  • 测试签名
  • PCAT SB 模拟
  • 调试
  • 启动调试
  • 完整性服务
  • 禁用 Winload 调试菜单

新的 PNP 事件

添加了事件 ID 6416,以便在通过即插即用检测到外部设备时进行跟踪。一个重要方案是,将包含恶意软件的外部设备插入到未预料到这种操作的高价值计算机(例如域控制器)中。

了解如何在组织中管理安全审核策略